Wojciech Bancer <p...@p...pl> writes:

>> Nie, jedno i drugie jest zagrożeniem. Tyle że transakcje off-line mają
>> swoje pozytywne strony, natomiast transakcje bezstykowe - tak średnio.
>
> Jedno i drugie ma dokładnie tą samą zaletę. Jest wygodne.

Transakcje stykowe także są wygodne. Dodatkowo, są (podobno) minimalnie
szybsze. No chyba że piszesz o potrzebie lub braku potrzeby podawania
PINu - ale to nie jest różnica wynikająca z warunków technicznych.

> To jaki wg Ciebie to jest zasięg? Bo wg mnie taki, żeby conajmniej pokracznie
> wyglądać i zwracać na siebie uwagę "szurając" po ludziach. To wcale nie jest
> podejrzane. Nic a nic.

Jasne że nie. Bez najmniejszego problemu można mieć czytnik, który
przeczyta kartę w promieniu 50 cm. Wiem, bo takiego rutynowo używam
(nie, to nie jest czytnik EMV). To oczywiście nie oznacza, że nie można
mieć większego zasięgu, jasne że można (aczkolwiek trzeba pojechać
z mocą dość brutalnie).

> I czy na pewno dane uzyskane przez taki odczyt wystarczą do wykonania transakcji
> bezstykowej?

Jasne. Dodatkowo, praktycznie nie ma możliwości obrony przed takim
atakiem. Największe zagrożenie dla atakującego to monitoring - możesz
chyba ocenić skalę tego zagrożenia i ochrony przed nim.

> Masz gdzieś opis faktycznego sklonowania i wykorzystania takiego
> klona, czy tylko się jarają wszyscy tym że można sobie jakieś dane z karty
> odczytać bezstykowo? Co zrobisz z tym swoim scalakiem skoro terminal działa
> na zasadzie challenge-response?

Najgroźniejszym atakiem jest przetunelowanie całego ruchu. Wtedy nawet
reklamacja w banku nic nie da, ofiara będzie mieć na karcie ślad po tej
transakcji :-( Coś takiego IMHO podpada pod definicję "narzędzia
niebezpiecznego dla użytkownika".

Jeśli chodzi o klonowanie, to możliwe że sklonowanie karty Paywave może
być problemem, ze względu na podpisywanie danych kluczem asymetrycznym
(przez kartę). Paypass tego nie robi (stąd m.in. brak możliwości podania
PINu przy wyższej kwocie - bo mógłby zostać przechwycony).
--
Krzysztof Hałasa