-
21. Data: 2016-11-18 14:04:14
Temat: Re: Ile transakcji bez PINu
Od: Dawid Rutkowski <d...@w...pl>
W sierpniu dostanę wznowioną KK z db, to sprawdzę ;>
Jeszcze mógłbym zastrzec którąś z debetówek w mBąku i zamówić nową (przy okazji
mógłbym się dowiedzieć, czy visy też już na 5 lat wydają).
W VW i inteligo są debetówki płaskie.
Ew. można przetestować z Kartą Kibica (z aliora) - ale nie wiem, czy jest wypukła,
choć podejrzewam, że tak - albo zamówić kartę do rachunku USD w IKA - i iść nią
zapłacić np. 2 grosze w leroy-merlin (żona kiedyś zapłaciła tam 2gr, kupiła kilka
gwoździków czy śrubek - ale zapłaciła gotówką ;), od tej sumy nawet 15%, które
chciałby zerżnąć alior, zaokrągli się do 0gr prowizji ;>
-
22. Data: 2016-11-18 14:07:16
Temat: Re: Ile transakcji bez PINu
Od: Dawid Rutkowski <d...@w...pl>
Aha, większość kart w PL to jednak karty płaskie - i tutaj wysyłanie z włączonym NFC
jest bezapelacyjnie pogorszeniem bezpieczeństwa.
Chyba że płaską też odrysujesz, bo ma jednak takie mikre złobienia ?
No to jeszcze obejrzyj debetówkę z inteligo - nie ma żadnych żłobień, numer, data,
nazwisko wydrukowane są na karcie tą samą technologią co obrazek.
Ale przyznam, że nie sprawdzałem, jaki ma stan NFC - bo tylko ją w ST aktywowałem i
zaraz zastrzegłem (mimo próśb nie dało się tak zrobić, żeby zawrzeć umowę rachunku
bez zamawiania karty) - także ani terminala ani bankomata - ani androida z NFC -
jeszcze nie widziała.
-
23. Data: 2016-11-18 16:32:53
Temat: Re: Ile transakcji bez PINu
Od: Wojciech Bancer <w...@g...com>
On 2016-11-18, Dawid Rutkowski <d...@w...pl> wrote:
> Aha, większość kart w PL to jednak karty płaskie - i tutaj wysyłanie z włączonym
NFC jest bezapelacyjnie pogorszeniem bezpieczeństwa.
> Chyba że płaską też odrysujesz, bo ma jednak takie mikre złobienia ?
> No to jeszcze obejrzyj debetówkę z inteligo - nie ma żadnych żłobień, numer, data,
nazwisko wydrukowane są na karcie tą samą technologią co obrazek.
> Ale przyznam, że nie sprawdzałem, jaki ma stan NFC - bo tylko ją w ST aktywowałem i
zaraz zastrzegłem (mimo próśb nie dało się tak zrobić, żeby zawrzeć umowę rachunku
bez zamawiania karty) - także ani terminala ani bankomata - ani androida z NFC -
jeszcze nie widziała.
No moje doświadczenie (mBank, BZWBK, Raiffeisen), to
w ostatnich latach dostawałem wyłącznie karty wypukłe. :)
Ale myślę, że sytuacja z nieuczciwym listonoszem byłaby
podobna do sytuacji z nieuczciwym kasjerem - szybka do
wyłapania.
--
Wojciech Bańcer
w...@g...com
-
24. Data: 2016-11-18 18:00:25
Temat: Re: Ile transakcji bez PINu
Od: "J.F." <j...@p...onet.pl>
Użytkownik "Dawid Rutkowski" napisał w wiadomości grup
dyskusyjnych:622ffbc9-c4d7-4785-a771-eeb93890a37c@go
oglegroups.com...
>Aha, większość kart w PL to jednak karty płaskie - i tutaj wysyłanie
>z włączonym NFC jest bezapelacyjnie pogorszeniem bezpieczeństwa.
>Chyba że płaską też odrysujesz, bo ma jednak takie mikre złobienia ?
Nie wykluczalbym. Choc przez 3 warstwy papieru moze byc trudniej.
J.
-
25. Data: 2016-11-18 20:24:24
Temat: Re: Ile transakcji bez PINu
Od: Krzysztof Halasa <k...@p...waw.pl>
Piotr Gałka <p...@c...pl> writes:
>> Dowolny projekt zrobiony "na piechotę" byłby znacznie lepszy.
>
> Nie sądzę. Może byłby ciut lepszy, ale na pewno nie znacznie lepszy, a
> na pewno droższy i większy.
A ja wiem. Oczywiście byłby droższy i, jakby nie miał być duuużo droższy,
także większy. Ale także znaczenie lepszy.
> Robiłem kiedyś "na piechotę" odbiór sygnału z kart 125kHz z
> modulacjami FSK i PSK, bo dostępne scalaki odbierały tylko ASK.
> Na antenie czytnika występuje napięcie kilku/kilkunastu V (13.56MHz),
> czy kilkudziesięciu (125kHz - nie dotyczy kart bankowych) niezbędne do
> wytworzenia pola wystarczającego do zasilanie kart. Sygnał zwrotny z
> karty to modulacja amplitudy tego napięcia na głębokość rzędu kilku
> mV. Odebranie kilku mV sygnału z anteny nie byłoby żadnym problemem
> gdyby nie ten tysiące razy większy sygnał zasilający kartę. Normalne
> odbiorniki radiowe AM odbierają sygnał o głębokości modulacji rzędu
> kilkudziesięciu % a tu mamy poniżej 0,1%.
To zależy m.in. od anteny, ale nieważne. Nie można tego tak liczyć, bo
znany nam sygnał nadawany można (i trzeba) odjąć od sygnału odbieranego.
Bez tego te scalaki nie mogłyby działać.
Aczkolwiek przyznaję, że owa "głębokość modulacji" jest taka (przy
mocnym zbliżeniu karty do anteny), że obserwator jest w stanie
"wzrokowo" (oscyloskopem) rozpoznać oba sygnały. Kiedyś musiałem to
zrobić.
Czytniki są po prostu zaprojektowane tak, by były kiepskie. One wcale
nie mają odczytywać 5 kart w portfelu.
> Im mniejszy zasięg tym mniejsza odległość na którą ktoś się musi
> zbliżyć aby podsłuchać transmisję. Na przykład normy obronne
> zabraniają stosowania czytników o dużym zasięgu w kontroli dostępu.
Owszem, ale oczywiście odległość "trzeciej strony" może być znacznie
większa niż odległość czytnik - karta.
--
Krzysztof Hałasa
-
26. Data: 2016-11-18 21:46:14
Temat: Re: Ile transakcji bez PINu
Od: Dawid Rutkowski <d...@w...pl>
Płaski totalnie, bez żadnych żłobień, mc debetowy z inteligo (z "pionowymi" napisami)
pozwala odczytać telefonem przez kopertę numer i datę ważności.
Ale do pko też jakoś nie chce mi się pisać o tym, że albo niech to wyłączą albo
wysyłają w kopertach z warstwą "sreberka" (owinięcie telefonu sreberkiem od czekolady
uniemożliwia dodzwonienie się ;) - mam ich już dość po korespondencji w sprawie IKO
na J2ME - podobno są telefony, na których działa, w co nie wierzę (przeterminowany
certyfikat w pliku *.jad), a szkoda, bo chciałbym, żeby na mojej nokii e51 działało -
oraz na tablecie z androidem - pko twierdzi, że na tabletach działać nie będzie "bo
nie" (podobno "trzeba użyć innych technologii") - a na moim mam i działa, ale się im
nie przyznam ;P
-
27. Data: 2016-11-19 13:29:29
Temat: Re: Ile transakcji bez PINu
Od: Piotr Gałka <p...@c...pl>
W dniu 18-11-2016 o 20:24, Krzysztof Halasa pisze:
>
> To zależy m.in. od anteny, ale nieważne. Nie można tego tak liczyć, bo
> znany nam sygnał nadawany można (i trzeba) odjąć od sygnału odbieranego.
> Bez tego te scalaki nie mogłyby działać.
Masz rację. Tak to robią scalaki, choć słowo odjąć nie do końca jest
precyzyjne.
Pisząc, miałem w pamięci jak ja to wtedy robiłem, a nie użyłem detektora
synchronicznego tylko detektor obwiedni za którym był kilkusekcyjny
filtr bo przy PSK f obwiedni to tylko 1/2 f nośnej i odfiltrowanie
resztek nośnej nie jest trywialne.
> Aczkolwiek przyznaję, że owa "głębokość modulacji" jest taka (przy
> mocnym zbliżeniu karty do anteny), że obserwator jest w stanie
> "wzrokowo" (oscyloskopem) rozpoznać oba sygnały. Kiedyś musiałem to
> zrobić.
Ja to robiłem wiele razy włącznie z bezpośrednim odczytaniem z
zatrzymanego oscylogramu kodu nadawanego przez kartę (Unique).
Ale, o zasięgu odczytu decyduje jak sobie scalak radzi wtedy, kiedy
głębokość modulacji jest znikoma a nie wtedy, kiedy ją widać na oko.
> Czytniki są po prostu zaprojektowane tak, by były kiepskie. One wcale
> nie mają odczytywać 5 kart w portfelu.
Nie zgadzam się. Ja pod pojęciem czytnik rozumiem scalak do czytania
kart i uważam, że producenci na pewno nie ograniczają celowo jego
możliwości. Oni na prawdę się starają uzyskać jak najlepsze rezultaty.
Kiedyś dawno wygrałem konkurs na pomysł na scalak. Zaproponowałem
właśnie scalak do odbioru RFID PSK i FSK. Nagrodą było, że KBN zrobi ten
scalak. Jak dostaliśmy prototyp to udało się na nim zrobić czytnik o
zasięgu zaledwie 3mm! A oni się starali. Jak scalak (bez dopalacza)
pozwala zrobić czytnik o zasięgu rzędu 7..10cm to według mnie nikt tam
nie robił nic aby ograniczyć jego możliwości.
Oprogramowanie w terminalu (czytniku) to inna para kaloszy. Odczytywanie
wielu kart wymaga wysiłku programisty. Jak mu się nie chce, to nie
zrobi. Znajomy student bardzo sobie chwali, że nie musi wyjmować karty z
portfela (gdzie są inne karty) aby wejść do akademika.
> Owszem, ale oczywiście odległość "trzeciej strony" może być znacznie
> większa niż odległość czytnik - karta.
>
Od lat mam zamiar przeprowadzić takie próby, ale ten brak czasu.
Przeszukałem mieszkanie rodziców w poszukiwaniu odbiorników, które w
dzieciństwie montowałem (bo te najłatwiej było by mi dopasować do
eksperymentów), ale chyba kiedyś musiały zostać zutylizowane :(.
Kupiłem więc jakieś radio z zamiarem, że przestroję długie aby łapały
125kHz i dorobię dobry demodulator, ale jeszcze się za to nie zabrałem.
Radio to ma chyba 7 zakresów fal krótkich i jeden obejmuje 13,56.
Zrobiłem więc taki eksperyment - jak czytnik moduluje pole 100% (tak
nadaje sygnał do karty) to tym radyjkiem za kilka dych (bez żadnych
przeróbek) daje się to usłyszeć z odległości około 10m.
Przypuszczam, że "domowym sposobem" dało by się zrobić odbiornik, który
całą transmisję by podsłuchał z 5m a może więcej.
P.G.
-
28. Data: 2016-11-19 20:51:20
Temat: Re: Ile transakcji bez PINu
Od: Krzysztof Halasa <k...@p...waw.pl>
Wojciech Bancer <w...@g...com> writes:
> Albo robiąc zdjęcie karty, czy odcisk na materiale (karty są wypukłe).
> A zdjęcia mają to do siebie, że można je dobrym aparatem cyknąć z dużo
> większej odległości niż NFC ;)
Ale w taki sposób nie można tego odczytać, co da się odczytać przez NFC.
W szczególności w przypadku kart, które nie robią DDA (które można łatwo
sklonować).
--
Krzysztof Hałasa
-
29. Data: 2016-11-19 21:51:43
Temat: Re: Ile transakcji bez PINu
Od: Wojciech Bancer <w...@g...com>
On 2016-11-19, Krzysztof Halasa <k...@p...waw.pl> wrote:
> Wojciech Bancer <w...@g...com> writes:
>
>> Albo robiąc zdjęcie karty, czy odcisk na materiale (karty są wypukłe).
>> A zdjęcia mają to do siebie, że można je dobrym aparatem cyknąć z dużo
>> większej odległości niż NFC ;)
>
> Ale w taki sposób nie można tego odczytać, co da się odczytać przez NFC.
> W szczególności w przypadku kart, które nie robią DDA (które można łatwo
> sklonować).
No te klonowanie, to uwierzę jak zobaczę (na żywo). Na razie widziałem
sensacyjne filmiki w rodzaju chem-trails. :)
--
Wojciech Bańcer
w...@g...com
-
30. Data: 2016-11-19 22:07:58
Temat: Re: Ile transakcji bez PINu
Od: Krzysztof Halasa <k...@p...waw.pl>
Piotr Gałka <p...@c...pl> writes:
> Ja to robiłem wiele razy włącznie z bezpośrednim odczytaniem z
> zatrzymanego oscylogramu kodu nadawanego przez kartę (Unique).
Coś takiego miałem właśnie na myśli.
> Kiedyś dawno wygrałem konkurs na pomysł na scalak. Zaproponowałem
> właśnie scalak do odbioru RFID PSK i FSK. Nagrodą było, że KBN zrobi
> ten scalak. Jak dostaliśmy prototyp to udało się na nim zrobić czytnik
> o zasięgu zaledwie 3mm! A oni się starali. Jak scalak (bez dopalacza)
> pozwala zrobić czytnik o zasięgu rzędu 7..10cm to według mnie nikt tam
> nie robił nic aby ograniczyć jego możliwości.
KBN? Kojarzy mi się tylko z Komitetem Badań Naukowych, ale ja nie robię
scalaków. Natomiast z pewnością użycie gotowych scalaków z półki dałoby
znacznie lepsze efekty.
Porównaj np. z odbiorem takich "zwykłych" rzeczy jak DVB-T, albo tym
bardziej GPS. Tego ostatniego nie idzie w ogóle obejrzeć niczym (jeśli
nie masz dokładnie ustawionej anteny np. fi 3m), a jednak scalak za $4
potrafi to zrobić (z anteną z kawałka ścieżki na PCB).
> Oprogramowanie w terminalu (czytniku) to inna para kaloszy.
> Odczytywanie wielu kart wymaga wysiłku programisty. Jak mu się nie
> chce, to nie zrobi. Znajomy student bardzo sobie chwali, że nie musi
> wyjmować karty z portfela (gdzie są inne karty) aby wejść do
> akademika.
Żaden wielki wysiłek, każda biblioteka to robi, a zrobienie tego na
"piechotę" też jest trywialne (robiłem).
Czytniki mogą nie działać jeśli wykryją więcej niż jedną kartę, ale nie
dlatego, że nie potrafią zrobić selecta, tylko jako zabezpieczenie, na
wysokim poziomie (procedura dostaje listę kart, liczy ile ich jest,
i jeśli jest to liczba inna niż 1, to nie przeprowadza transakcji).
> Radio to ma chyba 7 zakresów fal krótkich i jeden obejmuje 13,56.
> Zrobiłem więc taki eksperyment - jak czytnik moduluje pole 100% (tak
> nadaje sygnał do karty) to tym radyjkiem za kilka dych (bez żadnych
> przeróbek) daje się to usłyszeć z odległości około 10m.
> Przypuszczam, że "domowym sposobem" dało by się zrobić odbiornik,
> który całą transmisję by podsłuchał z 5m a może więcej.
Obawiam się, że bez 12-bitowego ADC oraz sprytnego DSP (może być na PC,
np. w postprocessingu w gnuradio) byłby z tym pewien problem - właśnie
ze względu na tę "głębokość modulacji".
Można łatwo się pobawić, dongle RTL2832 + R820T(2) kosztuje $10 (i daje
się go zmusić do pracy na tej częstotliwości). Niestety sygnał będzie
kiepskiej jakości (w porównaniu do sprzętu przystosowanego do tego).
Antena przede wszystkim.
--
Krzysztof Hałasa