On 2013-07-12, Piotrek <p...@p...na.berdyczow.info> wrote:

[...]

>> A możesz konkretnie zacytować w którym miejscu?
> Zaraz po tytule :-)

No przecież zastosowano. A że nie w każdych warunkach są skuteczne?
No to o tym mówiłem. :)

--
Wojciech Bańcer
p...@p...pl

do góry

On 2013-07-12 15:22, Wojciech Bancer wrote:
> No przecież zastosowano. A że nie w każdych warunkach są skuteczne?
> No to o tym mówiłem. :)

Tia, jajeczko częściowi nieświeże ...

Warunki w których zastosowane zabezpieczenia *nie* działają nie są jakoś
szczególnie kosmiczne. I możesz stracić kasę nie wypuszczając karty z
ręki/portfela.

Być może na razie nie opłaca się na masową skalę robić fraudów na
płatnościach zbliżeniowych. Ale to nie oznacza, że za chwilę kwota nie
zostanie zwiększona, albo środki techniczne niezbędne do bezstresowego
fraudowania nie stanieją. I wtedy zacznie się opłacać.

Dlatego uczciwe byłoby umożliwienie rezygnacji z tej super-bezpiecznej
technologii dla tych bardziej świadomych/strachliwych. Albo wzięcie na
klatę konsekwencji stosowania technologii, której zabezpieczania - jak
byłeś łaskaw napisać - nie w każdych warunkach są skuteczne.

I tyle :-) EOT

Piotrek

do góry

On 2013-07-12, Piotrek <p...@p...na.berdyczow.info> wrote:

[...]

> Warunki w których zastosowane zabezpieczenia *nie* działają nie są jakoś
> szczególnie kosmiczne. I możesz stracić kasę nie wypuszczając karty z
> ręki/portfela.
>
> Być może na razie nie opłaca się na masową skalę robić fraudów na
> płatnościach zbliżeniowych. Ale to nie oznacza, że za chwilę kwota nie
> zostanie zwiększona, albo środki techniczne niezbędne do bezstresowego
> fraudowania nie stanieją. I wtedy zacznie się opłacać.

Na żadną skalę się to nie opłaca. :)

> Dlatego uczciwe byłoby umożliwienie rezygnacji z tej super-bezpiecznej
> technologii dla tych bardziej świadomych/strachliwych.

Jest. Nazywa się gotówka. :)

--
Wojciech Bańcer
p...@p...pl

do góry

Wojciech Bancer <p...@p...pl> writes:

> Krótka piłka. PO zastrzeżeniu taka transakcja to problem banku.
> Nawet jak się pojawi. Cały dramat i darcie szat tutaj dotyczy
> okresu pomiędzy zgubieniem, a zastrzeżeniem.

Problem w tym rozumowaniu jest taki, że po zastrzeżeniu karty żadna
dodatkowa transakcja już się nie pojawi. Jeśli się pojawiła, to znaczy,
że bank karty nie zastrzegł. Tzn. oczywiście z punktu widzenia układów
z klientem może zastrzegł.
--
Krzysztof Hałasa

do góry

Wojciech Bancer <p...@p...pl> writes:

>> Nie, jedno i drugie jest zagrożeniem. Tyle że transakcje off-line mają
>> swoje pozytywne strony, natomiast transakcje bezstykowe - tak średnio.
>
> Jedno i drugie ma dokładnie tą samą zaletę. Jest wygodne.

Transakcje stykowe także są wygodne. Dodatkowo, są (podobno) minimalnie
szybsze. No chyba że piszesz o potrzebie lub braku potrzeby podawania
PINu - ale to nie jest różnica wynikająca z warunków technicznych.

> To jaki wg Ciebie to jest zasięg? Bo wg mnie taki, żeby conajmniej pokracznie
> wyglądać i zwracać na siebie uwagę "szurając" po ludziach. To wcale nie jest
> podejrzane. Nic a nic.

Jasne że nie. Bez najmniejszego problemu można mieć czytnik, który
przeczyta kartę w promieniu 50 cm. Wiem, bo takiego rutynowo używam
(nie, to nie jest czytnik EMV). To oczywiście nie oznacza, że nie można
mieć większego zasięgu, jasne że można (aczkolwiek trzeba pojechać
z mocą dość brutalnie).

> I czy na pewno dane uzyskane przez taki odczyt wystarczą do wykonania transakcji
> bezstykowej?

Jasne. Dodatkowo, praktycznie nie ma możliwości obrony przed takim
atakiem. Największe zagrożenie dla atakującego to monitoring - możesz
chyba ocenić skalę tego zagrożenia i ochrony przed nim.

> Masz gdzieś opis faktycznego sklonowania i wykorzystania takiego
> klona, czy tylko się jarają wszyscy tym że można sobie jakieś dane z karty
> odczytać bezstykowo? Co zrobisz z tym swoim scalakiem skoro terminal działa
> na zasadzie challenge-response?

Najgroźniejszym atakiem jest przetunelowanie całego ruchu. Wtedy nawet
reklamacja w banku nic nie da, ofiara będzie mieć na karcie ślad po tej
transakcji :-( Coś takiego IMHO podpada pod definicję "narzędzia
niebezpiecznego dla użytkownika".

Jeśli chodzi o klonowanie, to możliwe że sklonowanie karty Paywave może
być problemem, ze względu na podpisywanie danych kluczem asymetrycznym
(przez kartę). Paypass tego nie robi (stąd m.in. brak możliwości podania
PINu przy wyższej kwocie - bo mógłby zostać przechwycony).
--
Krzysztof Hałasa

do góry

Krzysztof Halasa <k...@p...waw.pl> writes:

[...]>
> Jeśli chodzi o klonowanie, to możliwe że sklonowanie karty Paywave może
> być problemem, ze względu na podpisywanie danych kluczem asymetrycznym
> (przez kartę). Paypass tego nie robi (stąd m.in. brak możliwości podania
> PINu przy wyższej kwocie - bo mógłby zostać przechwycony).

Czegoś nie rozumiem. Płaciłem wielokrotnie PayPassem (nie PayWave) >50 i
potwierdzałem pinem.
KJ

--
http://blogdebart.pl/2009/12/22/mamy-chorych-dzieci/
I want a WESSON OIL lease!!

do góry

Piotrek <p...@p...na.berdyczow.info> writes:

> Być może na razie nie opłaca się na masową skalę robić fraudów na
> płatnościach zbliżeniowych.

Wątpię. To po prostu względnie nowa technologia, a ludzie, którzy się
znają na takich rzeczach, typowo mają lepsze zajęcia. Ale to nie znaczy,
że to się nie opłaca, i na pewno nie świadczy o żadnym bezpieczeństwie.

> Ale to nie oznacza, że za chwilę kwota nie
> zostanie zwiększona, albo środki techniczne niezbędne do bezstresowego
> fraudowania nie stanieją. I wtedy zacznie się opłacać.

Środki techniczne są ekstremalnie tanie. Typowy hobbista elektronik,
interesujący się radiem i cyfrówką, zapewne ma potrzebne rzeczy w domu.
Jeśli nie chciałby zbyt dużo czytać, tylko zrobić to jak najprościej się
da, to lepiej zrobić układ w oparciu o specjalizowanego scalaka, tego
pewnie musiałby kupić. Koszt typu 50 zł z dostawą.
Można oczywiście pokombinować inaczej, np. zrobić to "na piechotę", to
nic trudnego. Wtedy wymagane większe doświadczenie.

> Dlatego uczciwe byłoby umożliwienie rezygnacji z tej super-bezpiecznej
> technologii dla tych bardziej świadomych/strachliwych. Albo wzięcie na
> klatę konsekwencji stosowania technologii, której zabezpieczania - jak
> byłeś łaskaw napisać - nie w każdych warunkach są skuteczne.

To trochę tak jakby pisać o zabezpieczeniach kart magnetycznych. "Nie
w każdych warunkach skuteczne". Niestety tu są inne warunki,
w szczególności karta może być cały czas w portfelu pod kontrolą
klienta.
--
Krzysztof Hałasa

do góry

Chris94 <chris94@WYTNIJ_TO.poczta.fm> writes:

> Nie wiem na jakiej zasadzie pomoże, ale w moim przypadku przecięcie
> antenki pomogło!

Tylko pamiętaj, że ją można (być może łatwo) naprawić.

> Poprzednio wszystkie moje transakcje bezstykowe na kwoty do 50 zł były
> akceptowane bez autoryzacji, a po przecięciu antenki wszystkie operacje
> odbywają się on-line i są autoryzowane PIN-em.

Szczerze mówiąc nie rozumiem jaka idea przyświeca twórcom tej
"technologii". Transakcje bezstykowe, przy których nie mamy pewności,
czy nie jest to fraud (atak z tunelem jest praktycznie nie do obrony,
jest oczywisty i wynika z podstawowych założeń), nie są autoryzowane.
Dokładnie takie same transakcje stykowe, w przypadku których wiemy, że
oryginalna karta jest fizycznie podpięta do czytnika (nie wiemy czy do
naszego, ale w wersji minimum musi być fizycznie ukradziona) - są
PINowane i autoryzowane. Nie żeby oczywiście ta autoryzacja robiła
aż tak wielką różnicę.

> Facetowi buchnęli kasę z konta, a my mamy aż za dużo przypadków
> potwierdzających praktykę banku, że w takiej sytuacji standardowo
> obciąża się klienta kosztami fraudu do wysokości 150 EUR.

Tak jest jeśli chodzi o transakcje utraconą kartą.
Natomiast co się dzieje, jeśli okaże się, że transakcje zostały
przeprowadzone tą kartą (z proxy)? Coś słabo widzę taką reklamację.
--
Krzysztof Hałasa

do góry

Piotr Gałka <p...@c...pl> writes:

> Nie jest tak źle. To jest 32 pin raster 0,5mm. Solder maska wchodzi
> między piny ułatwiając lutowanie.

Ja nie twierdzę że to jest trudne, zwłaszcza jeśli ktoś ma płytkę pod
taką obudowę (aczkolwiek z tym wchodzeniem solder maski między piny, czy
w każdym razie kontakty, to nie do końca rozumiem - na moich płytkach
solder maska raczej się nie porusza).

Natomiast jeśli ktoś np. ma płytkę uniwersalną "srebrzoną", nie ma
miejsca pod taką obudowę, tylko musi zrobić "pająka", i jeszcze używa
jakiejś lutownicy z czasów kamienia łupanego albo do innych rynien, to
jest to trudniejsze.
--
Krzysztof Hałasa

do góry

Dnia Fri, 12 Jul 2013 22:38:15 +0200, Krzysztof Halasa napisał(a):
> Szczerze mówiąc nie rozumiem jaka idea przyświeca twórcom tej
> "technologii". Transakcje bezstykowe, przy których nie mamy pewności,
> czy nie jest to fraud (atak z tunelem jest praktycznie nie do obrony,
> jest oczywisty i wynika z podstawowych założeń), nie są autoryzowane.
> Dokładnie takie same transakcje stykowe, w przypadku których wiemy, że
> oryginalna karta jest fizycznie podpięta do czytnika (nie wiemy czy do
> naszego, ale w wersji minimum musi być fizycznie ukradziona) - są
> PINowane i autoryzowane. Nie żeby oczywiście ta autoryzacja robiła
> aż tak wielką różnicę.

No coz, moze i styki na chipie sie wycieraja zbyt szybko.

A moze przekonali supermarkety ze wydajnosc kasjerow wzrosnie o 20%, a
to jest warte 1% prowizji, a fraudow jest znacznie mniej :-)

Bo cos rosna nagrody za platnosc kartami i to dziwne ze wlasnie z
supermarketow i stacji paliwowych ...

>> Facetowi buchnęli kasę z konta, a my mamy aż za dużo przypadków
>> potwierdzających praktykę banku, że w takiej sytuacji standardowo
>> obciąża się klienta kosztami fraudu do wysokości 150 EUR.
>
> Tak jest jeśli chodzi o transakcje utraconą kartą.
> Natomiast co się dzieje, jeśli okaże się, że transakcje zostały
> przeprowadzone tą kartą (z proxy)? Coś słabo widzę taką reklamację.

Szczegolnie jak na bliska odleglosc ..

J.

do góry