Бесплатные поездки на маршрутках. Сложно ли?⁠⁠

Наткнулся на такой заголовок четырехлетней давности и решил запилить пост.

Замазал название городов и систем, так как пост чисто теоретический. Так сказать, мои фантазии. Что то мне приснилось, что то я придумал на ходу. Не стоит воспринимать серьезно или думать, что это какая то инструкция. Если бы это было на самом деле, то следовать советам из поста - нарушить 327 УК РФ. А нам этого не надо. Не надо ведь?
Постараюсь как можно проще. Допустим есть два больших города. Один из них Неризиновск. Другой Северный Резиновск. В первом есть проездная карта, допустим Удовлетворительная. Во втором Топтун. Речь пойдет о последней.
Так вот, карта Топтун позволяет нам использовать метро и наземный транспорт. Формат MIFARE Plus 4K, работает в режиме совместимости MIFARE Classic. Последний имеет известные уязвимости и используется в большинстве современных домофонов, например Метаком. Частота 13.56 МГц. Для авторизации и возможности чтения/записи карты считыватель использует ключи от секторов. Возможно когда то более подробно опишу структуру памяти MIFARE 1k, но сейчас пост не об этом.
Нам интересно, возможно ли сделать что нибудь с картой Топтун. Для тестирования нам понадобится Proxmark3. Советую использовать графический интерфейс для windows. Это не отменяет необходимости знания команд и умения их вводить вручную. Но там все видно наглядно. Так как карта Топтун исключительно плод моего воображения, фото наглядной демонстрации у меня не будет.
Итак. У нас есть карта, proxmark3 и доступные атаки nested, hadrnested, darkside. Не уверен, что она подвержена им всем. Но нас интересует, есть ли на ней сектора с стандартными ключами FFFFFFFFFFFF. Читаем карту и о чудо, предположим что есть. Значит часть секторов мы можем прочитать и даже перезаписать. Если мы знаем ключ от одного сектора, можем попробовать атаку nested. И через полторы минуты, у нас полностью открытая карта.
По факту, предыдущий пункт с умными названиями атак можно пропустить. Ведь в приложении MCT в списке расширенных ключей, они возможно уже все есть Копируем ключ от домофона MIIFARE телефоном MCT
Мы можем сделать дамп памяти и записать его обратно. Этого достаточно. При желании, можно самому изменить баланс, но там все несколько сложнее. Помните it гения? Так вот, он провел эксперименты (не спрашивайте как, ведь пост фантазия автора). Результаты экспериментов можно увидеть на скрине:

Возможно, если восстановить дамп карты с балансом и поехать на метро, то получим мгновенную блокировку. Если в автобусе, то карта протянет может неделю. А вот в маршрутках, говорят до полу года. Объяснить это можно  тем, что турникеты метро находятся в онлайне и сверяют информацию на карте с базой очень быстро. Остальные же считыватели это делают периодически и только находясь в парке.
А вот полезная информация об участке памяти, где деньги лежат.

Но пусть вас не пугает обилие непонятных слов в посте, все очень просто. Любой считыватель поддерживающий mifare 4k (возможно даже телефона достаточно), карта Топтун, открытые ключи из MCT, чтение и запись. Надеюсь в жизни никто не использует MIFARE 4k в режиме совместимости с classic со всеми ее уязвимостями, о которых все знают годами. Иначе халявить было бы так просто, если не страшиться уголовной ответственности.
Огромное спасибо it гению. На написание поста натолкнула его статья и идиоты журналисты. Гениальности никакой. Парень воспользовался известными дырами, меня больше радует, что не поленился, проверил разные варианты использования и написал приложение для более удобного процесса. Спасибо за внимание и бессоннице с подъемом в 4 утра. Другие посты про RFID по тегу или в профиле. Хотел сделать каминг-аут, я плюсодрочер и не стесняюсь этого.