witajcie :)

wczoraj przypadkiem trafilem w tv4 na program "Dragon's Den - jak zostac milionerem (http://wiadomosci.mediarun.pl/artykul/media-telewizja,polska-edycja-dragons-den---jak-zostac-milionerem-w-czworce,8971,4,1,1.html)"
Program w ktorym jest 5 osobowe "jury" z kasa i przychodza ludzie z pomyslami ale bez kasy.
Jesli pomysl spodoba sie dla kogos z "jury" to moze wspomoc pomyslodawce swoja kasa.

Jeden z uczestnikow przedstawil produkt w postaci etui na karty paypass i opowiadal,
jak latwo mozna odczytac i skopiowac karty paypass ludzi w promieniu kilkunastu metrow, bez ich wiedzy.
To jego etui ma uniemozliwiac taki nieautoryzowany odczyt karty np. w autobusie czy na ulicy.

Teraz moje pytanie - czy naprawde tak latwo odczytac informacje z tych kart?
Informacje nie sa w zaden sposob szyfrowane?

Jesli faktycznie by tak bylo to chyba zaden bank by nie wprowadzal tych kart, a pojawia sie ich coraz wiecej
i to nie tylko w bankach... podobno nowe dowody osobiste tez maja dzialac jak paypass'y.

http://forum.nikoniarze.pl/showthread.php?t=164159

Przy każdej płatności karta PayPass wysyła inny sygnał, więc nie ma możliwości drugi raz zapłacić tym samym (skopiowanym sygnałem).

http://forum.nikoniarze.pl/showthread.php?t=164159
nic ciekawego tam nie ma ;) ze ludzie tego uzywaja i tyle, ale to wiedzialem...


Przy każdej płatności karta PayPass wysyła inny sygnał, więc nie ma możliwości drugi raz zapłacić tym samym (skopiowanym sygnałem).

ok, zaplacic sie nie da... ale jesli taki dowod osobisty bedzie na zasadzie paypass,
to czy da sie zczytac z niego dane bez wiedzy posiadacza?
Albo jesli zginie mi taka karta i ktos dokona 100 operacji za kwote <50zl, to tez nie bedzie zbyt fajnie ;)

Zeby bylo jasne - nie oceniam paypassa jako zlo, ani jako super wynalazek,
zastanowilo mnie poprostu to co koles (wynalazca;) ) opowiadal,
jak latwo ukrasc dane z takiej karty.

Ale to nie jest tak, że ktoś sobie zlutuje skaner wg schematu ściągniętego z netu i już może śmigać po autobusach i okradać kogo się tylko da.
Żeby faktycznie pozyskać pieniądze musi mieć przecież umowę z bankiem, która będzie mu te żądania obsługiwać i myślę, że tu jest główne zabezpieczenie.

Ale to nie jest tak, że ktoś sobie zlutuje skaner wg schematu ściągniętego z netu i już może śmigać po autobusach i okradać kogo się tylko da.
Żeby faktycznie pozyskać pieniądze musi mieć przecież umowę z bankiem, która będzie mu te żądania obsługiwać i myślę, że tu jest główne zabezpieczenie.

eagis, kwestia kasy swoja droga, ale mi bardziej chodzi o mozliwosc skopiowania danych (pominmy kwestie bankow i kasy). Koles z tego smiesznego programu twierdzil ze skanery (czy jakkolwiek to nazwac),
za pomoca ktorych mozna wykrasc dane z takiej karty, mozna bez wiekszego problemu kupic w necie.

Jesli da sie skopiowac dane z takiej karty i ktos bedzie mial "klona" Twojej karty to dopoki transakcja nie przekroczy tych 50zl bedzie mogl bez problemu (teoretycznie) robic zakupy na Twoj koszt i nie bedzie potrzebowal umow z bankiem ;)

[...]Jesli da sie skopiowac dane z takiej karty i ktos bedzie mial "klona" Twojej karty to dopoki transakcja nie przekroczy tych 50zl bedzie mogl bez problemu (teoretycznie) robic zakupy na Twoj koszt i nie bedzie potrzebowal umow z bankiem ;)

Chyba nie tak, bo limit transakcji jest na karcie mocno ograniczony. Ale "spacer" w zatłoczonym miejscu ze skanerem i terminalem GSM wydaje się bardziej prawdopodobny. W ten sposób możliwe są (chyba) transakcje z wielu kart na maksymalną kwotę 50zł, dodatkowo mniejsze prawdopodobieństwo, że ktoś zauważy na wyciągu z konta brak 50zł.

Szczerze mówiąc wątpię, żeby twórcy protokołu i algorytmu paypassa nie zabezpieczyli go np kluczem asymetrycznym. Mało prawdopodobne jest, żeby zwykła kopia ramek przychodzących od paypasa wystarczyła do zestawienia nowej, poprawnej sesji.
Jeśli tak jednak jest to chyba oddam tą kartę:)
Ktoś wie więcej na ten temat?

Khyhy, dobrze, że powstał ten wątek, to się w końcu dowiedziałem, że istnieje coś takiego, jak karta paypass. :mrgreen:
Może trochę OT, ale przypomniał mi się jakiś artykuł o tym, jak się szpenie nauczyli otwierać samochody z systemami keyless. Metoda jest banalnie prosta i odporna na asymetryczne szyfrowania, kody błądzące itd...
Samochód wysyła co jakiś czas pinga. Jak tego pinga usłyszy kluczyk (musi być w zasięgu), to na niego w określony sposób odpowiada. Jak odpowie prawidłowo i w określonym czasie i samochód to usłyszy (będzie w zasięgu), to się otwiera. Złodzieje robią tak, że podsłu****ą takiego pinga z większej odległości (antena kierunkowa, czy jakieś takie coś). Następnie wysyłają go dalej w niezmienionej postaci w stronę kieszeni właściciela pojazdu, w której znajduje się kluczyk (też jakąś anteną kierunkową). Kluczyk myśli, że usłyszał ping od samochodu (bo i skąd ma wiedzieć, że to nie samochód usłyszał, tylko jakiś obcy nadajnik?), więc na niego odpowiada. Ta odpowiedź też jest podsłuchiwana i znowu wysyłana do samochodu. Ten myśli, że usłyszał odpowiedź od kluczyka i pyk, otwiera się. Nie trzeba niczego łamać, rozszyfrowywać, zgadywać, po prostu przedłuża się zasięg działania jednego i drugiego radyjka na odległość, po przejściu której właściciel przestaje patrzeć na swój samochód...
Od razu mówię, że nie wiem, ile w tym prawdy i na ile sposób jest sprawdzony i skuteczny, ale na zasadzie analogii, podobna metoda może być zastosowana w przypadku karty paypass.

kurcze... cos mi sie nie che wierzyc, ze nie mamy speca od tych gadzetow na naszym forum ;)
sa spece z kazdej dziedziny, od lotnictwa, przez gotowanie po elektrownie atomowe, a od paypasow nikogo? ;)

kurcze... cos mi sie nie che wierzyc, ze nie mamy speca od tych gadzetow na naszym forum ;)
sa spece z kazdej dziedziny, od lotnictwa, przez gotowanie po elektrownie atomowe, a od paypasow nikogo? ;)
Na pewno są, tylko teraz chodzą po mieście ze skanerem ;)

Majek, jakoś kurczę nie chce mi się wierzyć w takie bajeczki...

A co do technologii paypass, no cóż, w to też nie chce mi się pchać, mam normalną kartę "przeciąganą"
(tzn pasek magnetyczny czy coś takiego) i służy mi już dobre kilka latek :) Teraz możliwe że trzeba będzie zmienić na chipową no ale mus to mus...


Moooże jak paypass'a dopracują to za jakiś czas też się przeniosę, jak na razie dla mnie to jest troche eksperymentalny "standard"...

Od razu mówię, że nie wiem, ile w tym prawdy i na ile sposób jest sprawdzony i skuteczny, ale na zasadzie analogii, podobna metoda może być zastosowana w przypadku karty paypass.


Majek, jakoś kurczę nie chce mi się wierzyć w takie bajeczki...


Oglądałem niedawno w telewizji na ten temat i przestrzegali właśnie przed takim sposobem otwierania samochodów.

A ja!, jestem może starej daty, ale w banku podziękowałem za kartę. Płacę zawsze gotówką i jeszcze mnie nikt nie okradł.
karta może i dobra, ale jak się trafi na jakieś odludzie bez gotówki gdzie jest jeden mały sklepik - powodzenia!

Akurat bajka Majka jest jak dla mnie wiarygodna z technicznego punktu widzenia.

A ja!, jestem może starej daty, ale w banku podziękowałem za kartę. Płacę zawsze gotówką i jeszcze mnie nikt nie okradł.
karta może i dobra, ale jak się trafi na jakieś odludzie bez gotówki gdzie jest jeden mały sklepik - powodzenia!

super... konta w banku tez nie masz? ;)
Nie wniosles nic do tego tematu, niestety :(

Naprawde to takie tajemnice i nikt nic nie wie?
Wczoraj na stronie paypass.pl znalazlem jakis formularz kontaktowy i wyslalem im pytanie,
jeszcze nie doczekalem sie odpowiedzi.

Akurat bajka Majka jest jak dla mnie wiarygodna z technicznego punktu widzenia.Jedyna luka, jaką tu widzę, to czas. Sekwencja ping-odpowiedź, przypuszczam, że nie jednorazowa (dla zwiększenia bezpieczeństwa), musi zmieścić się w określonych ramach czasowych. W sensie samochód wysyła ping i w określonym czasie kluczyk musi na tego pinga odpowiedzieć. Jeżeli się spóźni, to ten ping traci ważność i za chwilę wysyłany jest nowy, z innym zestawem danych (z nowym kluczem na przykład). Takie "podaj dalej", jakie stosują złodzieje, powinno, teoretycznie przynajmniej, wydłużać te interwały czasowe. Bo zanim odbierze, zanim prześle dalej itd. A takie czasy liczone są mili, czy wręcz mikrosekundach, więc pewnie timouty ustawione są tak, żeby samo oddalenie się od samochodu na większą odległość powodowało wyjście poza zadaną ramkę czasową. Tak sobie tylko gdybam. I chyba dosyć mocno oftopuję. ;-)

kurcze... cos mi sie nie che wierzyc, ze nie mamy speca od tych gadzetow na naszym forum ;)
sa spece z kazdej dziedziny, od lotnictwa, przez gotowanie po elektrownie atomowe, a od paypasow nikogo? ;)

więcej wiary w ludzi temat jest pewnie nietrywialny - elektrownia atomowa przy takim paypassie jest jak cep przy kombajnie.

więcej wiary w ludzi temat jest pewnie nietrywialny - elektrownia atomowa przy takim paypassie jest jak cep przy kombajnie.

tak, ale ta technologia (paypass) jest duzo mlodsza od eletrowni atomowych wiec moze i specow mniej ;)

tak, ale ta technologia (paypass) jest duzo mlodsza od eletrowni atomowych wiec moze i specow mniej ;)

Poczekaj jeszcze 2-3 dni aż się w domorosłych specjalistach obudzi talent ;)

Poczekaj jeszcze 2-3 dni aż się w domorosłych specjalistach obudzi talent ;)

eee, dopiero jak sie media zainteresuja tematem, to i spece co to najpierw znali sie na samolotach,
teraz znaja sie na eletrowniach atomowych zabiora glos w sprawie paypassow :mrgreen:

eee, dopiero jak sie media zainteresuja tematem, to i spece co to najpierw znali sie na samolotach,
teraz znaja sie na eletrowniach atomowych zabiora glos w sprawie paypassow :mrgreen:

To jak? Bardzo Ci zależy na opinii? Nagłaśniamy? :mrgreen:

Jedyna luka, jaką tu widzę, to czas. Sekwencja ping-odpowiedź, przypuszczam, że nie jednorazowa (dla zwiększenia bezpieczeństwa), musi zmieścić się w określonych ramach czasowych. W sensie samochód wysyła ping i w określonym czasie kluczyk musi na tego pinga odpowiedzieć. Jeżeli się spóźni, to ten ping traci ważność i za chwilę wysyłany jest nowy, z innym zestawem danych (z nowym kluczem na przykład). Takie "podaj dalej", jakie stosują złodzieje, powinno, teoretycznie przynajmniej, wydłużać te interwały czasowe. Bo zanim odbierze, zanim prześle dalej itd. A takie czasy liczone są mili, czy wręcz mikrosekundach, więc pewnie timouty ustawione są tak, żeby samo oddalenie się od samochodu na większą odległość powodowało wyjście poza zadaną ramkę czasową. Tak sobie tylko gdybam. I chyba dosyć mocno oftopuję. ;-)

nie sądzę - w domowych sieciach wifi masz pingi poniżej 1 ms - więc na przetworzenie typu podaj dalej za dużo czasu nie potrzeba

To jak? Bardzo Ci zależy na opinii? Nagłaśniamy? :mrgreen:

a masz wtyki w mediach? ;)

dobra, koniec OT :)

moze kiedys sie odezwie ktos kto ma cos ciekawego do powiedzenia w tej sprawie...

więcej wiary w ludzi temat jest pewnie nietrywialny - elektrownia atomowa przy takim paypassie jest jak cep przy kombajnie.

Wisisz mi czyszczenie monitora :mrgreen:

Nie wniosles nic do tego tematu, niestety :( -cytat

nie mniej niż Ty

Z PeKaO SA gdzie mam konto zadzwoniła Pani która się mną "opiekuje" i zaprosiła na krótkie spotkanie. Poruszyła parę ofert jakie dla nie miała oraz zaproponowała zamianę obecnej karty Maestro COŚTAM na jak powiedziała fajną nową złotą i wypukłą oraz z funkcją PayPass. Też rozmawialiśmy o bezpieczeństwie i też zapewniła o małym ryzyku wykradzenia pieniędzy do wysokości 50 PLN.
Powiedziała jedną ciekawą rzecz:
Sukcesywnie wszyscy obecni posiadacze różnych kart będą je kiedyś wymieniać i wówczas NIE BĘDZIE opcji z PayPass lub bez gdyż wszystkie będą miały to zaimplementowane jako standard. Dziś jeszcze można wybrać czy się chce czy nie ale następna Wasza karta będzie to miała i tyle.

NIE BĘDZIE opcji z PayPass lub bez

Nie do końca. Wystarczy ustawić na karcie limit transakcji bezstykowych na 0zł i będziesz miał kartę z PayPassem ale jednocześnie bez PayPassa.

przypomne temat lekko... moze ktos przeoczyl ;)

Problemem w odczytaniu klucza może być zasięg jaki karta posiada. Karta zapewne nie jest zasilana niczym, więc takie zasilanie brane jest z czytnika (coś jak karty RFID). Zapewne ciężko jest zasilić taką kartę z odległości większej niż np 10 cm, ale ok ktoś może sobie stworzyć taki układzik który sprawi że karta wyśle klucz z odległości powiedzmy 0,5m ale co z tego, jak karta wyśle sygnał na odległość 10 cm?? TO są oczywiście przypuszczenia i wcale tak być nie musi ;)