Elektroda.pl
Elektroda.pl
X
PCBway
Proszę, dodaj wyjątek dla www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Przeróbki karty zbliżeniowej

ghost666 26 Cze 2017 09:21 43431 118
  • PCBway
  • #32
    Freddy
    Poziom 43  
    Kart bankowych nie da się kopiować, bo to karty procesorowe, a nie karty pasywne.
  • #33
    jamtex
    Poziom 23  
    Jakieś 4 lata temu bawiłem się kupionym w Chinach terminalem płatniczym.
    Przeżyłem lekki szok, gdy okazało się, że odczytywał karty z odległości 60-80 cm - sprawdzaliśmy z kolegami kilka razy.
    Szef jeszcze tego samego dnia zamówił specjalne etui na pewnym portalu - kupił 4 różne, tylko 2 potrafiły skutecznie "ukryć" kartę RFID.
    Od tej pory nie korzystam ze zbliżeniówek.....
  • #34
    prosiak_wej
    Poziom 28  
    jamtex napisał:
    kupionym w Chinach terminalem płatniczym


    Kupiony goły sprzęt, bez usług? Można swoje konto jakoś tam podłączyć? Czy na jakiej zasadzie to działa?
  • #35
    Greg786
    Poziom 8  
    Freddy napisał:
    Kart bankowych nie da się kopiować, bo to karty procesorowe, a nie karty pasywne.

    To tylko kwestia czasu, o ile juz nie sa kopiowane i moze tylko jeszcze ta wiedza nie stala sie "powszechnie" dostepna ;)
  • PCBway
  • #37
    ghost666
    Tłumacz Redaktor
    MiernikZKauflanda napisał:
    Cytat:
    bilety miesięczne


    Może i kasownik rozpozna, ale kanarowi ciężko będzie przetłumaczyć...


    Kanar też ma czytnik i tyle ;)
  • #39
    jamtex
    Poziom 23  
    prosiak_wej napisał:
    jamtex napisał:
    kupionym w Chinach terminalem płatniczym


    Kupiony goły sprzęt, bez usług? Można swoje konto jakoś tam podłączyć? Czy na jakiej zasadzie to działa?



    Goły sprzęt + biblioteki i przykładowa apka.

    Jak to od Chińczyków bywa: soft full, dokumentacji zero :)
  • #40
    japko1024
    Poziom 17  
    R-MIK napisał:
    Jakkolwiek terminale obsługuja tryb multi to nie wykonują operacji, bo nie wiedzą, które konto (kartę) obciążyć.
    Dlaczego terminal złodzieja miałby działać tak samo, jak uczciwego sprzedawcy?
  • #41
    Artur k.
    Admin grupy audio
    Ech... jak zwykle opowieści dziwnej treści.
    Ja mam w portfelu 4 różne karty z czego dwie płatnicze, wszystkie zbliżeniowe i zapewniam, że nie da się żadnej odczytać. Próba odczytu kończy się fiaskiem, bo jednocześnie zgłaszają się wszystkie cztery karty. Łatwo to sprawdzić przykładając portfel do terminala - wyrzuca błąd. Żeby zapłacić, muszę wyjąć konkretną kartę i jej użyć.
    To by było na tyle w kwestii możliwości zdalnego kopiowania czegokolwiek.
    A jak ktoś ma jedną kartę? Może nawet ktoś inny ją skopiuje, tylko co mu po tym jak nie zna pinu?

    Znacznie bardziej niebezpieczna jest klasyczna płatność z użyciem PIN. Po pierwsze ktoś ten PIN może podejrzeć (w każdym sklepie obecnie jest monitoring), a po drugie mając odpowiednio zmodyfikowany terminal nie musimy nawet niczego podglądać, mamy wszystko co potrzeba - dostęp do karty poprzez chip oraz PIN który wprowadzono na terminalu.

    Skończcie więc biadolić o niebezpieczeństwie sklonowania karty poprzez NFC.

    Natomiast co do "wynalazku" z postu tytułowego - rozwiązanie bez sensu. Zamiast karty, można do systemu kontroli dostępu zamówić brelok i przypiąć do kluczy. Poza tym taka "modyfikacja" to prosta droga do jej uszkodzenia, nie mówiąc o tym że karty miejskiej czy płatniczej nie możemy w ten sposób wyeliminować, a więc nadal przynajmniej dwie najczęściej używane karty musimy mieć przy sobie.
  • #44
    prosiak_wej
    Poziom 28  
    Pomysł dla władz miast - udostępnić inne formy biletu niż karta (brelok, przywieszka, bransoletka...) i dane posiadacza zapisać w chipie, łącznie ze zdjęciem. Zapis jednorazowy, w pamięci ROM, szyfrowany, klucze deszyfrujące miałyby czytniki kanarów. Podczas kontroli kanar widziałby na wyświetlaczu zdjęcie, imię oraz nazwisko posiadacza biletu.
  • #45
    bearq
    Poziom 36  
    Wszędzie są o ile jest to bilet imienny czyli na określoną osobę.
  • #46
    Tommy82
    Poziom 40  
    Na śląsku są karty spersonalizowanie i niespersonalizowane.
  • #47
    VSS
    Poziom 21  
    zgierzman napisał:

    Zauważ, że karty, dowody osobiste, paszporty itp. niszczy się czasem przed odcięcie rogu, albo właśnie wykonanie w nich dziurki. Jeśli przedziurawisz swoją kartę, to licz się z sytuacją, że próba płatności skończy się fiaskiem. Chyba, że płacisz zawsze gotówką, a kasę bierzesz z bankomatu. Chociaż nie jestem pewien, czy bankomaty nie są dość cwane, żeby taką kartę zatrzymać...


    Ja zrobiłem rentgena swojej karcie i po odnalezieniu jak umiejscowiona jest antena przełamałem ją w jednym miejscu. Antena przestała działąć. W przełamanym plastiku było widać druciki anteny. Tak kartę używałem wiele lat.
  • #48
    bearq
    Poziom 36  
    Tommy82 napisał:
    Na śląsku są karty spersonalizowanie i niespersonalizowane.

    Te drugie również są wszędzie, dowolna osoba będąca w jej posiadaniu może na niej jeździć aczkolwiek cena biletu w tym przypadku jest stosunkowo wyższa.
  • #49
    BUCKS
    Poziom 35  
    W kwestii bezpieczeństwa płatności bezstykowych to blokady zakładane w banku nie działają w przypadku transakcji offline. Osobiście, w praktyce nigdy z takową się nie spotkałem ale mimo to takie istnieją. Dlatego najlepiej byłoby, gdyby banki nie wciskały PayPass/PayWave wszystkim na siłę, a dawały opcję wyboru przy zamawianiu karty przez klienta.

    Moderowany przez CMS:

    Post edytowany, ze względu na "3.1.10. Nie reklamuj stron internetowych lub usług w jakiejkolwiek formie."

  • #50
    Tosca
    Poziom 3  
    To może ja się wypowiem. Jako były pracownik obsługi kart jednego z banków :)
    a) W przypadku części banków transakcje offline są całkowicie zablokowane na karcie - Na kartach płatniczych znajdują się specyficzne liczniki ATC (Application Transaction Counter) które mogą np. każdorazowo wymagać połączenia z bankiem. Nie ma połączenia - nie ma transakcji
    b) Wyłączenie transakcji zbliżeniowych działa. Ale, dane z karty i tak będą odczytane. Dane czyli imię nazwisko posiadacza, data ważności, numer karty, ew blokady. Więc tutaj bezpieczniej jest niszczyć antenę.
    Z tego co jest mi wiadomo w części banków można było na życzenie klienta fizycznie wyłączyć funkcję zbliżeniową. Ale nie wiem dokładnie na czym to polegało.
    c) Co do bankomatów to sprawdzają informację dwojako z chipa oraz z paska magnetycznego. Funkcja CTLS nie jest sprawdzana przez bankomat. Na chwilę obecną dąży się do tego by dane były odczytywane tylko z chipa. Co pozwoliłoby usunąć paski magnetyczne i zmniejszyć liczbę fraudów. Obecnie banki coraz częściej blokują transakcję tylko z pasków magnetycznych, przez co możemy mieć problemy z płatnościami np w stanach, które wciąż zwlekają z wprowadzeniem standardu EMV.

    Ogólnie popieram tutaj osoby które mówią że nie ma się czego bać. Na chwilę obecną płatności CTLS są jednymi z najbezpieczniejszych. A osoby nadzorujące wasze karty mają rękę na pulsie. Większość podejrzanych transakcji jest wyłapywanych przez programy Visy lub MasterCarda, a następnie przesyłane do analizy pracowników.

    Jeżeli macie jakieś pytania co do kart płatniczych pytajcie. W miarę wiedzy postaram się odpowiedzieć
  • #51
    BUCKS
    Poziom 35  
    Tosca napisał:
    b) Wyłączenie transakcji zbliżeniowych działa. Ale, dane z karty i tak będą odczytane. Dane czyli imię nazwisko posiadacza, data ważności, numer karty, ew blokady. Więc tutaj bezpieczniej jest niszczyć antenę.

    I właśnie w tym problem, jeśli osoba X nie potrzebuje płatności zbliżeniowych to po co jej wciskać na siłę, a trudno mi sobie, aby każdy chciał dziurawić swoja kartę, to zadanie dla wtajemniczonych ;)

    Freddy napisał:
    R-MIK napisał:
    PKO jest drogim bankiem i z polskim nie ma wiele wspólnego
    Nie myl PKO BP i PKO SA, bo to całkiem różne banki.

    Raczej jak już to nie myl PKO BP SA (ze skarbonką) z PEKAO SA (z żubrem).
    Oba banki mają formę Spółki Akcyjnej.

    Do admina, w tym fragmencie nie było żadnej reklamy a tylko sprostowanie co do błędnej informacji podanej przez Freddy.
    W pozostałej części też nie było reklamy ale każdy widzi to co chce widzieć. EOT
  • #52
    zbyrek
    Poziom 23  
    Artur k. napisał:
    Ech... jak zwykle opowieści dziwnej treści.
    Ja mam w portfelu 4 różne karty z czego dwie płatnicze, wszystkie zbliżeniowe i zapewniam, że nie da się żadnej odczytać. Próba odczytu kończy się fiaskiem, bo jednocześnie zgłaszają się wszystkie cztery karty. Łatwo to sprawdzić przykładając portfel do terminala - wyrzuca błąd. Żeby zapłacić, muszę wyjąć konkretną kartę i jej użyć.
    To by było na tyle w kwestii możliwości zdalnego kopiowania czegokolwiek.


    Bzdura! To, że komercjalne produkty tego nie robią, nie oznacza, że jest to niemożliwe, produkty oficjalne, nie robią tego, własnie po to, by nie użyć przypadkowo złej karty, natomiast złodziejowi raczej nie robi to różnicy, a system rfid mifare (ten standard jest używany przez karty) posiada system antykolizyjny i potrafi ebz problemu odczytać kilka kart jedna po drugiej nawet gdy są obok siebie.
  • #53
    Artur k.
    Admin grupy audio
    zbyrek napisał:
    system rfid mifare (ten standard jest używany przez karty) posiada system antykolizyjny i potrafi ebz problemu odczytać kilka kart jedna po drugiej nawet gdy są obok siebie.

    Pod warunkiem, że same karty obsługują ten mechanizm. Karta jako taka jest głupia jak but - znajdzie się w polu i rozpoczyna nadawanie. Wystarczy by karta nadawała swoje dane tylko raz i mamy pozamiatane. Nie wiem jak dokładnie zachowują się karty płatnicze (a nie chcę się bawić, co by nie uszkodzić swojej karty), ale prawie na pewno są to karty jednokrotnego zapisu i prawdopodobnie taka karta właśnie nadaje dane tylko raz. Poza tym jest jeszcze kwestia ile kart jednocześnie jest w stanie zasilić czytnik.
  • #54
    zbyrek
    Poziom 23  
    Artur k. napisał:
    zbyrek napisał:
    system rfid mifare (ten standard jest używany przez karty) posiada system antykolizyjny i potrafi ebz problemu odczytać kilka kart jedna po drugiej nawet gdy są obok siebie.

    Pod warunkiem, że same karty obsługują ten mechanizm. Karta jako taka jest głupia jak but - znajdzie się w polu i rozpoczyna nadawanie. Wystarczy by karta nadawała swoje dane tylko raz i mamy pozamiatane. Nie wiem jak dokładnie zachowują się karty płatnicze (a nie chcę się bawić, co by nie uszkodzić swojej karty), ale prawie na pewno są to karty jednokrotnego zapisu i prawdopodobnie taka karta właśnie nadaje dane tylko raz. Poza tym jest jeszcze kwestia ile kart jednocześnie jest w stanie zasilić czytnik.


    Skoro są zgodne ze standardem, który uwzględnia system antykolizyjny to muszą obsługiwać, a karta wcale nie jest głupia jak but, bo zajmuje się odszyfrowaniem danych, ponad to token do transakcji zbliżeniowych jest jednorazowy, i musi go aktualizować łącząc się z bankiem, przez to transakcję offline można wykonać tylko raz pod rząd. Polecam doczytać.
  • #55
    TechEkspert
    Redaktor
    zbyrek napisał:
    Artur k. napisał:
    zbyrek napisał:
    system rfid mifare (ten standard jest używany przez karty) posiada system antykolizyjny i potrafi ebz problemu odczytać kilka kart jedna po drugiej nawet gdy są obok siebie.

    Pod warunkiem, że same karty obsługują ten mechanizm. Karta jako taka jest głupia jak but - znajdzie się w polu i rozpoczyna nadawanie. Wystarczy by karta nadawała swoje dane tylko raz i mamy pozamiatane. Nie wiem jak dokładnie zachowują się karty płatnicze (a nie chcę się bawić, co by nie uszkodzić swojej karty), ale prawie na pewno są to karty jednokrotnego zapisu i prawdopodobnie taka karta właśnie nadaje dane tylko raz. Poza tym jest jeszcze kwestia ile kart jednocześnie jest w stanie zasilić czytnik.


    Skoro są zgodne ze standardem, który uwzględnia system antykolizyjny to muszą obsługiwać, a karta wcale nie jest głupia jak but, bo zajmuje się odszyfrowaniem danych, ponad to token do transakcji zbliżeniowych jest jednorazowy, i musi go aktualizować łącząc się z bankiem, przez to transakcję offline można wykonać tylko raz pod rząd. Polecam doczytać.


    To wygląda mnie więcej tak:
    Unique -> "głupia jak but" nadaje swój numer wraz z bitami parzystości po umieszczeniu w polu
    Mifare -> sprytniejsza np. dostęp do pamięci (np. numeru karty) może wymagać podania hasła, można zaimplementować liczniki (inkrementacja/dekrementacja) po podaniu hasła (np. karty z określoną ilością "impulsów"), można ustawić dwa hasła o różnych poziomach dostępu (np. inny do dekrementacji "impulsów", inny do doładowania)
    Płatnicze bezstykowe -> moje zdanie jest takie że są wygodne, cyfrowa wymiana danych jednorazowych CVC jest lepsza niż kod CVV/CVC nadrukowany na karcie. Z karty można odczytać informacje o kwotach ostatnich płatności a także numer karty i jej datę ważności. Zawsze można zastosować wspomniane opakowania ochronne (np. http://www.bezpiecznekarty.pl ) ale ideałem byłaby karta z przyciskiem który aktywuje działanie karty.
  • #56
    Artur k.
    Admin grupy audio
    zbyrek napisał:
    Skoro są zgodne ze standardem, który uwzględnia system antykolizyjny to muszą obsługiwać

    Tak, tyle że karta może nie reagować na część komend i wówczas mimo zgodności z mechanizmem antykolizyjnym, nie da się go zastosować.
    Mechanizm antykolizyjny kart Mifare opisany jest np. tutaj:
    http://www.atmel.com/Images/doc2056.pdf
    Dość prosto da się system zrobić tak, by ten mechanizm w karcie wyłączyć i nie wierzę by nie było to właśnie tak zrobione. Wystarczy zrobić tak, by karta zawsze oczekiwała na pierwszeństwo, jeśli go nie dostanie - idzie spać. A dwie na raz nie mogą dostać pierwszeństwa.
    zbyrek napisał:
    karta wcale nie jest głupia jak but, bo zajmuje się odszyfrowaniem danych, ponad to token do transakcji zbliżeniowych jest jednorazowy, i musi go aktualizować łącząc się z bankiem, przez to transakcję offline można wykonać tylko raz pod rząd.

    Tym bardziej więc, odczytanie zawartości takiej karty nic nie daje. Trzeba byłoby ją złamać i zrobić kopię 1:1 całej zawartości pamięci, tak by dało się odczytaną zawartość zapisać do innej karty i mieć dokładną kopię, która po zbliżeniu do terminala płatniczego zachowa się tak samo jak oryginał.
    No i trzeba jeszcze znać PIN, inaczej za wiele z karty nie wyjmiemy. Moja karta ma tak, że co trzy płatności muszę podawać PIN bez względu na kwotę transakcji.
    PIN nie jest zapisany na karcie, więc co by z niej nie odczytać, nadal brakuje najważniejszej rzeczy.

    TechEkspert napisał:
    Płatnicze bezstykowe -> moje zdanie jest takie że są wygodne, cyfrowa wymiana danych jednorazowych CVC jest lepsza niż kod CVV/CVC nadrukowany na karcie. Z karty można odczytać informacje o kwotach ostatnich płatności a także numer karty i jej datę ważności. Zawsze można zastosować wspomniane opakowania ochronne (np. http://www.bezpiecznekarty.pl ) ale ideałem byłaby karta z przyciskiem który aktywuje działanie karty.

    Karty płatnicze najprawdopodobniej używają Mifare DESFire, odczytanie czegokolwiek istotnego z takiej karty wcale nie jest taką prostą sprawą.
  • #57
    Szyszkownik Kilkujadek
    Poziom 35  
    A ja polecam płacenie zbliżeniowe telefonem. Funkcjonalność NFC włącza się dopiero po odblokowaniu wyświetlacza. Podczas płatności na ekranie telefonu pokazuje nawet kwotę transakcji. Aplikacja płatnicza zabezpieczona pinem.
  • #58
    CMS
    Administator HydePark
    Piszecie i piszecie, a nikt nie pokazał co można odczytać z takiej karty. Bardzo proszę oto moja kredytówka (oczywiście nie ważna).
    Przeróbki karty zbliżeniowej Przeróbki karty zbliżeniowej Przeróbki karty zbliżeniowej Przeróbki karty zbliżeniowej Przeróbki karty zbliżeniowej
    Jak widać, nic ciekawego nie widać :).
    Będzie raczej ciężko coś mi ukraść, mając jedynie numer i datę ważności. Załóżmy, że kanar, ma taki skaner, bo chce sobie dorobić i dzięki temu pozna imię i nazwisko (jeśli mu się wyświetla po odczycie kart miejskiej - bo tego nie wiem), ale nadal brakuje kodu CVV...
  • #59
    Artur k.
    Admin grupy audio
    Przecież od początku piszę, że to niby odczytywanie kart to bajki.
    Odczytać, to można było kiedyś karty miejskie (i nawet były podrabiane) ale od kiedy zmienili system to się już nie da.
    Karty bankomatowe muszą być (i są) znacznie lepiej zabezpieczone.

    Jak masz NFC to spróbuj odczytać dwie na raz. :)
  • #60
    CMS
    Administator HydePark
    To ciekawe.

    Położyłem na stole kartę kredytową, a na niej kartę miejską. Skaner znalazł tylko jedną. Następnie położyłem kartę miejską na spodzie i przykryłem ją kredytówką. Skaner wykrył tą samą kartę co poprzednio.