On 2013-07-13, Krzysztof Halasa <k...@p...waw.pl> wrote:

[...]

>> Gdy pierwszy oszust w sklepie płaci w kasie,
>> to drugi ma mało czasu, by "rozganizować" transmisję z jakąś inną kartą.
>
> To może niech to "organizuje" np. minutę wcześniej. To nie jest chyba
> tak, że oszuści muszą robić to, co jest dla nich najmniej korzystne?

Ale co ma zorganizować wcześniej? Jak zsynchronizujesz gościa jadącego
w autobusie i siedzącego z czytnikiem koło "klienta" i jednocześnie
oddalonego o nieznaną odległość kupującego?

>> Dozwolony czas transakcji to na ogół pół sekundy, choć może to trwać
>> dłużej - terminal może czekać na odpowiedź karty nawet kilka sekund,
>> więc teoretycznie jest czas na połączenie z urządzeniem drugiego oszusta
>> (w autobusie, metrze czy innym zatłoczonym miejscu - jak w
>> przykładzie).
>
> Przy czym to jest zarówno teoretycznie jak i praktycznie, a dodatkowo
> jest dużo zapasu czasu.

No ja akurat bardziej jestem skłonny uwierzyć w to, że nie ma tego czasu
aż tak dużo.

>> Drugi oszust nie tylko ma mało czasu - musi być też w odległości maksymalnie
>> 30 cm od posiadaczy kart zbliżeniowych.
>
> Nawet gdyby, chociaż pisałem już że używam seryjnego czytnika o nieco
> większym zasięgu, i jestem przekonany że potrafiłbym zmontować jeszcze
> dużo lepszy (przy czym opieram swoje zdanie na moim wieloletnim
> doświadczeniu w elektronice oraz m.in. na tym, że moja praca,
> w niewielkiej części, dotyczy właśnie konstrukcji czytników NFC).
>
> Nawet gdyby to było tylko 30 cm, to wciąż nie jest to wielkim problemem
> w np. komunikacji zbiorowej.

Jak nie? Komunikacja zbiorowa to ciągły ruch przecież. Jak chcesz długotrwale
uzyskać dobry namiar (zauważ jak na tych wszystkich filmikach się ludzie muszą
nastarać i wycelować) i w dodatku zagwarantować stałość i szybkość połączenia
internetowego pomiędzy urządzeniami?

>> I - aby sczytać dane kart
>> w czasie rzeczywistym, co jest niezbędne do realizacji transakcji - musi
>> utrzymywać urządzenie, za pomocą którego chce się połączyć z kartą,
>> w pozycji stabilnej - co w warunkach panujących w autobusie czy innym
>> zatłoczonym miejscu może być trudne" - piszą mi ludzie z MasterCarda.
>
> ... tzn. nie należy kręcić zbyt szybko anteną, tak? Kto by pomyślał.

Rozumiem że jesteś typem człowieka któremu ręka nie drgnie niezależnie od
drgań, kierunku i szybkości poruszania się pojazdu? Respekt.

>> A więc ich zdaniem operacja musi się zmieścić w kilku sekundach,
> Aż tyle czasu nawet nie potrzeba

To zobacz ile zajmuje odczyt strony internetowej w autobusie.
Bo ja na jednej trasie mam różnice między 100ms a timeout.
Z przewagą czasu > 1s. Na EDGE jest jeszcze gorzej.

>> teoretycznie może udałoby się zdążyć, ale praktycznie, jeżeli jeden
>> oszust jest w sklepie, drugi w tłumie, to najczęściej nie jest to idealny
>> zasięg i sieć jest obciążona, więc opóźnienia będą spore - i w dodatku
>> zmienne (są widoczne nawet jeżeli telefon łączy się z serwerem, a co
>> dopiero z drugim telefonem)".
>
> Tak czy owak ten atak jest zarówno teoretycznie jak i praktycznie
> możliwy, i prawdopodobieństwo, że dana próba się powiedzie jest znacznie
> większe niż 90%. Dodatkowo, niepowodzenie nie niesie ze sobą żadnych
> negatywnych dla oszustów skutków, np. próba oszustwa nie wychodzi na
> jaw.

No to jest Twoja ocena sytuacji. Ja uważam inaczej. I jak widać
nie tylko ja.

>> W MasterCardzie przedstawiają sprawę w kategoriach zabawy dla
>> hobbystów, a nie zajęcia dla poważnych ludzi od dużych fraudów.
>
> Trudno się spodziewać by powiedzieli "daliśmy ciała, to wszystko jest do
> d*, w sumie wiedzieliśmy o tym od zawsze, ale dla nas liczy się nasza
> kasa, nie bezpieczeństwo jakichś tam klientów".

A z drugiej strony, skoro te fraudy są takie banalne i proste, to czemu
jeszcze nikt tego na większą skalę nie zrobił?

--
Wojciech Bańcer
p...@p...pl