Comments | jescid: О протоколе бесконтактных банковских карточек

jescid

О протоколе бесконтактных банковских карточек

Apr 06, 2020 13:55

Это технология Near Field Communication (NFC).

Стандарт максимального расстояния для считывания - 20см, вот здесь пишут, что хакеры могут считать данные через мобильные приложения с расстояния 40см и что вам «не о чем беспокоиться» потому что хакеры получат всего лишь только ваши персональные данные, записанные на карточку, но не смогут сами ( Read more... )

brave_new_world

Comments 16

Бред. dzedie April 6 2020, 12:06:35 UTC

subj.

(пожимая плечами) jescid April 6 2020, 12:52:20 UTC

Баран

moonwalker72 April 6 2020, 12:40:45 UTC

Я знаком только с самым примитивным вариантом NFC - протоколом транспортных карт Mifare. Они уже почти 22 года в московском метро работают и вроде до сих пор не взломали. Хотя может и взломали, но там система контроля обращения их (в случае подделки) аннулирует по аппаратному номеру. Думаю, у банковских с шифрованием всё лучше - и ключи длиннее и сам бесконтактный протокол более защищенный.

Речь не взломе, разумеется. jescid April 6 2020, 12:53:50 UTC

А о технологии и её потенциале.
Не знаю, как ещё объяснить…

Re: Речь не взломе, разумеется. moonwalker72 April 6 2020, 23:34:53 UTC

Да скажите, как есть, думаю, всем так понятнее будет: речь идет о намеренном применении технологии по сценарию, отличному от изначально озвученному широкими массами. Применении, заметим, не третьим лицом, а тем самым первым лицом - владельцем инфраструктуры (по крайней мере, endpoint'а).

А то вот никогда такого не было (см. Складовская-Кюри, Эйнштейн -> Хиросима), чтобы технологию, исследованную, изобретенную без единой мысли о "токсичном" применении, кто-либо применил во враждебных целях. Ага, прям впервые на нашем Шарике. Спешите видеть.

Да jescid April 7 2020, 06:01:37 UTC

Если есть возможность, её обычно используют.

nanmen April 7 2020, 09:43:55 UTC

Не, хакеры не могут даже персональные данные получить, в NFC банковских картах есть крипточип, который выдаёт информацию только если запрос подписан правильным ключом. У хакера такого нет, он есть у банков и производителей платёжных терминалов.
Но да, они могут встроить считыватель в сканирующие рамки, и если банки и производители платёжных терминалов поделятся ключами, то смогут считывать инфу на рамках.

Оу! jescid April 7 2020, 11:02:30 UTC

Да вы не такой уж и тупой… :]

«…хакеры не могут даже персональные данные получить, но если получат ключи, то могут…»

Где-то это уже попадалось… А, вот же! -

1. Из дома выходить нельзя, но если нужно, то можно.
2. Маски вообще не помогают, но их обязательно носить.
3. Магазины закрыты, но их открывают если нужно.
4. В больницы бесполезно с этим идти, но идти обязательно.
5. Этот вирус смертельный, но в принципе не страшный.
...

Re: Оу! nanmen April 7 2020, 11:19:24 UTC

Это очень маловероятное событие, такие ключи хранят как зеницу ока. И если они будут скомпроментированы, будут отозваны и перевыпущены все карты из данного PKI (причём за счёт пользователей, банки на этом ничего не потеряют). Такое чисто теоритически возможно, только стоимость атаки очень высокая, а выхлоп никакой. Так что к чёрту хакеров.
Я бы на вашем месте обратил внимание на анальные зонды, встроенные в каждый процессор, а именно ME от Интеля and AMT от АМД.

Таки его понесло... jescid April 7 2020, 11:55:27 UTC

1. Ещё раз: здесь не про хакеров и выше это объяснено
2. О том, что утечка и скимминг невозможны заливай для своих
3. Последнюю старую новость ты неверно скопипастил или перевёл: провалился на терминологии бэкдоров/cопроцессоров в виде ME (Management Engines) и оффтопы тут не приветствуются

Будешь ещё флудерастить, вышвырну.
Мне тут вши и крысы не нужны. А что то крыса и ведёшь себя как крыса, ты уже показал.

nochalneg April 7 2020, 20:29:25 UTC

есть технологические сложности; если рядом будет лежать хотя бы две таких карты - вероятность считывания резко падает.

moonwalker72 April 7 2020, 20:58:11 UTC

На самом деле нет. Ридер вернет список карт (аппаратных номеров). По крайней мере так с Mifare - там могут возникать коллизии на стадии записи и контрольного чтения. Потому не рекомендуют при проходе прикладывать больше одной карты - возникает ошибка контрольного чтения, т.к. записалась первая, а дальше ридер в списке первой поставил вторую - потому что там тоже элемент случайности: какая карта первой ответила на излучение ридера итп.

Это если надо провести транзакцию… jescid April 7 2020, 21:27:45 UTC

А если просто читать?
Если список карт видит, тогда там что-то типа модулированной волны пускается, а потом по фурье разлагается ответ? Или как?
Привожу тут пример с Oyster и банковской картой - они работали с одного кошелька.

Re: Это если надо провести транзакцию… moonwalker72 April 7 2020, 21:41:53 UTC

Не совсем так. Ридер создает постоянное высокочастотное поле, которое одновременно и питает карту. На физуровне карта заряжает конденсатор и его заряда хватает на транзакцию. Карта отвечает ридеру аппаратным номером, частота естественно ниже, но там спектр сдвинут достаточно четко. Потом с ридера идет запрос чтения сектора и ридер с картой обмениваются сессионными ключами (эта часть уже зашифрована), если ридер послал соответствующие сектору ключи, то транзакция начинается иначе - отлуп от карты.

Thread 6