Wojciech Bancer <p...@p...pl> writes:

> W MasterCardzie mają i inne wątpliwości. "W opisywanym przypadku od strony
> technicznej wszystko jest teoretycznie wykonalne. Ale tylko teoretycznie
> i w warunkach laboratoryjnych.

A dają gwarancję na to "tylko"?

> Gdy pierwszy oszust w sklepie płaci w kasie,
> to drugi ma mało czasu, by "rozganizować" transmisję z jakąś inną kartą.

To może niech to "organizuje" np. minutę wcześniej. To nie jest chyba
tak, że oszuści muszą robić to, co jest dla nich najmniej korzystne?

> Dozwolony czas transakcji to na ogół pół sekundy, choć może to trwać
> dłużej - terminal może czekać na odpowiedź karty nawet kilka sekund,
> więc teoretycznie jest czas na połączenie z urządzeniem drugiego oszusta
> (w autobusie, metrze czy innym zatłoczonym miejscu - jak w
> przykładzie).

Przy czym to jest zarówno teoretycznie jak i praktycznie, a dodatkowo
jest dużo zapasu czasu.

> Drugi oszust nie tylko ma mało czasu - musi być też w odległości maksymalnie
> 30 cm od posiadaczy kart zbliżeniowych.

Nawet gdyby, chociaż pisałem już że używam seryjnego czytnika o nieco
większym zasięgu, i jestem przekonany że potrafiłbym zmontować jeszcze
dużo lepszy (przy czym opieram swoje zdanie na moim wieloletnim
doświadczeniu w elektronice oraz m.in. na tym, że moja praca,
w niewielkiej części, dotyczy właśnie konstrukcji czytników NFC).

Nawet gdyby to było tylko 30 cm, to wciąż nie jest to wielkim problemem
w np. komunikacji zbiorowej.

> I - aby sczytać dane kart
> w czasie rzeczywistym, co jest niezbędne do realizacji transakcji - musi
> utrzymywać urządzenie, za pomocą którego chce się połączyć z kartą,
> w pozycji stabilnej - co w warunkach panujących w autobusie czy innym
> zatłoczonym miejscu może być trudne" - piszą mi ludzie z MasterCarda.

... tzn. nie należy kręcić zbyt szybko anteną, tak? Kto by pomyślał.

> A więc ich zdaniem operacja musi się zmieścić w kilku sekundach,

Aż tyle czasu nawet nie potrzeba

> W MasterCardzie twierdzą też, że przeszkodą do fraudu typu relay attack
> może też być kwestia jakości połączenia internetowego między smartfonem
> znajdującym się w sklepie i tym, który ma być blisko tłumu posiadaczy
> kart zbliżeniowych.

Taaak, problemem może być także rozładowanie się baterii, albo nagła
utrata przytomności przez jednego z oszustów. Impuls elektromagnetyczny,
i przerwa w działaniu telefonów też przychodzą mi do głowy.

> W laboratorium, przy małym obciążeniu sieci i telefonu

A no tak, za duże obciążenie telefonu. Może ktoś ogląda na nim film
podczas ataku.

> teoretycznie może udałoby się zdążyć, ale praktycznie, jeżeli jeden
> oszust jest w sklepie, drugi w tłumie, to najczęściej nie jest to idealny
> zasięg i sieć jest obciążona, więc opóźnienia będą spore - i w dodatku
> zmienne (są widoczne nawet jeżeli telefon łączy się z serwerem, a co
> dopiero z drugim telefonem)".

Tak czy owak ten atak jest zarówno teoretycznie jak i praktycznie
możliwy, i prawdopodobieństwo, że dana próba się powiedzie jest znacznie
większe niż 90%. Dodatkowo, niepowodzenie nie niesie ze sobą żadnych
negatywnych dla oszustów skutków, np. próba oszustwa nie wychodzi na
jaw.

> No i kolejny problem: kwestia możliwości
> czytania karty, która jest w portfelu lub kieszeni. "Sczytanie karty
> w autobusie czy metrze może i jest możliwe w warunkach laboratoryjnych,
> ale trzeba mieć dobrą antenę, solidny wzmacniacz oraz mocne zasilanie,
> do tego brak zakłóceń. Nie wystarczy zatem sam telefon, tylko trzeba
> już podróżować z większym sprzętem"

To akurat prawda, najlepiej mieć większą antenę (jeśli chodzi
o wymiary). Nie jest to jednak żadnym praktycznym problemem.

> W MasterCardzie przedstawiają sprawę w kategoriach zabawy dla
> hobbystów, a nie zajęcia dla poważnych ludzi od dużych fraudów.

Trudno się spodziewać by powiedzieli "daliśmy ciała, to wszystko jest do
d*, w sumie wiedzieliśmy o tym od zawsze, ale dla nas liczy się nasza
kasa, nie bezpieczeństwo jakichś tam klientów".
--
Krzysztof Hałasa