-
81. Data: 2013-07-12 11:01:11
Temat: Re: karty indukcyjne
Od: Piotrek <p...@p...na.berdyczow.info>
On 2013-07-12 10:28, Wojciech Bancer wrote:
> Niezłe SF. Uśmiałem się. Autor ma wyobraźnię. :)
> A coś z realnego świata?
Czego konkretnie nie zrozumiałeś?
Piotrek
-
82. Data: 2013-07-12 11:11:55
Temat: Re: karty indukcyjne
Od: Piotrek <p...@p...na.berdyczow.info>
On 2013-07-12 10:28, Wojciech Bancer wrote:
> Niezłe SF. Uśmiałem się. Autor ma wyobraźnię. :)
> A coś z realnego świata?
Tu masz pierwszą lepszą wizualizację do tego SF:
Click -> <http://www.youtube.com/watch?v=w_vYuLyfw3E>
Software leży tu:
Click -> <http://sourceforge.net/projects/nfcproxy/>
Jedyny "problem" polega na zbudowaniu sprzętu posiadającego nieco lepszą
czułość niż to co standardowo jest w telefonie.
Ale ponieważ protokół (NFC) nie ma wbudowanych zabezpieczeń przed
maksymalną odległością z jakiej można się komunikować z urządzeniem to
jest to "problem" a nie problem.
Piotrek
-
83. Data: 2013-07-12 11:21:27
Temat: Re: karty indukcyjne
Od: Wojciech Bancer <p...@p...pl>
On 2013-07-12, Piotrek <p...@p...na.berdyczow.info> wrote:
> On 2013-07-12 10:28, Wojciech Bancer wrote:
>> Niezłe SF. Uśmiałem się. Autor ma wyobraźnię. :)
>> A coś z realnego świata?
>
> Czego konkretnie nie zrozumiałeś?
Takiego drobiazgu jak synchronizacja i radzenie sobie z opóźnieniami
transmisji na odległość vs wymaganiami co do transmisji jakie mają
terminale.
Zabawnie byłoby oglądać "nie wzbudzającą podejrzeń" parkę, w której
jeden się lepi do ludzi "w autobusie", a drugi idealnie wymierza moment
na piknięcie w kasie.
Normalnie jak film szpiegowski klasy B. :)
--
Wojciech Bańcer
p...@p...pl
-
84. Data: 2013-07-12 11:28:07
Temat: Re: karty indukcyjne
Od: Piotrek <p...@p...na.berdyczow.info>
On 2013-07-12 11:21, Wojciech Bancer wrote:
> Takiego drobiazgu jak synchronizacja i radzenie sobie z opóźnieniami
> transmisji na odległość vs wymaganiami co do transmisji jakie mają
> terminale.
Odpowiedź masz w filmie z mojego poprzedniego postu.
Przy dobrze zaplanowanym ataku prawdopodobieństwo, że od zeskanowania
karty do fraudowej transakcji ofiara zrobi transakcję kartą jest
praktycznie zerowe.
Piotrek
-
85. Data: 2013-07-12 11:29:03
Temat: Re: karty indukcyjne
Od: Wojciech Bancer <p...@p...pl>
On 2013-07-12, Piotrek <p...@p...na.berdyczow.info> wrote:
>> Niezłe SF. Uśmiałem się. Autor ma wyobraźnię. :)
>> A coś z realnego świata?
>
> Tu masz pierwszą lepszą wizualizację do tego SF:
> Click -> <http://www.youtube.com/watch?v=w_vYuLyfw3E>
Absolutnie nie. I nawet ładnie w komentarzu naposali, że na nie US
kartach raczej nie zadziała. A jednak wszystkie obecne informacje
jakie się w sieci znajdują na temat "ściągnęli mi kasę z konta"
dotyczą skradzionych kart.
--
Wojciech Bańcer
p...@p...pl
-
86. Data: 2013-07-12 11:29:48
Temat: Re: karty indukcyjne
Od: Wojciech Bancer <p...@p...pl>
On 2013-07-12, Piotrek <p...@p...na.berdyczow.info> wrote:
> On 2013-07-12 11:21, Wojciech Bancer wrote:
>> Takiego drobiazgu jak synchronizacja i radzenie sobie z opóźnieniami
>> transmisji na odległość vs wymaganiami co do transmisji jakie mają
>> terminale.
>
> Odpowiedź masz w filmie z mojego poprzedniego postu.
>
> Przy dobrze zaplanowanym ataku prawdopodobieństwo, że od zeskanowania
> karty do fraudowej transakcji ofiara zrobi transakcję kartą jest
> praktycznie zerowe.
W Polsce masz challenge-response tokeny, więc takie zapisane transakcje
nie wystarczą.
--
Wojciech Bańcer
p...@p...pl
-
87. Data: 2013-07-12 11:39:33
Temat: Re: karty indukcyjne
Od: Piotrek <p...@p...na.berdyczow.info>
On 2013-07-12 11:29, Wojciech Bancer wrote:
> [...] na nie US kartach raczej nie zadziała [...]
Być może. Chociaż nie widać powodu dla którego miałby nie zadziałać atak
z wykorzystaniem trybu proxy.
Ale nie na tym polega zasadniczy problem. Zasadniczy problem polega na
tym, że w większości banku funkcjonalności nie można wyłączyć na żądanie.
I tu (choć nie jesteśmy na pręgierzu) wazelina dla np. Citi gdzie
dzwonisz na party-line, mówisz że sobie nie życzysz mieć płatności
zbliżeniowych i Ci je po prostu wyłączają.
Proste? Proste!
Piotrek
-
88. Data: 2013-07-12 11:49:30
Temat: Re: karty indukcyjne
Od: Wojciech Bancer <p...@p...pl>
On 2013-07-12, Piotrek <p...@p...na.berdyczow.info> wrote:
[...]
> Być może. Chociaż nie widać powodu dla którego miałby nie zadziałać atak
> z wykorzystaniem trybu proxy.
No ale tutaj mamy do czynienia wtedy z gościem który sobie łazi po ludziach
i wygląda co najmniej dziwnie. Pamiętaj o koniecznej synchronizacji.
Realny świat to nie warunki laboratoryjne i *trochę* zabezpieczeń,
opóźnień i innych trudnych do przewidzenia rzeczy tam jest.
A wpaść niezwykle łatwo, bo musisz to robić f2f. I to za co?
Kwoty w sklepach to raptem 50 zł jednorazowo, bo inaczej karta poprosi
o pin. A przy ponownym użyciu trzeba mieć ponownie zbliżoną, bo inny
będzie CR. Pomyśl przez chwilę jakie to jest ryzykowne w realnym życiu,
a nie w warunkach laboratoryjnych.
> I tu (choć nie jesteśmy na pręgierzu) wazelina dla np. Citi gdzie
> dzwonisz na party-line, mówisz że sobie nie życzysz mieć płatności
> zbliżeniowych i Ci je po prostu wyłączają.
>
> Proste? Proste!
I karta o tym nie wie do momentu aż nie zostanie odpowiednio poinstruowana
w czasie transakcji online. A i tak istotniejsze jest:
- wyłączenie transakcji internetowych
- wyłączenie transakcji offline
co powoduje że karta staje się mało wygodna i mało użyteczna.
Zbliżeniówka to przy powyższym pikuś nie warty szerszej wzmianki.
--
Wojciech Bańcer
p...@p...pl
-
89. Data: 2013-07-12 12:12:31
Temat: Re: karty indukcyjne
Od: Piotrek <p...@p...na.berdyczow.info>
On 2013-07-12 11:49, Wojciech Bancer wrote:
> No ale tutaj mamy do czynienia wtedy z gościem który sobie łazi po ludziach
> i wygląda co najmniej dziwnie. Pamiętaj o koniecznej synchronizacji.
> Realny świat to nie warunki laboratoryjne i *trochę* zabezpieczeń,
> opóźnień i innych trudnych do przewidzenia rzeczy tam jest.
>
> A wpaść niezwykle łatwo, bo musisz to robić f2f. I to za co?
> Kwoty w sklepach to raptem 50 zł jednorazowo, bo inaczej karta poprosi
> o pin. A przy ponownym użyciu trzeba mieć ponownie zbliżoną, bo inny
> będzie CR. Pomyśl przez chwilę jakie to jest ryzykowne w realnym życiu,
> a nie w warunkach laboratoryjnych.
Ale zgaduję, że w realnym życiu nie używa się do fraudów urządzeń
ogólnodostępnych tylko profesjonalnych (które potrafią się komunikować
na odległości nieco większe niż te 10-15 cm). A samą fraudową płatność
robisz jak wiesz, że masz w zasięgu kartę, która odpowie.
Tak więc ryzyko niewielkie, natomiast zyski to tylko kwestia skali i
umiejętności dystrybucji pozyskanych w wyniku fraudu towarów.
> I karta o tym nie wie do momentu aż nie zostanie odpowiednio poinstruowana
Oczywiście.
> w czasie transakcji online. A i tak istotniejsze jest:
> - wyłączenie transakcji internetowych
Czy odpowiadasz za fraudy przy transakcjach MOTO/internetowych?
> - wyłączenie transakcji offline
> co powoduje że karta staje się mało wygodna i mało użyteczna.
Ale dla kogo? Dla użytkownika? A jaki to problem *dla użytkownika*
poczekać x sekund na autoryzację on-line?
Oczywiście problem jest dla akceptanta/banku. Ponieważ wymaga
zaangażowania konkretnych zasobów *w chwili* dokonywania transakcji.
No ale przecież to "nie mój cyrk, nie moje małpy".
Piotrek
-
90. Data: 2013-07-12 12:30:49
Temat: Re: karty indukcyjne
Od: Wojciech Bancer <p...@p...pl>
On 2013-07-12, Piotrek <p...@p...na.berdyczow.info> wrote:
[...]
>> A wpaść niezwykle łatwo, bo musisz to robić f2f. I to za co?
>> Kwoty w sklepach to raptem 50 zł jednorazowo, bo inaczej karta poprosi
>> o pin. A przy ponownym użyciu trzeba mieć ponownie zbliżoną, bo inny
>> będzie CR. Pomyśl przez chwilę jakie to jest ryzykowne w realnym życiu,
>> a nie w warunkach laboratoryjnych.
>
> Ale zgaduję, że w realnym życiu nie używa się do fraudów urządzeń
> ogólnodostępnych tylko profesjonalnych (które potrafią się komunikować
> na odległości nieco większe niż te 10-15 cm). A samą fraudową płatność
> robisz jak wiesz, że masz w zasięgu kartę, która odpowie.
Ale co to znaczy "masz w zasięgu"? Musisz przez dobrą chwilę popindalać za kimś.
Nawet jak zasię jest większy niż 20 cm, to *i tak* ludzie się ruszają, obracają
rozmawiają, poruszają. A profesjonaliści się za drobnymi nie uganiają, właśnie
o to chodzi w całej idei. Za duże ryzyko do potencjalnego potencjalnego zysku
IMHO.
> Tak więc ryzyko niewielkie, natomiast zyski to tylko kwestia skali i
> umiejętności dystrybucji pozyskanych w wyniku fraudu towarów.
Kwestia oceny. Jak dla mnie jest bardzo duże. I właśnie o to chodzi.
>> w czasie transakcji online. A i tak istotniejsze jest:
>> - wyłączenie transakcji internetowych
>
> Czy odpowiadasz za fraudy przy transakcjach MOTO/internetowych?
Zależy od banku. Podpadasz pod dokładnie ten sam przepis co transakcje
offline/zbliżeniowe. W jednym banku uznają reklamację, w innym nie.
>> - wyłączenie transakcji offline
>> co powoduje że karta staje się mało wygodna i mało użyteczna.
>
> Ale dla kogo? Dla użytkownika? A jaki to problem *dla użytkownika*
> poczekać x sekund na autoryzację on-line?
Gdzie x jest w okolicach 30, zamiast w okolicach 4.
To nie jest problem. To jest po prostu mniej wygodne.
Ja jak mam do wyboru: karta online, karta offline, gotówka,
to zawsze wolę offline.
--
Wojciech Bańcer
p...@p...pl