Dnia Sat, 13 Jul 2013 11:23:57 +0200, Wojciech Bancer napisał(a):

> Próbowałeś Ty kiedyś 3G w autobusie używać? o.O

Gdy jeździłem autobusami, było tylko EDGE, ale w samochodzie 3G działa, w
czym problem?

AK

do góry

Dnia Sat, 13 Jul 2013 14:05:42 +0200, sqlwiel napisał(a):

> Nie wydaje się Wam, że bijecie pianę? Może poszlibyście se pogadać na priv?

Gadają na temat i z sensem. Sam se idź pomarudzić na priv.

AK

do góry

Wojciech Bancer <p...@p...pl> writes:

> W MasterCardzie mają i inne wątpliwości. "W opisywanym przypadku od strony
> technicznej wszystko jest teoretycznie wykonalne. Ale tylko teoretycznie
> i w warunkach laboratoryjnych.

A dają gwarancję na to "tylko"?

> Gdy pierwszy oszust w sklepie płaci w kasie,
> to drugi ma mało czasu, by "rozganizować" transmisję z jakąś inną kartą.

To może niech to "organizuje" np. minutę wcześniej. To nie jest chyba
tak, że oszuści muszą robić to, co jest dla nich najmniej korzystne?

> Dozwolony czas transakcji to na ogół pół sekundy, choć może to trwać
> dłużej - terminal może czekać na odpowiedź karty nawet kilka sekund,
> więc teoretycznie jest czas na połączenie z urządzeniem drugiego oszusta
> (w autobusie, metrze czy innym zatłoczonym miejscu - jak w
> przykładzie).

Przy czym to jest zarówno teoretycznie jak i praktycznie, a dodatkowo
jest dużo zapasu czasu.

> Drugi oszust nie tylko ma mało czasu - musi być też w odległości maksymalnie
> 30 cm od posiadaczy kart zbliżeniowych.

Nawet gdyby, chociaż pisałem już że używam seryjnego czytnika o nieco
większym zasięgu, i jestem przekonany że potrafiłbym zmontować jeszcze
dużo lepszy (przy czym opieram swoje zdanie na moim wieloletnim
doświadczeniu w elektronice oraz m.in. na tym, że moja praca,
w niewielkiej części, dotyczy właśnie konstrukcji czytników NFC).

Nawet gdyby to było tylko 30 cm, to wciąż nie jest to wielkim problemem
w np. komunikacji zbiorowej.

> I - aby sczytać dane kart
> w czasie rzeczywistym, co jest niezbędne do realizacji transakcji - musi
> utrzymywać urządzenie, za pomocą którego chce się połączyć z kartą,
> w pozycji stabilnej - co w warunkach panujących w autobusie czy innym
> zatłoczonym miejscu może być trudne" - piszą mi ludzie z MasterCarda.

... tzn. nie należy kręcić zbyt szybko anteną, tak? Kto by pomyślał.

> A więc ich zdaniem operacja musi się zmieścić w kilku sekundach,

Aż tyle czasu nawet nie potrzeba

> W MasterCardzie twierdzą też, że przeszkodą do fraudu typu relay attack
> może też być kwestia jakości połączenia internetowego między smartfonem
> znajdującym się w sklepie i tym, który ma być blisko tłumu posiadaczy
> kart zbliżeniowych.

Taaak, problemem może być także rozładowanie się baterii, albo nagła
utrata przytomności przez jednego z oszustów. Impuls elektromagnetyczny,
i przerwa w działaniu telefonów też przychodzą mi do głowy.

> W laboratorium, przy małym obciążeniu sieci i telefonu

A no tak, za duże obciążenie telefonu. Może ktoś ogląda na nim film
podczas ataku.

> teoretycznie może udałoby się zdążyć, ale praktycznie, jeżeli jeden
> oszust jest w sklepie, drugi w tłumie, to najczęściej nie jest to idealny
> zasięg i sieć jest obciążona, więc opóźnienia będą spore - i w dodatku
> zmienne (są widoczne nawet jeżeli telefon łączy się z serwerem, a co
> dopiero z drugim telefonem)".

Tak czy owak ten atak jest zarówno teoretycznie jak i praktycznie
możliwy, i prawdopodobieństwo, że dana próba się powiedzie jest znacznie
większe niż 90%. Dodatkowo, niepowodzenie nie niesie ze sobą żadnych
negatywnych dla oszustów skutków, np. próba oszustwa nie wychodzi na
jaw.

> No i kolejny problem: kwestia możliwości
> czytania karty, która jest w portfelu lub kieszeni. "Sczytanie karty
> w autobusie czy metrze może i jest możliwe w warunkach laboratoryjnych,
> ale trzeba mieć dobrą antenę, solidny wzmacniacz oraz mocne zasilanie,
> do tego brak zakłóceń. Nie wystarczy zatem sam telefon, tylko trzeba
> już podróżować z większym sprzętem"

To akurat prawda, najlepiej mieć większą antenę (jeśli chodzi
o wymiary). Nie jest to jednak żadnym praktycznym problemem.

> W MasterCardzie przedstawiają sprawę w kategoriach zabawy dla
> hobbystów, a nie zajęcia dla poważnych ludzi od dużych fraudów.

Trudno się spodziewać by powiedzieli "daliśmy ciała, to wszystko jest do
d*, w sumie wiedzieliśmy o tym od zawsze, ale dla nas liczy się nasza
kasa, nie bezpieczeństwo jakichś tam klientów".
--
Krzysztof Hałasa

do góry

On 2013-07-13, Krzysztof Halasa <k...@p...waw.pl> wrote:

[...]

>> Gdy pierwszy oszust w sklepie płaci w kasie,
>> to drugi ma mało czasu, by "rozganizować" transmisję z jakąś inną kartą.
>
> To może niech to "organizuje" np. minutę wcześniej. To nie jest chyba
> tak, że oszuści muszą robić to, co jest dla nich najmniej korzystne?

Ale co ma zorganizować wcześniej? Jak zsynchronizujesz gościa jadącego
w autobusie i siedzącego z czytnikiem koło "klienta" i jednocześnie
oddalonego o nieznaną odległość kupującego?

>> Dozwolony czas transakcji to na ogół pół sekundy, choć może to trwać
>> dłużej - terminal może czekać na odpowiedź karty nawet kilka sekund,
>> więc teoretycznie jest czas na połączenie z urządzeniem drugiego oszusta
>> (w autobusie, metrze czy innym zatłoczonym miejscu - jak w
>> przykładzie).
>
> Przy czym to jest zarówno teoretycznie jak i praktycznie, a dodatkowo
> jest dużo zapasu czasu.

No ja akurat bardziej jestem skłonny uwierzyć w to, że nie ma tego czasu
aż tak dużo.

>> Drugi oszust nie tylko ma mało czasu - musi być też w odległości maksymalnie
>> 30 cm od posiadaczy kart zbliżeniowych.
>
> Nawet gdyby, chociaż pisałem już że używam seryjnego czytnika o nieco
> większym zasięgu, i jestem przekonany że potrafiłbym zmontować jeszcze
> dużo lepszy (przy czym opieram swoje zdanie na moim wieloletnim
> doświadczeniu w elektronice oraz m.in. na tym, że moja praca,
> w niewielkiej części, dotyczy właśnie konstrukcji czytników NFC).
>
> Nawet gdyby to było tylko 30 cm, to wciąż nie jest to wielkim problemem
> w np. komunikacji zbiorowej.

Jak nie? Komunikacja zbiorowa to ciągły ruch przecież. Jak chcesz długotrwale
uzyskać dobry namiar (zauważ jak na tych wszystkich filmikach się ludzie muszą
nastarać i wycelować) i w dodatku zagwarantować stałość i szybkość połączenia
internetowego pomiędzy urządzeniami?

>> I - aby sczytać dane kart
>> w czasie rzeczywistym, co jest niezbędne do realizacji transakcji - musi
>> utrzymywać urządzenie, za pomocą którego chce się połączyć z kartą,
>> w pozycji stabilnej - co w warunkach panujących w autobusie czy innym
>> zatłoczonym miejscu może być trudne" - piszą mi ludzie z MasterCarda.
>
> ... tzn. nie należy kręcić zbyt szybko anteną, tak? Kto by pomyślał.

Rozumiem że jesteś typem człowieka któremu ręka nie drgnie niezależnie od
drgań, kierunku i szybkości poruszania się pojazdu? Respekt.

>> A więc ich zdaniem operacja musi się zmieścić w kilku sekundach,
> Aż tyle czasu nawet nie potrzeba

To zobacz ile zajmuje odczyt strony internetowej w autobusie.
Bo ja na jednej trasie mam różnice między 100ms a timeout.
Z przewagą czasu > 1s. Na EDGE jest jeszcze gorzej.

>> teoretycznie może udałoby się zdążyć, ale praktycznie, jeżeli jeden
>> oszust jest w sklepie, drugi w tłumie, to najczęściej nie jest to idealny
>> zasięg i sieć jest obciążona, więc opóźnienia będą spore - i w dodatku
>> zmienne (są widoczne nawet jeżeli telefon łączy się z serwerem, a co
>> dopiero z drugim telefonem)".
>
> Tak czy owak ten atak jest zarówno teoretycznie jak i praktycznie
> możliwy, i prawdopodobieństwo, że dana próba się powiedzie jest znacznie
> większe niż 90%. Dodatkowo, niepowodzenie nie niesie ze sobą żadnych
> negatywnych dla oszustów skutków, np. próba oszustwa nie wychodzi na
> jaw.

No to jest Twoja ocena sytuacji. Ja uważam inaczej. I jak widać
nie tylko ja.

>> W MasterCardzie przedstawiają sprawę w kategoriach zabawy dla
>> hobbystów, a nie zajęcia dla poważnych ludzi od dużych fraudów.
>
> Trudno się spodziewać by powiedzieli "daliśmy ciała, to wszystko jest do
> d*, w sumie wiedzieliśmy o tym od zawsze, ale dla nas liczy się nasza
> kasa, nie bezpieczeństwo jakichś tam klientów".

A z drugiej strony, skoro te fraudy są takie banalne i proste, to czemu
jeszcze nikt tego na większą skalę nie zrobił?

--
Wojciech Bańcer
p...@p...pl

do góry

On 2013-07-13, Andrzej Kubiak <n...@i...invalid> wrote:

[...]

>> Próbowałeś Ty kiedyś 3G w autobusie używać? o.O
> Gdy jeździłem autobusami, było tylko EDGE, ale w samochodzie 3G działa, w
> czym problem?

Z opóźnieniami jakie towarzyszą połączeniom mobilnym.

--
Wojciech Bańcer
p...@p...pl

do góry

Chris94 wrote:
> Dnia Sat, 13 Jul 2013 00:18:00 +0200, Wojciech Bancer napisał(a):
>
>>>> Kiedy ostatni raz byles w McDonaldzie?
>>>
>>> Dawno. Chyba będę musiał się przejść :)
>>> Masz na myśli McDonaldy polskie, czy zagraniczne?
>>
>> Polskie też mają transakcje offline.
>
> I akceptują płatności wykonywane stykowo bez autoryzacji PIN-em?
>

tak,
do zadnej karty po za debetowa do bankomatu nie mam pinu. Po prostu
nigdy nie byl ustalony.
Robienie zakupow czy ty w mcdonald czy tez w carrefour sprowadza sie do
przylozenia karty w okolicach czytnika.

Mam nawet klopot, zeby zaplacic w carrefur za pomoca paska
magnetycznego, bo zanim zdaze przeciagnac karte przez ta szczeline, to
czytnik wypisuje, dziekuje, zaplacone.

do góry

Dnia Sat, 13 Jul 2013 10:42:07 -0500, witek napisał(a):
>> Dnia Sat, 13 Jul 2013 00:18:00 +0200, Wojciech Bancer napisał(a):
>>>>> Kiedy ostatni raz byles w McDonaldzie?
>>> Polskie też mają transakcje offline.
>> I akceptują płatności wykonywane stykowo bez autoryzacji PIN-em?
>>
> tak,
> do zadnej karty po za debetowa do bankomatu nie mam pinu. Po prostu
> nigdy nie byl ustalony.

Hm, i karta jest wtedy bez PIN, czy on tam jest, ale nie wiesz jaki ?

> Robienie zakupow czy ty w mcdonald czy tez w carrefour sprowadza sie do
> przylozenia karty w okolicach czytnika.

I jaka najwieksza kwote autoryzowal ?

> Mam nawet klopot, zeby zaplacic w carrefur za pomoca paska
> magnetycznego, bo zanim zdaze przeciagnac karte przez ta szczeline, to
> czytnik wypisuje, dziekuje, zaplacone.

I nie boisz sie ? A jak bankomaty zaczna wyplacac pieniadze po
zblizeniu ? :-)

J.

do góry

Dnia Sat, 13 Jul 2013 10:59:03 +0200, Piotrek napisał(a):
> Zgaduję, że w pierwszym lepszym autobusie/tramwaju/SKM-ce znajdzie się
> bez problemu nie jedną potencjalną ofiarę. W zajęciu miejsca obok takiej
> ofiary nie ma niczego podejrzanego.

A przeciez sa jeszcze inne miejsca z tlokiem.
Albo np szafki w szatni na basenie.


> Tak więc IMHO można założyć, że
> przez kilka-kilkanaście minut w zasięgu będzie co najmniej jedna kartę
> do której można przetunelować transakcję.
> I teraz mając przygotowane zakupy (pewnie jakąś flaszkę albo wyroby
> tytoniowe, bo łatwo zbywalne) płacisz za nie kartą ofiary.
> Widzisz jeszcze jakieś inne problemy?

I moze wlasnie o to chodzi. Ile mozna ukrasc - 200 zl dziennie ?
Przy wiekszym obrocie moze sie wydac podejrzane - delikwent ktory
codziennie dwie flaszki kupuje ?

J.

do góry

Wojciech Bancer <p...@p...pl> writes:

> Ale co ma zorganizować wcześniej? Jak zsynchronizujesz gościa jadącego
> w autobusie i siedzącego z czytnikiem koło "klienta" i jednocześnie
> oddalonego o nieznaną odległość kupującego?

A co jest nieznanego w tej odległości (i np. kierunku) i dlaczego?
Może to po prostu robota dla kogoś, kto wie, jak działa radio.

> Jak nie? Komunikacja zbiorowa to ciągły ruch przecież. Jak chcesz długotrwale
> uzyskać dobry namiar (zauważ jak na tych wszystkich filmikach się ludzie muszą
> nastarać i wycelować) i w dodatku zagwarantować stałość i szybkość połączenia
> internetowego pomiędzy urządzeniami?

Niczego nie muszę gwarantować przede wszystkim. Ale oczywiście mogę -
wystarczy, że jednocześnie kilka osób będzie "polowało" (dodatkowo też
więcej "klientów" może kupować).

> Rozumiem że jesteś typem człowieka któremu ręka nie drgnie niezależnie od
> drgań, kierunku i szybkości poruszania się pojazdu? Respekt.

No wiesz, myślałem raczej o rotacjach / minutę. Karta bardzo nie lubi
gadać z czytnikiem, jeśli kąt między antenami jest zbliżony do 90
stopni. Zwykłe drgania anteny w niczym nie przeszkadzają, jeśli nie
jesteśmy na granicy zasięgu.

> To zobacz ile zajmuje odczyt strony internetowej w autobusie.
> Bo ja na jednej trasie mam różnice między 100ms a timeout.
> Z przewagą czasu > 1s. Na EDGE jest jeszcze gorzej.

To zobacz ile trwa odpowiedź na pinga o długości np. 512 bajtów, to
będzie mieć jakiś związek ze sprawą (w odróżnieniu od "strony
internetowej").
Takie coś można bez problemu zrobić nawet na połączeniu komutowanym.

> No to jest Twoja ocena sytuacji. Ja uważam inaczej. I jak widać
> nie tylko ja.

Owszem. Ale racja nie opiera się na demokracji, tylko na stanie
faktycznym, a ten można ustalić korzystając np. z wiedzy, doświadczenia
itd.

> A z drugiej strony, skoro te fraudy są takie banalne i proste, to czemu
> jeszcze nikt tego na większą skalę nie zrobił?

A skąd informacja że nie zrobił?

Natomiast wiem, dlaczego wiele osób tego nie robi, mimo że byliby
w stanie: bo a) nie chcą czynić zła, b) jest to nielegalne i boją się
ew. kary (możliwej np. po popełnieniu błędów), i dopiero c) bo to jednak
może być dość trudne, zwłaszcza jeśli ktoś się takimi rzeczami nie
zajmuje normalnie.
--
Krzysztof Hałasa

do góry

J.F. wrote:
> Dnia Sat, 13 Jul 2013 10:42:07 -0500, witek napisał(a):
>>> Dnia Sat, 13 Jul 2013 00:18:00 +0200, Wojciech Bancer napisał(a):
>>>>>> Kiedy ostatni raz byles w McDonaldzie?
>>>> Polskie też mają transakcje offline.
>>> I akceptują płatności wykonywane stykowo bez autoryzacji PIN-em?
>>>
>> tak,
>> do zadnej karty po za debetowa do bankomatu nie mam pinu. Po prostu
>> nigdy nie byl ustalony.
>
> Hm, i karta jest wtedy bez PIN, czy on tam jest, ale nie wiesz jaki ?

Nie ma pinu. Musialbym dzwonic do banku zeby ustawic pin.
Nie ma zadnego pinu poczatkowego.


>
>> Robienie zakupow czy ty w mcdonald czy tez w carrefour sprowadza sie do
>> przylozenia karty w okolicach czytnika.
>
> I jaka najwieksza kwote autoryzowal ?
>

Nie zwracalem uwagi. Raczej male i sadze, ze bylo to ponizej 50 zl.



>> Mam nawet klopot, zeby zaplacic w carrefur za pomoca paska
>> magnetycznego, bo zanim zdaze przeciagnac karte przez ta szczeline, to
>> czytnik wypisuje, dziekuje, zaplacone.
>
> I nie boisz sie ? A jak bankomaty zaczna wyplacac pieniadze po
> zblizeniu ? :-)
>
> J.
>
tymi kartami gotowki nie wyplacisz.
Po za tym akurat bank nie jest z Polski i mnie 150 euro nie obowiazuje.
Moja umowa z bankiem jest na zero zlotych niezaleznie od tego czy przed
czy po zgloszeniu utraty karty.

do góry