-
11. Data: 2018-07-06 14:04:51
Temat: Re: Czy zbliżeniówki są już bezpieczne? ;)
Od: Dawid Rutkowski <d...@w...pl>
W dniu piątek, 6 lipca 2018 11:13:33 UTC+2 użytkownik Piotr Gałka napisał:
> Nie wiem czy masz rację, czy nie, ale wytłumacz proszę na czym według
> Ciebie polega tu to ograniczenie do jednej transakcji.
>
> Jeśli zestaw danych z karty wystarcza do potwierdzenia transakcji to
> można tego zestawu użyć kolejno w wielu terminalach dopóki one nie są
> online.
Dobra uwaga, ale z innego puntu widzenia.
Złodziej rzeczywiście może zrobić więcej transakcji tymi danymi w terminalach
offline, ale z punktu widzenia ew. strat klienta, bank może się upierać, że
"prawidłowo autoryzowana" jest tylko jedna z nich. A nawet taka sytuacja jest dla
klienta korzystniejsza, bo karta nie ma prawa się tak zachowywać - pomijając
oczywiście ew. uszkodzenie, co jednak można zweryfikować, bo klient karty nie stracił
i można ją sprawdzić.
Inna sprawa że offline to coraz większa rzadkość - stykowe jeszcze bardziej, ale i
pikaczowe. Z kart, które używam, pikaczowo chodzi KK visa platinum citka, choć ma
chyba jakieś ograniczenie, po którym zaczyna wymuszać on-line do czasu transakcji z
chipa. Zaś żabowa KK world nigdy jeszcze nie poszła mi offline - a niby "prime".
I myślę, że tutaj jest główne zabezpieczenie - poza takimi kuriozami jak te
nieszczęsne biletomaty we Wrocławiu.
Bo pomysły były różne - MC od początku szedł na oślep, i ta strategia wygrała, choć
visa, jako kupujący technologię, na początku wybrała sobie wg mnie rozsądny podzbiór
- czyli pikaczu jedynie bezpinowe do 50zł, a do tego z ograniczeniem do 3 transakcji
pod rząd, potem wymuszenie chipu.
Klientów to jednak wkurzało - i musieli dokupić pełnię możliwości.
A od połowy przyszłego roku pikaczu bezpinowe będzie do 100zł :)
Dla mnie pikaczu to ważniejszy wynalazek od samej karty płatniczej - miałem swego
czasu porównanie, bo dostałem z eurobanku visę classic bezpikaczową, której trochę
używałem, bo trzeba było zrobić 35 transakcji rocznie dla bezpłatności - i wygoda w
porównaniu z pikaczową nieporównywalna.
Może to dlatego, że te czytniki czipów takie nieżyciowe - bo z paskiem porównania nie
mam (jak miałem pierwszą i być może drugą debetówkę paskową z mBąka to kartą ciężko
było jeszcze płacić - bodajże w markecie budowlanym tylko płaciłem, a reszta użyć to
bankomat), ale wydaje mi się, że swipe to była fajna rzecz.
Choć to też potrafili niektórzy schrzanić - dla mnie naturalny jest swipe w kierunku
do siebie, a np. w pekao dawali takie karty id klienta i przy kasach mieli czytniki -
i tak był swipe od siebie, dziki taki.
A tacy Amerykanie przeskoczyli z paska na pikacza - widać, że to mądry naród ;>
-
12. Data: 2018-07-06 16:06:00
Temat: Re: Czy zbliżeniówki są już bezpieczne? ;)
Od: Piotr Gałka <p...@c...pl>
W dniu 2018-07-06 o 14:04, Dawid Rutkowski pisze:
> W dniu piątek, 6 lipca 2018 11:13:33 UTC+2 użytkownik Piotr Gałka napisał:
>
>> Nie wiem czy masz rację, czy nie, ale wytłumacz proszę na czym według
>> Ciebie polega tu to ograniczenie do jednej transakcji.
>>
>> Jeśli zestaw danych z karty wystarcza do potwierdzenia transakcji to
>> można tego zestawu użyć kolejno w wielu terminalach dopóki one nie są
>> online.
>
> Dobra uwaga, ale z innego puntu widzenia.
> Złodziej rzeczywiście może zrobić więcej transakcji tymi danymi w terminalach
offline, ale z punktu widzenia ew. strat klienta, bank może się upierać, że
"prawidłowo autoryzowana" jest tylko jedna z nich. A nawet taka sytuacja jest dla
klienta korzystniejsza, bo karta nie ma prawa się tak zachowywać - pomijając
oczywiście ew. uszkodzenie, co jednak można zweryfikować, bo klient karty nie stracił
i można ją sprawdzić.
> Inna sprawa że offline to coraz większa rzadkość - stykowe jeszcze bardziej, ale i
pikaczowe. Z kart, które używam, pikaczowo chodzi KK visa platinum citka, choć ma
chyba jakieś ograniczenie, po którym zaczyna wymuszać on-line do czasu transakcji z
chipa. Zaś żabowa KK world nigdy jeszcze nie poszła mi offline - a niby "prime".
>
> I myślę, że tutaj jest główne zabezpieczenie - poza takimi kuriozami jak te
nieszczęsne biletomaty we Wrocławiu.
> Bo pomysły były różne - MC od początku szedł na oślep, i ta strategia wygrała, choć
visa, jako kupujący technologię, na początku wybrała sobie wg mnie rozsądny podzbiór
- czyli pikaczu jedynie bezpinowe do 50zł, a do tego z ograniczeniem do 3 transakcji
pod rząd, potem wymuszenie chipu.
> Klientów to jednak wkurzało - i musieli dokupić pełnię możliwości.
>
> A od połowy przyszłego roku pikaczu bezpinowe będzie do 100zł :)
>
> Dla mnie pikaczu to ważniejszy wynalazek od samej karty płatniczej - miałem swego
czasu porównanie, bo dostałem z eurobanku visę classic bezpikaczową, której trochę
używałem, bo trzeba było zrobić 35 transakcji rocznie dla bezpłatności - i wygoda w
porównaniu z pikaczową nieporównywalna.
> Może to dlatego, że te czytniki czipów takie nieżyciowe - bo z paskiem porównania
nie mam (jak miałem pierwszą i być może drugą debetówkę paskową z mBąka to kartą
ciężko było jeszcze płacić - bodajże w markecie budowlanym tylko płaciłem, a reszta
użyć to bankomat), ale wydaje mi się, że swipe to była fajna rzecz.
> Choć to też potrafili niektórzy schrzanić - dla mnie naturalny jest swipe w
kierunku do siebie, a np. w pekao dawali takie karty id klienta i przy kasach mieli
czytniki - i tak był swipe od siebie, dziki taki.
> A tacy Amerykanie przeskoczyli z paska na pikacza - widać, że to mądry naród ;>
>
W latach 90-tych robiliśmy system kontroli dostępu na karty paskowe. Do
głowy by nam nie przyszło zrobić czytnik który nie odczyta karty jak się
ją przesunie w drugą stronę.
W jednym naszym urządzeniu czytnik był umieszczony poziomo (nad nim
wyświetlacz z czasem). Koncepcja była taka, że jedno urządzenie bez
żadnych guzików pozwala rejestrować i wejścia i wyjścia.
A w którą stronę we a w którą wy, aby się ludziom nie myliło? To proste
jak urządzenie powieszone na ścianie to kartę należy przesunąć w tę
stronę w którą się idzie.
P.G.
-
13. Data: 2018-07-06 16:16:51
Temat: Re: Czy zbliżeniówki są już bezpieczne? ;)
Od: Wojciech Bancer <w...@g...com>
On 2018-07-05, Dawid Rutkowski <d...@w...pl> wrote:
> Teraz jest gorzej - ponad połowa ludzi ma telefon z NFC, którym może odczytać z
Twojej karty dane umożliwiające dokonanie transakcji.
A ktoś policzył prawdopodobnieństwo tej możliwości?
Bo na początku tyle się słyszało o tych skanach kart, pokazywano
raporty jakie to łatwe (oczywiście w warunkach laboratoryjnych i...
cisza).
Ale spoko, pewnie są i ludzie którzy mają schrony wybudowane na wypadek
jakby jednak jakiś meteor pierdalnął w planetę i trzeba by było przeżyć
resztę życia pod ziemią. W końcu szansa na to że meteor nas walnie też
jest niezerowa.
PS. Jak ktoś się boi, że mu karty zeskanują, to niech sobie płaci
smartfonem z biometryką i problem z głowy. :)
--
Wojciech Bańcer
w...@g...com
-
14. Data: 2018-07-06 16:28:55
Temat: Re: Czy zbliżeniówki są już bezpieczne? ;)
Od: Dawid Rutkowski <d...@w...pl>
W dniu piątek, 6 lipca 2018 16:16:55 UTC+2 użytkownik Wojciech Bancer napisał:
> On 2018-07-05, Dawid Rutkowski wrote:
>
> > Teraz jest gorzej - ponad połowa ludzi ma telefon z NFC, którym może odczytać z
Twojej karty dane umożliwiające dokonanie transakcji.
>
> A ktoś policzył prawdopodobnieństwo tej możliwości?
> Bo na początku tyle się słyszało o tych skanach kart, pokazywano
> raporty jakie to łatwe (oczywiście w warunkach laboratoryjnych i...
> cisza).
Oczywiście, sytuację ratuje to, że karty pikaczowe mają naprawdę mikry zasięg, i tak
naprawdę trzeba by kogoś "obszukać" telefonem, jak tym ręcznym wykrywaczem metalu na
lotnisku, żeby kartę odczytać. Może w jakimś naprawdę tłoku w autobusie czy japońskim
pociągu.
I do takich kart jak płatnicze to chyba nie wystarczy czytnik z mocniejszym polem, bo
one chyba naprawdę radiowo nadają, a nie tylko, jak te breloczki unique, więcej albo
mniej generowanego pola zjadają.
> PS. Jak ktoś się boi, że mu karty zeskanują, to niech sobie płaci
> smartfonem z biometryką i problem z głowy. :)
O, z tym uważaj, już Zajdej w "Limes inferior" opisał, jak to pomysłowi ludzie
biometrię potrafią obejść. Tam oczywiście była ta najniebezpieczniejsza biometria,
czyli odcisk palca - ale weź tu edukuj bandytów, że biometria z układu naczyń
krwionośnych w palcu działa tylko wtedy, gdy palec jest przytwierdzony do
właściciela...
-
15. Data: 2018-07-06 16:45:27
Temat: Re: Czy zbliżeniówki są już bezpieczne? ;)
Od: "J.F." <j...@p...onet.pl>
Użytkownik "Wojciech Bancer" napisał w wiadomości grup
dyskusyjnych:slrnpjuuek.273l.wojciech.bancer@pl-test
.org...
On 2018-07-05, Dawid Rutkowski <d...@w...pl> wrote:
>> Teraz jest gorzej - ponad połowa ludzi ma telefon z NFC, którym
>> może odczytać z Twojej karty dane umożliwiające dokonanie
>> transakcji.
>A ktoś policzył prawdopodobnieństwo tej możliwości?
>Bo na początku tyle się słyszało o tych skanach kart, pokazywano
>raporty jakie to łatwe (oczywiście w warunkach laboratoryjnych i...
>cisza).
Ale w jakim sensie pr-stwo ?
Jesli 1000 studentow w kraju kupuje dziennie po 5 butelek wodki, to
istotnie szansa ze padnie na mnie jest znikoma.
>PS. Jak ktoś się boi, że mu karty zeskanują, to niech sobie płaci
>smartfonem z biometryką i problem z głowy. :)
I to moze byc dobra rada.
Albo foliowa wkladka do portfela
J.
-
16. Data: 2018-07-07 00:32:15
Temat: Re: Czy zbliżeniówki są już bezpieczne? ;)
Od: MarcinF <m...@i...pl>
W dniu 2018-07-06 o 10:44, Dawid Rutkowski pisze:
> Płatniczej w terminalu za pomocą telefonu, który prześle do terminala dane
odczytane telefonem - tym, czy innym i przesłane netem - z czyjejś karty.
> Z racji nieznajomości przez złodzieja PIN ryzyko jest do 50zł oraz jednej
transakcji dla danej karty.
> Taka jest niestety dziura w pikaczu - ktoś nie pomyślał, żeby to był challenge i
żeby dane były szyfrowane kluczem z terminala, tylko zrobił prostacko - karta na
żądanie terminala (czy też telefonu) wysyła komplet danych potrzebnych do wykonania
transakcji - a dopiero potwierdzenie ich przez terminal, które już jest szyfrowane
(stąd ryzyko tylko jednej transakcji) powoduje, że chip w karcie generuje kolejny
zestaw danych.
Po tym co napisałeś poprzednio wystraszyłem się, że "połowa ludzi" może
okradać posiadaczy kart zbliżeniowych, i bardzo zastanowiło mnie czemu
tak się nie dzieje :)
Teoretyczny atak o którym teraz piszesz jest znany od dawna, ale czy
możesz przytoczyć jakikolwiek potwierdzony przykład?
-
17. Data: 2018-07-07 17:27:07
Temat: Re: Czy zbliżeniówki są już bezpieczne? ;)
Od: Dawid Rutkowski <d...@w...pl>
W dniu sobota, 7 lipca 2018 00:29:15 UTC+2 użytkownik MarcinF napisał:
> W dniu 2018-07-06 o 10:44, Dawid Rutkowski pisze:
>
> > Płatniczej w terminalu za pomocą telefonu, który prześle do terminala dane
odczytane telefonem - tym, czy innym i przesłane netem - z czyjejś karty.
> > Z racji nieznajomości przez złodzieja PIN ryzyko jest do 50zł oraz jednej
transakcji dla danej karty.
> > Taka jest niestety dziura w pikaczu - ktoś nie pomyślał, żeby to był challenge i
żeby dane były szyfrowane kluczem z terminala, tylko zrobił prostacko - karta na
żądanie terminala (czy też telefonu) wysyła komplet danych potrzebnych do wykonania
transakcji - a dopiero potwierdzenie ich przez terminal, które już jest szyfrowane
(stąd ryzyko tylko jednej transakcji) powoduje, że chip w karcie generuje kolejny
zestaw danych.
>
> Po tym co napisałeś poprzednio wystraszyłem się, że "połowa ludzi" może
> okradać posiadaczy kart zbliżeniowych, i bardzo zastanowiło mnie czemu
> tak się nie dzieje :)
> Teoretyczny atak o którym teraz piszesz jest znany od dawna, ale czy
> możesz przytoczyć jakikolwiek potwierdzony przykład?
Mogą o tyle, że mają sprzęt.
Oprogramowania raczej z google play za darmo nie ściągniesz gotowego ;P
Ale open source'owy "czytnik kart bankowych" jest dostępny, oczywiście ze źródłami.
Przykładu nie mam, ale banki chwalić się tym nie będą.
Luka jest ewidentna, na szczęście nie jest łatwa do wykorzystania.
Atak trudny a zysk mały.
Ciekawe, czy wzięli się za jej usunięcie - trzeba by zmienić protokół (oczywiście w
okresie przejściowym będą dostępne oba) oraz wymienić karty i terminale. Karty to
łatwe, 3 do 5 lat (np. w db, jak KNF kazał udostępnić wyłączanie pikacza, to nie
dość, że udostępnili rok później niż był nakaz, to się okazało, że w mojej karcie nie
można wyłączyć - dopiero po wznowieniu), ale ile żyje terminal?
-
18. Data: 2018-07-07 21:20:04
Temat: Re: Czy zbliżeniówki są już bezpieczne? ;)
Od: MarcinF <m...@i...pl>
W dniu 2018-07-07 o 17:27, Dawid Rutkowski pisze:
> Przykładu nie mam, ale banki chwalić się tym nie będą.
To nie jest atak na konkretny bank, tylko na cały system więc
raczej trudno byłoby to ukrywać.
> Luka jest ewidentna, na szczęście nie jest łatwa do wykorzystania.
> Atak trudny a zysk mały.
A czy przypadkiem opóźnienie jakie wprowadza połączenie
nie wyklucza tego ataku w praktyce?
-
19. Data: 2018-07-08 08:16:03
Temat: Re: Czy zbliżeniówki są już bezpieczne? ;)
Od: xbartx <x...@b...net>
On 06.07.2018 09:56, Piotr Gałka wrote:
> Poz tymi, co czasem (ale dawniej) widywałem w linkach wskazanych tutaj
> na grupie osobiście rozmawiałem ze sprzedawczynią w kwiaciarni, która
> twierdziła, że jak jej wcisnęli kartę zbliżeniową to kiedyś nagle
> pojawiło jej się na karcie kilka transakcji do 50zł, których na pewno
> nie robiła. Jej walka z bankiem była bezskuteczna. W związku z tym
> zrezygnowała z karty i już nigdy nie ma zamiaru używać zbliżeniowych.
> Ale to też się działo kilka lat temu i jest to zasłyszane od nieznanej
> osoby.
Myślę, że to jest tak zwane "pierdolenie o Szopenie" :)
Poczytajcie sobie o atakach na karty i sami oceńcie czy komuś by się
chciało dla tych kilku transakcji do 50 zł odstawiać taki cyrk - chyba
jakimś filantropowi. Już lepiej ludzi albo giełdy łupić z bitcoinów czy
innych krypto walut.
--
xbartx - Xperimental Biomechanical Android Responsible for Thorough
Xenocide
-
20. Data: 2018-07-08 16:18:49
Temat: Re: Czy zbliżeniówki są już bezpieczne? ;)
Od: RadoslawF <radoslawfl@spam_wp.pl>
W dniu 2018-07-08 o 08:16, xbartx pisze:
>> Poz tymi, co czasem (ale dawniej) widywałem w linkach wskazanych tutaj
>> na grupie osobiście rozmawiałem ze sprzedawczynią w kwiaciarni, która
>> twierdziła, że jak jej wcisnęli kartę zbliżeniową to kiedyś nagle
>> pojawiło jej się na karcie kilka transakcji do 50zł, których na pewno
>> nie robiła. Jej walka z bankiem była bezskuteczna. W związku z tym
>> zrezygnowała z karty i już nigdy nie ma zamiaru używać zbliżeniowych.
>> Ale to też się działo kilka lat temu i jest to zasłyszane od nieznanej
>> osoby.
>
> Myślę, że to jest tak zwane "pierdolenie o Szopenie" :)
> Poczytajcie sobie o atakach na karty i sami oceńcie czy komuś by się
> chciało dla tych kilku transakcji do 50 zł odstawiać taki cyrk - chyba
> jakimś filantropowi. Już lepiej ludzi albo giełdy łupić z bitcoinów czy
> innych krypto walut.
Okradających banki jest niewielu, kieszonkowców są tysiące a może
i setki tysięcy. I to tłumaczy bezsens popularnego powiedzenia "jak
kraść to miliony, jak kochać to księżniczki" jak i bezsens twojego
zdania ze małych sum kraść się nie opłaci.
Pozdrawiam