Dobrý den,
vzhledem k tomu, že se článek tváří jako kompletní rozbor situace, mohl by se autor článku (nebo jeho odborný poradce, od nějž čerpal informace) vyjádřit i k těmto bodům:
1. Uvádíte, že "Vzhledem k tomu, že všechny bezkontaktní transakce v Česku jsou ověřované online" - odkud tento údaj čerpáte? Standard pro bezkontaktní platby offline platby umožňuje a minimálně ze začátku některé české banky offline platby používaly. Opravdu jsou nyní všechny bezkontaktní platební transakce (např. u mBank) online?
2. V článku je málo rozebráno zneužití kradené karty, kdy banky často nenastavují žádný kumulativní limit pro podlimitní platby, tedy do blokace je možné ukradenou kartou platit ve více malých platbách bez zadávání PIN. Jedinou ochranou by tak měl být limit 150 EUR vyplývající z legislativy.
3. Mezi další "akademické" problémy patří vyčtení základních údajů o kartě - držitel, platnost, číslo karty (mimo CVV/CVC kódu) mobilním telefonem s podporou NFC, což by mohlo stačit v některých případech pro platbu přes Internet, kde není vyžadováno CVV/CVC (ale to už je jednodušší si tu kartu vyfotit). Zmíněn není ani "centimetrový" Man-in-the-Middle útok s dvojicí mobilů a tunelováním dat jinou technologií. První z problémů je obdobou toho, co bylo popsáno v anglickém videu, v textu článku je ale tento problém zlehčován. Takže, opravdu nelze z českých karet vyčíst číslo karty, platnost a jméno držitele, nebo jen nezaplatíte díky absenci znalosti o CVC/CVV kódu?
To platí bohužel jen u konkrétní banky, že by to tak bylo všeobecně je rozšířený omyl. Některé banky pro karty limit počtu plateb bez PIN ani maximální částku opravdu nastaveny nemají, jiné dovolí na některých kartách zaplatit jen 500 Kč bezkontaktně za den (pak karta další platbu odmítne) zatímco a u jiného typy karty to takto neomezují, apod. Zajímavé je, že se tak většinou chovají ty banky, které přenášejí odpovědnost na držitele karty.
Dobrý den, děkuji za reakci:
Ad 1) Informace mám z pražského MasterCard (stejná pravidla platí i pro Visu). Technicky je možné contactless transakce mít offline, ale české akceptantské banky v postupu přijímání bezkontaktních plateb byli jednotné a toto si nastavily plošně včetně způsobu ověřování plateb a nadlimitních transakci (dalo by se s nadsázkou napsat, že asociacím řekly "jestli chcete mít u nás bezkontaktní terminály, bude to podle nás"). Nevím o případu, že by to bylo jinak (jak píšu, technicky to jde).
Ad 2) Způsob zabezpečení formou limitů najdete i tady http://www.mesec.cz/bankovni-ucty/platebni-karty/bezkontaktni-platby/pruvodce/bezpecnost-bezkontaktnich-plateb/, pokud jde o odpovědnost za 1 transakci nebo na 1 kartu, zákon o platební styku definoval "transakce" http://www.mesec.cz/clanky/nebezpecne-ceske-platebni-karty/, vydavatelé karet ale mohli postupovat odlišně a spoluúčast stanovit na kartu a ne na transakci. Další novela zákona tuto problematiku upřesnila a spoluúčast se platí jen jednou.
Ad 3) Nevím, zjistím, ale ne asi dnes.
Dobrý den,
ad 1) Minimálně kombinace FIO MC PayPass a terminálů ČS,a.s. prováděla původně transakce offline. Nicméně po cca 2 měsících od zavedení těchto karet u došlo ke změně a transakce jsou online, možná v souvislosti s touto politikou. Ale i tak bych byl s generalizací opatrný, týká se to jen acquirera (tedy banky, provozující platební terminál, tedy v zahraničí je možné platit offline) nebo i issuera (tedy soft offline limit nastaven na 0)? Je skutečně online transakce vynucována, nebo je preferována? Pokud jde o issuera, platí tato pravidla i pro organizační složky zahraničních bank, které nechávají karty vyrábět v zahraničí (mBank), atd.?
ad 2) Tuto stránku znám, ale co tam uvedeno není je fakt, že některé banky nastavují minimálně soft online limit na "nekonečno", resp. limity neaplikují (mimochodem, když už tu stránka tady vyplavala tak by bylo vhodné opravit si tam překlep "omline").
Náš rekod, který sme dosahovali v Raifce, byl při čtení karty cca 1m. Ano je to 1 000mm. Všechno to závisí na konstrukci čtecího zařízení, výkonu a směrovosti antény.
Vím, že se banky snaží tvrdit, že to není možné číst na vzdálenost větší než několik desítek milimetrů, ale to je pravda jen pro standardní snímače.
Možná, ale když bych viděl například v tramvaji, že je kolem mě široké místo cca 1m, vedle obrovské antény, zesilovače, napájecí zdroje a podobné elektronické hračky a nikde jinak nikdo, asi bych byl značně nervózní. Je třeba si uvědomit, že v MHD je zpravidla dost narváno a navíc jsou zde i další parazitní pole, typicky v tramvaji nebo metru. Dále je třeba si uvědomit, že i běžný kufřík to dost významně ztlumí, nemluvě třeba o hliníkovém. Pak už vůbec nemluvím o tom, že i jiná těla jsou stíněním a i naše je do jisté míry stíněním. A ten metr bude velmi výjimečné. Čili, bezkontaktní kartu nejde v praxi zneužít bezkontaktním způsobem. Skutečně je pro zloděje mnohem pohodlnější ji člověku vytáhnout i s peněženkou. Obyčejný zloděj nemá ani technologie ani informace o hackování této technologie. A dejte už s tím pokoj.
"My v Rajfce" s doménou KBC nevypadá moc důvěryhodně :-) Nasimulovat lze cokoli, proveditelnost v praxi je ale obtížnější. Považuji stále za větší riziko nemožnost blokace karty pro platby not present než to, že někdo vzduchem zachytí její číslo (které se stejně válí na účtenkách obchodníků, přestože to tak být nemá). Kartu používám denně, rovněž bezkontaktní platby. Potenciální riziko existuje (jako u všeho), ale je pro mě akceptovatelné oproti benefitům a zajištění a pojištění, které karta poskytuje. Navíc, asociace u bezkontaktních plateb nastavily nulovou odpovědnost (nicméně pro nás platí zákon o platebním styku).
V práci jsme toto testovali pro obecné nasazení RFID pro evidenci (ne pro hackování karet :-))) ).
Můžu vám říct, že u velkých RFID čipů (které mají dosah řádově jinde než karty) bylo téměř nemožné dosáhnout spolehlivého dosahu cca 1,5m a to se přirozeně užívala velká ruční čtečka s čtvercovou anténou nezanedbatelné velikosti, kterou by rozhodně nebylo možné přehlédnout. Hodně pochybuji, že bychom se s krátkodosahovým čipem karty na metr dostali, bohužel ale tento projekt už jsme ukončili a tak to nemohu prakticky ověřit.
Každopádně by to ale na desítky cm přečetla nezanedbatelně velká čtečka namířená ideálně na kartu. Představa, že se jen přiblížíte k "oběti" a ani pořádně nevíte, kde kartu má a přesto to načtete je prostě scifi...
pokud nejsou kolegove pohadkove bytosti, tak jiste cislo neprectou pres kuzi penezenky/kabelky nebo textil tehoz, ci odevu, narozdil od bezne dostupne NFC ctecky, s rozmery 11" tabletu a stejnou energetickou potrebou - ktera k tomu ovsem potrebuje vyrazne kratsi vzdalenost, okolo 50cm - tedy 500mm, nebo 1/2 metru pro predstavu. mimochodem, takove zarizeni v tramvaji vyvola asi takove podezreni, jako, jako, no napriklad jako 11" tablet. no a protoze karta nerozpozna ctecku seriozniho obchodnika od ctecky sniffera, tak je z tohoto hlediska znacne promiskuitni a da komukoliv sve cislo, jmeno drzitele a expiraci.
Ano, staci si precist vic nez rok stare PDFko
Renaud Lifchitz: Hacking the NFC credit cards for fun and debit ;)
kde je zmineno
* Active read up to 1.5m (50x better!) using a dedicated amplifier (2000€) and antenna (1000€). Everything fits into a backpack...
* Passive sniffing up to 15m (500x better!) using a radio receiver (e.g. USRP) with a standard telescopic antenna
A to ze jsou na karte nijak nesifrovana data o cisle, majiteli a transakcich rozhodne neni dobre...
Bezkontaktní kartu můžete efektivně chránit pomocí ochranného stínícího obalu. Výrobců a prodejců je více. Srovnávání jejich výrobků s běžným alobalem není přesné. Profesionální ochranné obaly mají atesty TUV pro útlum RFID frekvenčních rozsahů což běžná hliníková folie nesplňuje.
Myslím, že jako prevence je to velmi vhodné řešení.
Stačí např. v Google: bezpečnostní obal na bezkontaktní karty
Článek opomíjí nebezpečí zneužití bezkontaktní platební karty v případě, kdy neoprávněná osoba zcizenou platební kartu použije i na několik plateb do 500 Kč. Pokud je poté zcizená platební karta nepozorovaně majiteli vrácena, majitel karty pak nemá důvod ji blokovat a neoprávněného použití karty si nemusí brzy všimnout, když kartu nepoužívá k placení denně a pokud si např. denně nekontroluje pohyby na účtu - u kreditní karty (pokud nevyužívá internetové bankovnictví) to často zjistí až z měsíčního výpisu z účtu. Je řada situací, kdy člověk nemá svou platební kartu stále u sebe (např. na pracovišti, při sportovních aktivitách, ve škole apod.). Z tohoto hlediska považuji "kontaktní platební kartu" za relativně bezpečnější, neboť ji nelze po krádeži použít ani k platbě v obchodě do 500 Kč bez znalosti PIN.
Pokud bych měl brát vážně přirovnání snadnosti hacknout kartu s ježděním za papírovou spotřebu auta, tak se asi od zítra dávám na hackování karet. Protože za výrobcem udávanou spotřebu jsem naprosto bez problémů dlouhodobě jezdil se všemi auty která jsem zatím vlastnil. Žádný problem :)
Tohleto vnucování bezkontaktních karet (dále BK) bankami mě už dost sejří. Teď aktuálně Fio ukončuje platné karty a doslova vnucuje klientům BK. Alternativu nenabízí a ochranná pouzdra na odrušení také ne. Dopadne to tak, že každý bude mít v peněžence několik BK a fungovat to nebude, protože se karty budou hádat mezi sebou. To je naprosto k ničemu.
Teď mám aktuálně jednu BK a funguje tak, že stačí přiložit peněženku k terminálu a je zaplaceno. Pokud mi nějaká banka vnutí další BK, tak se mi začnou v peněžence hádat a budu muset pro zaplacení zase některou kartu vytáhnout z peněženky a přiložit ke snímači samostatně.
Tím ovšem mizí výhoda BK, protože to už pak tu kartu můžu rovnou postaru zasunout do čtečky a vyklepat pin, těch 10 sekund už mě nezabije.
Dle mého názoru má BK smysl pouze tehdy, pokud má člověk jednu jedinou. Pokud jich bude víc, už je to k ničemu a budem je jako dementi omotávat alobalem? To snad ne, je rok 2013...
Pokud těmto slovům nerozumíte, pokusím se o jiné přirovnání. Máte auto? A máte v technickém průkazu údaj o spotřebě? Podařilo se vám spotřebu změřenou výrobcem v laboratorních podmínkách udržet i při běžném provozu? Lze „hacknout“ bezkontaktní platbu (kartu, mobil)? Ano, lze v laboratorních podmínkách. V praxi je tato pravděpodobnost blízká nule.
Auto mám a jezdím s ním za výrobcem udanou spotřebu. A dál........?
Platit bezkontaktně není problém.
Problém je když ztratím kartu která je bezkontaktní, tak než ji zablokuji tak s ní někdo může v klidu platit (do 500Kč) a utíkají finance velice jednoduše. Jednodušeji než s případě se ztrátou čipovo/magnetické karty, kdy je vyžadován PIN či podpis nebo obojí. Banka vám ale nic zpět nevrátí.
Druhé je když si lidé zvyknou platit i jeden rohlík kartou, tak potom se zruší peníze a to bude také špatně. Vlády a kdokoli bude moci sledovat co nakupujete.
Jj, pomoc je vcelku rychla a jednoducha :)
http://www.itsrainingelephants.com/blog-archives/2012/05/21/credit-card-rfid-downgrade/
http://www.youtube.com/watch?v=ZKpEY4lRz9A video mluvi za vse... Leda ze by to bylo nafingovane :-) Tak a ted at odbornik rekne , je to blbost...
Popravdě poté co mBank přešlo na bezkontaktní karty trochu jsme se vyděsila. Ať lze kartou platit na jakoukoliv vzdálenost, pokud Vám ji někdo ukradne může jí ihned použít bez žádného omezení a bez znalosti hesla. A buďme upřímní v době kdy máme spousty klasických karet si ztráty té bankovní nevšimneme hned. Právě to stačí danému zloději ke zneužití karty. V době kdy je výroba čipových a plastových karet téměř masová ( v ČR zařizuje mimo jiné http://www.perfectcards.cz/ ) by nám alespon mohli dát vybrat zda chceme klasickou či bezdotykovou.
skrytí tvůrci karet problémy s kartami milují, protože vůbec nejde o bezkontaktní karty, ty jen sehrají svou dočasnou úlohu jako jedny z nástrojů vedoucích k nucenému zavedení čipu do lidského těla a tam už se přece mezi sebou žádné karty hádat nebudou moci a bankovní transakce poběží hladce... o to tu jde