Domanda Bigliettazione elettronica NFC trasporti pubblici

[zani0f]

Ciao a tutti, ultimamente mi sto interessando all'analisi delle tessere elettroniche per il TPL basate su sistemi NFC/RFID.

L'azienda locale che sto considerando (non so se sia consentito nominarla direttamente) fornisce 2 tipi di tessere: una ricaricami su cui è possibile caricare vari tipi di biglietti, fra cui singole corse o carnet da 10 viaggi, che è completamente anonima, e una nominativa per abbonamenti mensili o annuali.

Per diversi anni le tessere ricaricabili sono rimaste basate su carte Mifare Classic 1k (le cui vulnerabilità sono ben note), mentre quelle abbonamento su carte Calypso (ben più sicure, per quel che ne so).
Da qualche mese a questa parte però, le nuove ricaricabili acquistate non vengono più riconosciute dal lettore NFC: ho provato sia con un lettore esterno ACR122U (che aveva sempre funzionato benissimo con le Mifare) che con un paio di smartphone che supportano NFC, e la tessera non viene proprio neanche rilevata. Il dubbio è che abbiano unificato i sistemi, utilizzando le Calypso per entrambi i tipi di tessera, ma so che esistono anche altre carte sempre Mifare ma con meccanismi di sicurezza più evoluti, per esempio le Ultra Light.

Quindi la prima cosa che vorrei chiedere è se qualcun altro si è mai interessato alla stessa tematica (o magari conosce qualcuno che si occupa di bigliettazione elettronica nei trasporti pubblici ) e ha un'idea di che tipo di carta abbia sostituito la vecchia Mifare Classic.
Più in generale, sapete se c'è un modo per verificare che carta potrebbe essere, non essendo riconosciuta da un comune lettore NFC? Nel caso in cui fosse effettivamente una Calypso, c'è un modo per leggere e fare un dump della carta?

Grazie a chiunque abbia info e consigli pratici da condividere!

 

[zani0f]

azz... nessuno che si intenda di Rfid/NFC? Forse ho postato nella sezione sbagliata?

 

[Elchavo96]

Ci siamo interessati ai mifare Classic 1k ma applicati in altri ambiti quali distributori automatici

 

[CokePhi]

non conosco il sistema Calypso pero' almeno dovresi leggere qualcosa (dati cripati o altro) se non leggi proprio nulla hai un problema di frequenza

 

[zani0f]

Ho fatto qualche altra prova, con nfc-list viene riconosciuta come "ISO14443B' passive target", ma la lettura/scrittura sembra richiedere una chiave di cifratura, che ovviamente non ho.

 

[tristanik]

Dalle mie parti usano ultralight ev1 per i biglietti da 10 o 20 corse e una tessera ISO14443B per gli abbonamenti

 

[th3bl4ckd0g]

Ciao zani0f.
Se si tratta di un ISO 14443 B puoi leggerla con l'ACR122U, anche se questa non ti sembra rilevata.
Questo perché le ISO 14443 B passive sono tag che non forniscono nulla se non viene richiesto esplicitamente (un esempio palesissimo è la famosa MyK*y della Co*es, che monta un tag SRIX4K), e quindi non viene rilevata da ACR122U (siamo più precisi: l'ACR122U non fa "bip", ma il PN532 al suo interno la legge benissimo, se deve).

Chiarito questo, non saprei aiutarti su come capire quale tipo di carta è, tuttavia puoi provare con i più famosi ISO 14443 Type B passivi, come SRIX4K, le varie implementazioni di Calypso eccetera.

Una dritta che ti posso dare è questa: se invii al PN532 dentro l'ACR122U il comando InListPassiveTarget, e te la trova (ti tocca leggerti almeno quella parte dello User Manual del PN532 (https://www.nxp.com/docs/en/user-guide/141520.pdf) per capire se te la trova o meno) sei a cavallo, puoi cominciare a comunicare, anche solo per leggere il contenuto.
Se non te la trovasse, cerca di inviare dei comandi "raw" espressi per un tag che ipotizzi potrebbe essere (anche lì dovrai vedere il datasheet) tramite il comando InCommunicateThru (qua si va sul complicato, vedi tu quanto tempo vuoi perderci).

Spero di essere stato chiaro.
Buona serata!

 

[cyla00]

Ciao a tutti, ultimamente mi sto interessando all'analisi delle tessere elettroniche per il TPL basate su sistemi NFC/RFID.

L'azienda locale che sto considerando (non so se sia consentito nominarla direttamente) fornisce 2 tipi di tessere: una ricaricami su cui è possibile caricare vari tipi di biglietti, fra cui singole corse o carnet da 10 viaggi, che è completamente anonima, e una nominativa per abbonamenti mensili o annuali.

Per diversi anni le tessere ricaricabili sono rimaste basate su carte Mifare Classic 1k (le cui vulnerabilità sono ben note), mentre quelle abbonamento su carte Calypso (ben più sicure, per quel che ne so).
Da qualche mese a questa parte però, le nuove ricaricabili acquistate non vengono più riconosciute dal lettore NFC: ho provato sia con un lettore esterno ACR122U (che aveva sempre funzionato benissimo con le Mifare) che con un paio di smartphone che supportano NFC, e la tessera non viene proprio neanche rilevata. Il dubbio è che abbiano unificato i sistemi, utilizzando le Calypso per entrambi i tipi di tessera, ma so che esistono anche altre carte sempre Mifare ma con meccanismi di sicurezza più evoluti, per esempio le Ultra Light.

Quindi la prima cosa che vorrei chiedere è se qualcun altro si è mai interessato alla stessa tematica (o magari conosce qualcuno che si occupa di bigliettazione elettronica nei trasporti pubblici ) e ha un'idea di che tipo di carta abbia sostituito la vecchia Mifare Classic.
Più in generale, sapete se c'è un modo per verificare che carta potrebbe essere, non essendo riconosciuta da un comune lettore NFC? Nel caso in cui fosse effettivamente una Calypso, c'è un modo per leggere e fare un dump della carta?

Grazie a chiunque abbia info e consigli pratici da condividere!

non me ne intendo molto MA nel caso delle carte di debito o credito che hanno il chip per l nfc o rfid (qanto ho capito l nfc per essere riconosciuto deve essere molto piu vicino e l rfid puo catturare informazioni da una distanza maggiore, ho letto qualcosa sulle frequenze che vengono riconosciute che in europa é intorno agli 865-868 MHz, clonarle dovrebbe essere "facile" con un lettore, le carte di credito hanno secondi step di sicurezza, un abbonamento per i trasporti credo sia molto piu basico e banale come "sicurezza" in tale situazione puoi catturare informazioni da altri abbonamenti e clonarli in una tua carta o dispositivo che poi ti permette di convalidare, passami qualche info in piu su jabber se cel hai: [email protected] oppure inviami un mess sul forum

 

[Elchavo96]

non me ne intendo molto MA nel caso delle carte di debito o credito che hanno il chip per l nfc o rfid (qanto ho capito l nfc per essere riconosciuto deve essere molto piu vicino e l rfid puo catturare informazioni da una distanza maggiore, ho letto qualcosa sulle frequenze che vengono riconosciute che in europa é intorno agli 865-868 MHz, clonarle dovrebbe essere "facile" con un lettore, le carte di credito hanno secondi step di sicurezza, un abbonamento per i trasporti credo sia molto piu basico e banale come "sicurezza" in tale situazione puoi catturare informazioni da altri abbonamenti e clonarli in una tua carta o dispositivo che poi ti permette di convalidare, passami qualche info in piu su jabber se cel hai: [email protected] oppure inviami un mess sul forum

Ecco come si fa, non è molto difficile alla fin fine con la giusta attrezzatura
È possibile anche emulare una carta di credito sul telefono android nfc

 

[cyla00]

Ecco come si fa, non è molto difficile alla fin fine con la giusta attrezzatura
È possibile anche emulare una carta di credito sul telefono android nfc

la carte di credito hanno sisteòi di sicurezza come codici dinamici che cambiano ogni volta che fai una transazione, almeno il chip e probabilmente anche l nfc, l unica cosa che è molto facile da clonare è la striscia magnetica ma in europa non si usa quindi non serve a molto qui

 

[zani0f]

Ciao, grazie a tutti per le risposte. Da altre ricerche che ho continuato a fare nel frattempo, al 99% la carta dovrebbe essere questa: CD21 Rev3
È protetta da cifratura DES e richiede una chiave contenuta in un modulo SAM. Senza quel modulo, non ho idea di come si possa leggere/scrivere