On 2013-07-12, Krzysztof Halasa <k...@p...waw.pl> wrote:

[...]

>> Masz gdzieś opis faktycznego sklonowania i wykorzystania takiego
>> klona, czy tylko się jarają wszyscy tym że można sobie jakieś dane z karty
>> odczytać bezstykowo? Co zrobisz z tym swoim scalakiem skoro terminal działa
>> na zasadzie challenge-response?
>
> Najgroźniejszym atakiem jest przetunelowanie całego ruchu. Wtedy nawet
> reklamacja w banku nic nie da, ofiara będzie mieć na karcie ślad po tej
> transakcji :-( Coś takiego IMHO podpada pod definicję "narzędzia
> niebezpiecznego dla użytkownika".

No ale na jaką odległość chcesz te tunelowanie przeprowadzić? Właśnie
o to chodzi, że przecież tu trzeba zsynchronizować w tym momencie kupującego
i skanującego. Od początku piszę, że największym "wyzwaniem" nie jest
technologia, ale konieczność synchronizacji i operacji f2f. A zasięg
czytnika 50 cm, czy nawet 1m to nadal zasięg przy którym trzeba dziwnie
się do ludzi kleić. Pal tam sześć jakby to było "na chwilkę", ale biorąc
pod uwagę, że druga osoba musi mieć czas dokonać tego zakupu i zakładając
czystość punktu sprzedaży, to taka operacja robi się wybitnie ryzykowna.

> Jeśli chodzi o klonowanie, to możliwe że sklonowanie karty Paywave może
> być problemem, ze względu na podpisywanie danych kluczem asymetrycznym
> (przez kartę). Paypass tego nie robi (stąd m.in. brak możliwości podania
> PINu przy wyższej kwocie - bo mógłby zostać przechwycony).

Już bardziej uwierzę, że największym problemem jest odczytanie numeru
karty. Bo to potem można spróbować wykorzystać w internecie. No ale
przed tym w PL akurat dużo banków pozwala się zabezpieczyć.

--
Wojciech Bańcer
p...@p...pl