k...@p...onet.pl (Kamil Jońca) writes:

>> Jeśli chodzi o klonowanie, to możliwe że sklonowanie karty Paywave może
>> być problemem, ze względu na podpisywanie danych kluczem asymetrycznym
>> (przez kartę). Paypass tego nie robi (stąd m.in. brak możliwości podania
>> PINu przy wyższej kwocie - bo mógłby zostać przechwycony).
>
> Czegoś nie rozumiem. Płaciłem wielokrotnie PayPassem (nie PayWave) >50 i
> potwierdzałem pinem.

Ale ten pin trafiał do banku, nie do karty, wymaga to autoryzacji online
i w wielu miejscach (np. krajach) w ogóle nie działa. To nie zabezpiecza
przed próbą sklonowania karty, bank nie odróżni klona od oryginału,
przynajmniej do momentu dokonania oryginałem jakiejś kolejnej transakcji
z autoryzacją online.

Karcie nie można podać PINu niezaszyfrowanego zbliżeniowo (tak jakoś
wyszło), a PayPassowi nie można go zaszyfrować. Z tym że myślę że to się
zmieni.
--
Krzysztof Hałasa

do góry

Dnia Thu, 11 Jul 2013 19:44:07 -0500, witek napisał(a):

>> Jedynymi automatami z jakimi się spotkałem, które nie żądały PIN-u od
>> karty stykowej, to były bramki na zagranicznych autostradach.
>
> Kiedy ostatni raz byles w McDonaldzie?

Dawno. Chyba będę musiał się przejść :)
Masz na myśli McDonaldy polskie, czy zagraniczne?

--
Pozdrowienia,
Krzysztof
(dawniej używający nicka 'Chris')

do góry

Dnia Fri, 12 Jul 2013 06:55:17 +0200, sqlwiel napisał(a):

> Powtórzę pytanie:
> Czy na pewno wolisz płacić zawsze z PINem narażając się na tegoż pinu
> podglądnięcie, po czym wydolinowanie karty i wypucowanie konta w tym
> samym Lidlu (np. na alkoholem - nie zmarnuje się u złodzieja), czy może
> jednak płacić paypassem i pinu nie narażać?

Kartą płacę w zasadzie tylko przy grubszych płatnościach, a więc raczej
w warunkach dość komfortowych i nie stwarzających zagrożenia.
Drobne płatności płacę gotówką, a środkami komunikacji miejskiej prawie
w ogóle nie jeżdżę.

> Bo ja mam dylemat... Większość kart już mam przedziurkowane, ale
> kredytówkę jeszcze nie.

Na razie testuję kartę debetową Meritum (bez funkcji zbliżeniowej).
Jeśli będzie bezproblemowa, to z karty mBanku przestanę korzystać.

--
Pozdrowienia,
Krzysztof
(dawniej używający nicka 'Chris')

do góry

On 2013-07-12, Chris94 <chris94@WYTNIJ_TO.poczta.fm> wrote:

[...]

>> Kiedy ostatni raz byles w McDonaldzie?
>
> Dawno. Chyba będę musiał się przejść :)
> Masz na myśli McDonaldy polskie, czy zagraniczne?

Polskie też mają transakcje offline.

--
Wojciech Bańcer
p...@p...pl

do góry

Dnia Fri, 12 Jul 2013 10:37:56 +0200, Wojciech Bancer napisał(a):

>> Jedynymi automatami z jakimi się spotkałem, które nie żądały PIN-u od
>> karty stykowej, to były bramki na zagranicznych autostradach.
>
> No tak. Nie widziałem = nie istnieje. Ale w internecie napisali, że
> bezstykowe są niebezpieczne, więc im trzeba wierzyć. :)

Ponownie proszę, żebyś postarał się czytać to co napisałem, ze
zrozumieniem.
A napisałem wyraźnie, że moje przekonanie o tym, że bezstykowa karta
mBanku jest niebezpieczna nie bierze się wyłącznie z tego, co
przeczytałem w internecie, ale przede wszystkim z eksperymentów, które
przeprowadziłem na swojej karcie!

>> Jeśli w dowolnym sklepie mogę bez użycia PIN-u płacić bezstykowo kartą,
>> która ma ustawione na zero wszystkie limity płatności, to chyba to nie
>> jest wina "właściciela automatu".
>
> Czyli nadal masz pretensje do tego że coś działa offline.

Tak, mam pretensje o to, że ustawione przeze mnie limity transakcyjne
nie działają i są zwykłą fikcją.
Ten stan mógłbym akceptować, gdyby bank brał na siebie ewentualne fraudy
wynikłe z tej luki w systemie bezpieczeństwa, ale bank ani myśli tego
robić, całą odpowiedzialność zrzuca na klienta.

>> I wyjaśnij wreszcie, jakie to są te "prawdziwe problemy", o których ma
>> pisać Samcik, Niebezpiecznik oraz my na p.b.b., zamiast zajmować się
>> "tematem zastępczym" jakim jest brak działających zabezpieczeń w kartach
>> zbliżeniowych?
>
> Już pędzę. :)

Tutaj powstrzymam się od komentarza.

--
Pozdrowienia,
Krzysztof
(dawniej używający nicka 'Chris')

do góry

On 2013-07-12, Krzysztof Halasa <k...@p...waw.pl> wrote:

[...]

>> Masz gdzieś opis faktycznego sklonowania i wykorzystania takiego
>> klona, czy tylko się jarają wszyscy tym że można sobie jakieś dane z karty
>> odczytać bezstykowo? Co zrobisz z tym swoim scalakiem skoro terminal działa
>> na zasadzie challenge-response?
>
> Najgroźniejszym atakiem jest przetunelowanie całego ruchu. Wtedy nawet
> reklamacja w banku nic nie da, ofiara będzie mieć na karcie ślad po tej
> transakcji :-( Coś takiego IMHO podpada pod definicję "narzędzia
> niebezpiecznego dla użytkownika".

No ale na jaką odległość chcesz te tunelowanie przeprowadzić? Właśnie
o to chodzi, że przecież tu trzeba zsynchronizować w tym momencie kupującego
i skanującego. Od początku piszę, że największym "wyzwaniem" nie jest
technologia, ale konieczność synchronizacji i operacji f2f. A zasięg
czytnika 50 cm, czy nawet 1m to nadal zasięg przy którym trzeba dziwnie
się do ludzi kleić. Pal tam sześć jakby to było "na chwilkę", ale biorąc
pod uwagę, że druga osoba musi mieć czas dokonać tego zakupu i zakładając
czystość punktu sprzedaży, to taka operacja robi się wybitnie ryzykowna.

> Jeśli chodzi o klonowanie, to możliwe że sklonowanie karty Paywave może
> być problemem, ze względu na podpisywanie danych kluczem asymetrycznym
> (przez kartę). Paypass tego nie robi (stąd m.in. brak możliwości podania
> PINu przy wyższej kwocie - bo mógłby zostać przechwycony).

Już bardziej uwierzę, że największym problemem jest odczytanie numeru
karty. Bo to potem można spróbować wykorzystać w internecie. No ale
przed tym w PL akurat dużo banków pozwala się zabezpieczyć.

--
Wojciech Bańcer
p...@p...pl

do góry

On 2013-07-13 10:27, Wojciech Bancer wrote:
> No ale na jaką odległość chcesz te tunelowanie przeprowadzić? Właśnie
> o to chodzi, że przecież tu trzeba zsynchronizować w tym momencie kupującego
> i skanującego. Od początku piszę, że największym "wyzwaniem" nie jest
> technologia, ale konieczność synchronizacji i operacji f2f. A zasięg
> czytnika 50 cm, czy nawet 1m to nadal zasięg przy którym trzeba dziwnie
> się do ludzi kleić. Pal tam sześć jakby to było "na chwilkę", ale biorąc
> pod uwagę, że druga osoba musi mieć czas dokonać tego zakupu i zakładając
> czystość punktu sprzedaży, to taka operacja robi się wybitnie ryzykowna.

IMHO doszukujesz się problemów tam, gdzie ich po prostu nie ma.

Zgaduję, że w pierwszym lepszym autobusie/tramwaju/SKM-ce znajdzie się
bez problemu nie jedną potencjalną ofiarę. W zajęciu miejsca obok takiej
ofiary nie ma niczego podejrzanego. Tak więc IMHO można założyć, że
przez kilka-kilkanaście minut w zasięgu będzie co najmniej jedna kartę
do której można przetunelować transakcję.

I teraz mając przygotowane zakupy (pewnie jakąś flaszkę albo wyroby
tytoniowe, bo łatwo zbywalne) płacisz za nie kartą ofiary.

Widzisz jeszcze jakieś inne problemy?

Piotrek

do góry

On 2013-07-13, Piotrek <p...@p...na.berdyczow.info> wrote:

[...]

>> No ale na jaką odległość chcesz te tunelowanie przeprowadzić? Właśnie
>> o to chodzi, że przecież tu trzeba zsynchronizować w tym momencie kupującego
>> i skanującego. Od początku piszę, że największym "wyzwaniem" nie jest
>> technologia, ale konieczność synchronizacji i operacji f2f. A zasięg
>> czytnika 50 cm, czy nawet 1m to nadal zasięg przy którym trzeba dziwnie
>> się do ludzi kleić. Pal tam sześć jakby to było "na chwilkę", ale biorąc
>> pod uwagę, że druga osoba musi mieć czas dokonać tego zakupu i zakładając
>> czystość punktu sprzedaży, to taka operacja robi się wybitnie ryzykowna.
>
> IMHO doszukujesz się problemów tam, gdzie ich po prostu nie ma.
>
> Zgaduję, że w pierwszym lepszym autobusie/tramwaju/SKM-ce znajdzie się
> bez problemu nie jedną potencjalną ofiarę. W zajęciu miejsca obok takiej
> ofiary nie ma niczego podejrzanego. Tak więc IMHO można założyć, że
> przez kilka-kilkanaście minut w zasięgu będzie co najmniej jedna kartę
> do której można przetunelować transakcję.
>
> I teraz mając przygotowane zakupy (pewnie jakąś flaszkę albo wyroby
> tytoniowe, bo łatwo zbywalne) płacisz za nie kartą ofiary.
>
> Widzisz jeszcze jakieś inne problemy?

Próbowałeś Ty kiedyś 3G w autobusie używać? o.O

Jak już lecimy po pudelkach blogowych:
http://samcik.blox.pl/2013/02/Dwa-smartfony-internet
-i-juz-mozna-zdalnie.html

W MasterCardzie mają i inne wątpliwości. "W opisywanym przypadku od strony
technicznej wszystko jest teoretycznie wykonalne. Ale tylko teoretycznie
i w warunkach laboratoryjnych. Gdy pierwszy oszust w sklepie płaci w kasie,
to drugi ma mało czasu, by "rozganizować" transmisję z jakąś inną kartą.
Dozwolony czas transakcji to na ogół pół sekundy, choć może to trwać
dłużej - terminal może czekać na odpowiedź karty nawet kilka sekund,
więc teoretycznie jest czas na połączenie z urządzeniem drugiego oszusta
(w autobusie, metrze czy innym zatłoczonym miejscu - jak w przykładzie).
Drugi oszust nie tylko ma mało czasu - musi być też w odległości maksymalnie
30 cm od posiadaczy kart zbliżeniowych. I - aby sczytać dane kart
w czasie rzeczywistym, co jest niezbędne do realizacji transakcji - musi
utrzymywać urządzenie, za pomocą którego chce się połączyć z kartą,
w pozycji stabilnej - co w warunkach panujących w autobusie czy innym
zatłoczonym miejscu może być trudne" - piszą mi ludzie z MasterCarda.
A więc ich zdaniem operacja musi się zmieścić w kilku sekundach,
bo inaczej się nie uda - terminal nie przyjmie płatności.. "Terminal
zakłada, że karta odpowiada w konkretnym czasie - jeżeli komunikacja
jest zbyt wolna, terminal przerwie transakcję".

W MasterCardzie twierdzą też, że przeszkodą do fraudu typu relay attack
może też być kwestia jakości połączenia internetowego między smartfonem
znajdującym się w sklepie i tym, który ma być blisko tłumu posiadaczy
kart zbliżeniowych. "Na czas transakcji wpływa transmisja danych między
smartfonami. W laboratorium, przy małym obciążeniu sieci i telefonu
teoretycznie może udałoby się zdążyć, ale praktycznie, jeżeli jeden
oszust jest w sklepie, drugi w tłumie, to najczęściej nie jest to idealny
zasięg i sieć jest obciążona, więc opóźnienia będą spore - i w dodatku
zmienne (są widoczne nawet jeżeli telefon łączy się z serwerem, a co
dopiero z drugim telefonem)". No i kolejny problem: kwestia możliwości
czytania karty, która jest w portfelu lub kieszeni. "Sczytanie karty
w autobusie czy metrze może i jest możliwe w warunkach laboratoryjnych,
ale trzeba mieć dobrą antenę, solidny wzmacniacz oraz mocne zasilanie,
do tego brak zakłóceń. Nie wystarczy zatem sam telefon, tylko trzeba
już podróżować z większym sprzętem"

W MasterCardzie przedstawiają sprawę w kategoriach zabawy dla
hobbystów, a nie zajęcia dla poważnych ludzi od dużych fraudów.
[...]

--
Wojciech Bańcer
p...@p...pl

do góry

W dniu 2013-07-13 10:59, Piotrek pisze:
> On 2013-07-13 10:27, Wojciech Bancer wrote:

Nie wydaje się Wam, że bijecie pianę? Może poszlibyście se pogadać na priv?



--

Dziękuję. Pozdrawiam. sqlwiel.

do góry

Dnia Sat, 13 Jul 2013 00:18:00 +0200, Wojciech Bancer napisał(a):

>>> Kiedy ostatni raz byles w McDonaldzie?
>>
>> Dawno. Chyba będę musiał się przejść :)
>> Masz na myśli McDonaldy polskie, czy zagraniczne?
>
> Polskie też mają transakcje offline.

I akceptują płatności wykonywane stykowo bez autoryzacji PIN-em?

--
Pozdrowienia,
Krzysztof
(dawniej używający nicka 'Chris')

do góry