Kto sieje FUD... (o wyssaniu rozumu z karty zbliżeniowej)
 Oceń wpis
   

karty płatniczeWłaściwie to wyśmiewanie potknięć portalowców nie bawi mnie tak jak kiedyś. Sęk w tym, że na początku mojej blogokariery były to pojedyncze smaczki -- dziś takie numery stały się przykrą normą tego, co dziś nazywa się dziennikarstwem internetowym.

Jednak bezkrytyczne przewalanie popierdółek nadesłanych przez działy karmienia portalozy zasługuje na wyjątkowe potępienie -- zatem potępiam.

Oto na tapetę jako przykład tego żenującego zjawiska trafił dziś tekst pt. "Za czyje zakupy płacimy w autobusie kartą zbliżeniową".
Pod takim właśnie tytułem materiał nadesłany przez Lizard Mobile (nie mam bladego pojęcia czy chodzi tu o coś, co można znaleźć na stronie lizardmobile.pl -- i co odnosi się do lizardmedia.pl; kompletu danych wymaganych przepisami prawa na stronie brak, trzeba szukać po numerze NIP lub REGON; mniejsza z tym, bo nie o to chodzi) pojawił się w portalu Inwestycje.pl (nb. podobno wydawca portali zajmujących "czołowe miejsce w Polsce w segmencie Biznes/Finanse/Prawo") oraz w PRnews.pl (to nieszczęście, że w tym serwisie, gdzie generalnie czasem można przeczytać coś naprawdę ciekawego, pojawiają się zapchaj-gnioty). 
Tekst jest też w Chip.pl, jednak tutaj ma on głupszy i bardziej tabloidowy tytuł "Masz kartę zbliżeniową? Okradną cię, nawet nie zauważysz" (tutaj ciekawostka: pod ewidentnie nie swoim materiałem jako autor podpisał się Marcin Chmielewski... fuj, nieładnie, nieładnie!).

Mniejsza z tym; nie zamierzam się dziś zajmować ani etyką dziennikarską (bo co ja w sumie o niej wiem?), ani też kwestiami przywłaszczenia sobie autorstwa (co jest świństwem i głupotą, na szczęście czasem samopiętnującym).

Rzecz jednak w tym, że nawet jeśli szuka się wypełniaczy do swoich SEO-wych napędzarek ruchu, to warto się postarać, żeby pisanina miała sens. Tymczasem wytworzony przez Lizard Mobile na podstawie całkiem ciekawego -- moim zdaniem czysto teoretycznego modelu opisanego w serwisie Niebezpiecznik.pl (por. "Uniwersalny atak na karty zbliżeniowe" -- warto zauważyć, że w tekście nikt się nie odnosi do Niebezpiecznika... bo i po co, skoro trzeba samemu "łapać cytowania"...) -- to nic więcej jak szyty grubymi nićmi FUD z cyklu: masz zbliżeniową kartę płatniczą? no to zaraz cię orąbią!

Zacznijmy od tego jakie nieścisłości i banialuki pojawiły się w tekstach zaciągniętych przez portalozę (w przypadku Chipa i p. Marcina Chmielewskiego trudno mówić o "zaciągnięciu"; mówmy o żywym podszyciu się pod autorstwo):

  • "brak potrzeby autoryzacji wykorzystywany jest przez cyber-złodziei" -- ludzie, jak coś piszecie, to postarajcie się chociaż nie pokręcić: nie ma możliwości obciążenia karty, jeśli transakcja nie została autoryzowana. Cały cymes polega na tym, że od wejścia w życie ustawy o usługach płatniczych katalog sposobów autoryzacji transakcji płatniczych jest praktycznie nieskończenie szeroki i wynika wyłącznie z umowy zawartej między bankiem a posiadaczem karty). To, że nie podajemy numeru PIN nie oznacza, że transakcja nie została autoryzowana;
  • co ciekawe parę akapitów dalej pada zdanie, że "z racji tego, że autoryzacja transakcji przy użyciu takiej karty odbywa się poprzez jej posiadanie w portfelu, kieszeni" -- więc jak? jest ta autoryzacja, czy jej nie ma? (hint: jest, ale z całą pewnością nie odbywa się ona przez posiadanie karty w kieszeni (sic! -- wstyd, że takie rzeczy łykają też w PRnews.pl...);
  • okazuje się zatem, że naukowcy odkryli, że faktycznie, dwóch złodziei-krakerów (a może nfc-phreakerów?) może zrobić zakupy w sklepie na koszt naszej karty płatniczej, pod warunkiem, że: (i) obaj będą posiadali telefony z modułami NFC (na dziś raczej rzadkość) wyposażone w stosowny soft; (ii) ten pierwszy  a k ur a t  w  t e j  c h w i l i  będzie robił zakupy; (iii) ten drugi  w  t e j  s a m e j  c h w i l i  swoim telefonem "obmaca" mój portfel, w którym mam kartę zbliżeniową; (iv) uda im się zestawić połączenie (co akurat, wierzę Niebezpiecznikowi, może być najłatwiejsze -- zaraz po kupieniu telefonów z NFC ;-)
  • i na tym właśnie cytowany przez portalozę mobility manager z Lizard Mobile (traf chciał, że o tym samym nazwisku, co Pani Justyna prowadząca działalność gospodarczą pod firmą LIZARD MEDIA ;-) buduje oczywistą przecież tezę, iż "warto w procesie projektowym kłaść nacisk nie tylko na identyfikację kluczowych funkcjonalności, ale i głównych zagrożeń dla bezpieczeństwa danych". No pewnie, że warto -- ale po co najsamprzód siać niepotrzebny FUD?

A tymczasem prawda jest prosta jak drut:

  • karta płatnicza to tylko kawałek plastiku z zatopionym kawałkiem blaszki;
  • zawsze trzeba na nią pieruńsko uważać -- no właśnie może niekoniecznie pieruńsko, nie dajmy się oszaleć -- karty bankowej trzeba pilnować tak samo jak kluczy do chaty i paru innych rzeczy;
  • jak ktoś się boi może nosić w portfelu gotówkę, ale -- żeby nie było, że nie ostrzegałem! -- jak zgubię portfel, a w nim 500 złotych, to szukaj wiatru w polu, bo i świadomość, że znalezione-nie-oddane to prawie jak kradzione (hint: o rzeczach znalezionych i nabyciu ich własności czytamy w art. 183-187 kodeksu cywilnego, a pojęcie przywłaszczenia rzeczy znalezionej lepiej niech będzie znane każdemu "szczęśliwemu znalazcy"...) w narodzie nikła jest;
  • a i śladu po użyciu znalezionej lub skradzionej gotówki praktycznie nie ma żadnego -- jakby na to nie patrzeć nigdzie nie rejestruje się płatności konkretnymi banknotami;
  • tymczasem o tym, że użycie choćby znalezionej (nie mówiąc o ukradzionej) karty płatniczej jest przestępstwem -- wie raczej każdy; i to już na pewno dostatecznie paraliżuje co poniektórych szczęściarzy (wierzę w to!);
  • stąd też moja konkluzja: jeśli mam zgubić tysiaka, to wolę zgubić go w postaci karty płatniczej, niechby i z PayPassem, niż portfel, a w nim 10 banknotów po stówce -- bo nawet jeśli ktoś się skusi, szanse, że to złapią, są znacznie większe (rejestracja transakcji! monitoring!).

Dlatego też w teoretycznym i akademickim sporze, przy całym szacunku dla ekipy Niebezpiecznika -- i przy całym braku szacunku dla portalozy (zwłaszcza tej, która podszywa się pod autorstwo tekstów) -- całą jazdę na zbliżeniowe karty płatnicze uważam za zwykły FUD, dokładnie taki, który swego czasu kazał twierdzić, że od silników spalinowych kury przestaną jajka nosić.


PS zapomniałem wczoraj dodać jeszcze jednego chwytliwego zdania: że prędzej rąbną mi kartę (może razem z portfelem), niż "oskanują" ją przy pomocy telefonu w autobusie (i to nawet nie dlatego, że nie jeżdżę zbiorkomem ;-) Więc gradacja ryzyka na pewno jest taka: (i) ukradli portfel i pieniądze, (ii) ukradli kartę płatniczą (nawet z PayPassem), (iii) obadali mi kartę w tłumie.
O, i teraz to ma sens.

 

PS 2 PRnews tekst już usunął -- teraz mamy "błąd 404"
 

Komentarze (31)
Parę uwag po uniewinnieniu... Bowman vs. Monsanto... na miarę...

Komentarze

2013-03-05 22:12:46 | 89.76.250.* | Jan Bartnik
Re: Kto sieje FUD... (o wysaniu rozumu z karty zbliżeniowej) [0]
Sądząc po "autobusie" w tytule artykułu, uważam że chodziło autorom o inny artykuł z
niebezpiecznika. Mianowici o ten, gdzie komuś udało się nabić doładowań za 3000 PLN w
autobusie komunikacji miejskiej, bo ten pracował w trybie offline i nie weryfikował
przekroczenia limitu łącznej liczby/kwoty transakcji. A skoro takie ataki już były
należy traktować to jako realne zagrożenie (tym bardziej, że nic nie pomaga mały stan
konta - jak zrobiono zakupy na 3000, to na koncie będzie np. -2900). skomentuj
2013-03-05 22:57:07 | 83.24.215.* | Piotr R.
Re: Kto sieje FUD... (o wysaniu rozumu z karty zbliżeniowej) [3]
> jeśli mam zgubić tysiaka, to wolę zgubić go w postaci karty płatniczej, niechby i z
PayPassem, niż portfel, a w nim 10 banknotów po stówce

Tak ci się tylko wydaje.
Karta stykowa w automatach wymaga PINu. W sklepie zaś podpisu, którego nikt nie
sprawdza ale to sprzedawcę wtedy okradają, nie ciebie. Dodatkowo transakcja debetówka
idzie zwykle online.

Bezstykowe umożliwiają transakcje offline w których jedynym ograniczeniem jest
wartość pojedynczej transakcji - nie tylko możesz stracić zawartość konta ale nawet
skończyć z ujemnym saldem (bez względu na to czy bank przyznał ci jakiś debet.)

A na dokładkę, banki traktują to jako normalne autoryzowane (tyle, że bezstykowo)
transakcje więc oddadzą ci tylko tyle o ile ukradziona suma przewyższa 150 euro.

Dobrze jest odzyskać nawet trochę po paru miesiącach niż nic w przypadku gotówki. Z
tym, że gotówki nie stracisz więcej niż jej w ogóle posiadasz. skomentuj
2013-03-06 00:33:30 | 82.143.152.* | kms
@ Piotr R.:
"Karta stykowa w automatach wymaga PINu."

W mobilnych nie wymaga, przynajmniej w pojazdach MPK Wrocław. skomentuj
2013-03-06 02:07:23 | 89.228.172.* | Tomek__x
http://samcik.blox.pl/2013/02/Zblizeniowa-zalamka-78-zlodziejskich-transakcji.html skomentuj
2013-03-06 02:09:49 | 89.228.172.* | Tomek__x
I może cytacik na dziś, z powyższego wpisu:

"Jeśli określę limit na 200 zł – to nic większego nie kupię- nawet z PIN-em!
Jeśli ustawię limit 2000 to mogą mi je paypassem wyciągnąć… Pat? Przecież karty
podobno były po to żeby gotówki przy sobie nie nosić? A teraz muszę chodzić z
gotówką, bo wtedy mogą mi ukraść najwyżej tyle, ile jej mam. Gdybym miała przy sobie
kartę, to mogą mi ukraść wszystko, co mam na koncie!."

Także może jednak lepiej zgubić te banknoty :) skomentuj
2013-03-06 07:08:14 | 80.238.107.* | pp.
Re: Kto sieje FUD... (o wysaniu rozumu z karty zbliżeniowej) [1]
Jeżeli już wyjaśniamy brednie prasowe w tym temacie, to warto by wyprostować dwa
pojęcia:

1) autoryzacja - to proces w wyniku którego udzielona zostaje zgoda na transakcję. W
trakcie może następować kontakt z bankiem (autoryzacja online, przy której m.in.
sprawdzane są wówczas wolne środki, zakładana jest blokada autoryzacyjna) lub cały
proces może przebiegać autonomicznie (autoryzacja offline, udzielana przez procesor
karty). Czasami transakcja jest przeprowadzana kompletnie bez autoryzacji
(imprintery, niektóre automaty, terminale z niezerowymi floor limitami -- to często
za oceanem)

2) uwierzytelnienie - sprawdzenie, czy osoba dokonująca transakcji jest
użytkownikiem, któremu wydano kartę. Tutaj mamy miejsce na weryfikację PINu, podpisu,
sprawdzenie dokumentu tożsamości (to również część procedury uwierzytelnienia!). I
znów, ta część może nie występować w danej transakcji (karty zbliżeniowe, automaty,
transakcje w terminalach na niskie kwoty -- znów przyklad z USA)

Ważne jest to, że punkt 1 i 2 są od siebie niezależne i w danej transakcji może
wystąpić ich dowolna kombinacja. Ostatnie doniesienia prasowo-portalowe oczywiście
zmiksowały wszystko i piszą o skutkach braku autoryzacji gdy chodzi im o brak
uwierzytelnienia... albo odwrotnie. skomentuj
2013-03-06 09:04:15 | *.*.*.* | olgierd
@Piotr R.: zacznijmy od tego, że już nawet nie pamiętam kiedy któraś z moich kart
zawołała o podpis w sklepie. Bank, jak słusznie zauważyłeś, przejmuje
odpowiedzialność za transakcje dokonane ukradzioną kartą, o wartości powyżej 150 euro
(na dziś to 620 złotych). A poza tym: jak zauważę, że nie mam karty, to ją zastrzegam
-- banknotów nie zastrzegę, więc jeśli skubną mi ca. 600 zł to generalnie szukaj
wiatru w polu.
Dołóżmy do tego fakt, że pomijając, że transakcja dokonana gotówką nie jest w żaden
sposób rejestrowana (nie da się powiązać zapisu z monitoringu w miejscu dokonania
płatności z datą i godziną użycia karty) -- więc w ogóle jestem w polu i szukam
wiatru.


@Tomek__x: można nawet zakładać durszlak na głowę -- ale po co? ;-) Karty nie należy
dać sobie ukraść (podobnie jak kluczy od domu, dokumentów, etc. -- zdziwilibyście się
o jakim przekręcie "na dokument" niedawno słyszałem).
A poza tym teraz straszą już nawet nie skutkami zgubionej karty, ile "odczytanej" w
tłoku...


@pp.: nie wiem jak o tym mówią w materiałach MasterCarda, Visy czy w papierach
bankowych, ale zarówno EIP obowiązująca przez przeszło 10 lat, jak i obecnie
regulująca tę materię ustawa o usługach płatniczych posługuje się pojęciem
"autoryzacji" w odniesieniu do potwierdzenia zgody na dokonanie transakcji.
Art. 40 ust. 1 ustawy: "Transakcję płatniczą uważa się za autoryzowaną, jeżeli
płatnik wyraził zgodę na wykonanie transakcji płatniczej w sposób przewidziany w
umowie między płatnikiem a jego dostawcą. Zgoda może dotyczyć także kolejnych
transakcji płatniczych."
Więc myślę, że ustawa nazywa autoryzacją nic innego jak uwierzytelnienie posiadacza
instrumentu płatniczego oraz potwierdzenie udzielenia przez niego zgody -- i to
będzie równie dobrze użycie karty w żelazku (z podpisem) bądź samo podanie karty w
okienku (np. na autostradzie -- tu naprawdę nie rozumiem dlaczego końcówki tych
terminali nie są wystawione ku kierowcom, lecz kartę trzeba podać pracownikowi
operatora autostrady) lub użycie jej w takim automacie (BTW na gruncie EIP było to
raczej niezgodne z prawem, bo tam był zamknięty katalog sposobów autoryzacji
transakcji). skomentuj
2013-03-06 10:20:11 | *.*.*.* | Andrew Vysotsky
Re: Kto sieje FUD... (o wysaniu rozumu z karty zbliżeniowej) [1]
Jeśli już o potknięciach, to chyba "wyssany", a nie "wysany"? nie zgadzam się też z
tezą i wnioskami. Ja uważam gotówkę za bezpieczniejszą od każdej karty. To jednak
temat na osobny tekst, a nie na komentarz. Inna sprawa, że bardzo Twój blog mi się
podoba. Tak trzymać i pozdrawiam serdecznie :) skomentuj
2013-03-06 10:36:18 | *.*.*.* | olgierd
Hehe, pewnie, że "wyssany", gapciu ze mnie ;-) dzięki! skomentuj
2013-03-06 10:55:28 | 82.160.135.* | Arqs
Re: Kto sieje FUD... (o wyssaniu rozumu z karty zbliżeniowej) [1]
Artykuł o okradaniu był na tyle bzdurny, że wystarczy się zastanowić z jakiej
odległości działa NFC. Jeśli mieliby mnie okraść w autobusie, to tylko w godzinach
szczytu i na liniach gdzie jest największy ścisk, z uwzględnieniem dokładnej
lokalizacji mojej karty w garderobie (w teczce już odpada). Maksymalna odległość to
20 cm :) Czyli ktoś musiałby się znaleźć w tzw. "strefie intymnej" (do 0,5 m) do
której odpuszczamy tylko osoby najbliższe.

No ale może teraz na allegro pojawią się bezpieczne portfele z ołowianymi wkładkami
na karty PayPass :p skomentuj
2013-03-06 11:14:53 | 184.164.140.* | gehlen
Re: Kto sieje FUD... (o wyssaniu rozumu z karty zbliżeniowej) [11]
Muszę pana Rudaka zmartwić, "czysto teoretyczny model" nie jest tylko teoretyczny,
polecam publikację niejakiego pana Lifschitza, jak i pani Paget. Lifschitz wykonał
też praktyczne "sczytywanie" karty zbliżeniowej przy pomocy telefonu wyposażonego w
NFC ( kilkadziesiąt modeli na rynku) i softu, a następnie wykonywał platności w
sklepach telefonem( telefon i karta były jego własne). Przy odpowiednim urządzeniach
jest możliwy odczyt z kart rfid, nie z odległości 5 cm ale do 1,5 m( i to nie tylko
czysto teoretycznie).
A głowny problem z kartami zbliżeniowymi jest jeden, brak autoryzacji transakcji (
chyba że pan Rudak twierdzi, że przyłożenie karty do czytnika jest taką autoryzacją -
tak twierdzi większość banków) PINem, raelizacja transakcji offline ( debecik na
koncie pewny), a od strony komunikacyjnej brak szyfrowania komunikacji rfid z
czytnikiem ( tak jest przynajmniej obecnie, brak wyobraźni się kłania), co właśnie
umożliwia przeprowadzanie całej zabawy z telefonami z NFC. A problem jest znany, czy
tez zamierzony od strony banków i operatorów płatniczych, z zamierzony, bo miało byc
"prosto", tylko wyszło za prosto. skomentuj
2013-03-06 11:43:23 | 83.28.223.* | Piotr R.
@Arqs: Odległość pomiędzy kartą i czytnikiem zależy od konstrukcji anteny i mocy
nadajnika. Dla telefonu z NFC będzie to nierzadko mniej niż 1 cm ale znane są
praktyczne metody odczytu kart zbliżeniowych z ponad metra i to kilku na raz.

@olgierd: Atak typu relay na terminal został przeprowadzony w praktyce - dwa telefony
z nfc teleportowały kartę/terminal po BlueTooth.
Teoretyczne pozostaje jedynie zastosowanie tego ataku w terenie z wykorzystaniem
Internetów.
Jeśli prawdą jest, że terminal czeka na odpowiedź nawet 35 sekund nie powinno być
problemów nawet z GPRSem.

Łowienie kart nie wiąże się na dzień dzisiejszy z żadnym ryzykiem, jedynie trzeba
zainwestować w ubieralną antenę wraz z osprzętem i można żenić transakcje np. po 10
zł płatne w BitCoinach.
Do robienia zakupów wystarczy telefon z NFC, jeśli łowiących byłoby sporo nie trzeba
by nawet czekać na dostępną kartę. skomentuj
2013-03-06 11:47:17 | *.*.*.* | olgierd
Jasne, jednak nie zmienia to faktu, że nadal model uważam za czysto teoretyczny w
praktyce ;-) a to dlaczego? ano dlatego, że wymaga to doskonale zsynchronizowanej
współpracy 2 gości, którzy mają kilka sekund na to, by:

- kupujący w sklepie akurat był przy kasie (terminal czeka na zapłatę max. 5 sekund,
po czym się aktywuje),
- w tych samych 5 sekundach jego kompan działający w tłumie zaczął się ocierać o
ofiarę.

Biorąc pod uwagę, że trzeba do tego dwóch telefonów za min. 1000 zł każdy plus
stosownej wiedzy, plus trochę szczęścia -- życzę powodzenia przy takiej gimnastyce.
(Poza tym troszkę nie chce mi się wierzyć, że telefon NFC nie zostawia jakiegoś
"śladu" -- ale o takich rzeczach czytamy raczej w tekstach pt. "szpiegują nas,
szpiegują", a nie w tekstach pt. "dlaczego zaraz wszystko ci zabiorą!").

Znacznie prościej po prostu gwizdnąć kartę z portfela.

Zaś co do metod autoryzacji transakcji: polecam przeczytać art. 40 ustawy o usługach
płatniczych a później regulamin karciany w swoim banku. Okaże się, że tak, że bank
może przewidzieć taki sposób. skomentuj
2013-03-06 11:50:08 | *.*.*.* | olgierd
@Piotr R.: nie spotkałem się jeszcze z terminalem czekającym aż 35 sekund. Zdarzało
mi się, że "nie trafiałem" w antenkę (niektóre terminale są mylące), co dowodzi, że
faktycznie przeciętny terminal ma zasięg 2-3 cm i po ok. 5 sekundach było "bye" --
sprzedawca znów musiał aktywować terminal.

Skanowanie z 1 metra niewątpliwie jest możliwe. Ale jaki generator mocy wówczas
trzeba mieć przy sobie (względnie jaką antenkę)?

Nadal twierdzę, że większe ryzyko niesie za sobą zgubienie/kradzież karty, a jeszcze
większe -- zgubienie gotówki. skomentuj
2013-03-06 11:52:27 | *.*.*.* | olgierd
PS może dodam jeszcze magiczne słowo -- na którym buduję właśnie zarzut
"teoretyczności zagrożenia" -- PRAWDOPODOBIEŃSTWO zdarzenia. skomentuj
2013-03-06 12:40:11 | 78.133.198.* | Przyrodnik
Ja bym jeszcze zadał pytanie "Kto nie sprawdza konto a jesli sprawdzi i zobaczy ze ma
20 operacji po 50 zlotych z jednego terminalu na 1000 zlotych nie zareklamuje i nie
zawiadomi banku żeby zrobic cofnięcie operacji"? skomentuj
2013-03-06 13:05:35 | *.*.*.* | Makdaam
>że wymaga to doskonale zsynchronizowanej
współpracy 2 gości, którzy mają kilka sekund na to, by:

No, nie do końca. Relay attack jest najprostszy koncepcyjnie, ale możliwe sa o wiele
ciekawsze. Z karty bezstykowej można odczytać bezstykowo następujące dane:
- 16 cyfrowy nr karty
- nazwa użytkownika karty
- data ważności karty
- 3 cyfrowy kod CVV - przy każdym odczycie inny
Jedyną różnicą od paska magnetycznego jest zmieniający się kod CVV. Kody użyte w
transakcjach muszą być w takiej samej kolejności w jakiej były wygenerowane. Bez
problemu działa nagranie takich danych na pasek magnetyczny i użycie nowo nagranej
karty w sklepie. Na Shmooconie było ostatnio publiczne demo. skomentuj
2013-03-06 13:54:26 | 83.28.223.* | Piotr R.
> po ok. 5 sekundach było "bye" -- sprzedawca znów musiał aktywować terminal.
@olgierd: Więc w najgorszym przypadku masz 5 sekund * ilość ponownych aktywacji zanim
sprzedawca się zirytuje lub nabierze podejrzeń.

>Ale jaki generator mocy wówczas trzeba mieć przy sobie (względnie jaką antenkę)?
@olgierd: Rozmiar anteny zależy od gabarytów noszącego (rozmiar klaty) - względnie
mogłaby udawać stelaż od dużego plecaka. Akumulator samochodowy potrafi w krótkim
czasie (rozruch) dostarczyć nawet ponad 5 kW, tu wystarczy pewnie jakiś żelowy z
UPSa.

>"teoretyczności zagrożenia" -- PRAWDOPODOBIEŃSTWO zdarzenia.
@olgierd: Byłbym bardzo ostrożny w takich ocenach.

>A głowny problem z kartami zbliżeniowymi jest (...) od strony komunikacyjnej brak
szyfrowania komunikacji rfid z czytnikiem ( tak jest przynajmniej obecnie, brak
wyobraźni się kłania), co właśnie umożliwia przeprowadzanie całej zabawy z telefonami
z NFC.
@gehlen: W ataku relay nie interesuje nas zupełnie co przesyłamy więc nie ma
znaczenia czy komunikacja jest szyfrowana czy nie. Jedyny sposób to zwiększenie
rygorów czasowych ale to pociąga za sobą utrudnienia w normalnym korzystaniu z kart.

>Ja bym jeszcze zadał pytanie "Kto nie sprawdza konto a jesli sprawdzi i zobaczy ze
ma 20 operacji po 50 zlotych z jednego terminalu na 1000 zlotych nie zareklamuje i
nie zawiadomi banku żeby zrobic cofnięcie operacji"?
@Przyrodnik: Ależ zawiadomi i bank mu po kilku miesiącach te pieniądze (-150 euro)
zwróci. skomentuj
2013-03-06 14:23:23 | *.*.*.* | olgierd
A propos ostatniego akapitu: limit odpowiedzialności "150 euro" odnosi się do
transakcji dokonanych skradzioną lub zgubioną kartą płatniczą (art. 42 ust. 2
ustawy). W przypadku takich fraudów posiadacz karty nie ponosi odpowiedzialności ani
troszkę. skomentuj
2013-03-06 16:06:02 | *.*.*.* | olgierd
Zresztą w niektórych bankach funkcję tę można wyłączyć. Od niedawna np. umożliwia to
BRE (na pewno w przypadku mBanku, nie wiem jak w MultiBanku). skomentuj
2013-03-06 20:37:41 | 93.105.128.* | Darek-
@olgierd No, BRE umożliwia po niezbyt miłej publikacji w GW, bo wcześniej jakoś nie
chciał.
Myślę, że brakuje rzetelnej informacji ze strony banków jak to działa i co grozi. W
wersji dla Kowalskiego - nie regulaminowej. A jak jej nie ma, a jest tylko PR, to
jest też i FUD. skomentuj
2013-03-07 09:43:15 | *.*.*.* | olgierd
Ale co "grozi"? Trudno, żeby bank się skupiał w swoich opisówkach na laboratoryjnych
testach wyssania kasy z karty (bo wierzę, że działy bezpieczeństwa mają na to
wszystko oko; i pewnie nawet toczą boje z marketingami i sprzedażą).

Natomiast faktem jest, że taki MultiBank w swoich materiałach o kartach debetowych
nadal pisze o EIP, np. tutaj:

http://multibank.pl/dla_ciebie/karty_do_multikonta/visa_paywave/

troszkę wstyd. skomentuj
2013-03-08 10:52:01 | 184.164.140.* | gehlen
Piotr R.
@gehlen: W ataku relay nie interesuje nas zupełnie co przesyłamy więc nie ma
znaczenia czy komunikacja jest szyfrowana czy nie. Jedyny sposób to zwiększenie
rygorów czasowych ale to pociąga za sobą utrudnienia w normalnym korzystaniu z
kart.

Fakt , tylko ogólnietechniak zademonstrowana przez Lifschitza nie polega nna ataku
relay, ale własnie wykorzystuje brak szyfrowania. skomentuj
2013-03-08 12:47:49 | *.*.*.* | Morg
Re: Kto sieje FUD... (o wyssaniu rozumu z karty zbliżeniowej) [1]
A ja się wrednie przyczepię. :P

Powinno być 'nasamprzód' – 'najsamprzód' to błąd. ;-) skomentuj
2013-03-08 13:08:04 | *.*.*.* | olgierd
Hmm, faktycznie, ciekawa sprawa, wychodzi na to, że to jest jakiś upowszechniony
neologizm (a więc należy go zaakceptować na zasadzie uzusu językowego) -- nawet nie
wiedziałem, że w słownikach tego nie ma. skomentuj
2013-03-08 14:08:15 | 78.133.198.* | Przyrodnik
Re: Kto sieje FUD... (o wyssaniu rozumu z karty zbliżeniowej) [4]
A na onecie Marcin Chmielewski jest autorem takiego artykułu
http://technowinki.onet.pl/biznes/biznes-w-sieci/masz-karte-zblizeniowa-okradna-cie-n
awet-nie-zauwa,1,5438612,artykul.html skomentuj
2013-03-08 14:47:50 | *.*.*.* | olgierd
Znaczy się serwisy nawzajem ciągną od siebie "kątęt", a nazwisko idzie w świat... skomentuj
2013-03-09 11:17:15 | 89.78.182.* | Michal z.
Re: Kto sieje FUD... (o wyssaniu rozumu z karty zbliżeniowej) [0]
Z tego ataku juz korzystaja w praktyce - ale nie okradacze paypassow czy paywave a
zlodzieje samochodowi - otwieraja przez relay zamki centralne i startuja silnik -
jeden jestorzy samochodzie - drugi przy ofierze np. W restauracji (zasieg odczytu nfc
z antena do 1m). Na razie wciaz sa latwiejsze ataki na karty patnicze ale lada chwila
skimmerzy sie przerzuca na nfc.

Ten artykul na onecie ktokolwiek jest jego autorem nie jest tak dokladny a przez to
mniej rzetelny niz artykul Niebezpiecznika - tam chlopaki powoluja sie na realne
badania naukowe i dzialajacy soft, wiec jak kogos interesuje mieso a nie pr to lepiej
poczytac o tym tu:
http://niebezpiecznik.pl/post/uniwersalny-atak-na-karty-zblizeniowe/ skomentuj
2013-03-16 03:24:02 | 80.50.127.* | Usher
Na Onecie i pod tytułem, i pod artykułem zaznaczono źródło - Chip.pl. Z kolei Chip
podaje źródło po prawej stronie artykułu, ale w żadnym wypadku nie ma podanego linku
do źródłowego tekstu, co najwyżej do źródłowej witryny. Redaktorom Chipa już
tłumaczono, że nie powinni się podawać za autorów dostarczonych im materiałów, ale
trzeba chyba, żeby ich postraszył prawnik cytując właściwe ustępy z ustawy o prawie
autorskim.
Ze swojej strony mogę tylko dodać, że powyższe oznaczanie źródła uważam za równie
właściwe jak wklejanie zdjęć z WikiCommons z podaniem jako źródła Wikipedii. Moim
zdaniem - jeśli autorzy nadesłanych materiałów pozwalają na ich wykorzystanie
inaczej, niż to wynika z ustawy, powinno to być wyraźnie zaznaczone. skomentuj
2013-03-17 15:54:01 | *.*.*.* | olgierd
Mniemam, że to jest efekt zawartej umowy "na wymianę kątętu", w której albo nie
położono na to nacisku -- albo po prostu Chip przyjął taki wzorzec w CMS. skomentuj
2013-03-19 11:54:42 | 80.50.127.* | Usher
Sądząc po dostępności artykułów z portali innych wydawców Onet prowadzi czytelnię z
czasopismami, czyli nie dodaje od siebie czegoś, czego nie dostał. Zwalanie winy na
szablon w CMS nie ma większego sensu, bo nazwy pól w szablonie można zmieniać, można
też dodawać nowe pola, tylko trzeba chcieć. Swoją drogą to lenistwo prowadzi do plagi
włamań do serwisów korzystających z najbardziej popularnego oprogramowania (PHP,
MySQL, Wordpress itp.), z kolei ta plaga jest opisywana na tych portalach, co napędza
następne włamania i tak błędne koło się zamyka.
Wracając do czytelni Onetu - komentarze oczywiście są inne niż na źródłowych
portalach, z których są udostępniane artykuły, ale obecnie w wielu miejscach
dorównały do poziomu Onetu, choć to i tak wyżej niż w dziale technologicznym Interii. skomentuj

bezczelna reklama:

Firma Prawnicza Lege Artis
www.LegeArtis.org

O mnie
Olgierd Rudak
Jesteś na stronie czasopisma internetowego "Lege Artis", które ukazywało się od 17 listopada 2006 r. do 16 maja 2014 r.
Najnowsze komentarze
2017-05-19 17:26
herk:
88 i 14, liczby przeklęte
kolego, masz powaznie nasrane w bani :) jesli chcesz nam to wmawiac to wypierdalaj do egiptu[...]
2017-05-04 14:33
MĄDRY Z MIASTA:
Dlaczego Citibank zachowuje się jak zwykły phisher?
GŁUPI JASIO(A) ZE WSI, naprawdę jest mi bardzo przykro, że tak po chamsku ludzie traktują twoją[...]
2017-04-08 17:34
MRS VALICIA RENE:
Uważajcie na oszustów sprzedających samochody z UK
Cześć... Jesteś my organizacjĘ ... chrześ cijań sskĘ ... utworzonĘ ..., aby pomóc ludziom w[...]
2017-02-17 12:55
ghjki:
Jak rozwiązać umowę zawartą we własnym domu?
Napisz odstąpienie. To, że nie napisali daty na egzemplarzu pozostawionym w domu, to nie[...]
2017-02-12 06:59
acampora:
Uważajcie na oszustów sprzedających samochody z UK
Witam wszystkich, Nazywam się Gina Acampora żywo w USA i mówię jak najszczęśliwszą osobą na[...]