Εφιάλτης στην τροχιά με τα τρένα (ΗΣΑΠ, ΜΜΜ)

[MNP-10]

Τι κι αν ξέρουν που πας, πότε πας κι αν είσαι άνεργος; Τι αλλάζει αυτό για την καθημερινότητά σου;

Δε μπορω να εξηγησω αυτονοητα πραματα σε ατομα που αρνουνται να τα καταλαβουν.

- - - Updated - - -

Πώς φαίνεται ότι δεν έχεις ιδέα τι είναι το hashing δύο αριθμών..

Εξηγησε το αναλυτικα να μου δειξεις το λαθος μου... περιμενω...

[Saxtus]

Δε μπορω να εξηγησω αυτονοητα πραματα σε ατομα που αρνουνται να τα καταλαβουν.

Πήγαινε φόρεσε το tin foil hat σου τότε, πέταξε την κάρτα σου (και το κινητό σου προφανώς) και πάρε ταξί από εδώ και πέρα.

Εξηγησε το αναλυτικα να μου δειξεις το λαθος μου... περιμενω...

Το λάθος σου είναι ότι μπέρδεψες το encryption με το hashing. Αν θες να μάθεις τι είναι το καθ' ένα, μπορείς να διαβάσεις εδώ για να μην βγούμε off-topic.

[MNP-10]

Πήγαινε φόρεσε το tin foil hat σου τότε, πέταξε την κάρτα σου (και το κινητό σου προφανώς) και πάρε ταξί από εδώ και πέρα.

Δλδ θες να μου πεις οτι ολοι οι συνταγματικοι και απλοι νομοι ιδιωτικοτητας, οι αρχες προσωπικων δεδομενων και διασφαλισης απορρητου, οι νομοι της ΕΕ, οι πολιτικες απορρητου που επιβαλλονται, τα βαρυτατα προστιμα για παραβιασεις ιδιωτικοτητας κτλ κτλ αφορουν μονο καποιους ψεκασμενους και οτι ολα αυτα υπαρχουν χωρις κανενα στοχο γιατι "σιγα και τι εγινε αν μας παρακολουθουν"? Ελεος.

Το λάθος σου είναι ότι μπέρδεψες το encryption με το hashing. Αν θες να μάθεις τι είναι το καθ' ένα, μπορείς να διαβάσεις εδώ για να μην βγούμε off-topic.

Δεν εχω κανει καποιο λαθος. Hashαρεις το ενα input (ΑΜΚΑ) με το δευτερο input (0000 ως 9999) και βρισκεις το match. Μιλαμε για λιγοτερα απο 14 bit range παραλλαγων. Γελαει ο πλανητης.

Εδω δεν ειναι ΑΤΜ ή pin σε SIM που το πληκτρολογεις χειροκινητα και εχει three strikes and you are locked out (λογω ελλιπους ασφαλειας του περιορισμενου ευρους). Εδω με ενα script εχεις κανει το match σε κλασματα.

[Saxtus]

Δλδ θες να μου πεις οτι ολοι οι συνταγματικοι και απλοι νομοι ιδιωτικοτητας, οι αρχες προσωπικων δεδομενων και διασφαλισης απορρητου, οι νομοι της ΕΕ, οι πολιτικες απορρητου που επιβαλλονται, τα βαρυτατα προστιμα για παραβιασεις ιδιωτικοτητας κτλ κτλ αφορουν μονο καποιους ψεκασμενους και οτι ολα αυτα υπαρχουν χωρις κανενα στοχο γιατι "σιγα και τι εγινε αν μας παρακολουθουν"? Ελεος.

Εννοώ ότι αφού πιστεύεις ότι κάποιος θα βρει τι κάνεις και που πας από την κάρτα του ΟΑΣΑ και δεν πιστεύεις ότι αυτό μπορεί να γίνει ήδη με άλλους τρόπους (π.χ. από το κινητό σου), απλά γράφεις για να γράφεις.

Δεν εχω κανει καποιο λαθος. Hashαρεις το ενα input (ΑΜΚΑ) με το δευτερο input (0000 ως 9999) και βρισκεις το match. Μιλαμε για λιγοτερα απο 14 bit range παραλλαγων. Γελαει ο πλανητης.

Όντως γελάει. Μαζί σου. Πες μου την αλήθεια, δεν περίμενες να απαντήσω και φυσικά δεν έκατσες να διαβάσεις το άρθρο που σου έκανα link, έτσι;

[MNP-10]

Εννοώ ότι αφού πιστεύεις ότι κάποιος θα βρει τι κάνεις και που πας από την κάρτα του ΟΑΣΑ και δεν πιστεύεις ότι αυτό μπορεί να γίνει ήδη με άλλους τρόπους (π.χ. από το κινητό σου), απλά γράφεις για να γράφεις.

Για αυτους ειναι υπευθυνη αλλη υπηρεσια. Εδω μιλαμε για το φιασκο απδπχ - οασα.

Όντως γελάει. Μαζί σου. Πες μου την αλήθεια, δεν περίμενες να απαντήσω και φυσικά δεν έκατσες να διαβάσεις το άρθρο που σου έκανα link, έτσι;

Περιμενα να απαντησεις με κατι ασχετο, οπως και εκανες. Επι της διαδικασιας ουδεν ειχες να πεις.

Hash 1 (ΑΜΚΑ) x rehashing 10k (0000-9999) = all results = 1 match = game over.

[Sovjohn]

Για αυτους ειναι υπευθυνη αλλη υπηρεσια. Εδω μιλαμε για το φιασκο απδπχ - οασα.



Περιμενα να απαντησεις με κατι ασχετο, οπως και εκανες. Επι της διαδικασιας ουδεν ειχες να πεις.

Hash 1 (ΑΜΚΑ) x rehashing 10k (0000-9999) = all results = 1 match = game over.

Πάτησες σε μια γενικότητα που αναφέρει ένα άρθρο και όχι σε κάποιο έγγραφο με τεχνικές προδιαγραφές. Προφανώς υπάρχει και salt στο hash. Ας μην παίζουμε την κολοκυθιά με πράγματα που δεν έχουν νόημα...

[MNP-10]

Πάτησες σε μια γενικότητα που αναφέρει ένα άρθρο και όχι σε κάποιο έγγραφο με τεχνικές προδιαγραφές. Προφανώς υπάρχει και salt στο hash. Ας μην παίζουμε την κολοκυθιά με πράγματα που δεν έχουν νόημα...

Δεν υπαρχει καμμια γενικοτητα, ειναι ξεκαθαρο τι κανουν:

Κάθε καταγραφή δεδοµένων κίνησης των
προσωποποιηµένων καρτών δεν θα παραπέµπει σε συγκεκριµένο πρόσωπο αλλά σε
ένα «ψηφιακό αποτύπωµα» (hash value) όπως αυτό υπολογίζεται από τη συνάρτηση
κατακερµατισµού. To ψηφιακό αποτύπωµα θα προκύπτει από το συνδυασµό του
ΑΜΚΑ και ενός 4-ψήφιου κωδικού ασφαλείας (για Έλληνες πολίτες) ή του αριθµού
διαβατηρίου και ενός 4-ψήφιου κωδικού ασφαλείας (για αλλοδαπούς). Ο 4-ψήφιος
κωδικός ασφαλείας θα καταχωρίζεται (πληκτρολογείται) από τον επιβάτη κατά τη
διαδικασία προσωποποίησης και θα απαιτείται προκειµένου να ανακτηθούν τα
στοιχεία της κάρτας (σε περίπτωση απώλειας). Ο κωδικός αυτός θα είναι γνωστός
µόνο στον επιβάτη και ο συνδυασµός του µε τον ΑΜΚΑ για την παραγωγή του µη
αναστρέψιµου ψηφιακού αποτυπώµατος εξασφαλίζει ότι ούτε χρήστες µε γνώση της
δοµής του συστήµατος και διαβαθµισµένη πρόσβαση στα δεδοµένα αυτού θα είναι σε
θέση να προσδιορίσουν την αντιστοιχία αριθµού κάρτας µε τον ΑΜΚΑ (και κατά
συνέπεια την ταυτότητα) του επιβάτη.
....
Το αρχείο κίνησης/συναλλαγής των καρτών και των ανωνύµων
κοµίστρων είναι ως εκ τούτου –κατά τον ΟΑΣΑ– ανωνυµοποιηµένο και δεν
υφίσταται οποιαδήποτε δυνατότητα προσωποποίησης της διαδροµής χωρίς τη
συµβολή του χρήστη της κάρτας.

Ειτε κανει hash το ΑΜΚΑ και rehash με 0000 - 9999, ειτε AMKA(+0000-999) στο τελος του ιδιου string, μιλαμε για 10.000 combos.

Αν ο χρηστης μπορει με το pin να κανει τη δουλεια του, τοτε μπορει και καποιος που το "μαντεψε" με exhaustive iterations σε ...ουτε 14bit space συνδυασμους και να κανει crack το δηθεν απορθητο database με brute-force queries τα 10.000 combos που εκανε generate με ενα σκριπτακι.

ΓΕΛΑΕΙ Ο ΚΟΣΜΟΣ.

Οι τραπεζες και οι εταιριες κινητης μαλλον ειναι ηλιθιοι που σε 4pin digits εχουν three strikes and you're out. Ο ΟΑΣΑ ειναι ο εξυπνος

[Andreaslar]

Off Topic

το pin δεν ειναι 8ψήφιο?

[MNP-10]

4ψηφιο λεει.

[sdikr]

Οι τραπεζες και οι εταιριες κινητης μαλλον ειναι ηλιθιοι που σε 4pin digits εχουν three strikes and you're out. Ο ΟΑΣΑ ειναι ο εξυπνος

Για πες μου λίγο που είδες εσύ πρόσβαση δημόσια σε αυτή την βάση δεδομένων;

[Andreaslar]

4ψηφιο λεει.

Off Topic

Εμένα πάντως 8 ψήφιο PIN μου έδωσαν, ημερομήνια γέννησης τύπου ddmmyyyy

[MNP-10]

Για πες μου λίγο που είδες εσύ πρόσβαση δημόσια σε αυτή την βάση δεδομένων;

Το θεμα δεν ειναι αν ειναι δημοσια, το θεμα ειναι να μη μπορει το προσωπικο του ΟΑΣΑ να συνδυασει δεδομενα και να βρει τι εκανε ο χρηστης της καρτας, εξ'ου και το συστημα που κανει hashing με καποιες πληροφοριες που γνωριζει ο χρηστης και καποιες που γνωριζει και ο ΟΑΣΑ.

- - - Updated - - -

Off Topic

Εμένα πάντως 8 ψήφιο PIN μου έδωσαν, ημερομήνια γέννησης τύπου ddmmyyyy

Παιζει να τους εκοψε και να το καναν 8ψηφιο, γιατι 4ψηφιο ειναι της πλακας. Οχι οτι το 8ψηφιο δεν ειναι, αλλα λεμε.

[psolord]

Οκτώ ψηφία έβαλα pin στην online παραγγελία της κάρτας που έκανα.

[MNP-10]

Οκτώ ψηφία έβαλα pin στην online παραγγελία της κάρτας που έκανα.

Ε καταλαβαν τη γκασμοσυνη τους και προσπαθησαν να το ρεφαρουν λιγο... δε ρεφαρεται βεβαια, απλα αυξανει τις αναγκες hashing σε 1εκατομμυριο. Δεν ειναι πολλα για cpu/gpu, ειδικα για μετριας και υψηλης ταχυητας hashes (μερικα δευτερολεπτα). Ουσιαστικα το bottleneck θα ειναι τα queries στη database.

[sdikr]

Το θεμα δεν ειναι αν ειναι δημοσια, το θεμα ειναι να μη μπορει το προσωπικο του ΟΑΣΑ να συνδυασει δεδομενα και να βρει τι εκανε ο χρηστης της καρτας, εξ'ου και το συστημα που κανει hashing με καποιες πληροφοριες που γνωριζει ο χρηστης και καποιες που γνωριζει και ο ΟΑΣΑ.

- - - Updated - - -



Παιζει να τους εκοψε και να το καναν 8ψηφιο, γιατι 4ψηφιο ειναι της πλακας. Οχι οτι το 8ψηφιο δεν ειναι, αλλα λεμε.

Ούτε το όλο προσωπικό έχει τέτοια πρόσβαση. όπως δεν έχει πρόσβαση το προσωπικό στο τι κάνει ο χρήστης Online ενώ καταγράφονται όλα, ή στις κλήσεις σε κάποιον πάροχο τηλεφωνίας.