eGospodarka.pl
eGospodarka.pl poleca

eGospodarka.plFinanseGrupypl.biznes.banki › Czy zbliżeniówki są już bezpieczne? ;)
Ilość wypowiedzi w tym wątku: 43

  • 11. Data: 2018-07-06 14:04:51
    Temat: Re: Czy zbliżeniówki są już bezpieczne? ;)
    Od: Dawid Rutkowski <d...@w...pl>

    W dniu piątek, 6 lipca 2018 11:13:33 UTC+2 użytkownik Piotr Gałka napisał:

    > Nie wiem czy masz rację, czy nie, ale wytłumacz proszę na czym według
    > Ciebie polega tu to ograniczenie do jednej transakcji.
    >
    > Jeśli zestaw danych z karty wystarcza do potwierdzenia transakcji to
    > można tego zestawu użyć kolejno w wielu terminalach dopóki one nie są
    > online.

    Dobra uwaga, ale z innego puntu widzenia.
    Złodziej rzeczywiście może zrobić więcej transakcji tymi danymi w terminalach
    offline, ale z punktu widzenia ew. strat klienta, bank może się upierać, że
    "prawidłowo autoryzowana" jest tylko jedna z nich. A nawet taka sytuacja jest dla
    klienta korzystniejsza, bo karta nie ma prawa się tak zachowywać - pomijając
    oczywiście ew. uszkodzenie, co jednak można zweryfikować, bo klient karty nie stracił
    i można ją sprawdzić.
    Inna sprawa że offline to coraz większa rzadkość - stykowe jeszcze bardziej, ale i
    pikaczowe. Z kart, które używam, pikaczowo chodzi KK visa platinum citka, choć ma
    chyba jakieś ograniczenie, po którym zaczyna wymuszać on-line do czasu transakcji z
    chipa. Zaś żabowa KK world nigdy jeszcze nie poszła mi offline - a niby "prime".

    I myślę, że tutaj jest główne zabezpieczenie - poza takimi kuriozami jak te
    nieszczęsne biletomaty we Wrocławiu.
    Bo pomysły były różne - MC od początku szedł na oślep, i ta strategia wygrała, choć
    visa, jako kupujący technologię, na początku wybrała sobie wg mnie rozsądny podzbiór
    - czyli pikaczu jedynie bezpinowe do 50zł, a do tego z ograniczeniem do 3 transakcji
    pod rząd, potem wymuszenie chipu.
    Klientów to jednak wkurzało - i musieli dokupić pełnię możliwości.

    A od połowy przyszłego roku pikaczu bezpinowe będzie do 100zł :)

    Dla mnie pikaczu to ważniejszy wynalazek od samej karty płatniczej - miałem swego
    czasu porównanie, bo dostałem z eurobanku visę classic bezpikaczową, której trochę
    używałem, bo trzeba było zrobić 35 transakcji rocznie dla bezpłatności - i wygoda w
    porównaniu z pikaczową nieporównywalna.
    Może to dlatego, że te czytniki czipów takie nieżyciowe - bo z paskiem porównania nie
    mam (jak miałem pierwszą i być może drugą debetówkę paskową z mBąka to kartą ciężko
    było jeszcze płacić - bodajże w markecie budowlanym tylko płaciłem, a reszta użyć to
    bankomat), ale wydaje mi się, że swipe to była fajna rzecz.
    Choć to też potrafili niektórzy schrzanić - dla mnie naturalny jest swipe w kierunku
    do siebie, a np. w pekao dawali takie karty id klienta i przy kasach mieli czytniki -
    i tak był swipe od siebie, dziki taki.
    A tacy Amerykanie przeskoczyli z paska na pikacza - widać, że to mądry naród ;>


  • 12. Data: 2018-07-06 16:06:00
    Temat: Re: Czy zbliżeniówki są już bezpieczne? ;)
    Od: Piotr Gałka <p...@c...pl>

    W dniu 2018-07-06 o 14:04, Dawid Rutkowski pisze:
    > W dniu piątek, 6 lipca 2018 11:13:33 UTC+2 użytkownik Piotr Gałka napisał:
    >
    >> Nie wiem czy masz rację, czy nie, ale wytłumacz proszę na czym według
    >> Ciebie polega tu to ograniczenie do jednej transakcji.
    >>
    >> Jeśli zestaw danych z karty wystarcza do potwierdzenia transakcji to
    >> można tego zestawu użyć kolejno w wielu terminalach dopóki one nie są
    >> online.
    >
    > Dobra uwaga, ale z innego puntu widzenia.
    > Złodziej rzeczywiście może zrobić więcej transakcji tymi danymi w terminalach
    offline, ale z punktu widzenia ew. strat klienta, bank może się upierać, że
    "prawidłowo autoryzowana" jest tylko jedna z nich. A nawet taka sytuacja jest dla
    klienta korzystniejsza, bo karta nie ma prawa się tak zachowywać - pomijając
    oczywiście ew. uszkodzenie, co jednak można zweryfikować, bo klient karty nie stracił
    i można ją sprawdzić.
    > Inna sprawa że offline to coraz większa rzadkość - stykowe jeszcze bardziej, ale i
    pikaczowe. Z kart, które używam, pikaczowo chodzi KK visa platinum citka, choć ma
    chyba jakieś ograniczenie, po którym zaczyna wymuszać on-line do czasu transakcji z
    chipa. Zaś żabowa KK world nigdy jeszcze nie poszła mi offline - a niby "prime".
    >
    > I myślę, że tutaj jest główne zabezpieczenie - poza takimi kuriozami jak te
    nieszczęsne biletomaty we Wrocławiu.
    > Bo pomysły były różne - MC od początku szedł na oślep, i ta strategia wygrała, choć
    visa, jako kupujący technologię, na początku wybrała sobie wg mnie rozsądny podzbiór
    - czyli pikaczu jedynie bezpinowe do 50zł, a do tego z ograniczeniem do 3 transakcji
    pod rząd, potem wymuszenie chipu.
    > Klientów to jednak wkurzało - i musieli dokupić pełnię możliwości.
    >
    > A od połowy przyszłego roku pikaczu bezpinowe będzie do 100zł :)
    >
    > Dla mnie pikaczu to ważniejszy wynalazek od samej karty płatniczej - miałem swego
    czasu porównanie, bo dostałem z eurobanku visę classic bezpikaczową, której trochę
    używałem, bo trzeba było zrobić 35 transakcji rocznie dla bezpłatności - i wygoda w
    porównaniu z pikaczową nieporównywalna.
    > Może to dlatego, że te czytniki czipów takie nieżyciowe - bo z paskiem porównania
    nie mam (jak miałem pierwszą i być może drugą debetówkę paskową z mBąka to kartą
    ciężko było jeszcze płacić - bodajże w markecie budowlanym tylko płaciłem, a reszta
    użyć to bankomat), ale wydaje mi się, że swipe to była fajna rzecz.
    > Choć to też potrafili niektórzy schrzanić - dla mnie naturalny jest swipe w
    kierunku do siebie, a np. w pekao dawali takie karty id klienta i przy kasach mieli
    czytniki - i tak był swipe od siebie, dziki taki.
    > A tacy Amerykanie przeskoczyli z paska na pikacza - widać, że to mądry naród ;>
    >

    W latach 90-tych robiliśmy system kontroli dostępu na karty paskowe. Do
    głowy by nam nie przyszło zrobić czytnik który nie odczyta karty jak się
    ją przesunie w drugą stronę.

    W jednym naszym urządzeniu czytnik był umieszczony poziomo (nad nim
    wyświetlacz z czasem). Koncepcja była taka, że jedno urządzenie bez
    żadnych guzików pozwala rejestrować i wejścia i wyjścia.
    A w którą stronę we a w którą wy, aby się ludziom nie myliło? To proste
    jak urządzenie powieszone na ścianie to kartę należy przesunąć w tę
    stronę w którą się idzie.
    P.G.


  • 13. Data: 2018-07-06 16:16:51
    Temat: Re: Czy zbliżeniówki są już bezpieczne? ;)
    Od: Wojciech Bancer <w...@g...com>

    On 2018-07-05, Dawid Rutkowski <d...@w...pl> wrote:

    > Teraz jest gorzej - ponad połowa ludzi ma telefon z NFC, którym może odczytać z
    Twojej karty dane umożliwiające dokonanie transakcji.

    A ktoś policzył prawdopodobnieństwo tej możliwości?
    Bo na początku tyle się słyszało o tych skanach kart, pokazywano
    raporty jakie to łatwe (oczywiście w warunkach laboratoryjnych i...
    cisza).

    Ale spoko, pewnie są i ludzie którzy mają schrony wybudowane na wypadek
    jakby jednak jakiś meteor pierdalnął w planetę i trzeba by było przeżyć
    resztę życia pod ziemią. W końcu szansa na to że meteor nas walnie też
    jest niezerowa.

    PS. Jak ktoś się boi, że mu karty zeskanują, to niech sobie płaci
    smartfonem z biometryką i problem z głowy. :)

    --
    Wojciech Bańcer
    w...@g...com


  • 14. Data: 2018-07-06 16:28:55
    Temat: Re: Czy zbliżeniówki są już bezpieczne? ;)
    Od: Dawid Rutkowski <d...@w...pl>

    W dniu piątek, 6 lipca 2018 16:16:55 UTC+2 użytkownik Wojciech Bancer napisał:
    > On 2018-07-05, Dawid Rutkowski wrote:
    >
    > > Teraz jest gorzej - ponad połowa ludzi ma telefon z NFC, którym może odczytać z
    Twojej karty dane umożliwiające dokonanie transakcji.
    >
    > A ktoś policzył prawdopodobnieństwo tej możliwości?
    > Bo na początku tyle się słyszało o tych skanach kart, pokazywano
    > raporty jakie to łatwe (oczywiście w warunkach laboratoryjnych i...
    > cisza).

    Oczywiście, sytuację ratuje to, że karty pikaczowe mają naprawdę mikry zasięg, i tak
    naprawdę trzeba by kogoś "obszukać" telefonem, jak tym ręcznym wykrywaczem metalu na
    lotnisku, żeby kartę odczytać. Może w jakimś naprawdę tłoku w autobusie czy japońskim
    pociągu.
    I do takich kart jak płatnicze to chyba nie wystarczy czytnik z mocniejszym polem, bo
    one chyba naprawdę radiowo nadają, a nie tylko, jak te breloczki unique, więcej albo
    mniej generowanego pola zjadają.

    > PS. Jak ktoś się boi, że mu karty zeskanują, to niech sobie płaci
    > smartfonem z biometryką i problem z głowy. :)

    O, z tym uważaj, już Zajdej w "Limes inferior" opisał, jak to pomysłowi ludzie
    biometrię potrafią obejść. Tam oczywiście była ta najniebezpieczniejsza biometria,
    czyli odcisk palca - ale weź tu edukuj bandytów, że biometria z układu naczyń
    krwionośnych w palcu działa tylko wtedy, gdy palec jest przytwierdzony do
    właściciela...


  • 15. Data: 2018-07-06 16:45:27
    Temat: Re: Czy zbliżeniówki są już bezpieczne? ;)
    Od: "J.F." <j...@p...onet.pl>

    Użytkownik "Wojciech Bancer" napisał w wiadomości grup
    dyskusyjnych:slrnpjuuek.273l.wojciech.bancer@pl-test
    .org...
    On 2018-07-05, Dawid Rutkowski <d...@w...pl> wrote:
    >> Teraz jest gorzej - ponad połowa ludzi ma telefon z NFC, którym
    >> może odczytać z Twojej karty dane umożliwiające dokonanie
    >> transakcji.
    >A ktoś policzył prawdopodobnieństwo tej możliwości?
    >Bo na początku tyle się słyszało o tych skanach kart, pokazywano
    >raporty jakie to łatwe (oczywiście w warunkach laboratoryjnych i...
    >cisza).

    Ale w jakim sensie pr-stwo ?

    Jesli 1000 studentow w kraju kupuje dziennie po 5 butelek wodki, to
    istotnie szansa ze padnie na mnie jest znikoma.

    >PS. Jak ktoś się boi, że mu karty zeskanują, to niech sobie płaci
    >smartfonem z biometryką i problem z głowy. :)

    I to moze byc dobra rada.
    Albo foliowa wkladka do portfela

    J.



  • 16. Data: 2018-07-07 00:32:15
    Temat: Re: Czy zbliżeniówki są już bezpieczne? ;)
    Od: MarcinF <m...@i...pl>

    W dniu 2018-07-06 o 10:44, Dawid Rutkowski pisze:

    > Płatniczej w terminalu za pomocą telefonu, który prześle do terminala dane
    odczytane telefonem - tym, czy innym i przesłane netem - z czyjejś karty.
    > Z racji nieznajomości przez złodzieja PIN ryzyko jest do 50zł oraz jednej
    transakcji dla danej karty.
    > Taka jest niestety dziura w pikaczu - ktoś nie pomyślał, żeby to był challenge i
    żeby dane były szyfrowane kluczem z terminala, tylko zrobił prostacko - karta na
    żądanie terminala (czy też telefonu) wysyła komplet danych potrzebnych do wykonania
    transakcji - a dopiero potwierdzenie ich przez terminal, które już jest szyfrowane
    (stąd ryzyko tylko jednej transakcji) powoduje, że chip w karcie generuje kolejny
    zestaw danych.

    Po tym co napisałeś poprzednio wystraszyłem się, że "połowa ludzi" może
    okradać posiadaczy kart zbliżeniowych, i bardzo zastanowiło mnie czemu
    tak się nie dzieje :)
    Teoretyczny atak o którym teraz piszesz jest znany od dawna, ale czy
    możesz przytoczyć jakikolwiek potwierdzony przykład?



  • 17. Data: 2018-07-07 17:27:07
    Temat: Re: Czy zbliżeniówki są już bezpieczne? ;)
    Od: Dawid Rutkowski <d...@w...pl>

    W dniu sobota, 7 lipca 2018 00:29:15 UTC+2 użytkownik MarcinF napisał:
    > W dniu 2018-07-06 o 10:44, Dawid Rutkowski pisze:
    >
    > > Płatniczej w terminalu za pomocą telefonu, który prześle do terminala dane
    odczytane telefonem - tym, czy innym i przesłane netem - z czyjejś karty.
    > > Z racji nieznajomości przez złodzieja PIN ryzyko jest do 50zł oraz jednej
    transakcji dla danej karty.
    > > Taka jest niestety dziura w pikaczu - ktoś nie pomyślał, żeby to był challenge i
    żeby dane były szyfrowane kluczem z terminala, tylko zrobił prostacko - karta na
    żądanie terminala (czy też telefonu) wysyła komplet danych potrzebnych do wykonania
    transakcji - a dopiero potwierdzenie ich przez terminal, które już jest szyfrowane
    (stąd ryzyko tylko jednej transakcji) powoduje, że chip w karcie generuje kolejny
    zestaw danych.
    >
    > Po tym co napisałeś poprzednio wystraszyłem się, że "połowa ludzi" może
    > okradać posiadaczy kart zbliżeniowych, i bardzo zastanowiło mnie czemu
    > tak się nie dzieje :)
    > Teoretyczny atak o którym teraz piszesz jest znany od dawna, ale czy
    > możesz przytoczyć jakikolwiek potwierdzony przykład?

    Mogą o tyle, że mają sprzęt.
    Oprogramowania raczej z google play za darmo nie ściągniesz gotowego ;P
    Ale open source'owy "czytnik kart bankowych" jest dostępny, oczywiście ze źródłami.
    Przykładu nie mam, ale banki chwalić się tym nie będą.
    Luka jest ewidentna, na szczęście nie jest łatwa do wykorzystania.
    Atak trudny a zysk mały.
    Ciekawe, czy wzięli się za jej usunięcie - trzeba by zmienić protokół (oczywiście w
    okresie przejściowym będą dostępne oba) oraz wymienić karty i terminale. Karty to
    łatwe, 3 do 5 lat (np. w db, jak KNF kazał udostępnić wyłączanie pikacza, to nie
    dość, że udostępnili rok później niż był nakaz, to się okazało, że w mojej karcie nie
    można wyłączyć - dopiero po wznowieniu), ale ile żyje terminal?


  • 18. Data: 2018-07-07 21:20:04
    Temat: Re: Czy zbliżeniówki są już bezpieczne? ;)
    Od: MarcinF <m...@i...pl>

    W dniu 2018-07-07 o 17:27, Dawid Rutkowski pisze:

    > Przykładu nie mam, ale banki chwalić się tym nie będą.

    To nie jest atak na konkretny bank, tylko na cały system więc
    raczej trudno byłoby to ukrywać.

    > Luka jest ewidentna, na szczęście nie jest łatwa do wykorzystania.
    > Atak trudny a zysk mały.

    A czy przypadkiem opóźnienie jakie wprowadza połączenie
    nie wyklucza tego ataku w praktyce?


  • 19. Data: 2018-07-08 08:16:03
    Temat: Re: Czy zbliżeniówki są już bezpieczne? ;)
    Od: xbartx <x...@b...net>

    On 06.07.2018 09:56, Piotr Gałka wrote:

    > Poz tymi, co czasem (ale dawniej) widywałem w linkach wskazanych tutaj
    > na grupie osobiście rozmawiałem ze sprzedawczynią w kwiaciarni, która
    > twierdziła, że jak jej wcisnęli kartę zbliżeniową to kiedyś nagle
    > pojawiło jej się na karcie kilka transakcji do 50zł, których na pewno
    > nie robiła. Jej walka z bankiem była bezskuteczna. W związku z tym
    > zrezygnowała z karty i już nigdy nie ma zamiaru używać zbliżeniowych.
    > Ale to też się działo kilka lat temu i jest to zasłyszane od nieznanej
    > osoby.

    Myślę, że to jest tak zwane "pierdolenie o Szopenie" :)
    Poczytajcie sobie o atakach na karty i sami oceńcie czy komuś by się
    chciało dla tych kilku transakcji do 50 zł odstawiać taki cyrk - chyba
    jakimś filantropowi. Już lepiej ludzi albo giełdy łupić z bitcoinów czy
    innych krypto walut.

    --
    xbartx - Xperimental Biomechanical Android Responsible for Thorough
    Xenocide


  • 20. Data: 2018-07-08 16:18:49
    Temat: Re: Czy zbliżeniówki są już bezpieczne? ;)
    Od: RadoslawF <radoslawfl@spam_wp.pl>

    W dniu 2018-07-08 o 08:16, xbartx pisze:

    >> Poz tymi, co czasem (ale dawniej) widywałem w linkach wskazanych tutaj
    >> na grupie osobiście rozmawiałem ze sprzedawczynią w kwiaciarni, która
    >> twierdziła, że jak jej wcisnęli kartę zbliżeniową to kiedyś nagle
    >> pojawiło jej się na karcie kilka transakcji do 50zł, których na pewno
    >> nie robiła. Jej walka z bankiem była bezskuteczna. W związku z tym
    >> zrezygnowała z karty i już nigdy nie ma zamiaru używać zbliżeniowych.
    >> Ale to też się działo kilka lat temu i jest to zasłyszane od nieznanej
    >> osoby.
    >
    > Myślę, że to jest tak zwane "pierdolenie o Szopenie" :)
    > Poczytajcie sobie o atakach na karty i sami oceńcie czy komuś by się
    > chciało dla tych kilku transakcji do 50 zł odstawiać taki cyrk - chyba
    > jakimś filantropowi. Już lepiej ludzi albo giełdy łupić z bitcoinów czy
    > innych krypto walut.

    Okradających banki jest niewielu, kieszonkowców są tysiące a może
    i setki tysięcy. I to tłumaczy bezsens popularnego powiedzenia "jak
    kraść to miliony, jak kochać to księżniczki" jak i bezsens twojego
    zdania ze małych sum kraść się nie opłaci.


    Pozdrawiam

strony : 1 . [ 2 ] . 3 ... 5


Szukaj w grupach

Szukaj w grupach

Eksperci egospodarka.pl

1 1 1