On Sat, 4 May 2013 12:11:07 -0700 (PDT), dziadek <a...@w...pl>
wrote:

>/.../złodziej ukradnie wam cały portfel z dowodem osobistym i pójdzie po pożyczkę do
jakiegoś "ambergolda" lub kupi coś na raty na wasz dowód.
i przypadkiem złodziejem będzie brat bliźniak lub siostra bliźniaczka?
--
pozdrawiam,
Jarek Andrzejewski

do góry

Jacek Osiecki <j...@c...pl> writes:

>> Tylko jest pewna drobna różnica: scalak w karcie bardzo mocno podnosi
>> bezpieczeństwo. PIN + scalak - jeszcze bardziej.
>
> Podnosi bezpieczeństwo, ale BANKU. Bezpieczeństwo klienta OBNIŻA.
> Zwłaszcza w takim Citi, gdzie nie da się zablokować transakcji gotówkowych
> i wystarczy że złodziej ukradnie kartę po tym jak podglądnie PIN, by zostać
> wyruchanym na wartość limitu kredytowego w pierwszym lepszym
> bankomacie...

Jest pewien drobny problem w tym rozumowaniu. Problem wielokrotnie
potwierdzony w praktyce. Mianowicie bezpieczeństwo klienta jest
w praktyce równe bezpieczeństwu banku (w takim sensie, że to strona
banku, a nie strona sprzedawcy płaci za fraud). Owszem, są pewne
modyfikatory tej zależności (np. w USA "zero liability", które ma
zastosowanie w pewnych okolicznościach), ale co do zasady jest tak jak
napisałem.

>> Natomiast bezstykowość podobnie mocno to bezpieczeństwo obniża.
>
> Niespecjalnie obniża, jeśli się ją stosuje prawidłowo (czyli nie tak jak
> mBank) - po 3 transakcjach kolejna jest online i weryfikowana PINem.

A po co online? Zwłaszcza jeśli z PINem.

Problem w tym, że transakcje bezstykowe powodują, że bezpieczeństwo
klienta przestaje być pod jego kontrolą. Innymi słowy, klient zaczyna
odpowiadać za zdażenia, na które nie miał żadnego wpływu, ani nawet nie
mógł mieć o nich żadnej wiedzy. Jest to zaprzeczenie podstawowej zasady
odpowiedzialności.

Zauważ, że w taki sposób można też (np. paypassem) dokonać transakcji na
większą kwotę (także pojedynczej, znając PIN, a więc informację
pozostającą poza kontrolą klienta).

W skrócie - PIN jest bardzo słabym zabezpieczeniem, które jednak
znakomicie zmniejsza szanse fraudu w połączeniem z innymi
zabezpieczeniami (np. silniejszymi, typu "fizyczne posiadanie stykowej
karty kryptograficznej"). PIN nie może być więc traktowany jako
obciążający klienta (bo niczego nie dowodzi), ale może być ostatnią
deską ratunku, gdy podstawowe zabezpieczenie przestanie działać.

W przypadku kart bezstykowych nie ma tego podstawowego zabezpieczenia,
wszystko od razu opiera się na tej ostatniej desce ratunku i na
szacowaniu statystycznych strat.

> Rzekłbym, że w przypadku karty Citi bezpieczeństwo jest wyższe - mniejsza
> szansa że ktoś zobaczy wpisywany PIN :)

Fraudy polegające na podpatrzeniu (itp) PINu _i_ kradzieży karty prawie
nie istnieją, w porównaniu do "zwykłych" kradzieży karty lub do
"zwykłych" podpatrzeń PINu (które jednak w przypadku kart tylko
stykowych nie są nigdy związane z fraudami).
--
Krzysztof Halasa

do góry

Jacek Osiecki <j...@c...pl> writes:

> Bo w mBanku zamiast po ludzku nałożyć limit na ilość operacji offline -
> debile zablokowali transakcje offline. W Rossmanie pewnie też będziesz miał
> problemy z płaceniem...

Nie wiem jak to działa w mBanku, ale operacje offline same z siebie nie
są niczym złym. Offline PIN + czarna lista i można byłoby płacić tak
szybko jak kiedyś, i nie mniej bezpiecznie niż kiedykolwiek.

To operacje bezstykowe (i w ogóle interface bezstykowy) są złe.
--
Krzysztof Halasa

do góry

Użytkownik "Krzysztof Halasa" <k...@p...waw.pl> napisał w wiadomości
news:m338tt92ec.fsf@intrepid.localdomain...
>
> Nie wiem jak to działa w mBanku, ale operacje offline same z siebie nie
> są niczym złym. Offline PIN + czarna lista i można byłoby płacić tak
> szybko jak kiedyś, i nie mniej bezpiecznie niż kiedykolwiek.
>
> To operacje bezstykowe (i w ogóle interface bezstykowy) są złe.

Mam inne zdanie. Bezstykowy interface karty sam w sobie nie jest zły.
Styki się nie wycierają. Nie grozi mu uwalenie przez wyładowanie
elektrostatyczne. Karty powinny być trwalsze.
Problemem jest to że bez PINu.
Gdyby offline bezstykowo z PINem było stosowane to w bezpieczeństwie prawie
by się nie różniło od offline stykowo z PINem.
Tak samo online bezstykowo z PINem od online stykowo z PINem.
Możliwość podsłuchania komunikacji RFID (prawdopodobnie z odległości rzędu
1m) niewiele wnosi bo jest ona (chyba) dobrze kodowana.
P.G.

do góry

Piotr Gałka <p...@c...pl> writes:

> Mam inne zdanie. Bezstykowy interface karty sam w sobie nie jest zły.

Fajnie by było gdyby tak było. Ale nie jest.

> Styki się nie wycierają. Nie grozi mu uwalenie przez wyładowanie
> elektrostatyczne. Karty powinny być trwalsze.

Karty są trwałe. Koszt karty jest minimalny, a plastik wystarcza na
lata. Jeśli ktoś wykonuje 500 transakcji miesięcznie to może nie, ale
wtedy koszt karty procentowo także nie ma znaczenia.

> Problemem jest to że bez PINu.

To jest tylko niewielka modyfikacja problemu. Sam PIN jest, jak chyba
wiemy (?) bardzo słabym zabezpieczeniem i sam w sobie niewiele daje.

> Gdyby offline bezstykowo z PINem było stosowane to w bezpieczeństwie
> prawie by się nie różniło od offline stykowo z PINem.

Bardzo śmieszne.

Niestety nawet jeśli karta wymaga PINu do każdej transakcji bezstykowej,
to wciąż bez podawania PINu (ani w ogóle praktycznie niczego) można ją
odpytać o takie szczegóły jak imię i nazwisko posiadacza oraz numer,
datę ważności itd. Nie zostaje po tym żaden ślad. Może to zrobić zarówno
dowolna agencja rządowa (np. instalując dodatkowy soft w bramkach np.
w metrze, autobusach czy gdzie tam ich interesuje) jak i dowolna osoba,
która ma odpowiednią motywację i podstawowe umiejętności.

Bez kart bezstykowych można było zbierać dane o poruszaniu się
samochodów (tablice rejestracyjne), ale śledzenie dowolnych ludzi (dużej
i to tej "istotnej" części populacji) nie było możliwe (rozwiązania
bazujące na rozpoznawaniu twarzy chyba słabo się sprawdzają nawet
teraz). Śledzenie ludzi posiadających karty bezstykowe jest trywialne
i praktycznie niewykrywalne (ew. zauważone skanowanie można łatwo
wytłumaczyć bez wzbudzania podejrzeń np. koniecznością wykrywania
wejścia np. własnych pracowników).

BTW to się da łatwo zrobić bezpiecznie, a przynajmniej dużo
bezpieczniej. Szanse na to, że takie organizacje jak VISA i MC o tym nie
wiedziały każdy może sobie sam ocenić, podobnie jak ich (np. częściową)
motywację do wybrania akurat takiego rozwiązania.

> Możliwość podsłuchania komunikacji RFID (prawdopodobnie z odległości
> rzędu 1m) niewiele wnosi bo jest ona (chyba) dobrze kodowana.

"Chyba" to takie niedobre słowo w dziedzinie bezpieczeństwa.

Możliwość pasywnego podsłuchania jest z odległości przynajmniej wielu
metrów (w każdym razie odległość nie jest tu problemem).
Z odległości typu 1 metra to można z kartą normalnie się porozumiewać
(w szczególności, dostarczyć jej zasilanie - być może wymagałoby to
przekroczenia jakichś norm, ale jest technicznie możliwe).
--
Krzysztof Halasa

do góry

Dnia Sun, 12 May 2013 21:13:09 +0200, Krzysztof Halasa napisał(a):

> Niestety nawet jeśli karta wymaga PINu do każdej transakcji bezstykowej,
> to wciąż bez podawania PINu (ani w ogóle praktycznie niczego) można ją
> odpytać o takie szczegóły jak imię i nazwisko posiadacza oraz numer,
> datę ważności itd.

Zdaję sobie sprawę, że przed hipotetycznym czytnikiem, ulokowanym dwa
metry od terminala przy którym płacę, raczej nic mnie nie ocali (no,
rezygnacja z zakupu jedynie), ale czy można liczyć na etui reklamowane
jako "chroniące katy pay pass"?

--
Imka

do góry

Użytkownik "Krzysztof Halasa" <k...@p...waw.pl> napisał w wiadomości
news:m3mws06mgq.fsf@intrepid.localdomain...

>> Mam inne zdanie. Bezstykowy interface karty sam w sobie nie jest zły.
>
[...]

>> Gdyby offline bezstykowo z PINem było stosowane to w bezpieczeństwie
>> prawie by się nie różniło od offline stykowo z PINem.
>
> Bardzo śmieszne.
>
> Niestety nawet jeśli karta wymaga PINu do każdej transakcji bezstykowej,
> to wciąż bez podawania PINu (ani w ogóle praktycznie niczego) można ją
> odpytać o takie szczegóły jak imię i nazwisko posiadacza oraz numer,
> datę ważności itd. Nie zostaje po tym żaden ślad.

Winisz interface za niedoskonałości protokołu.

> Bez kart bezstykowych można było zbierać dane o poruszaniu się
> samochodów (tablice rejestracyjne), ale śledzenie dowolnych ludzi (dużej
> i to tej "istotnej" części populacji) nie było możliwe (rozwiązania
> bazujące na rozpoznawaniu twarzy chyba słabo się sprawdzają nawet
> teraz). Śledzenie ludzi posiadających karty bezstykowe jest trywialne
> i praktycznie niewykrywalne

Moim zdaniem to też wina protokołu a nie bezstykowego interface'u.
Jakby protokół był odpowiedni to dało by się jedynie stwierdzić, że ktoś z
kartą znalazł się w pobliżu. Czyli niewiele więcej niż czujką ruchu.
Karta nie powinna dać się w żaden sposób zidentyfikować przez nieuprawnione
osoby.
Ale muszę się zgodzić że śledzenie przez tych uprawnionych jest faktycznie
problemem, o którym nie pomyślałem.
A że protokoły są (może celowo) bez sensu to i śledzenie przez
nieuprawnionych jest możliwe.

>> Możliwość podsłuchania komunikacji RFID (prawdopodobnie z odległości
>> rzędu 1m) niewiele wnosi bo jest ona (chyba) dobrze kodowana.
>
> "Chyba" to takie niedobre słowo w dziedzinie bezpieczeństwa.

Bardzo niedobre w ustach osoby odpowiedzialnej za dany system.
Ale w ustach kogoś kto nie wie, ale ma prawo podejrzewać że tak jest słowo
"chyba" jest (chyba) do przyjęcia :-).
P.G.

do góry

Imka <s...@g...pl> writes:

> Zdaję sobie sprawę, że przed hipotetycznym czytnikiem, ulokowanym dwa
> metry od terminala przy którym płacę, raczej nic mnie nie ocali (no,
> rezygnacja z zakupu jedynie), ale czy można liczyć na etui reklamowane
> jako "chroniące katy pay pass"?

Jeśli jest wystarczająco dobre, to tak.

Tzn. teoretycznie można dać dużo większą moc w antenę oraz zwiększyć
mocno czułość (wymaga kilku sztuczek, ale pewnie do zrobienia). Raczej
tylko w przypadku, gdyby ktoś koniecznie chciał zeskanować konkretną
kartę, wiedziałby że jest w ekranie itd.

Oczywiście na naprawdę dobry ekran nie ma rady (wszystko wcześniej
zaczęłoby świecić), ale wątpie czy etui są takimi.
--
Krzysztof Halasa

do góry

Piotr Gałka <p...@c...pl> writes:

>> Niestety nawet jeśli karta wymaga PINu do każdej transakcji bezstykowej,
>> to wciąż bez podawania PINu (ani w ogóle praktycznie niczego) można ją
>> odpytać o takie szczegóły jak imię i nazwisko posiadacza oraz numer,
>> datę ważności itd. Nie zostaje po tym żaden ślad.
>
> Winisz interface za niedoskonałości protokołu.

W ogóle tego nie rozgraniczam, winię "niedoskonałość" istniejących kart.

> Karta nie powinna dać się w żaden sposób zidentyfikować przez
> nieuprawnione osoby.

A jak chciałbyś odróżniać uprawnionych od nieuprawnionych i kto w ogóle
jest uprawniony do śledzenia i na jakiej podstawie?

Tego nie da się w praktyce zrobić. Musiałbyś mieć tajny klucz
(np. certyfikat wystawiony przez organizację, z odpowiednim kluczem
prywatnym). Problem w tym, że np. w każdym państwie mogłoby być wielu
np. ludzi (służb itd.) "uprawnionych", natomiast oni nie byliby nijak
"uprawnieni" np. w pozostałych państwach. Karta jednak nie wie w jakim
państwie się znajduje.
Takie rzeczy jak np. ochrona kluczy (korupcja itd) to już przy tym
drobiazg (banki i inne takie też chronią swoje klucze, chociaż
oczywiście korupcja na specjalnym stanowisku w banku i korupcja
w urzędzie to dwie różne rzeczy). Podobnie rozwiązania sprzętowe itd.,
drobiazgi.

> Bardzo niedobre w ustach osoby odpowiedzialnej za dany system.
> Ale w ustach kogoś kto nie wie, ale ma prawo podejrzewać że tak jest
> słowo "chyba" jest (chyba) do przyjęcia :-).

Wolę takie sformułowanie "nie mam pewności że to jest bezpieczne" :-)
--
Krzysztof Halasa

do góry

Użytkownik "Krzysztof Halasa" <k...@p...waw.pl> napisał w wiadomości
news:m3hai5wlr3.fsf@intrepid.localdomain...
>>
>> Winisz interface za niedoskonałości protokołu.
>
> W ogóle tego nie rozgraniczam, winię "niedoskonałość" istniejących kart.
>
Ja rozgraniczam i dlatego pisałem, że interface zbliżeniowy sam w sobie nie
jest taki zły, a nie że karty zbliżeniowe nie są złe.
Ale zgodzę się absolutnie że takie rozwiązanie jak obecnie jest tak dalekie
od doskonałości, że nie ma co go nawet przyrównywać do doskonałości.
Wygląda na to, że dało by się zrobić urządzenie, które każdego wsiadającego
do tramwaju, autobusu, czy metra witałoby na głos używając jego imienia i
nazwiska. Można by też przechadzać się w tłumie ludzi i każdemu mówić "Cześć
+ imię" twierdząc, że każdy ma swoje imię wypisane w oczach i wystarczy się
dokładniej przyjrzeć :-).

>> Karta nie powinna dać się w żaden sposób zidentyfikować przez
>> nieuprawnione osoby.
>
> A jak chciałbyś odróżniać uprawnionych od nieuprawnionych i kto w ogóle
> jest uprawniony do śledzenia i na jakiej podstawie?
>
> Tego nie da się w praktyce zrobić.

Masz rację. W praktyce się nie za bardzo da. Czytnik musiałby zadawać w
kółko pytania w oparciu o kolejne klucze akceptowanych przez siebie
systemów. Karta odzywała by się tylko gdy rozpozna prawidłowo zakodowane i
podpisane pytanie. Klucze umieszczone w tak wielu miejscach musiały by być
"do zdobycia" dla każdego chcącego.
Pisząc nieuprawniony miałem na myśli wszystkich poza tym systemem płatniczym
z którym ktoś zawarł umowę o kartę. Nie mam zamiaru wnikać kto jest
uprawniony do śledzenia.
P.G.

do góry