MK pisze:

>> Po pierwsze autoryzacja i tak na ogół jest, a do drugie przecież limit
>> może siedzieć w chipie na karcie i żeby go odczytać nie trzeba autoryzacji.
>
> Po pierwsze przymojej karcie w 95% nie ma autoryzacji.
> Po drugie skad chip ma wiedziec czy limit nie zostal zmieniony?

A skąd teraz to wie? Przecież przy każdej operacji stykowej online
konfiguracja chipa może być uaktualniona. Transakcje stykowe też często
przechodzą mi offline i jakoś chip się w tym nie gubi.

Ba, powiem więcej - na debetówce Citi z PP mam ustawiony limit
transakcji bezgotówkowych na 0 i chip doskonale o tym wie. Od razu
odrzuca mi operacje bezstykowe, nawet nie próbując dokonać autoryzacji.
Sedno jedynie w tym, że Citi nie odróżnia operacji stykowych od
bezstykowych, więc aby zablokować PP muszę zablokować wszystkie operacje
bezgotówkowe.

--
MiCHA

do góry

> No ale jak ci bank daje wybór: karta z P* albo nic?

Pozostaje mechaniczne uszkodzenie anteny, tylko jak to zrobić nie ubijając
chipa? ;-)
Mam nadzieję, że ktoś coś wymyśli, bo posiadanie w portfelu >1 karty z
płatnościami zbliżeniowymi traci sens.

do góry

On 9 Maj, 13:12, Przemyslaw Kwiatkowski <m...@m...waw.pl> wrote:
>
> A skąd teraz to wie? Przecież przy każdej operacji stykowej online
> konfiguracja chipa może być uaktualniona. Transakcje stykowe też często
> przechodzą mi offline i jakoś chip się w tym nie gubi.
>

Skrypty sa ladowane podczas transakcji EMV, nie ma mozliwosci
zaladowania sktyptu podczas transakcji zblizeniowej.

> Ba, powiem więcej - na debetówce Citi z PP mam ustawiony limit
> transakcji bezgotówkowych na 0 i chip doskonale o tym wie. Od razu
> odrzuca mi operacje bezstykowe, nawet nie próbując dokonać autoryzacji.
> Sedno jedynie w tym, że Citi nie odróżnia operacji stykowych od
> bezstykowych, więc aby zablokować PP muszę zablokować wszystkie operacje
> bezgotówkowe.
>

Mowia, ze na KK Citi bedziesz mial mozliwosc wylaczenia transakcji
zblizeniowych :).

MK

do góry

MK pisze:

>> A skąd teraz to wie? Przecież przy każdej operacji stykowej online
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
>> konfiguracja chipa może być uaktualniona. Transakcje stykowe też często
>> przechodzą mi offline i jakoś chip się w tym nie gubi.
>
> Skrypty sa ladowane podczas transakcji EMV, nie ma mozliwosci
> zaladowania sktyptu podczas transakcji zblizeniowej.

A co ja napisałem? :-)

--
MiCHA

do góry

MD pisze:

>> Pokaż przypadek działającego rozwiązania tego typuy, bo IMHO to co
>> opisujesz to jest póki co mit.
>>
> A nawet jeśli jest, to o wiele łatwiej wyciągnąć kilka portfeli od osób w
> autobusie i mamy najpewniej więcej niż 50zł. Do tego mamy to w gotówce,
> którą możemy wydać na cokolwiek nie narażając się na wyśledzenie, a tu mamy
> kasę na koncie jakiejś firmy, do której b. łatwo dojść (ktoś musi mieć
> zarejestrowany ten terminal, nawet jeśli nie znajduje się on w autobusie,
> tylko kilka tyś km dalej). Wiele zachodu i nawet jeśli to jest możliwe, to
> nic albo niewiele daje.

Zawsze pozostaje możliwość, by nie mieć własnego terminala i korzystać z
cudzych - np. kupować coś w automatach. Trzeba tylko znaleźć coś łatwo
zbywalnego. :-)

--
MiCHA

do góry

(08.05.2011 14:18), BartekK wrote:
> W dniu 2011-05-07 16:41, MD pisze:
>>>> Natomiast do tej pory nie ma możliwości zamówienia karty z płatnościami
>>>> zbliżeniowymi
>>>
>>> ...a to akurat chyba dobrze? Jak zamówisz teraz, to jeszcze do maja 2014
>>> będziesz mieć kartę bez PayPassa. 3 lata spokoju. :-)
>>>
>> Dlaczego wszyscy tak nie lubią PayPass itp.? Jak ktoś pozna mój PIN (a
>> jak
>> się postara, to nawet sam mu go podam, bo życie mi miłe ;-) to może sobie
>> kupić coś więcej niż te 5x50zł.
> Niestety nie jest tak różowo, okazuje się że zbliżeniowość jest dość
> łatwo złamać - jedziesz sobie w autobusie/pociągu/stoisz na ulicy, w
> portfelu karta i myślisz że jesteś bezpieczny... a obok ciebie gość ma
> interfejs radiowy do zbliżeniówki, który jest przedłużony przez gsm-3g i
> internet do drugiego takiego interfejsu który jest koło czytnika. Wcale
> nie trzeba przełamywać szyfrowania karty ani nic - wystarczy
> "przedłużyć" jej zasięg przez inne medium niż eter. Technologia podobna
> do "sharingu przez internet" kart autoryzujących do tv DVB, tyle że nie
> swoich...

Kilka(naście) tygodni temu miałem podobne wątpliwości - ktoś mi
wytłumaczył że to niemożliwe, bo musi być obwód rezonansowy (jeżeli
czegoś nie pokręciłem) który jest niemożliwy "przez eter".

p. m.

do góry

W dniu 2011-05-09 21:37, mvoicem pisze:

> Kilka(naście) tygodni temu miałem podobne wątpliwości - ktoś mi
> wytłumaczył że to niemożliwe, bo musi być obwód rezonansowy (jeżeli
> czegoś nie pokręciłem) który jest niemożliwy "przez eter".

Proponuję zapytać tego kogoś jeszcze raz co miał na myśli,
bo wzbudzenie obwodu rezonansowego "przez eter" jest możliwe
co najmniej od czasu Marconiego - to się nazywa radio.

do góry

(09.05.2011 22:27), Bogdan B. wrote:
> W dniu 2011-05-09 21:37, mvoicem pisze:
>
>> Kilka(naście) tygodni temu miałem podobne wątpliwości - ktoś mi
>> wytłumaczył że to niemożliwe, bo musi być obwód rezonansowy (jeżeli
>> czegoś nie pokręciłem) który jest niemożliwy "przez eter".
>
> Proponuję zapytać tego kogoś jeszcze raz co miał na myśli,
> bo wzbudzenie obwodu rezonansowego "przez eter" jest możliwe
> co najmniej od czasu Marconiego - to się nazywa radio.

Wzbudź mi obwód rezonansowy przez internet 3g, o którym mówił Bartek.

p. m.

do góry

W dniu 2011-05-09 23:16, mvoicem pisze:
> (09.05.2011 22:27), Bogdan B. wrote:
>> W dniu 2011-05-09 21:37, mvoicem pisze:
>>
>>> Kilka(naście) tygodni temu miałem podobne wątpliwości - ktoś mi
>>> wytłumaczył że to niemożliwe, bo musi być obwód rezonansowy (jeżeli
>>> czegoś nie pokręciłem) który jest niemożliwy "przez eter".
>>
>> Proponuję zapytać tego kogoś jeszcze raz co miał na myśli,
>> bo wzbudzenie obwodu rezonansowego "przez eter" jest możliwe
>> co najmniej od czasu Marconiego - to się nazywa radio.
>
> Wzbudź mi obwód rezonansowy przez internet 3g, o którym mówił Bartek.

Jak internet zwykły działa ze słabą prędkością, to normalny terminal nie
pozwoli na to?
Ja bym chętnie przeczytał o tym obwodzie rezonansowym - co tam z czym
rezonansuje.

do góry

W dniu 2011-05-09 23:16, mvoicem pisze:
>>> Kilka(naście) tygodni temu miałem podobne wątpliwości - ktoś mi
>>> wytłumaczył że to niemożliwe, bo musi być obwód rezonansowy (jeżeli
>>> czegoś nie pokręciłem) który jest niemożliwy "przez eter".
Niestety, ale ten ktoś tłumaczący - albo nie miał pojęcia o co w tym
chodzi, albo był bardzo optymistycznym uspokajaczem.
Od strony technicznej przy kartach płatniczych zbliżeniowych mamy prawie
to samo co przy kartach rfid. A atak "przedłużamy sygnał przez inne
medium, np internet" na rfid (jak i na inne karty czipowe) jak
najbardziej został już zaprezentowany/sprawdzony/używany w praktyce.

Wcale mnie to nie pociesza że "to się nie będzie opłacać zrobić" - skoro
będzie się dało, to prędzej czy później ktoś to zrobi, choćby dla hecy.
Podobnie jak swego czasu pewien nieletni chłopaczek wykolejał tramwaje
(w Poznaniu?) bo okazało się że złamać system zdalnego sterowania
zwrotnicami jest dość prosto. Co z tego że się to nie opłaca albo nie ma
zysku, komuś jest wesoło a ktoś inny traci.

>> Proponuję zapytać tego kogoś jeszcze raz co miał na myśli,
>> bo wzbudzenie obwodu rezonansowego "przez eter" jest możliwe
>> co najmniej od czasu Marconiego - to się nazywa radio.
>
> Wzbudź mi obwód rezonansowy przez internet 3g, o którym mówił Bartek.
Nie mogę (z powodów zawodowych itd) podawać szczegółów konkretnych, ale
karta zbliżeniowa działa niejako na 2 poziomach:
- fala radiowa z terminala niesie szyfrowaną transmisję do czipu karty
ale też:
- fala radiowa z terminala niesie energię zasilającą kartę
i karta odpowiada swoim małym nadajniczkiem swoją transmisją
zaszyfrowaną. Przy ataku "przedłużaczowym" po prostu wstawiamy odbiornik
przy terminalu, który działa jak karta - ale nie deszyfruje nic, tylko
wyławia samą transmisję, energii fali nie używając, transmisja
oddzielona (ale nadal zaszyfrowana) leci np przez 3G do drugiego
nadajnika, gdzie jest zamieniana znów na falę radiową, która już zasila
prawdziwą kartę i dostarcza do niej transmisję, karta więc odpowiada (bo
została zasilona energią, i zrozumiała że to czytnik do niej gada), a to
co "drugi nadajnik" odbierze - przesyła spowrotem do pierwszego, tego
przy terminalu... Problemem są tylko opóźnienia w transmisji przez sieć
i szybkość przełączania z nadawania na odbiór, ale to sprawy techniczne.

--
| Bartłomiej Kuźniewski
| s...@d...org GG:23319 tel +48 696455098 http://drut.org/
| http://www.allegro.pl/show_user_auctions.php?uid=338
173

do góry