• úvod
  • témata
  • události
  • tržiště
  • diskuze
  • nástěnka
  • přihlásit
    registrace
    ztracené heslo?
    LITTLEBOYAnonymita na internetu :: TOR - FREENET - FREEPROXY - ...
    OVERDRIVE
    OVERDRIVE --- ---
    PEPAK: podivej, to, ze ti reklamovali 2 falesne transakce svedci o tom, ze si vsechny argumenty typu "k cemu by se to dalo pouzit" serou do bot uplne nejvic.
    predstav si, ze mas netovy kram s necim drahym, treba umeni i kdyz tam zas budes mit keci, ze budou chtit videt papiry i jine nez kartu, ok, tak treba nakupujes bitcoiny nebo investici zlato, ok?.. a ted si predstav, ze nekomu posles zbozi. pak prijde banka s tim, ze platba byla neopravnena...
    a jako majitel kramu jsi v prdeli. pokud ne, je v prdeli zakaznik, a pokud ne? tak je v prdeli banka. zbozi uz je nekde pryc a prdlajz vis kde... a to je dulzite. da se udelat z neceho nic. nevim co na tom nechapes.
    ale znovu, jak rikam, neni dulezite jak to zneuzit, stejne jako jsem tady asi nechtel psat, jak to udelat. BLBEHO TRKNI a promin, ale pripadne mi, ze tady to nepomaha a vytaci me to, a budu si muset asi zvyknout, uz je to na idnesu a podobnych lidi bez fantasie, kteri sobecky videj jen sami sebe, a ze jim se kupodivu pri kradezi karty nic nestalo, tech jo holt asi vetsina.
    znovu rikam, ze problem uz je jen moznost. asi stejna, jako 99% si proste nebude tisknout na 3d tiskarne gun, ale jeden jo... chapes me?
    chapes co ti muze utyct na metry vzdalenosti? a vis co je zajimave? to ze to jde delat masove, a to, ze se o tom nemusis vubec dozvedet.
    vis co? muze byt taky docela prdel, kdyz odletis do Mexika a najednou zjistis, ze nemas kreditku, protoze nejaky idiot se z ni pokusil udelat 10 tisic neautorizovanych plateb a banka ji pozastavila. preju prijemnou zabavu v Mexiku.

    to je asi stejne, jako kdyz minuly tyden nejakej botnet zacal v Polsku napadat 100 000 routeru a asi u 10 000 lidi se podarilo presmerovat traffic do banky a nekdo jim vycistil konta.
    Super ne? takovej drobnej bug, ze LingSys routery maji zapnutou remote controll by default.

    visco? jak jednou na neco napises bota [ano, chapu, ze si to jako ociviny amater a neprogramator neumis predstavit], tak ten bot to muze udelat nekonecne mnohokrat, velice presne, a dokaze udelat i VELICE slozite veci.
    cislo karty je mimo jine docela extremni stopa, myslim, ze i tak by to slo pouzit.
    opravdu ti mam porad jeste vymyslet, proc lidem krast penezenky, kdyz nejsi cikan v karline, kterej kartu 3x zkusi v bankomatu na nahodne cislo?

    mam napad, posli mi svoji kreditku a nech ji mesic odblokovanou.... uvidime co se stane, ju?
    NAVARA
    NAVARA --- ---
    OVERDRIVE: Tak se v tom článku více soustřeď na ty možnosti zneužití jména + čísla + expirace karty (bez CCV), pokud to má na veřejnost více zapůsobit. O tom, že to banky smetou na "individuálním řešení případů" (a pokud tam bude měsíc vadných CCV verifikací,...) není třeba pochybovat. Musíš ukázat, že to riziko je systémové a i pro lidi, kterým to že někdo zná jejich jméno, nevadí.
    OVERDRIVE
    OVERDRIVE --- ---
    PEPAK: pockej, ty si jako vazne myslis, ze banka ma zodpovednost za transakce provadene z tveho uctu? LOL. cet jsi smlouvu, co jsi s nima podepsal?
    muzes si to nechat pojistit, bezne je to do 20% ztrat zpusobenych neopravnenou manipulaci. navic je tam dokazovani, ze manipulace byla neopravnena.
    ano u rychlych plateb jako jsou ty bezkontaktni [mozna jeste jine] celou zodpovednost nese banka.
    problem je, ze ja ve clanku pisu, ze o rychle platby VUBEC nejde, jde o to, ze proste si nechavas ukrast cislo karty a vsechny jeji udaje kdyz projdes kolem kdejakeho turniketu a nemuzes tomu nijak zabranit.
    sorry, ale ze si proste nedokazes predstavit, ze JE TO EXTREMNI riziko a stoji ti za to byt i jen minuta denne, tedy nejake 4h rocne, tak proste si myslim, ze nemam co vysvetlovat a rikam znovu STUDUJ VOJAKU!
    Boze, uvedom si, ze tady mluvim pro lidi [tady v auditu], kterym vadi de facto ztrata JAKYCHKOLIV metadat ke sve osobe a tady mluvime o tom, ze jde precist KOMPLETNE cely pas, kompletne cela kreditka...
    mam data z pasu kde je vsechno, vcetne biometriky a ta jedina je zasifrovana, ale je tam vsechno mozne vcetne rodneho cisla, adresy, barevne fotky, cisla pasu, data vydani.... uz jsi nekdy zadal o vizum, kde treba potrebujes kopii pasu? Nebo treba by se ti k necemu hodily klice, ktere jsou na cipu ulozene?
    Jezis, to, ze neumis najit uplatneni neznamena, ze to neumi nekdo jiny.
    Uz vas nekdy napadlo, ze treba to trimistne cislo muzete zkouset i mesic nebo dva, treba 2 pokusy denne? Automaticky? Kdyz mam databazi karet nasekanejch v Praze na Hlavaku?
    a to je jen to nejdebilnejsi pouziti. ono totiz platby z e-shopu jsou jen software vime? ;]
    PEPAK
    PEPAK --- ---
    Ještě k té bance, aby ti, kdo nemají žádnou zkušenost, měli nějaký příklad, co karetní systémy umí: Kartu používám všude možně, včetně operací, které nejsou úplně obvyklé. Nikdy s tím nebyl problém. Ovšem už se stalo, že mi z banky volali s dotazem, že přes moji kartu byly iniciovány dvě podezřelé transakce a jestli jsem opravdu prováděl takovou a takovou platbu. Takže jsem si to dohledal ve svých materiálech a zjistil dvě věci:

    1) Tu platbu jsem neuskutečnil, banka ji správně rozpoznala jako falešnou. To je samo o sobě docela úžasné, ještě více pak s ohledem na skutečnost, že se bance zatím nikdy nepodařil false-positive (že by mě varovala před transakcí, kterou jsem skutečně udělal já).

    2) Kdyby mi banka nezavolala a nezeptala se, tak bych tyhle dvě falešné transakce neodhalil ani z výpisu - natolik vypadaly nenápadně a uvěřitelně.

    Ta zneužitá karta téměř jistě nebyla přečtena někým na ulici ani odpozorována někde v hospodě. Docela jistě její číslo neodešlo z mého počítače. S největší pravděpodobností bylo číslo ukradeno z nějakého e-shopu, ve kterém jsem ji použil a který si ji ve svých systémech poznamenal a nedostatečně ochránil. Samozřejmě nemám šanci zjistit, který e-shop to byl (to by musely banky nabízet karty tak, abych pro každou transakci měl jiné číslo karty - i takové karty bývaly a možná stále ještě jsou, ale nepodařilo se mi najít způsob, jak bych se k nim mohl dostat). Ale demonstruje to jednu praktickou slabinu OVERDRIVEova článku, kterou by měl i v případě, že by byl věcně správný (není): Pro případné zloděje je *daleko* pohodlnější a levnější (a také bezpečnější) hacknout nějaký špatně zabezpečený e-shop a použít jeho karty, než se potulovat po metru se čtecím zařízením a sbírat údaje o bezdrátových kartách. To je podle mě pro majitele karet větší riziko.
    PEPAK
    PEPAK --- ---
    OVERDRIVE: Ad reklamace na internetu: Mýlíš se. Banka samozřejmě nedeklaruje tuto zodpovědnost veřejně, ale fakticky to tak je (a donedávna to bylo dokonce stanoveno zákonem).

    Ad výhody karty: Tvrdil jsi, že výhody karty neexistují. Řekl jsem ti několik výhod. Odpovídáš tím, že tyhle výhody se nepočítají, protože jsou zanedbatelné v porovnání s nevýhodou vyluxování účtu. Když ti odpovím, že očekávaná roční ztráta z toho vyluxování je zhruba stejná jako cena 8 sekund mého času, takže pokud u pokladny ušetřím v průměru devět sekund, tak jsem v plusu, tak nepochybně budeš argumentovat tím, že to neplatí, protože něco jiného. To je přesně to, co myslím tím, že tvůj přístup k problému je postaven zejména na argumentačních klamech.

    Přechod od argumentace nad skutečnostmi k argumentaci ad hominim nechám bez komentáře. Nicméně pokud tě zajímá moje odbornost vzhledem k bezpečnosti, není až takový problém si to dohledat.

    Ad co chybí pro duplikování karty: Tak třeba privátní klíč karty.

    ---

    Pro mě za mě si ten článek publikuj. Jak jsem psal, jsem zcela přesvědčen o tom, že bude mít úspěch. Možná dokonce bude obecně užitečný, pokud ti nevadí pro dosažení dobrých cílů používat zlé metody. Ale odborně je velmi špatný, a odbornost je to jediné, k čemu se v něm chci vyjadřovat.
    OVERDRIVE
    OVERDRIVE --- ---
    PEPAK:

    PEPAK --- --- 12:08:30 24.2.2014 --- 06:33 :: sledované diskuze
    1 odpověď (+3)
    Kladně označeno následujícími uživateli (3):


    OVERDRIVE: Obecně se mi zdá, že tvůj článek používá dost argumentačních klamů. Asi bude úspěšný, protože se přesně trefí do "laické paranoie" (=paranoia podložená dojmy, nikoliv fakty) mnoha čtenářů, ale mě se tenhle typ psaní článků nelíbí.



    Druhá věc je, píšeš spoustu věcí, které jsou založeny na dojmech, ne na znalostech. Předpokládáš spoustu věcí, které prostě nejsou pravdivé, a spoustu dalších věcí, které pravdivé být mohou a nemusí, podle konkrétní implementace. Vůbec neřešíš skutečnost, že platba kartou není jen o té kartě, ale o spoustě systémů okolo, které případné existující zranitelnosti do jisté míry omezují nebo snižují jejich riziko (například mohu každou platbu kartou reklamovat a banka typicky zareaguje tak, že reklamaci vyhováí, peníze strhne obchodníkovi a nechá ho, ať ten si to nějak vyřeší). Celkově je tvůj článek spíš FUD než něco seriozního.


    To, ze neuvadim priklady je jak jsi jiste pochopil zamerne. Neni to o tom, ze bych je neznal, ac sam tyhle skilly nemam videl jsem demo a mam nactena binarni a parsovana data ze vseho co ma v me dokladovce magneticky pasek a cip. Samozrejme je nebudu shareovat, ale na vyzadani jsem ochoten ukazat nejake priklady, pokud chces, muzes si to zkusit sam, v clanku jsou vsechna fakta, jen ne explicitne... a ANO na paranoiu tady hraju naprosto objektivne protoze chci, aby se lide vzbourili proti spatne zabezpecenemu bankovnictvi. Nepotrebuji hromadu jasnych fakt, ale smysl. Chytremu napovez, hloupeho trkni. [

    To, ze muzes reklamovat platbu bezkontaktni, jeste neznamena, ze muzes stejne snadno reklamovat platbu napriklad na internetu. Tam uz je MINIMALNE pojisteni a spoluzodpovednost. Temer zadna banka nenabizi plnou zodpovednost pro pripad zneuziti karty. Pokud ano, je to tady OT, ale urcite to bude nekoho zajimat.



    "Čím je vlastně bezkontaktní karta pro zákazníkíka banky zajímavá? Z mého lajckého pohledu (tedy právě pohledu zákazníka) vůbec ničím." -- Z mého pohledu je zajímavá svou rychlostí. A to nejen u plateb do 500 Kč, ale u všech plateb - bezkontaktní platba jde trochu jiným procesem, který dobu zpracování dost zkracuje. Možná to není až tak velká úspora, když platím já, ale rozhodně je to zajímavé v okamžiku, kdy stojím ve frontě a platí někdo přede mnou.


    To jehodne demence ne? To jako vymenis vysate konto za 1minutu zdrzeni? :]]]
    Neco jineho nez "rychlost" tam je?


    "Ještě stále nevidíte, proč je bezkontaktní placení stejně nebezpečné jako ukradená peněženka z kabelky či zadní kapsy kalhot?" -- Ne. Zatím jsi neuvedl žádný důvod, proč by to mělo být nebezpečné. Akorát jsi potlačil důvody, proč to je méně nebezpečné než ukradená peněženka (zaplatit bez PINu lze jen cca 500 Kč celkově, transakci jde dodatečně zrušit/zablokovat, kartu jde zablokovat ještě před zneužitím).


    Promin, ale jestli jsem neuvedl zadny duvod, proc je tenhle zpusob nezabezpecene platby nebezpecny, tak jsi asi hlupak a clanek neni urcen pro tebe, ale pro nekoho, kdo ma nejen inteligenci, ale i predstavivost.
    Nezaujalo te nekdy, proc treba existuje fenomen "cardingu" a proc uz jen to, ze das z ruky cislo karty je problem?
    Asi ne, ze?



    Pak následuje několik odstavců tlachání o ničem. Nebudu je komentovat, musel bych pořád psát "irelevantní".

    "Vlastně téměř vše co je fyzickz napsáno na kartě, tedy: jméno majitele, číslo karty, datum vydání a datum konce platnosti." -- Nechce se mi to dohledávat, budu tedy v zájmu další diskuse předpokládat, že to je pravda. Spíš o tom mám ale pochybnosti, mimo jiné mám za to, že může být výrazný rozdíl mezi americkými a evropskými kartami.


    Ano, je to pravda, predpokladej co chces, karta ovsem bleje hromadu informaci, ktere nechci aby mel ani obchodnik, natozpak kdokoliv, kdo si kartu precte bez meho vedomi. Napriklad uz jen seznam nakupovanych leku muze vest k vydirani. Znovu zkus pouzit fantasii, je-li jaka.


    "OK, tak jediná další informace, která nám brání ve zneužití informací nalovených z kreditních karet okolostojících lidéí z tramvaje je neznalost třímístného kódu, který je k dokončení transakce potřebný také. Napsat si program, který vzykouší jednu podruhé každou kombinaci z 999 možných, to je opravdu veliká překážka." -- Ano, je. Pokud ovšem nemáš nějaký chytrý nápad, jak zablokovat automatické kontrolní mechanismy v bance, která kupodivu zkoumá takové věci, jestli náhodou někdo nezkouší s jednou kartou spoustu transakcí, lišících se v CVV...


    Takovych napadu mam celou radu, pouzij predstavivost.


    "Ukradená data z karet jdou použít rúzně" -- Ano, to souhlasím. Problém je s tím, že jen velmi málo těchto použití je takových, že se dá skutečně dostat k penězům, a ještě méně jich je takových, že to dékážeš, aniž by u tebe za pár dní klepala policie.


    Ehm.... mam se opakovat? Tobe budu. Pouzij predstavivost a wiki a najdi si klicove slovo "carding"


    "potencionální možnost duplikace karty nás asi může napadnout jako další" -- Až na to, že ke zduplikování karty si z ní nepřečteš dost informací.


    Jo? Jake treba chybi?
    OVERDRIVE
    OVERDRIVE --- ---
    TRILOBYTE: VELICE PEKNE DEKUJU!!!
    AQUARIUS
    AQUARIUS --- ---
    _HABU_: mel jsem za to, ze v pripade bezkontaktnich plateb to do ty banky netece rovnou, protoze jednim z duvodu rychlejsiho odbaveni je fakt, ze se jedna o offline transakci.
    _HABU_
    _HABU_ --- ---
    OVERDRIVE: Tady jde spíše o "loupež" anonymity, resp. osobních údajů, nikoliv peněz. Bezpečnostní trojčíslí není sice nezjistitelný svatý grál, ale jak píše PEPAK, pochybuji, že transakční systémy povolují nekonečný počet pokusů o zaplacení. Navíc, než ta informace doleze do banky a zpět, to taky nějakou tu vteřinu trvá.

    Jinak za mě dobrý. Další vztyčený ukazováček proti snifferům osobních údajů, i když dnes je to už imho spíše naivita.
    LIBORO
    LIBORO --- ---
    PEPAK: Ok, ja to řešil s CS.
    PEPAK
    PEPAK --- ---
    LIBORO: V civilizovaných státech kterákoliv, v ČR například ČSOB.
    LIBORO
    LIBORO --- ---
    PEPAK: "Banka automaticky reklamaci vyhoví a peníze strhne obchodníkovi.". .. o jaké bance píšeš konkretne? Když jsem tohle konkrétně nedávno řešil, tak banka chtěla doložit po mě, ze transakce byla zrušena, bez toho odmítala transakci zrušit.
    TRILOBYTE
    TRILOBYTE --- ---
    OVERDRIVE: slibovana kreatura (korektura), asi sem nevychytal vsechno:

    Past na bezkontaktní karty



    Tak tedy co že nám to vlastně nabízí kouzlo bezkontaktního placení?
    Vysílačku s přijímačem, jejichž specifikaci je možné zjistit na internetu, protože je to norma a standard, a takové zařízení (s různým výkonem, o čemž bude řeč později) není ani potřeba složitě vymýšlet v tajné hackerské laboratoři, poněvadž jde zcela snadno opatřit z čínských krámků s levnou a neznačkovou elektronikou za cenu, v základu, nepřevyšující dva tisíce korun. Výkonnější zařízení budou také mírně dražší nebo je možné je vyrobit úpravou těch menších. Pokud máte zájem o opravdu kvalitní kousky s velkým dosahem, nejjednodušší bude asi porozhlédnout se právě po oné čtečce, která se používá pod sjezdovkami.

    Past na kreditky aneb tajná zbraň za pět tisícovek
    Čtecí zařízení máme, s troškou šikovnosti jej připojíme k tabletu, notebooku nebo dokonce k chytrému telefonu. Samozřejmě náš nový zlodějský automat musí obsahovat software v podobě operačního systému, který umožňuje například psát a číst, doporučuji tedy buďto systém s Tučňákem Paragonským v Logu (GNU/Linux) popřípadě se zelenou příšerkou vymyšlenou Karlem Čapkem (Android) . Operační systémy pro lidi, kteří jsou natolik hloupí, že vyměnily starodávné umění číst abecedu za ještě starší dovednost odlišit od sebe nakousnuté jablko (McInstosh Apple) a rozbité okno (Windows) mají smůlu a zlí hackeři se z nich nestanou (stejně jako intelektuálové, a nepomohou ani brýle značky RayBan).

    Nabíjíme zbraně
    Máme tedy tablet propojený s kouzelnou skříňkou, kterou jsme si pořídili v DealExtreme nebo na e-bay, umíme číst a psát, tušíme, že data předávaná mezi kartou a naší čtečkou jsou zřejmě v nějakém přesně daném formátu, pokud jsme příliš líní, abychom využili dovednost čtení nějak hlouběji, stačí se opět obrátit na google.com (toto není reklama, reklama je, když napíšu, že existuje obdobný, ale daleko bezpečnější vyhledávač DuckDuckGo.com, který nekrade vaše osobní údaje a soukromí). Google nám po správně napsaném dotazu sdělí, že specifikace datové výměny mezi terminálem jsou opravdu standardizované, poskytne nám patřičné drivery pro naši čtečku a Tučňáka či Androida (ty je dobré hledat předtím, než pořizujeme čtečku). Důležité je také to, že nám ale poskytne software, který přečtená data z transakce dokáže poskládat do velice přehledné podoby, třeba excelová tabulka, xml nebo cokoliv je vlastně libo. Vhodné klíčové slovo, jak si opatřit munici v podobě parseru předávaných binárních dat může být například RifidRIOT

    A jde se lovit
    Díky tomu, že jsou dnešní karty opravdu bezkontaktní, a díky tomu, že za pár tisícovek máme v kapse vše co potřebujeme, aniž bychom nakonec musel nějak moc umět číst a psát, můžeme se teď vydat na nějaké místo častého výskytu bytostí na bázi uhlíku (tedy lidí). Profesionál by asi své zařízení připojil k rámu dveří a data sbíral z pohodlí svého domova plného krabic od pizzy a prázdných krabiček od ukrajinských cigaret. My však jsme dobrodružné povahy a svou tajnou zbraň si ukryjeme v batohu a půjdeme se projít například do metra.

    Hop hej, jsem bohatej
    Co všechno jde vyčíst naší novou supertajnou zbraní, postavenou z tabletu, čtečky a pár skriptů v perlu?
    Vlastně téměř vše co je fyzicky napsáno na kartě, tedy: jméno majitele, číslo karty, datum vydání a datum konce platnosti. Další věc kterou karty sdílejí je jistý počet posledních transakcí. Tímto si nejsem ani já přesně jistý, ale kamarádova karta, s kterou jsme dělali pokus, mu prozradila, že rád kouří Lucky Strike, kterých kupoval tři krabičky v 23:23:23 na Dejvické, o Pět minut později, že platil za kuře v nedalekém KFC a nakonec si koupil v Žabce lubrikační gel a velké balení kondomů. Protože však kondomy a gel přesáhly pět stovek, za lahev levného šampaňského platil zvlášť.
    Jediná další věc, která nám tedy vlastně chybí, abychom mohli data z kamarádovy karty (aha, vlastně šli jsme na lov do tramvají, přece bychom neokrádali kamaráda, že?).... OK, tak jediná další informace, která nám brání ve zneužití informací nalovených z kreditních karet okolostojících lidí z tramvaje je neznalost třímístného kódu, který je k dokončení transakce potřebný také. Napsat si program, který vyzkouší jednu podruhé každou kombinaci z 999 možných, to je opravdu veliká překážka. Doporučuji se zeptat DuckDuckGo.com či google.com jak na to.

    Počítače umějí počítat a není obrany
    Naše tajná zbraň nám sice tedy neumožnila provádět přímo transakce, kdy majitele bezkontaktní karty, elektronický kapsář obere o první í poslední povolenou pětistovku, nicméně díky tomu, že počítač je dobrý v počítání a software v naší pasti na kreditní karty s tím počítá, může potencionální pachatel ochotný jednorázově investovat pár tisícovek, okrádat celý dav lidí třeba při již zmíněném průchodu pastí, která se bude tvářit jako bezpečnostní rám u dveří obchodu, může se proste projít po MHD a číst vám karty z batohů, kapes a kabelek a to úplně stejně, jako to dělá čtečka karet pod sjezdovkou. Víc podobných karet v jedné peněžence není problém, ba naopak. Vzdálenost taky není problém s patřičnou anténou (viz. čtečky pod sjezdovkami). Dokonce ani nepomůže schovat karty do aluminiové folie, tím se pouze zkracuje vzdálenost na kterou jsou data z karty ještě čitelná.

    Ukradená data z karet jdou použít různě, dá se s nimi platit v eObchodech, dají se hromadně prodat nějaké spřízněné mafii, potencionální možnost duplikace karty nás asi může napadnout jako další... představivosti se meze nekladou.

    Pokud se ptáte, jak je tedy možné se bránit přečtení bezkontaktní platební karty, musím s politováním odpovědět, že nijak. Jedině tak, že takovou kartu nebudete používat a budete od banky vyžadovat kartu normální, která svá data vydá, až když se jí někdo dotkne a slušně poprosí.
    FURYAN
    FURYAN --- ---
    At uz je to jak chce, tak me ten bezkontaktni system zacina celkem srat s i bez nebezpeci - mam ho "nove", cca. 2 mesice. Pred 14 dny se vysrala kreditka MasterCard Gold - vymena za novou (nove cislo - nova ragistrace s paypale, atd. sracky), dneska platba druhou bezkontaktni - debetni master card - v restaruaci zamitnuta (musel jsem platit kreditkou), na benzince ale debetka v pohode funkcni.

    Tak nevim no, novy technologie me cim dal tim vic serou. Globalne.
    PEPAK
    PEPAK --- ---
    OVERDRIVE: Obecně se mi zdá, že tvůj článek používá dost argumentačních klamů. Asi bude úspěšný, protože se přesně trefí do "laické paranoie" (=paranoia podložená dojmy, nikoliv fakty) mnoha čtenářů, ale mě se tenhle typ psaní článků nelíbí.

    Druhá věc je, píšeš spoustu věcí, které jsou založeny na dojmech, ne na znalostech. Předpokládáš spoustu věcí, které prostě nejsou pravdivé, a spoustu dalších věcí, které pravdivé být mohou a nemusí, podle konkrétní implementace. Vůbec neřešíš skutečnost, že platba kartou není jen o té kartě, ale o spoustě systémů okolo, které případné existující zranitelnosti do jisté míry omezují nebo snižují jejich riziko (například mohu každou platbu kartou reklamovat a banka typicky zareaguje tak, že reklamaci vyhováí, peníze strhne obchodníkovi a nechá ho, ať ten si to nějak vyřeší). Celkově je tvůj článek spíš FUD než něco seriozního.

    "Čím je vlastně bezkontaktní karta pro zákazníkíka banky zajímavá? Z mého lajckého pohledu (tedy právě pohledu zákazníka) vůbec ničím." -- Z mého pohledu je zajímavá svou rychlostí. A to nejen u plateb do 500 Kč, ale u všech plateb - bezkontaktní platba jde trochu jiným procesem, který dobu zpracování dost zkracuje. Možná to není až tak velká úspora, když platím já, ale rozhodně je to zajímavé v okamžiku, kdy stojím ve frontě a platí někdo přede mnou.

    "Ještě stále nevidíte, proč je bezkontaktní placení stejně nebezpečné jako ukradená peněženka z kabelky či zadní kapsy kalhot?" -- Ne. Zatím jsi neuvedl žádný důvod, proč by to mělo být nebezpečné. Akorát jsi potlačil důvody, proč to je méně nebezpečné než ukradená peněženka (zaplatit bez PINu lze jen cca 500 Kč celkově, transakci jde dodatečně zrušit/zablokovat, kartu jde zablokovat ještě před zneužitím).

    Pak následuje několik odstavců tlachání o ničem. Nebudu je komentovat, musel bych pořád psát "irelevantní".

    "Vlastně téměř vše co je fyzickz napsáno na kartě, tedy: jméno majitele, číslo karty, datum vydání a datum konce platnosti." -- Nechce se mi to dohledávat, budu tedy v zájmu další diskuse předpokládat, že to je pravda. Spíš o tom mám ale pochybnosti, mimo jiné mám za to, že může být výrazný rozdíl mezi americkými a evropskými kartami.

    "OK, tak jediná další informace, která nám brání ve zneužití informací nalovených z kreditních karet okolostojících lidéí z tramvaje je neznalost třímístného kódu, který je k dokončení transakce potřebný také. Napsat si program, který vzykouší jednu podruhé každou kombinaci z 999 možných, to je opravdu veliká překážka." -- Ano, je. Pokud ovšem nemáš nějaký chytrý nápad, jak zablokovat automatické kontrolní mechanismy v bance, která kupodivu zkoumá takové věci, jestli náhodou někdo nezkouší s jednou kartou spoustu transakcí, lišících se v CVV...

    "Ukradená data z karet jdou použít rúzně" -- Ano, to souhlasím. Problém je s tím, že jen velmi málo těchto použití je takových, že se dá skutečně dostat k penězům, a ještě méně jich je takových, že to dékážeš, aniž by u tebe za pár dní klepala policie.

    "potencionální možnost duplikace karty nás asi může napadnout jako další" -- Až na to, že ke zduplikování karty si z ní nepřečteš dost informací.
    NAVARA
    NAVARA --- ---
    Hmm, doteď jsem měl za to, že chip jen podepíše transakci - a tedy údaje z něj jsou vesměs k ničemu, protože potřebuješ terminál zapojený do platební sítě (a jsi tedy jednoznačně identifikován, když se pokusíš ty data použít). Jestli tam jenom v textové podobě uchovávají údaje z karty, tak jsou to pořádný lamy...

    Btw. k použití - jednak je to rychlejší než klasická transakce, takže v takovém tescu tolik nezdržuješ (jsi rychlejší i než fyzická hotovost), druhak tu kartu z ruky nedáváš - takže nic proti prodavačkám, ale během té směny držely v ruce peníze a karty stovek lidí, ne ovšem těch bezkontaktních.
    OVERDRIVE
    OVERDRIVE --- ---
    CUCHULAIN: rifidriot pokud se nepletu, krabicek je vsude plna prdel, zprominutim... obecne zalezi, co chces cist.
    Jinak omlouvam se, za to, ze je tam rozbita granmar, jak me nekdo upozornil v poste, psal jsem to dneska brzo rano jen tak u kafe a cigara, bude to potrebovat si alespon jednou po sobe precit, pokud by to nekdo chtel upravit, budu rad, ale neni to nutne...

    Co se parsovani vic karet tyce, tak pokud jsem spravne zaznamenal, jde to, ja videl jen kombinace pas a karta a to fungovalo uplne ok.

    MMchodem to v tom clanku taky chybi, ze biometrickej pas se da cist uplne stejne. Biometrika je tam zasifrovana a neni k tomu secret key, kazdopadne je tam napriklad nekolik ruznych pulek klice, takze predpokladam, ze ten pas treba umi odemknout nejaky databazovy zaznam, kdyz jej ma v ruce nekdo, kdo vi, kde ta databaze je a co po ni ma chtit...
    FURYAN
    FURYAN --- ---
    OVERDRIVE: A zkouseli jste precist 3 bezkontaktni karty na sobe? Jak se to chova? Dokaze to rozlisovat ktera co vysila?
    CUCHULAIN
    CUCHULAIN --- ---
    OVERDRIVE: perfektní článek.
    chybí odkazy na krabičku a scripty :-D
    OVERDRIVE
    OVERDRIVE --- ---
    odkladam rozepsany clanek pro blog na mainpage blogu Idnesu, myslim, ze by mohlo mit uspech, pripadne pokud muzete komentujte a opravujte nepresnosti, nez to tam pastnu, je to pro idnes masu, asi jako moje "ajk jsem prisel o data" coz byl blog, ktery pomoh k padu IZIPu [a uzil jsem si 15min slavy na vsech televizich, v reflexu, respektu, tydnu a pak u soudu a v poslanecke snemovne... doufam, ze tohle bude mit stejny dopad, tak prosim pomozte zvysit citelnost... prakticke linky klidne muzete pridat, ale ja je tam moc dat nechci, precejen pro vetsinu lidi je to porad jeste 0day ;]]]

    to-do:
    zformatovat, prepsat pripadne vtipky...



    Past na bezkontaktni karty



    Bezykontaktní platební karty aneb proč kapsářství nikdy nebylo snadnější

    Tento článek má pouze upozornit na něco, co mnozí technicky vzdělajější jistě již nějaký čas tuší. Vzhledem k tomu, že nejsem ani právník, ani si nemohu dovolit právní analýzu toho, co by se stalo, pokud bych poskytnul přímý návod nebo demo prezentaci níže popsaného chování bezkontaktní platební karty, zůstane poute u teorie. Pokud vás ale problém zaujme, vězte, že není velký problém udělat krůček od teorie k praxi, za pomoci google a čínských obchodů se spotřební elektronikou. Já sám jsem se demo prezentace vytěžení dat z bezkontaktní karty účastnil a i proto si o něm mohou dovolit podat svědectví.

    S jakými kartami hrajeme a proč?

    Poslední dobou je takříkajíc cool v oblasti bankovních služeb, poskytovat klientům, téměř všem bank bez rozdílu, takzvanou bezkontaktní platební kartu.
    Následkem tohoto marketingu na nebezpečnou zbytečnost je pak to, že se vás při placení kartou musejí roztomilé prodavačky poptat, zda je možné s vaší kartou platit bezkontaktně, a pokud odpovíte, že to možné není, často s velmi milým úsměvem dodají něco ve smyslu "Och, ty můj chudáčku ze staré školy, neboj, další karta už bezkontaktní jistě bude."
    Mému tatínkovi tahle chvilka dává rotomilou příležitsot k flirtování, mě však přeběhne mráz po zádech.

    Je to tak, vaše další platební karta bude téměř jistě bezkontaktní, což považuji v post-Snowden době za podivnou výstřednost již tak dost děravého systému elektronické bezpečnosti.

    Čím je vlastně bezkontaktní karta pro zákazníkíka banky zajímavá?
    Z mého lajckého pohledu (tedy právě pohledu zákazníka) vůbec ničím. Banka však tvrdí, že čas ušetřený tím, že při platbách do pěti set korun českých, je velice bůležitý moment ve vašem i mojem životě.
    Ano je to tak, dá se prostě někomu podat kartu, kterou on, či ona mávne nad magickou krabičkou, usměje se na vás, kartu vrátí a vaše konto je rázem o nějakou tu stovku lehčí. Tolik k výhodnosti bezkontaktních platebních karet.
    trošku mi to připomíná moment, kdy typicky muži, nosí v zadní kapse kalhot krom hřebenu také šrajtofli a jednou začas, se diví, že jim po vystoupení z tramvaje zůstal jen ten hřeben a oči pro pláč.

    Ale vždyť... aneb magická krabička a eso v kapse u kalhot
    Ještě stále nevidíte, proč je bezkontaktní placení stejně nebezpečné jako ukradená peněženka z kabelky či zadní kapsy kalhot?
    Dobře, postoupíme mírně v osvětě, abychom si pověděli, jak taková bezkontaktní platební operace vlastně probíhá.
    Karta: obsahuje nějaký nosič informace, říkejme mu čip. Co je na čipu nahráno je samozřejmě jasně dané, popsané a s patřičným (nevelkým) úsilím je možné zjistit formát dat i informace, které na kartě v čipu musejí být, aby karta byla opravdu platební a ne jen falešné eso z rukávu.
    Magická krabička, tedy platební terminál, není nic jiného, než středně složitá vysílačka a přijimač signálu s určitými parametry. Stejně jako je možné na Internetu najít specifikaci formátu dat na čipu karty, je samoyřejmě možné dopátrat se toho, co vysílačka vysílá a jakou přijímač očekává odpověď. Abych vám přiblížil nebezpečí schované jako had ve větvých, tak takovou vysílačku a přijimač můžete běžně potkat třeba pod sjezdovkou, kde z karty ukryté ve speciální kapsičce vaší lyžařské bundy, přečte, zda vás ještě má pustit na další jízdu lanovkou nebo zda už kredit došel, a bombardino budete dál pít už pouze pod svahem.

    Tak tedy co že nám to vlastbě nabízí kouzlo bezkontaktního placení?
    Vysílačku s přijímačem, jejichž specifikaci je možné zjistit na internetu, protože je to norma a standard, a takové zařízení (s různým výkonem, o čemž bude řeč později) není ani potřeba složitě vymýšlet v tajné hackerské laboratoři, poněvadž jde zcela snadno opatřit z čínských krámků s levnou a neznačkovou elektronikou za cenu, v základu, nepřevyšující dva tisíce korun. Výkonější zařízení budou také mírně dražší nebo je možné je vyrobit úpravou těch menších. Pokud máte zájem o opravdu kvalitní kousky s velkým dosahem, nejjednodušší bude asi porozhlédnout se právě po oné čtečce, která se používá pod sjezdovkami.

    Past na kreditky aneb tajná zbraň za pět tisícovek
    Čtecí zařízení máme, s toškou šikovnosti jej připojíme k tabletu, notebooku nebo dokonce k chytrému telefonu. Samozřejmě náš nový zlodějský automat musí obsahovat software v podobě operačního systému, který umožnuje například psát a číst, doporučuji tedy buďto systém s Tučňákem Paragonským v Logu (GNU/Linux) popřípadě se zelenou příšerkou vymyšlenou Karlem Čapkem (Androind) . Operační systémy pro lidi, kteří jsou natolik hloupí, že vyměnily starodávné umění číst abecedu za ještě starší dovednost odlišit od sebe nakousnuté jablko (McInstosh Apple) a rozbité okno (Windows) mají smůlu a zlí hackeři se z nich nestanou (stejně jako intelektuálové, a nepomohou ani brýle značky RayBan).

    Nabíjíme zbraně
    Máme tedy tablet propojený s kouzelnou skříňkou, kterou jsme si pořídíli v DealExtreme nebo na e-bay, umíme číst a psát, tušíme, že data předávaná mezi kartou a naší čtečkou jsou zřejmě v nějakém přesně daném formátu, pokud jsme příliš líní, abychom využili dovednost čtení nějak hlouběji, stačí se opět obrátit na google.com (toto není reklama, reklama je, když napíšu, že existuje obdobný, ale daleko bezpečnější vyhledávač DuckDuckGo.com, který nekrade vaše osobní údaje a soukromí). Google nám po správně napsaném dotazu sdělí, že specifikace datové výměny mezi terminálem jsou opravdu standardizované, poskytne nám patřičné drivery pro naši čtečku a Tučňáka či Androida (ty je dobré hledat předtím, než pořizujem čtečku). Důležité je také to, že nám ale poskytne software, který přečtená data z transakce dokáže poskládat do velice přehledné podoby, třeba excelová tabulka, xml nebo cokoliv je vlastně libo. Vhodné klíčové slovo, jak si opatřit munici v podobě parseru předávaných binárních dat může být například RifidRIOT

    A jde se lovit
    Díky tomu, že jsou dnešní karty opravdu bezkontaktní, a díky tomu, že za pár tisícovek máme v kapse vše co potřebujem, aniž bychom nakonec musel nějak moc umět číst a psát, můžeme se teď vydat na nějaké místo častého výskytu bytostí na bázi uhlíku (tedy lidí). Profesionál by asi své zařízení připojil k rámu dveří a data sbíral z pohodlí svého domova plného krabic od pizzy a prázdných krabiček od ukrajinských cigaret. My však jsme dobrodružné povahy a svou tajnou zbraň si ukryjeme v batohu a půjdeme se projít například do metra.

    Hop hej, jsem bohatej
    Co všechno jde vyčíst naěí novou supertajnou zbraní, postavenou z tableu, čtečky a pár scriptů v perlu?
    Vlastně téměř vše co je fyzickz napsáno na kartě, tedy: jméno majitele, číslo karty, datum vydání a datum konce platnosti. Další věc kterou karty sdílejí je jistý počet posledních transakcí. Tímto si nejsem ani já přesně jistý, ale kamarádova karta, s kterou jsme dělali pokus, mu prozradila, že rád kouří Lucky Strike, kterých kupoval tři krabičky v 23:23:23 na Dejvické, o Pět minut později, že platil za kuře v nedalekém KFC a nakonec si koupil v Žabce lubrikační gel a velké balení kondomů. Protože však kondomy a gel přesáhly pět stovek, za lahev levného šampaňského platil zvlášť.
    Jediná další věc, která nám tedy vlastně chybí, abychom mohli data z kamarádovy karty (aha, vlastně šli jsme na lov do tramvají, přece bychom neokrádali kamaráda, že?).... OK, tak jediná další informace, která nám brání ve zneužití informací nalovených z kreditních karet okolostojících lidéí z tramvaje je neznalost třímístného kódu, který je k dokončení transakce potřebný také. Napsat si program, který vzykouší jednu podruhé každou kombinaci z 999 možných, to je opravdu veliká překážka. Doporučuji se zeptat DuckDuckGo.com či google.com jak na to.

    Počítače umějí počítat a není obrany
    Naěe tajná zbraň nám sice tedy neumožnila provádět přímo transakce, kdy majitele bezkontaktní karty, elektronický kapsář obere o první í poslední povolenou pětistovku, nicméně díky tomu, že počítač je dobrý v počítání a software v naší pasti na kreditní karty s tím počítá, může potencionální pachatel ochotný jednorázově investovat pár tisícovek, okrádat celý dav lidí třeba při již zmíněném průchodu pastí, která se bude tvářit jako bezpečnostní rám u dveří obchodu, může se proste projít po MHD a číst vám karty z batohů, kapes a kabelek a to úplně stejně, jako to dělá čtečka kartet pod sjezdovkou. Víc podobných karet v jedné peněžence není problém, ba naopak. Vzdálenost taky není problém s patřičnou anténou (viz. čtečkzy pod sjezdovkami). Dokonce ani nepomůže schovat karty do aluminiové folie, tím se pouze zkracuje vzdálenost na kterou jsou data z kartz ještě čitelná.

    Ukradená data z karet jdou použít rúzně" dá se s nimi platit v eObchodech, dají se hromadně prodat nějaké zpřízněné mafii, potencionální možnost duplikace karty nás asi může napadnout jako další... představivosti se meze nekladou.

    Pokud se ptáte, jak je tedy možné se bránít přečtení bezkontaktní platební karty, musím s politováním odpovědět, že nijak. Jedině tak, že takovou kartu nebudete používat a budete od bankz vyžadovat kartu normální, která svá data vydá, až když se jí někdo dotkne a slušně poprosí.
    Kliknutím sem můžete změnit nastavení reklam