Hack x Crack - Comunidad de Seguridad informática

Hack x Crack => Off-Topic => Mensaje iniciado por: Bragi en Septiembre 08, 2014, 02:01:23 am

Título: Codigo QR en autobuses.(Reflexión)
Publicado por: Bragi en Septiembre 08, 2014, 02:01:23 am
Bueno pues el caso es que el otro día fui a probar mi nueva tarjeta de transporte, que ahora ya no es por identificador magnético si no por códigos QR, cuando el conductor me la echó para atrás y me dijo que me la habían cargado mal. Imaginaros para una mente curiosa lo que supuso el viaje en autobus jajajaja una espiral de infinitas cuestiones a cerca de lo que había pasado, el porqué había pasado y como fue posible... Pues lo que pretendo basicamente es que me digais si mis reflexiones van mal encaminadas, o por el contrario, puedo darme por satisfecho con la conclusión.
Mi primera pregunta fue... ¿Porque ha fallado la tarjeta?Como ya tenía alguna idea de como funcionan estos codigos pensé que a lo mejor se habia colocado mal la tarjeta pero la estructura del codigo(sus tres cuadros en los vertices del codigo) impiden que esto pase. También pense que la tarjeta no solo estaba formada por un codigo QR si no que tenía los famosos microchips que emiten frecuencias muy bajas que se verifican con el codigo QR como contraseña pero en ningun momento te advierten de que cuides tu tarjeta de tal manera para que no se estropee el microchip como hacian con los IDs magnetico que te advertian que no los acercaras a objetos imantados.
Ya cansado de darle vueltas, como si de una pelicula se tratara, me pongo a leer los papeles que te ponen en el primer asiento y me doy cuenta de que puedes RECARGAR tu tarjeta desde un punto de control especializado en ello, por mail o con tu telefono. Se me encendió la bombilla ya que esto confirmaba mi suposición sobre que estas tarjetas son unicamente eso, tarjetas con un codigo QR, sin microchips ni nada. ¿Porque?. Porque si no necesitas estar fisicamente para recargarla(recordemos que puedes hacerlo por mail o en tu telefono) significaría que la clave no esta en las tarjetas si no en los receptores, es decir, en la maquina que te da verde, y sigues con tu vida, o te da rojo, y te mueres de vergüenza jajajaja. Por consiguiente, deducí que debe de haber una base de datos(que bien suena eso jajaja) con sus numeros, sus IDs y demás cosas jugositas jajaja. El caso es, ¿como se consigue que estas maquinas esten actualizadas en tiempo real?. Otra condenada cuestión que me plantee y que aun no he conseguido resolver. Tengo varias hipotesis, ya me decís que os parecen. La primera es que al igual que han metido WIFI gratis en los autobuses(cuidado con esas redes) pueden tener los receptores conectados a la base de datos que le confirma si el usuario tiene carga o no en la tarjeta. La otra hipotesis que se me ocurrió fue que los receptores sean conectados a un servidor que los actualiza pero el problema que supondría esto es que con la nueva norma ya no te sirven durante un mes si no durante 30 dias naturales que comienzan a partir del primer dia de uso, se use o no diariamente la tarjeta, lo que refuerza la primera hipotesis. Además el mero hecho de que sean 30 dias naturales hacen que se puede comprar una tarjeta durante cualquier dia del mes por lo que habría que actualizar estos receptores diariamente... me parece poco viable... no sé. Me decanto más por la primera hipotesis, lo que no se es ¿si estoy acertado o "casi" acertado? ni ¿como se estaría haciendo la conexión a la base de datos? Intuyo que el sistema de los receptores estan programados en C/C++ como la mayoria de los sistemas embebidos. Otra duda que me surgió más adelante es... si se diera el caso de que estoy acertado en mi hipotesis y ese receptor se actualiza en tiempo real, por que se utilizan días naturales para la tarjeta cuando podrían ser 30 días usados. Obviamente la respuesta sería que a la industria no le interesa que el cliente pueda acumular los 30 dias hasta que le de la gana de gastarlos porque estaría perdiendo dinero...
La historia es, despues de saber, supuestamente, que este receptor se conecta a internet y no se conecta a un servidor que si este conectado a internet, como podriamos atacar esto(con fines educativos, para nada lucrativos). Se me ocurren varias cosas pero como soy nuevo probablemente este equivocado pero bueno para eso escribo esto, para que me echen una mano... se me ocurre hacer un sniffeo del trafico de red del autobus y hacer MITM para que el receptor reciba el codigo QR como bueno. A esto le encuentro el problema de que habría que hacer lo mismo en todos lo receptores posibles, poco viable, de manera que la tarjeta diera como buena siempre en ese receptor. La otra idea que se me ocurre sería un ataque a la base de datos recogida en el snifeo del trafico de la maquina receptora y modificar los valores en la base directamente. Aunque si hubiera un administrador bueno se daría cuenta y no serviría de nada reportar el error que ya saben por su empleado jajaja.
En fin, se me ha echo un poco largo y no he querido alargar más el post, que podría jajajajaja, porque si no veo que la mitad no lo leen entero y al final me quedo sin saber si estoy en lo cierto o me equivoco rotundamente. Cualquier sugerencia y gracias de antemano.
Título: Re:Codigo QR en autobuses.(Reflexión)
Publicado por: quuim en Septiembre 08, 2014, 10:34:01 am
Antes de continuar con tus hipotesis, puedes leer el code QR con tu telefono o como quieras y poner el resultado en texto plano aquí?
Título: Re:Codigo QR en autobuses.(Reflexión)
Publicado por: Krakakanok en Septiembre 08, 2014, 05:03:39 pm
Antes de continuar con tus hipotesis, puedes leer el code QR con tu telefono o como quieras y poner el resultado en texto plano aquí?

no la pongas si pone algo personal, pero por lo que parece no tendra nada, simplemente un code alfanumerico o algo asi.

Saludos.

PD: yo tengo ganas de ver lo que contiene mi tarjeta del bus que va por RFID, si puedo modificar los datos que contiene, aumentar el saldo, etc ...
Título: Re:Codigo QR en autobuses.(Reflexión)
Publicado por: Bragi en Septiembre 08, 2014, 06:04:28 pm
Antes de continuar con tus hipotesis, puedes leer el code QR con tu telefono o como quieras y poner el resultado en texto plano aquí?
jajajaja vale pero primero...
no la pongas si pone algo personal, pero por lo que parece no tendra nada, simplemente un code alfanumerico o algo asi.
como se si son datos relevantes... ¿se vera a simple vista?

Por otra parte, quuim, no sabía que se podían leer los QR codes y que te devolviera un texto, he estado buscando algo y parece ser que generan unas matrices. Mi duda es, ¿esto lo hago con cualquier lector de codigo QR? o ¿luego hay que pasarle otros programas?
Ha raiz de las matrices me he puesto a buscar como generar un codigo QR y me he encontrado con los codigos para direccionar a paginas web. Se me ha ocurrido que tal vez es posible que cada usuario este relacionado a un identificador y... aqui viene la gracia... cada usuario esta relacionado con un code QR por lo que si duplicas ese codigo(para esto necesitaria ayuda, porque no se como funciona la lectura), es decir, hacerle una foto e imprimirla o pasar la foto desde el movil directamente, no se, pero lo importante sería que el duplicado daría al receptor un codigo valido X veces y, como no es consumible, podrias pasar como valido el codigo correctamente en todas las ocasiones. De esta manera más de una persona usa el mismo codigo QR ¿no? jajajajaja...Ir diciendome jajaja que creo me estoy perdiendo :))
Título: Re:Codigo QR en autobuses.(Reflexión)
Publicado por: Chromeo en Octubre 15, 2014, 05:02:37 pm
Antes de continuar con tus hipotesis, puedes leer el code QR con tu telefono o como quieras y poner el resultado en texto plano aquí?

no la pongas si pone algo personal, pero por lo que parece no tendra nada, simplemente un code alfanumerico o algo asi.

Saludos.

PD: yo tengo ganas de ver lo que contiene mi tarjeta del bus que va por RFID, si puedo modificar los datos que contiene, aumentar el saldo, etc ...

Oye si lo consigues pásanos el truco ;)
Título: Re:Codigo QR en autobuses.(Reflexión)
Publicado por: Krakakanok en Octubre 28, 2014, 02:13:30 pm
Antes de continuar con tus hipotesis, puedes leer el code QR con tu telefono o como quieras y poner el resultado en texto plano aquí?

no la pongas si pone algo personal, pero por lo que parece no tendra nada, simplemente un code alfanumerico o algo asi.

Saludos.

PD: yo tengo ganas de ver lo que contiene mi tarjeta del bus que va por RFID, si puedo modificar los datos que contiene, aumentar el saldo, etc ...

Oye si lo consigues pásanos el truco ;)

Si consigo algo se lo notifico antes a los de las tarjetas, si no hacen caso ...

Saludos.

A ver si consigo un lector xD.
Título: Re:Codigo QR en autobuses.(Reflexión)
Publicado por: Chromeo en Octubre 29, 2014, 11:26:27 am
A saber, si les cuesta guita seguro que no hacen ni caso... entonces nos avisas XD
Título: Re:Codigo QR en autobuses.(Reflexión)
Publicado por: Krakakanok en Octubre 29, 2014, 10:31:08 pm
Si la cosa es encontrar una tienda fisica, ya que no quiero por inet, y en eso estoy xD buscando.

Saludos.