21:09
23/1/2013

Dziś udzieliliśmy wypowiedzi dla serwisów Trójmiasto.pl i NaTemat.pl w sprawie wykonywania tzw. “niezamówionych” testów bezpieczeństwa i aspektów bezpieczeństwa w przetargach publicznych. Sprawa dotyczy luki, jaką jeden z mieszkańców Trójmiasta znalazł w kartach pozwalających na korzystanie z komunikacji miejskiej.

Doładowanie karty miejskiej za darmo

ZTM w Gdańsku ma taki sam problem jak każda inna instytucja, która korzysta z tanich kart zbliżeniowych opartych o chip Mifare produkcji Philipsa (obecnie NXP). W Polsce karty te używane są m.in. także w komunikacji w Warszawie i Białymstoku. W Trójmieście za wdrożenie kart odpowiedzialna jest firma Sygnity.

Mifare został po raz pierwszy rozpracowany już w 2007 roku – a potem hackowany ponownie (tu tu i tu — mimo, że Philips ostro walczył o ukrycie wyników tych badań). Opis wyciągania kluczy z kart Mifare jest publicznie dostępny.

Warszawa, Poznań i Wrocław też zaliczyły wpadki

Jednym z pierwszych ataków na Mifare w Polsce było zreversowanie formatu Warszawskiej Karty Miejskiej przez asq (za który to reversing był on przesłuchiwany przez policję na wniosek ZTM).

W maju zeszłego roku w Poznaniu błąd w oprogramowaniu biletomatów pozwalał natomiast doładowywać komkarty za darmo.

Zresztą wcale nie potrzeba nowoczesnych “hackerskich” technik, żeby “oszukać system”. We Wrocławiu borykano się z bezdomnymi, którzy w prosty sposób, bez użycia elektroniki, zawieszali i okradali miejskie biletomaty.

0.50 TRY

0.50 TRY

Na tym oszustwa biletomatów (i innych automatów) się nie kończą. Tureckie monety są niemal identyczne wyglądowo i wagowo z naszymi pięciozłotówkami — część mechanizmów rozpoznawania monet się myli — a pomyłka jest kosztowna, bo 50 kurus to ok. 80 polskich groszy…

Kluczowe pytanie?

Na koniec zadajmy sobie jedno proste pytanie — przy jakiej skali problemu “hackowania Mifare’ów” sensu nabiera inwestowanie w droższe zabezpieczenia (koszty pokryją przecież wszyscy mieszkańcy korzystający z komunikacji miejskiej)? Przecież zawsze obok kart bezstykowych będą istniały bilety “kartonikowe”. A te w dzisiejszych czasach jest zdecydowanie prościej podrobić niż zhackować najtańszy Mifare — wystarczy przysłowiowy gimnazjalista z drukarką i kradzionym Photoshopem…

P.S. Komentarz Niebezpiecznik.pl dla Trójmiasto.pl w sprawie niezamówionych pentestów i ewentualnej odpowiedzialności karnej z tego tytułu:

Działania polegające na przełamywaniu zabezpieczeń mogą być penalizowane, zwłaszcza jeśli na ich podstawie sprawca osiąga korzyści materialne. Dlatego wszystkim, którzy chcą szukać błędów bezpieczeństwa polecam firmy, które wprost proszą każdego chętnego o testowanie swoich zabezpieczeń w ramach tzw. programów bug-bounty (posiada je Google, Facebook czy PayPal). Znalezione w ramach bug-bounty błędy są weryfikowane i następnie nagradzane finansowo.
Szukanie błędów w ramach tzw. “niezamówionych testów” zawsze będzie wiązało się z ryzykiem prawnym, zwłaszcza jeśli znalezione błędy są poważne (dają dostęp do danych klientów lub pozwalają na uzyskanie korzyści materialnych), a zgłaszający błąd próbuje sugerować wynagrodzenie za podesłany opis luki.

Życzyłbym sobie, aby polskie firmy doceniały dobrą wolę swoich klientów i szybko obsługiwały zgłaszane im incydenty dotyczące bezpieczeństwa – takie podejście jest najkorzystniejsze, ponieważ osoba zgłaszająca błąd, który zostanie zignorowany zapewne prędzej czy później i tak opisze swoje znaleziska anonimowo w internecie lub podeśle je do mediów. I wtedy, zamiast kosztu obsługi błędów, firmie lekceważącej komunikaty dojdą także koszty obsługi PR oraz koszty ewentualnej obsługi prawnej (pozwy klientów, którzy poczuli się zagrożeni na skutek błędów).

Z kolei samozwańczym poszukiwaczom błędów życzę pokory – nie znam żadnej firmy, która łagodnie potraktowałaby osobę dopuszczającą się szantażu w wiadomości zgłaszającej błędy bezpieczeństwa.

Komentarz Niebezpiecznik.pl dla NaTemat.pl w sprawie nieuwzględniania aspektów bezpieczeństwa w przetargach publicznych.

W większości publicznych projektów z jakimi miałem doczynienia, bezpieczeństwo było spychane na drugi plan. Zamawiający w ogóle nie uwzględniali testów bezpieczeństwa w SIWZ. Kiedyś uczestniczyliśmy jako Niebezpiecznik.pl w ocenie jednego z rozwiązań informatycznych dla służby zdrowia na prośbę jednej z placówek publicznych. W chwili odbierania oprogramowania od wykonawcy zidentyfikowaliśmy zaskakująco dużą liczbę podstawowych, wręcz podręcznikowych błędów bezpieczeństwa które w pewnych przypadkach mogły narazić na szwank zdrowie pacjentów…
Wydaje mi się, że czasami firmy informatyczne biorące udział w publicznych przetargach wykorzystują po części inne oprogramowanie stworzone dla poprzednich klientów, niejako sklejając różne niekompatybilne ze sobą fragmenty kodu i w ogóle nie uwzględniając aspektów takich jak wydajność pracy czy bezpieczeństwo…

Przeczytaj także:

103 komentarzy

Dodaj komentarz
  1. Ja hackuję automaty monetą na sznurku.

    • Piękne!

  2. Tego pana który się wypowiada że nie widzi problemu powinni zwolnić. :O Czekam aż ktoś wkurzony upubliczni metodę i pan nagle zobaczy problem.

    • Może jest niewidomy.

  3. Co za koleś (ten “dyrektor” z ZTM). Tacy idioci/ignoranci zarządzają naszymi pieniędzmi, z naszych podatków…

  4. A mnie do takich sytuacji strasznie pasuje książka “Liars and Outliers” (http://www.schneier.com/book-lo.html), a właściwie tytuł, pod którym miała się ukazać pierwotnie: “The Dishonest Minority”. Tak długo, jak z tego typu podatności korzysta niewielka ilość “sokołów”, problemu rzeczywiście nie ma. Albo inaczej – koszt poradzenia sobie z problemem jest większy, niż straty z niego wynikające.

    Nie twierdzę, że w tym wypadku rzeczywiście tak jest, ale już jakiś czas temu w wyniku brutalnego zderzenia z rzeczywistością (biznes!) głęboko zakodowałem sobie, że bezpieczeństwo nie jest celem samym w sobie.

    • No właśnie. Na razie grupa pryszczersów jeździ sobie za free i ew. podrywa dziewczyny na darmowe ładowanie ;) Problem pojawia się, kiedy któryś z nich, ten bardziej etyczny, nagle zgłasza błąd do producenta/integratora i nie daj $DEITY zostaje olany. Wtedy zaczyna to traktować ambicjonalnie i mści się idąc do mediów (z góry uprzedzam, że nie wiem, czy tak było w przypadku tego człowieka z Trójmiasta).

      Ja dalej obstawiam, że przeciętnemu Kowalskiem jest łatwiej podrobić papierowy bilet niż bezstykówkę… Ale o tym artykułów jakoś nikt nie pisze — chyba “małoklikalne” ;)

    • dlatego temat trzeba naglasniac, ciesze sie z tych
      ostatnich artykulow. tylko powszechna wiedza spowoduje, ze czarny
      rynek sie rozwinie, a odpowiednie mechanizmy zareaguja, aby
      wyeliminowac takie problemy w przyszlosci. m.in. przez zamawianie u
      nas pentestow, jesli takie bedzie wymaganie dla publicznych
      systemow informatycznych – powiedzmy raz na rok.

    • Z jednej strony – jak najbardziej, problem jest w tej chwili dość trudny do rozwiązania (bo co, wymienić tysiące kart i automatów? no bez sensu). A jego skala znikoma. Więc obecnie nie ma sensu wszczynać alarmu.

      Ale z drugiej strony – postawa tego pseudo-dyrektora jest alarmująco wręcz naganna i ignorancka! Nie wiem, czy to wynika z niewiedzy, buńczuczności (złego wychowania), czy po prostu przerostu ego, ale tak to się może zachowywać sprzątaczka, jak jej ktoś wytknie niezamykanie składziku z mydłem… Tego kalibru problem wręcz MUSI być poważnie potraktowany. Za to temu kolesiowi płacę. Ale nie, lepiej pobluzgać niczym gimbus. Odnosząc się w ten sposób do człowieka mądrzejszego i bardziej doświadczonego (tego kolesia, co to złamał), ten dyrek jedynie pokazał swoje słabe, zacofane kompetencje oraz wyraźnie zaprezentował wystającą z butów słomę.

    • @asq: A jesteś pewny, że kontraktów wówczas nie dostaną firmy, które napiszą, że jest OK?

    • erbud też napisał że przedlużenie pasa jest ok. słabo na tym wyszli :-)

    • @Piotr: Cena biletu na jedne przejazd to 3.80. Kara za przejazd bez biletu to 120 PLN (jeśli zapłacę szybko). Jeśli będą mnie łapać rzadziej niż raz na 32 przejazdy, to zastosuję “low tech hacking” i będę po prostu jeździł na gapę.

      Nie pamiętam, kiedy ostatni raz natknąłem się na kontrolę biletów. Fakt, nie korzystam z MPK zbyt często, ale było to na pewno dawniej, niż 32 przejazdy temu.

    • @asq: Złe porównanie. Usługa testu bezpieczeństwa nie jest objęta gwarancją. Z innej strony, ciekawe jaki będzie finał tej sprawy: “Security firm Trustwave among defendants in S.C. breach suit” (http://www.scmagazine.com/security-firm-trustwave-among-defendants-in-sc-breach-suit/article/267981/).

    • jak certyfikuje to gwarantuje, nie ma problemu zeby to zapisac w umowie. na pewno nie chroni przed 0day i bledami ktore pojawily sie pomiedzy okresami certyfikacji.

    • Może i nie ma gwarancji ale każda firma powinna dbać o swoją renomę.

    • @asq: Ale użycie magicznego słowa “certyfikacja” nic tutaj nie zmienia. Odnośnie czego ta certyfikacja miała by się odbywać? Najpierw ktoś musiałby ustalić “wzorzec”, względem którego następnie ktoś certyfikowałby system. W dodatku ten wzorzec musiałby być w miarę jednoznaczny, bo w przeciwnym wypadku pojawią się problemy/wątpliwości przy interpretacji. I w zasadzie coś takiego istnieje, nazywa się compliance (zachowanie zgodności). Tylko, że zachowanie zgodności nie oznacza, że się jest automatycznie bezpiecznym, ale to już inna bajka.

      A praktykę jak działa taka “certyfikacja” można prześledzić na przykładzie wdrożeń i certyfikacji systemów ISO wszelakich.

    • @ASDF: Wychodzisz z założenia, że firmie zależy na reputacji, a tak wcale nie musi być. Albo ta reputacja wcale nie musi być taka, jakbyś zakładał. Może akurat w tym wypadku lepsza będzie reputacja firmy, która “daje papierek i się nie czepia”.

      Inny przykład – zamówienia publiczne. Tam z mocy prawa są dość bolesne konsekwencje w przypadku problemów z wykonaniem zamówienia. Obrona przed tym jest prosta – duże firmy tworzą spółki wydmuszki do takich projektów. Jak się jakiejś powinie noga, to się jej łeb ukręci i po sprawie.

    • @pg: jasne, niedasie :-ooo

    • @asq: Da się, tylko to trzeba zrobić z głową. Bo jak się do sprawy podejdzie zgodnie z dotychczasową praktyką z innych obszarów, to efekt będzie taki sam.

      Choćby podstawowy problem – jeśli do tej “certyfikacji” wybierana byłaby oferta ze 100% ceną, to myślisz, że kto to wygra? Najlepsi?

    • Coś mi się wydaje, że niewiele się zmieni dopóki nie będzie ustawowo określona zasada automatycznych odszkodowań za wycieki danych.
      Czyli: wyciekły dane Kowalskiego? To Kowalskiemu się z automatu należy “pińcset”. Wyciekły, bo administrator danych olewał temat (karygodne niedbalstwo) – bonus multiplier x10. Plus ewentualne pokrycie szkód, jeśli ktoś na dane tego Kowalskiego naciągnął kredytów i teraz biedak musi to odkręcać.
      Po pierwszych paru artykułach jak to firma X albo urząd Y są do tyłu parę milionów z takiej okazji, zaraz by się pojawiły – w cudowny sposób – wymagania jakiegoś (na początek) bezpieczeństwa.

  5. s/NXT/NXP Semiconductors/g

  6. Podrobić bilet ZTM? A co z paskiem magnetycznym? (warszawa)

    • nie w kazdym miescie na biletach jest pasek mag. w krakowie nie ma np.

    • Wydaje mi się, że pasek magentyczny jest bardziej podatny
      na atak niż czip. Wystarczy wziąć parę kart i ugryźć metodę zapisu
      na pasku. Oczywiście przy odpowiednim czytniku :) Trochę
      inteligencji przy działaniu i powinno się udać.

    • Ale jest hologram i tego się raczej nie ominie. Bilety z
      automatów też są zabezpieczone znakiem wodnym. Łamanie kart jest z
      tego wszystkiego stosunkowo najprostsze i najmniej wykrywalne
      (potrzebny jest dodatkowy system kontroli, a fałszywy hologram może
      odkryć każdy kanar)

    • Ile razy kanar sprawdzal Ci znak wodny (pytam z ciekawosci). Kolejnym tematem sa bilety, a raczej potwierdzenie ich kupna na telefonie komorkowym… ;>

    • @Piotr Konieczny: czyżbyś mówił o SkyC..u i ich magicznym linku w kodzie QR, którego żaden kanar w życiu nie odpalił, a mało który czytał co jest pod nim napisane? xD

    • Nie wiem, nie znam się :>

    • No ja też nie wiem jak się do tego dobrać *mrug* dlatego się pytam ;-)

    • Nie wiem jak jest teraz, ale pod koniec lat 90 gdy byłem jeszcze w liceum zrzuciliśmy się na “znaczek” biletu miesięcznego, który następnie zeskanowaliśmy i wydrukowaliśmy w kilku testowych kopiach na kolorowej drukarce atramentowej. Dla nas wyglądał perfekcyjnie – nie mam pojęcia jak to się stało, ale kanar złapał jednego z kolegów już po kilku przejazdach, według jego relacji nawet nie przyglądał się za bardzo i już rozpoznał fałszerstwo, groził wezwaniem policji. Rozeszło się po kościach, ale po tej akcji mieliśmy trochę mokro. Do tej pory nie wiem na czym polegał nasz błąd…

    • @XXXyyyZZZ: powiem Ci, bo miałem podobną sytuację ;) Papier… A dokładnie jego faktura.

  7. chcialem odpowiedziec na koment wergg, ale nie ma na co :-) cos cenzurujecie za mocno :-)

    a problem jest powazny. od 2008 nawet prawnicy (Vagla) pisali, ze system jest dziurawy. w 2010 warszawski ztm zamowil przetarg na latanie, nie wiadomo co sie z tymi pieniedzmi stalo, na pewno 3des nie zostal zaimplementowany… my w naturalny sposob rozumiemy, ze bezpieczenstwo to proces, a taki prezes ztm powie: system kosztowal nn milionow zlotych, jego roczne utrzymanie kosztuje n mln. czemu mamy placic jeszcze nn tysiecy na certyfikowanie tego co roku? zeby bronic sie przed jakimis hobbistami? straty z przejazdow bezbiletowych przeciez pokrywa nam budzet miasta.

    • ? widzę 2 komentarze wergg — jeśli był jakiś trzeci, to chyba właśnie zostaliśmy zhackowani…

      A żeby mój komentarz nie był tylko offtopicowy, to dodam: “wydatki na bezpieczeństwo należy uzasadniać rzetelnie przeprowadzoną analizą ryzyka”.

    • pebkac, mam problem z tymi watkami w komentarzach.

    • a co do ryzyka to jest takie samo jak postawienie wifi na wep. mechanizm zabezpieczenia nie istnieje od kilku lat. tutaj trzeba sie zastanawiac nad mechanizmami lagodzenia skutkow, nie ryzykiem.

  8. Obydwu Panów można nazwać „buńczucznymi”. Gdyby to działało tak jak wpadki operatorów komórkowych ładnych parę lat temu (typu doładowanie konta kilkakrotnie tą samą kartą prepaid), to może i byłby realny problem.

    Realna skala problemu? Na moje oko – mizerna. ZAWSZE znajdzie się system (a już karty miejskie, nie będące jakąś finezyjną techniką), który ktoś złamie o obwieści, iż system ten jest banalny do złamania. Ja bym nie złamał. A reszta ludzi nie wiedziała by, co to czytnik kart bezstykowych. Nazwijcie mnie ignorantem, proszę. Ale redakcja i czytelnicy Niebezpiecznika raczej nie wygenerują polskim przedsiębiorstwom komunikacyjnym realnych strat.

    • telefon z androidem ogarniasz? to zlamiesz, jest dostepne i api i soft do tego.

    • Chyba nie zrozumiales przedmowcy. Obracanie sie w towarzystwie ludzi zorientowanych, mniej lub bardziej, w IT moze zaciemnic obraz. Wiekszosc ludzi na swiecie nie wie nawet co to jest API. Tak samo jak ja nie mam pojecia o wnetrznosciach silnika samochodowego albo historii wenezueli.

  9. Piotrze, jak to w przetargach nie dbają o bezpieczeństwo?
    Na przykład w tym przetargu (pkt 31) zadbano o odpowiednie wymagania. A że ktoś przepisał spis treści z książki? Przecież to o bezpieczeństwie książka…

  10. > wystarczy przysłowiowy gimnazjalista z drukarką i kradzionym Photoshopem…

    Nie wiem jak w Krakowie, ale w Warszawie bilety ZTMu mają hologram i pasek magnetyczny. Trzeba by użyć przerobionego magnetofonu i taśmę klejącą matową, o ile na niej się wypali nadruk.

  11. Mnie bardziej irytuje fakt, że wg dyrektora problem jest znany i pomijany. Wychodzi na to, że słowna analiza ryzyka została przeprowadzone (!SIC) ponieważ pan dyrektor uważa, że skala problemu jest wyjątkowo mała, można to uznać za zaakceptowanie ryzyka.
    @asq Niestety z tej wypowiedzi poniekąd wynika, że ww przetargach publicznych analiza ryzyka jest kosztem na którym łatwo zaoszczędzić, jak wiadomo to może mieć krótkie noci…
    @wergg : nie będzie potrzeby wymiany kart, zostaje tylko kwestia:
    * update oprogramowania,
    * wprowadzenie łączności online z bazą danych,
    * użycie bezpieczniejszego standardu szyfrowania w warstwie aplikacyjnej,
    * wprowadzenie łączności online z bazą danych,
    * wprowadzenie monitorowania systemu,
    * użycie innych kluczy (niż te dostępne w dokumentacji),

    Swoją drogą czy jest możliwa zmiana kluczy na tego typu kartach? W sensie przeprogramowanie – nie wymiana?

    • tak, mozna zmienic klucz karty (zapis kluczem B) i tak, migracja systemu do online to sensowne rozwiazanie. wiekszosc nowej floty i tak jezdzi z modemami, ktore napedzaja system informacyjno-reklamowy.

    • Wprowadzenie łączności online z bazą danych? :D LOL

      Nawet jakby kontrolerzy mieli w tych sprytnych urządzonkach modemy to przecież nie zainstalujesz w każdym automacie biletowym modemu.

      Wymiana kluczy pewnie jest możliwa, ale ktoś musiałby przeprogramować całe oprogramowanie, a to kosztuje pieniądze.

      Sygnity robiło PWR sysetm edukacja.cl, którego największą wadą było właśnie to, że kod miało tylko Sygnity (właśnie ta cudowna firma) i tylko ona mogła zmieniać kod źródłowy (to stoi bodaj na Struts i można sobie na osnews.pl poczytać jakie były z tym problemy jak to ruszyło).

      Teraz sobie wyobraź, że przecież te wszystkie automaty nie są podpięte do sieci i na każdy trzeba wgrać nowe oprogramowanie. Pomyśl jaki jest koszt tej operacji (bo przecież to oprogramowanie nie jest Open Source i nie można zlecić kolejnego przetargu), a nikt nie pomyślał o jakichś updatach itp. bo tak się realizuje zamówienia publiczne.

      Ogólnie na inżynierii oprogramowania wszystkie systemy realizowane w ramach zamówień publicznych są wykładane jako antyprzykłady.

      Wyobraź sobie np. że wiele automatów biletowych we Wrocławiu nie dało się na stałe podłączyć do zasilania to latały na zasilaniu latarni (kilkugodzinnym nocnym) tak że później cały czas działały na zasilaniu awaryjnym (akumulatorach, CODZIENNIE) i się psuły (skoro po pewnym czasie notorycznie były wyłączane przez odcięcie zasilania).

    • Akurat wszystkie nowocześniejsze automaty mają połączenie z centralą dla celów diagnostycznych (żeby serwis od razu wiedział, w których jest za dużo pieniędzy i za mało taśmy) i chyba też do obsługi transakcji kartami. Kasowniki (te stare) nie mają dostępu do internetu i mają przestarzałe sterowniki, które na 99% nawet nie mogłyby obsłużyć komunikacji z internetem

    • @takwlasnie: Z tego co mi wiadomo krakowskie biletomaty działają online, więc da się to zrobić.

  12. “Wprowadzenie łączności online z bazą danych? :D LOL”
    @takwlasnie: Tutaj akurat nie mówię o biletomatach tylko o urządzeniach które posiadają kontrolerzy w autobusach /tramwajach, bo to oni jednoznacznie definiują czy bilet jest ważny czy nie, biletomat tego mieć nie musi, chyba że jako dodatkową funkcjonalność monitorowania tego typu incydentów.
    Biletomaty we Wrocławiu są też w autobusach / tramwajach. Tylko w nich jest zablokowana opcja doładowania, jedynie za pomocą wcześniej wydrukowanego, zakupionego biletu.
    Signity znam też właśnie z perspektywy wdrażania na PWr, czyli od tej złej strony (trolololo: swoją drogą jest dobra :-) ? )

    Nawet jakby kontrolerzy mieli w tych sprytnych urządzonkach modemy to przecież nie zainstalujesz w każdym automacie biletowym modemu.
    Tutaj nie jestem pewny, ale czasem zdażało mi się uzyskać od biletomatu informację o niemożliwości wykonania transakcji przy zakupie przy użyciu karty płatniczej, nie wiem co prawda czy związane to było z brakiem papieru czy brakiem komunikacji np z bankiem. Reasumując – biletomaty we Wrocławiu posiadają modemy ;)

    • Ok, ale co by dało posiadanie modemu? Rozumiem że nie chodzi tu o zabezpieczenie papierowych biletów (o którym ja myślałem również) ale o zabezpieczenie tylko tych sprytnych kart elektronicznych. W takim wypadku miałoby to oczywiście sens jeżeliby potwierdzało z serwerem zgodność danych zakodowanych na karcie, a w bazie danych.

      Tylko teraz przychodzą naturalne problemy z brakiem zasięgu, ale w takich rzadkich wypadkach chyba można by po prostu uznać za zgodne dane z karty.

      Odnośnie połączenia automatów faktycznie się pomyliłem, zapomniałem że da się tam zakodować bilet kupiony przez internet (czyli połączenie internetowe musi być) i w terminalu też. Mi chodziło o to, czy da się połączyć z takim terminalem np. przez telnet/ssh żeby dokonać jakichś zmian.

      Nie jestem też pewien jak to działa w tych automatach w tramwajach/autobusach bo tam te automaty transakcje do 50 zł przepuszczają niezależnie od typu karty (nie trzeba mieć zbliżeniowej) i szczerze nie mam pojęcia jak to cudo działa. Teoretycznie wszystkie powinny mieć jakiś modem gsm (?)

      No i pozostaje kwestia tego czy takie systemy były planowane na updaty czy nie (co zostało przewidziane przy projektowaniu). No i koszty np. zmiany tego oprogramowania, samo wdrożenie nowych procedur to nie są tanie operacje.

      Jakby we wszystkich pojazdach było wifi to by było częściowo po problemie ;) ale pewnie miejscy przewoźnicy takie rzeczy outsourcują i przez to wszystko wychodzi drożej niż jakby się przewoźnicy z największych miast zrzucili na opracowanie ujednoliconego systemu open source do tych wszystkich transakcji, no ale to by było szaleństwo, nie jest modne i jak się z tego rozliczyć.

    • Posiadanie modemu? Wyobraź sobie płacenie kartą która:
      a) nie wymaga PINU do autoryzacji transakcji
      b) nie łączy się z bankiem w trakcie
      Nie mówiąc już wtedy o ilości transakcji które można wykonać. Czy już widzisz powody do nadużyć? To byłby dopiero business logic fail!
      Oprogramowanie we Wrocławiu było wymieniane kilka (1-2) razy. Na początku ktoś założył, że bilety wychodzą od razu skasowane. Ludzie się bardzo oburzali, bo nie można było na zapas nic kupić, tylko za każdym razem kolejka do biletomatu w autobusie /tramwaju – mnie to specjalnie nie przeszkadzało, zazwyczaj była na tyle długa, że nim kupiłem bilet to już była stacja docelowa:)

      “Jakby we wszystkich pojazdach było wifi ” W wakacje widziałem autobus z WiFi był reklamą jakiegoś banku – nie wiem czy dalej jeździ.

      Dawien dawno można było wejśc do pulpitu systemu na którym stały biletomaty a tam dostep do wszystkich plików, numery kart etc. Teoretycznie można męczyć się stosując GPRS/EDGE/UMTS/HSPA jamming. Ale sądząc po braku możliwości zrealizowania transakcji o którym pisałem wcześniej wydaje mi się, że zostaje tylko 3G z powodu głównie zasięgu. Jeżeli wtedy uda Ci się przyznać/zgadnąć IP urządzena to już na warstwie IP nmapem po portach możesz lecieć.

    • @kic

      1) ta zmiana oprogramowania była poprzedzona długą akcją informacyjną itp.

      2) Z tym nie wymaganiem pinu tak jest i to jest fakt we Wrocławskim MPK. Obsługuje to karty visa i mastercard debetowe, kredytowe i zbliżeniowe. Tak nie trzeba mieć zbliżeniowej karty.

      Można płacić do 50 zł.

      Jak komuś ukradniesz kartę to możesz zrobić nawet z 20 transakcji obciążając kogoś kwotą 1000 zł. Takie historie się zdarzały. Na szczęście na takie małe kwoty banki są ubezpieczone i nie ma problemu odzyskać pieniędze w przypadku kradzieży karty (lepiej mimo wszystko i tak trzymać przy sobie).

      3) Autobus z wifi z reklamą banku był sponsorowany przez bank w niektórych miastach z tego co pamiętam. Ja piszę że przewoźnik żaden typu MPK czy MZK jeszcze długo tego nie wprowadzi bo to nie jest prywatne i koszty, blablabla. Sam miejski internet we Wrocławiu pozostawia wiele do życzenia.

    • @kic – wyobrażam sobie płacenie offline kartą, która nie wymaga PINu. Tak działały płatności kartą kredytową jeszcze nie tak dawno (żelazko).

    • @kic

      “Posiadanie modemu? Wyobraź sobie płacenie kartą która:
      a) nie wymaga PINU do autoryzacji transakcji
      b) nie łączy się z bankiem w trakcie”

      Oczywiście! Mało tego robiłem ostatnio taką tranzakcję (gały mi wyszły na wierzch ale powtórzony eksperyment potwierdził obserwację):

      Metro Walencja (Hiszpania), automat biletowy w metrze na podrzędnej stacji, zakup biletów za kilka EUR:
      – wybierasz bilet
      – potwierdzenie wyboru
      – prośba o włożenie karty
      – wkładasz kartę, po około max ~0,5[s] dostajesz kartę z powrotem
      – druk biletu i potwierdzenia zapłaty

      ZERO pytania o PIN
      No f… way, że w tym czasie to pudło zestawiło jakiekolwiek połączenie nie mówiąc o autoryzacji….

      Karta z chipem bez RF’a (nie paypass’owa) debetowa, mbank.

      Nie mam pytań.

    • @ Pedro – tak samo wyglądało kupowanie biletów w Norwegii, gdy byłem tam z rok temu. Tyle, że ja zapłaciłem za dwa bilety 200zł.

  13. Ja prawie codziennie korzystam z komunikacji MZKZG (w Gdyni co dzień, SKM raz, czy dwa na tydzień i Gdańsk co drugi weekend).
    @Paweł Goleń: nie wiem jak jest w Gdańsku, ale w Gdyni średnio trafiam na kanarów raz, czy dwa na miesiąc (ale często jeżdżę), a w SKM to chyba co 3 przejazd (poza porami nocnymi), więc o ile ktoś nie podróżuje komunikacją często to może wyjść na swoje, ale jeśli robi to regularnie to raczej opłacać się nie będzie.
    @Piotr Konieczny: w Gdyni nie ma automatów biletowych, a bilety jednorazowe są z hologramem, który widać na pierwszy rzut oka, więc raczej zwykły Kowalski na drukarce sobie nie druknie. Nie wiem jak sprawa się ma z biletami komórkowymi, bo się tym nie interesowałem (swoją drogą – te bilety są chyba jeszcze podpięte pod zapłaty za parkomaty w śródmieściu, ale nie wiem, czy to mit, czy prawda).

    WiFi: sporo nowej floty posiada takie cudo na pokładzie, ale jaki jest tego zasięg i moc pojęcia nie mam (z tym, że reklamy w monitorach są update’owane chyba offline, a nie przez sieć, bo zmieniają się rzadko, więc nie widzę potrzeby..)

  14. Kiedyś odkryłem że do flipperów wystarczy włożyć monete 5gr zamiast 2zł i można grać ^^

    • A późnej się obudziłeś i mama kazała ci iść do szkoły?

    • Foxbond, nie widzę powodów do braku wiary, bo faktycznie taka sytuacja była/ciągle jest. Jednakże dotyczy to starych modeli pinballi, wyprodukowanych przed 1998.

  15. No dobra, a jak kontroler moze wylapac podczas sprawdzania kilkunastu osob ktora karta zostala nabita na lewo, sklonowana itd?wyswietla mu sie tylko termin kontraktu

  16. jesli ich podejscie do security jest “takie sobie” to ich statystki przejazdow i wzrostu sa g**** warte…

  17. Z tego wszystkiego zmartwiło mnie tylko jedno zdanie w wypowiedzi Piotra Koniecznego: “Z kolei samozwańczym poszukiwaczom błędów życzę pokory – nie znam żadnej firmy, która łagodnie potraktowałaby osobę dopuszczającą się szantażu w wiadomości zgłaszającej błędy bezpieczeństwa.”
    Przyznam, że nie znalazłem w materiale na portalu trojmiasto.pl nic, co sugerowałoby, że bohater – p. Adam – szantażował ZTM. Może jestem nieuważny i czegoś nie doczytałem, ale w takiej wersji artykułu, jak tam się ukazała, powyższe zdanie brzmi jak pomówienie…

    witrak()

    • Zupełnie niesłusznie – wypowiedź jest ogólną przestrogą dla wszystkich wykonujących niezamówione pentesty, nie skupia się na przykładzie p. Adama i w żaden sposób nie sugeruje, że on tak postąpił.

    • Mylisz sie. To jest typowe dla tej bandy grozenie “chcecie nas ruszyc, to uwazajcie, bo mamy za soba armie przekupionych prawnikow, sedziow i Adamowicza”. Nie wiecie co sie w Gdansku dzieje, nie macie pojecia jakie tu sa patologie. Zastanowcie sie dlaczego Amber Gold funkcjonowal w Gdansku.

  18. Jakby to powiedzieć: “Człowiek pisze, a sieć słowa nosi” :-)
    To co Autor chciał powiedzieć, a to co z tego czytelnik odbierze, to dwie różne rzeczy. Wypowiedź w żadnym miejscu nie odcina się od kontekstu artykułu i, zgodnie ze stwierdzeniem jego autorki, jest komentarzem do konkretnej, opisywanej w nim sytuacji.
    Tak więc przyjmując wyjaśnienie P.K. co do intencji, nie mogę uznać jego zasadności w warstwie treściowej: zdanie, które zacytowałem, sam P.K. odseparował od całej reszty wypowiedzi i uczynił przez to podsumowaniem swojego komentarza. A podsumowania – nawet jeśli dotyczą wypowiedzi o szerszym kontekście – nawiązują do głównego celu wypowiedzi (tu: komentarza do postępowania p. Adama i – ewentualnie – ZTM oraz producenta systemu).
    Wskutek tego niepochlebna opinia o amatorach-szantażystach, wyzierająca z tego jednego akapitu, *nie może* nie nawiązywać do osoby głównego bohatera artykułu.
    W takiej sytuacji na miejscu P.K. napisałbym komentarz do artykułu, odcinający się od takiej (jak moja) niezgodnej z intencją Autora, ale uzasadnionej i dopuszczalnej interpretacji – jak najbardziej krzywdzącej dla p. Adama i wielu innych, działających z właściwych pobudek, ludzi.

  19. to co napisał Piotr i tak jest łagodne i politycznie poprawne. w rzeczywistości zazwyczaj to “większy”, próbuje szantażować (policją, prokuraturą zwolnieniami z pracy). ja to odczytałem jako apel white-hacie-jak-coś-zgłosisz-i-cię-wkurzą-to-nie-stawaj-się-od-razu-black-hatem :) ale zgadzam, się że w kontekście artykułu sugeruje to, że artykułowy nie-adam dopuścił się szantażu.

  20. Hm rzeczywiście komentarz zabrzmiał trochę w stylu: “od testów są specjaliści https://niebezpiecznik.pl/testy-penetracyjne/?tb2 a reszta to niegodna uwagi gimbaza, którą trzeba pouczać, że igra z ogniem” ;]

  21. Ktoś wie co to za dystrybucja Linuxa z filmiku?

  22. “It’s not a bug, it’s a ficzer!”

  23. W Warszawie korzystałem z mpaya na telefonie BB Storm2. Kiedyś przez błąd sieci, albo skaczącego Ikarusa została błędnie wprowadzona kwota za bilet. Złożyłem reklamację na stronie operatora i okazało się, że kupiłem 4 bilety 20-minutowe. Reklamacja “wyjątkowo” została uznana. Użytkowałem system od pierwszego tygodnia działania i nigdzie nie wyczytałem, że mogę kupić bilet na więcej osób niż moje skromne ego. Drugą wpadką mpaya jest weryfikacja telefoniczna sms-ów w momencie kontroli. Kanar ma na legitymacji służbowej ma nr telefonu na jaki trzeba zadzwonić w momencie kontroli i dostaje on sms-a z parametrami kupionego biletu. Spoofing sms nie jest trudny. Telefon na kartę z zerowym stanem na koncie i brakiem możliwości wykonywania połączeń wychodzących – każdy kontroler to oleje. Przy minutowych biletach nie kalkuluje się kombinować (oprócz studentów), ale do jakiegoś czasu można było kupić e-bilet 1, 3, 7, 14 -dniowy… System mpay-a wieszał się co drugi weekend. Czasami potwierdzenie sms dostawałem po 2-6 godzinach od zakupu i tłumacz się człowieku kanarowi… Następna wada systemu: brak obsługi e-przelewów w popularnych formach (tylko przelew zwykły,od dotpay do paypalnie nie ma). Zasilenie konta w piątek po 12 skutkuje brakiem środków na koncie systemu pre-paidowego do poniedziałku. Ułatwienie przez utrudnienie!

    • Raz w życiu byłem kontrolowany mając bilet dobowy kupiony za pośrednictwem mpay. Kontroler zapytał o kilka ostatnich cyfr mojego telefonu i sprawdził na własnym telefonie czy dany numer istnieje w bazie aktywnych biletów, więc numer z podmianą smsa nie zawsze przejdzie.
      Do tej pory gdy musiałem korzystać z mpay to jedynym problemem były błędy sieci zanim kupiłem bilet lub przestawiłem opcje, ale zawsze przy kolejnej próbie udawało się zrealizować transakcję i sms z potwierdzeniem przychodził po kilku sekundach.
      Aktualnie rozstałem się z mpay, bo kazali zarejestrować kartę albo płacić 2zł/mc z konta, co mi nie odpowiadało, bo wolałem mieć zachowane na ich koncie parę złotych na bilet na czarną godzinę.

  24. Nasuwa mi się jeden wniosek, skoro ZTM Gdańsk nie widzi problemu to można spokojnie łamać karty bez obaw o konsekwencje.

  25. 1) Trojmiasto.pl to portal pijarowy politykow z Pomorza. Tam nie znajdzie sie negatywna informacja dla tej bandy.
    2) Gdanski ZKM jest osbadzony w 100% (nie przesadzam – 100%) przez politykow oraz “bzinesmenow” i ich rodziny. Oczywiscie mowie o tzw “zarzadzie”, nie o kierowcach czy im podobnych.

    Jezeli Niebezpiecznik sadzi, ze cokowiek zmieni nie idac z tym do TV to sie bardzo myli. Gdansk to typowa mafijna kilka i pisze z pelnym zrozumieniem tych slow.

  26. krowasc:

    mpay ma obsługę wszystkich e-przelewów (zasilenie konta) i do tego możliwość podpięcia karty. e-przelewy to już od dawien dawna.

  27. Jakieś wskazówki dla Szczecinian? ;)

  28. Nie wiem dlaczego nie wprowadzimy systemu podobnego jaki jest w Londynie. Są karty zbliżeniowe które działają na metro, pociągi, autobusy i cała komunikacje…i jakoś nikt zabezpieczeń złamać nie potrafi – problemu nie ma :)

    • lub tego nie wiesz.. dla ludzi normalne, ze to dziala, a dla tych co zarzadzaja wazne jest aby cos nie wycieklo… bo koszty zmian sa ogromne niestety. nawet z rosyjskiego metra cos mi sie przypomina na temat piecio kopiejki

    • Aż zadziwiające, ale w kraju intensywnie nastawionym na szpiegowanie obywateli, te karty są anonimowe. Można sobie zarejestrować ale nie ma obowiązku. Natomiast u nas chętnie by jeszcze numer buta i życiorys dziadka sprawdzili :-(

      Plus możliwość płacenia tą kartą za pojedyńcze przejazdy – mnie się miesięczny nie opłaca.

  29. Jakie jest to przysłowie z gimnazjalistą, photoshopem i drukarką? Nie pamiętam żadnego, a przecież musi istnieć, skoro coś jest “przysłowiowe”. ;)

  30. Najsmutniejsze w tym wszystkim jest podejście do przetargów publiczny. Jedyne kryterium jakie jest brane pod uwagę, to cena. Wybiera się rozwiązania najtańsze, ale tylko pozornie najtańsze. Późniejsza obsługa niedoróbek, błędów etc. pochłania straszliwe koszta, ale o tym już się nie mówi. Jeśli osoby odpowiedzialne za takie inwestycje i dobór firm realizujących przetarg, nie będą patrzyły na jakość, tylko na cenę, to w tej kwestii nic się nie zmieni.

    W kwestii biletów zbliżeniowych chyba nie ma dobrego rozwiązania, przynajmniej ja takiego nie widzę. Uważam, że ‘analogowe’ bilety miesięczne z naklejanymi hologramami są lepszym rozwiązaniem (coś podobnego do elektronicznych legitymacji studenckich).

    “(…) firmie lekceważącej komunikaty dojdą także koszty obsługi PR (…)” dla monopolistów jakimi są Przedsiębiorstwa Transportu Miejskiego PR nie jest chyba najważniejszy, w końcu można powiedzieć “i tak jesteście skazani na nas”.

  31. Klilka ciekawostek odnośnie kluczy używanych do szyfrowania:

    Jakiś czas temu sprawdziłem wszystkie 3 emisje kart [Wejherowo, Gdynia, Gdańsk] – czy są czytane przez inne automaty i tak:
    – w Poznaniu automaty wyświetlają numer seryjny karty + są chętne do kodowania sieciówek.
    – podobna sytuacja powinna być w Krakowie, gdyż tam używane są te same automaty ;)

    Z kolei… automaty S&B stawiane przez Avistę/MW są na takie karty oporne tj. wyrzucają błąd “karta nieczytelna” [Gdańsk/Warszawa(tylko Mennicowe)/Bydgoszcz]

    Podobnie reagują bramki i czytniki kodujące w Warszawskim metrze – najprawdopodobniej ze względu na inne dane – kto czytał patcha udostępnionego przez asq, ten wie ;)

    Odnośnie wypowiedzi rzecznika MZKZG, podkreślam MZKZG a nie ZTM Gdańsk – stwierdzam, że system może działać częściowo online

    W Bydgoszczy istnieje system online w którym można kupić sieciówkę a później zakodować ja w automacie lub… podczas kontroli <- co ciekawi mnie szczególnie, co jeszcze potrafią terminale na WinCE, do których do zalogowania się używana jest karta kontrolera + pin ;)

    Z kolei w Warszawie kasowniki dostają "kolorowe listy" dotyczące statusów kart – raz na jakiś czas.

    Nie zmienia to faktu, że gdyby ktoś chciał wykorzystywać lukę – mógłby jechać nawet na niezadrukowanej karcie do momentu kontroli, a później wygenerować sobie inną.
    Problemem podczas kontroli mogłaby być mentalność… kontrolerów – w Warszawie ludzie są już świadomi, że czytniki są w stanie przeczytać nawet przez zamknięty portfel/bez wyciągania z damskiej torebki (szczególnie na bramkach w metrze)…

    Natomiast w Gdańsku – ludzie panicznie wyciągają karty nawet z foliowych portfelików i nierzadko podają je kontrolerom.

    W Bydgoszczy z kolei poza sytuacjami z Gdańska ludzie jeżdżą z papierowymi potwierdzeniami zakupu… bo nie rozumieją nowego systemu.
    Raz słyszałem oburzenie w tramwaju, gdy kontroler nie chciał uznać papierowego potwierdzenia (do czego miał prawo, bo obowiązujący bilet jest w postaci zapisu na karcie) natomiast osoba kontrolowana nie posiadała karty.

    Moje zastrzeżenia budzi również wykonanie systemu kart miejskich w Bydgoszczy, ale to temat na inne miejsce.

    • “Natomiast w Gdańsku – ludzie panicznie wyciągają karty nawet z foliowych portfelików i nierzadko podają je kontrolerom.”

      Większość z tych kart to karty imienne, a nie na okaziciela. Choć zwykle kontrolerzy na to nie patrzą (tak myślę, ale nie siedzę im w głowach =p) to mimo wszystko dziwnie bym się poczuł podając takiemu portfel (gdzie swoją kartę trzymam) =p

    • Po co dawać portfel kontrolerowi?
      Ja tylko rozkładam (mam ekranowany) i daję do skanowania.

  32. I co, mieliście jakieś problemy do tej pory za umieszczenie tych informacji ?
    Chciał Was ktoś pozwać albo policja kontaktowała się z Wami za opublikowane tych materiałów ?

    • poki co tylko jedno przesluchanie w charakterze swiadka, tak jak Piotr napisal.

  33. Moim zdaniem problem strat jest wyolbrzymiony ta samo jak problem piractwa – nie możemy przecież założyć że każdy kto podrobi kartę kupił by bilet a nie np jeździła na gapę licząc na szczęście. Ciekawy jestem jakie w Lublinie mamy karty bo w sumie to miasto nie pojawia się w komentarzach.

  34. A pamiętacie tą sprawę, z bankiem i błędem w systemie, który pozwalał na bardzo łatwe “kapitalizowanie odsetek”?
    Przelew wykonany w piątkowy wieczór z konta osobistego na wysoko oprocentowany rachunek oszczędnościowy, powodował błąd w systemie księgowań.
    i jakiś facet przelewami z 1000 zrobił ponad pół miliona, gdyż system błędnie identyfikował przelew-wartość-odestki.
    Oczywiście to duży skrót myślowy, ale puenta ta sama:
    Bank uznał go za wariata bo to niemożliwe, a sam poszedł zgłosić problem :)

  35. Zasadniczo chyba można zrobić tak, że wysyła się anonimowo do takiego ZTM maila z informacja o błędzie i uprzedzeniem, że będzie się ten błąd wykorzystywało dla WYŁACZNIE własnej, osobistej, niekomercyjnej korzyści. Zero szantażu. Jeśli przedsiębiorstwo uważa, że lepiej się pogodzić ze stratami wynikającymi z jednego hackera (i ew. jego znajomych), to niech nie naprawia błędu. Zyskiem jest mozliwość darmowego pojeżdżenia sobie komunikacją. Nie iść z tym do mediów, nie roztrąbiać, zachowac dla siebie i ew. dobrym znajomym ładować karty. I to wszystko.
    Tylko trzeba uważać, bo jak np. ładuję karty w jednym kartomacie, czy z jednego konta w necie na stronie komunikacji (nie mam karty, jestem ze wsi, nie znam się na systemie, pisze ogólnie), to mogą po sledztwie dojść, który to kartomat, czy które konto – wystarczy niezgodnośc kwoty wpływów z ilością jednostek doładowanych.
    W sumie czy to byłaby kradzież? Skoro poinformowałem właściciela, uczciwie i konkretnie?
    Chyba jednak by była. To tak, jakby znaleźć portfel z wypłatą oraz z dokumentami i go nie oddać właścicielowi. Trochę głupio… Podobnie publikowanie tych sztuczek – to tak, jakbyśmy ten portfel porzucili na łaskę i niełaskę następnego znalazcy nie chcąc się trudzić docieraniem do właściciela ani na najbliższy posterunek policji.

  36. Daliście zdjęcie monety o nominale 1 lira turecka, a nie pół liry. Jedna lira ma rozmiary większe od naszej pięciozłotówki, rozmiary zbliżone ma pól liry, aczkolwiek wygląd ma inny (odwrócone kolory).

    http://colnect.com/pl/coins/list/series/78795-2005-do_dziś_Republika_Yeni_Lira_obiegowe/country/2488-Turcja

    • Oj, jednak macie rację – zwracam honor :) ojciec numizmatyk mnie na taką minę wpuścił (poprzednie tureckie pół liry miało kolory na odwrót). swoją drogą jakich ja czasów doczekałem, że nawet własnemu ojcu wierzyć nie można :)

  37. Wcale nie trzeba kraść Photoshopem, Gimpem też da radę podrabiać bilety… …tzn. tak słyszałem… gdzieś…

  38. Temat coraz głośniejszy.. a i pomocy naukowych przybywa: http://allegro.pl/mifare-acr122u-usb-nfc-reader-writer-zapis-odczyt-i3011089813.html

    Opis mówi sam za siebie… ale chyba o rozgłos chodziło.

  39. W Gdańsku problem rozwiązany :)

    http://www.rynek-kolejowy.pl/39380/ZTM_Gdansk_Nie_udalo_sie_zlamac_zabezpieczen_karty_miejskiej.htm

  40. Kurna, bez obrazy ludzie, ale wy jesteście strasznie naiwni
    i strasznie dajecie się r…ć, widzicie jakie ZTM doje…ł ceny
    BILETÓW?! Widzicie i nie grzmicie, a ZTM po prostu robi sobie na
    was kasę naiwniacy, uważam, że ludzie powinni zacząć w takim
    wypadku rozpowszechniać ten sposób ładowania kart miejskich, jak
    ZTM NIE WIDZI PROBLEMU, to niech dostanie po d… , wtedy może się
    nauczy, że BILET KARTONIKOWY to nie jest paczka makaronu, tylko
    mały JEDNORAZOWY kartonik który upoważnia do przejazdu i nie
    powinien kosztować 1 euro czy drożej [dla nas], już taniej wyjdzie
    benzyna, albo rower…

  41. ZTM straci przez to że ludzie przesiądą się do samochodów albo zaczną jeździć na gapę. Ja na wiosne planuje zakup skutera;) Tak żeby ZDM też mnie nie d….mał na parkometry. Uważam jednak że ludzie nie powinni rozpowszechniać ładowania kart bo mogą mieć przez to duże problemy. Za oszustwo tego typu grozi do 8 lat więzienia. A osoba która załadowała nielegalnie za gotówkę będzie miała gorzej ;) bo będzie musiała się wytłumaczyć dodatkowo za oszustwo podatkowe przed fiskusem:P
    Myślę że gra nie warta świeczki.

  42. tymczasem czarny rynek w warszawie rozwija się w najlepsze: http://hu.je/ZlodziejAndroid http://hu.je/ZlodziejMennica

  43. Niebawem się skończy biznesik i niektórzy będą w dupie. Zgodnie z informacja prasowa Od 1 kwietnia będzie podłączonych kilka autobusów do Internetu. A wiadomo na co to pozwoli no chyba ze ZTM będzie też miało to głęboko w D… Raczej wątpię bo warszawa nie pozwoli się okradac.

    • gdzie jest taka informacja, bo jakoś się doszukać nie mogę?

  44. MifareMad, co ma piernik do wiatraka, to że w busach bedzie hotspot to nie znaczy ze beda zmieniali caly system…

  45. coraz głośniej w tej sprawie chyba się robi, wystarczy
    wpisać na yt lub liveleak frazę ‘ztm dekoder’

  46. Pierwsze zarzuty za lewe Warszawskie Karty Miejskie. Trzy osoby usłyszały zarzuty, 900 będzie przesłuchanych w charakterze świadka. Okazuje się, że sprawdzaja i weryfikuja onlinowość dowałowania jedynie w siedzibie ZTM. Najwięcej osób sprawdzają w czasie reklamacji “niesłusznych” kar za brak poiadania biletu. Więc Wi-Fi w autobusach do tego nic nie ma. Najwyraźniej nadal nie ma modułów umożliwiających weryfikację online statusu z doładowanej karty. Szacowane straty przez oszczędności polaczkof : 500 000 PLN.

    link do źródła: http://www.youtube.com/watch?v=o9lAXDLfHLI

  47. […] Proceder fałszowania bezstykowych biletów jest powszechny także w innych miastach, ale np. Trójmiasto bagatelizuje problem. […]

  48. Tureckie monety – wrzutniki monet typu Cachflow i inne nowoczesne w ogóle nie oceniają wagi czy rozmiaru monety. Działają na zasadzie badania przenikalności magnetycznej stopu metalu. Tak więc wystarczy że ten jeden parametr się zgadza i wrzutnik przyjmie monetę bez problemu.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.