On 2013-07-12 10:28, Wojciech Bancer wrote:
> Niezłe SF. Uśmiałem się. Autor ma wyobraźnię. :)
> A coś z realnego świata?

Czego konkretnie nie zrozumiałeś?

Piotrek

do góry

On 2013-07-12 10:28, Wojciech Bancer wrote:
> Niezłe SF. Uśmiałem się. Autor ma wyobraźnię. :)
> A coś z realnego świata?

Tu masz pierwszą lepszą wizualizację do tego SF:
Click -> <http://www.youtube.com/watch?v=w_vYuLyfw3E>

Software leży tu:
Click -> <http://sourceforge.net/projects/nfcproxy/>

Jedyny "problem" polega na zbudowaniu sprzętu posiadającego nieco lepszą
czułość niż to co standardowo jest w telefonie.

Ale ponieważ protokół (NFC) nie ma wbudowanych zabezpieczeń przed
maksymalną odległością z jakiej można się komunikować z urządzeniem to
jest to "problem" a nie problem.

Piotrek

do góry

On 2013-07-12, Piotrek <p...@p...na.berdyczow.info> wrote:
> On 2013-07-12 10:28, Wojciech Bancer wrote:
>> Niezłe SF. Uśmiałem się. Autor ma wyobraźnię. :)
>> A coś z realnego świata?
>
> Czego konkretnie nie zrozumiałeś?

Takiego drobiazgu jak synchronizacja i radzenie sobie z opóźnieniami
transmisji na odległość vs wymaganiami co do transmisji jakie mają
terminale.

Zabawnie byłoby oglądać "nie wzbudzającą podejrzeń" parkę, w której
jeden się lepi do ludzi "w autobusie", a drugi idealnie wymierza moment
na piknięcie w kasie.

Normalnie jak film szpiegowski klasy B. :)

--
Wojciech Bańcer
p...@p...pl

do góry

On 2013-07-12 11:21, Wojciech Bancer wrote:
> Takiego drobiazgu jak synchronizacja i radzenie sobie z opóźnieniami
> transmisji na odległość vs wymaganiami co do transmisji jakie mają
> terminale.

Odpowiedź masz w filmie z mojego poprzedniego postu.

Przy dobrze zaplanowanym ataku prawdopodobieństwo, że od zeskanowania
karty do fraudowej transakcji ofiara zrobi transakcję kartą jest
praktycznie zerowe.

Piotrek

do góry

On 2013-07-12, Piotrek <p...@p...na.berdyczow.info> wrote:

>> Niezłe SF. Uśmiałem się. Autor ma wyobraźnię. :)
>> A coś z realnego świata?
>
> Tu masz pierwszą lepszą wizualizację do tego SF:
> Click -> <http://www.youtube.com/watch?v=w_vYuLyfw3E>

Absolutnie nie. I nawet ładnie w komentarzu naposali, że na nie US
kartach raczej nie zadziała. A jednak wszystkie obecne informacje
jakie się w sieci znajdują na temat "ściągnęli mi kasę z konta"
dotyczą skradzionych kart.

--
Wojciech Bańcer
p...@p...pl

do góry

On 2013-07-12, Piotrek <p...@p...na.berdyczow.info> wrote:
> On 2013-07-12 11:21, Wojciech Bancer wrote:
>> Takiego drobiazgu jak synchronizacja i radzenie sobie z opóźnieniami
>> transmisji na odległość vs wymaganiami co do transmisji jakie mają
>> terminale.
>
> Odpowiedź masz w filmie z mojego poprzedniego postu.
>
> Przy dobrze zaplanowanym ataku prawdopodobieństwo, że od zeskanowania
> karty do fraudowej transakcji ofiara zrobi transakcję kartą jest
> praktycznie zerowe.

W Polsce masz challenge-response tokeny, więc takie zapisane transakcje
nie wystarczą.

--
Wojciech Bańcer
p...@p...pl

do góry

On 2013-07-12 11:29, Wojciech Bancer wrote:
> [...] na nie US kartach raczej nie zadziała [...]

Być może. Chociaż nie widać powodu dla którego miałby nie zadziałać atak
z wykorzystaniem trybu proxy.

Ale nie na tym polega zasadniczy problem. Zasadniczy problem polega na
tym, że w większości banku funkcjonalności nie można wyłączyć na żądanie.

I tu (choć nie jesteśmy na pręgierzu) wazelina dla np. Citi gdzie
dzwonisz na party-line, mówisz że sobie nie życzysz mieć płatności
zbliżeniowych i Ci je po prostu wyłączają.

Proste? Proste!

Piotrek

do góry

On 2013-07-12, Piotrek <p...@p...na.berdyczow.info> wrote:

[...]

> Być może. Chociaż nie widać powodu dla którego miałby nie zadziałać atak
> z wykorzystaniem trybu proxy.

No ale tutaj mamy do czynienia wtedy z gościem który sobie łazi po ludziach
i wygląda co najmniej dziwnie. Pamiętaj o koniecznej synchronizacji.
Realny świat to nie warunki laboratoryjne i *trochę* zabezpieczeń,
opóźnień i innych trudnych do przewidzenia rzeczy tam jest.

A wpaść niezwykle łatwo, bo musisz to robić f2f. I to za co?
Kwoty w sklepach to raptem 50 zł jednorazowo, bo inaczej karta poprosi
o pin. A przy ponownym użyciu trzeba mieć ponownie zbliżoną, bo inny
będzie CR. Pomyśl przez chwilę jakie to jest ryzykowne w realnym życiu,
a nie w warunkach laboratoryjnych.

> I tu (choć nie jesteśmy na pręgierzu) wazelina dla np. Citi gdzie
> dzwonisz na party-line, mówisz że sobie nie życzysz mieć płatności
> zbliżeniowych i Ci je po prostu wyłączają.
>
> Proste? Proste!

I karta o tym nie wie do momentu aż nie zostanie odpowiednio poinstruowana
w czasie transakcji online. A i tak istotniejsze jest:
- wyłączenie transakcji internetowych
- wyłączenie transakcji offline
co powoduje że karta staje się mało wygodna i mało użyteczna.
Zbliżeniówka to przy powyższym pikuś nie warty szerszej wzmianki.

--
Wojciech Bańcer
p...@p...pl

do góry

On 2013-07-12 11:49, Wojciech Bancer wrote:
> No ale tutaj mamy do czynienia wtedy z gościem który sobie łazi po ludziach
> i wygląda co najmniej dziwnie. Pamiętaj o koniecznej synchronizacji.
> Realny świat to nie warunki laboratoryjne i *trochę* zabezpieczeń,
> opóźnień i innych trudnych do przewidzenia rzeczy tam jest.
>
> A wpaść niezwykle łatwo, bo musisz to robić f2f. I to za co?
> Kwoty w sklepach to raptem 50 zł jednorazowo, bo inaczej karta poprosi
> o pin. A przy ponownym użyciu trzeba mieć ponownie zbliżoną, bo inny
> będzie CR. Pomyśl przez chwilę jakie to jest ryzykowne w realnym życiu,
> a nie w warunkach laboratoryjnych.

Ale zgaduję, że w realnym życiu nie używa się do fraudów urządzeń
ogólnodostępnych tylko profesjonalnych (które potrafią się komunikować
na odległości nieco większe niż te 10-15 cm). A samą fraudową płatność
robisz jak wiesz, że masz w zasięgu kartę, która odpowie.

Tak więc ryzyko niewielkie, natomiast zyski to tylko kwestia skali i
umiejętności dystrybucji pozyskanych w wyniku fraudu towarów.

> I karta o tym nie wie do momentu aż nie zostanie odpowiednio poinstruowana

Oczywiście.

> w czasie transakcji online. A i tak istotniejsze jest:
> - wyłączenie transakcji internetowych

Czy odpowiadasz za fraudy przy transakcjach MOTO/internetowych?

> - wyłączenie transakcji offline
> co powoduje że karta staje się mało wygodna i mało użyteczna.

Ale dla kogo? Dla użytkownika? A jaki to problem *dla użytkownika*
poczekać x sekund na autoryzację on-line?

Oczywiście problem jest dla akceptanta/banku. Ponieważ wymaga
zaangażowania konkretnych zasobów *w chwili* dokonywania transakcji.

No ale przecież to "nie mój cyrk, nie moje małpy".

Piotrek

do góry

On 2013-07-12, Piotrek <p...@p...na.berdyczow.info> wrote:

[...]

>> A wpaść niezwykle łatwo, bo musisz to robić f2f. I to za co?
>> Kwoty w sklepach to raptem 50 zł jednorazowo, bo inaczej karta poprosi
>> o pin. A przy ponownym użyciu trzeba mieć ponownie zbliżoną, bo inny
>> będzie CR. Pomyśl przez chwilę jakie to jest ryzykowne w realnym życiu,
>> a nie w warunkach laboratoryjnych.
>
> Ale zgaduję, że w realnym życiu nie używa się do fraudów urządzeń
> ogólnodostępnych tylko profesjonalnych (które potrafią się komunikować
> na odległości nieco większe niż te 10-15 cm). A samą fraudową płatność
> robisz jak wiesz, że masz w zasięgu kartę, która odpowie.

Ale co to znaczy "masz w zasięgu"? Musisz przez dobrą chwilę popindalać za kimś.
Nawet jak zasię jest większy niż 20 cm, to *i tak* ludzie się ruszają, obracają
rozmawiają, poruszają. A profesjonaliści się za drobnymi nie uganiają, właśnie
o to chodzi w całej idei. Za duże ryzyko do potencjalnego potencjalnego zysku
IMHO.

> Tak więc ryzyko niewielkie, natomiast zyski to tylko kwestia skali i
> umiejętności dystrybucji pozyskanych w wyniku fraudu towarów.

Kwestia oceny. Jak dla mnie jest bardzo duże. I właśnie o to chodzi.

>> w czasie transakcji online. A i tak istotniejsze jest:
>> - wyłączenie transakcji internetowych
>
> Czy odpowiadasz za fraudy przy transakcjach MOTO/internetowych?

Zależy od banku. Podpadasz pod dokładnie ten sam przepis co transakcje
offline/zbliżeniowe. W jednym banku uznają reklamację, w innym nie.

>> - wyłączenie transakcji offline
>> co powoduje że karta staje się mało wygodna i mało użyteczna.
>
> Ale dla kogo? Dla użytkownika? A jaki to problem *dla użytkownika*
> poczekać x sekund na autoryzację on-line?

Gdzie x jest w okolicach 30, zamiast w okolicach 4.
To nie jest problem. To jest po prostu mniej wygodne.
Ja jak mam do wyboru: karta online, karta offline, gotówka,
to zawsze wolę offline.

--
Wojciech Bańcer
p...@p...pl

do góry