Du må være registrert og logget inn for å kunne legge ut innlegg på freak.no
X
LOGG INN
... eller du kan registrere deg nå
Dette nettstedet er avhengig av annonseinntekter for å holde driften og videre utvikling igang. Vi liker ikke reklame heller, men alternativene er ikke mange. Vær snill å vurder å slå av annonseblokkering, eller å abonnere på en reklamefri utgave av nettstedet.
AbonnerSkjul
Host1.no - Webhotell fra 29,-, virtuell server fra 249,-. 15% rabatt med rabattkode "nFF". Besøk oss på Host1.no!
  7 1562
Turbolego
googlejunkie
Turbolego's Avatar
9.491 3.885
2. mars 2013
Etter å ha lest denne artikkelen på itavisen: Dette får Galaxy S IV - Barcelona (ITavisen Er du også lei av kort?

Begynte jeg å søke etter informasjon om sikkerheten til NFC.

Dette har jeg funnet så langt:

PowerPoint fil:
Hacking the NFC Credit Cards for Fun and Debit by Renaud Lifchitz (fra BT Group)

Den samme powerpointen presentert på video, med spørsmål:
youtube - Hacking the NFC credit cards for fun and debit by Renaud Lifithitz


Guide for å kopiere bankkort med NFC:
Give me your credit card, the NFC way

Reis gratis på t-banen i usa:
Android NFC hack enables travelers to ride US subways for free, researchers say

Så... man har en ansatt fra BT som i slutten av presentasjonen sier noe slik som "NFC er ikke sikkert på grunn av designet, ikke sikkerheten" som betyr noe slikt som at teknologien ikke er designet for å bli brukt for f.eks. betaling fra bankkonto.

Og man har allerede hackere som resier gratis på t-banen i usa med hackede NFC kort ved hjelp av en android-app.

Så hvorfor i helvette fortsetter man å pushe for å bruke NFC til å betale med fra bankkontoen?

I teorien kan jeg skaffe meg en kraftig NFC-leser, øke rekkevidden fra noen millimeter til et par meter og installere den i en rullekoffert med et bilbatteri, sette meg på jernbanetorget et par timer og late som jeg venter på toget, og kopiere visakort info'n til alle som går forbi?!

Tror jeg må isolere lommeboka mi med aluminiumsfolie i fremtiden og håpe at ingen scanner kortet når jeg tar ut kortet på rema 1000 for å betale...
Sist endret av Turbolego; 2. mars 2013 kl. 14:37.
ToraBora
42 7
2. mars 2013
Å sikre seg fullstendig har alltid vært umulig, tenk på "før i tida", i de vonde gamle dagene da alt ble gjort opp med kontanter (etterhvert kom riktignok sjekkheftet), hvor mye svindel og lureri foregikk det ikke på den tiden? Selv om ingen systemer er perfekt, vil jeg likevel påstå at dagens systemer for sikker betaling er vesentlig bedre enn hva man tidligere har måttet forholde seg til...
Turbolego
googlejunkie
Turbolego's Avatar
Trådstarter
9.491 3.885
2. mars 2013
Sitat av ToraBora Vis innlegg
Å sikre seg fullstendig har alltid vært umulig, tenk på "før i tida", i de vonde gamle dagene da alt ble gjort opp med kontanter (etterhvert kom riktignok sjekkheftet), hvor mye svindel og lureri foregikk det ikke på den tiden? Selv om ingen systemer er perfekt, vil jeg likevel påstå at dagens systemer for sikker betaling er vesentlig bedre enn hva man tidligere har måttet forholde seg til...
Vis hele sitatet...
Virkelig?

Når hadde vi et betalingssytem sist som tillot en tyv å kopiere bankinformasjonen din fra noen meters avstand uten at du merket det før du sjekket saldoen din?
etse
Ukjent
Donor
6.181 4.151
2. mars 2013
Det skal godt gjøres å lese en NFC-brikke fra flere meters avstand som du snakker om. I tillegg har alle mobiler NFC-disablet by default så lenge skjermen er av.

Og med tanke på google-waller så må telefonens google-wallet app være aktivert (og logget inn med PIN) for at i det hele tatt skal være mulig å kommunisere med mobilens "wallet". Dette betyr at du rett og slett bare har muligheten til å lese i det brukeren ønsker å gjøre en betaling. (altså veldig likt det man allerede i dag gjør man bank-kort). Mya av hackene rundt NFC handler ofte om hacks av NFC-chipper og ikke av tjenester som kjører med secure-elements (slik som google-wallet), hvor NFC egentlig bare brukes som en antenne til å sende binær data mellom 2 enheter. (Apps kan fint bruke f.eks. SSL over NFC om ønskelig, med digitale signaturer for å verifisere at de snakker med riktig person - akkurat som over vanlig WIFI)
Sist endret av etse; 2. mars 2013 kl. 15:29.
Turbolego
googlejunkie
Turbolego's Avatar
Trådstarter
9.491 3.885
2. mars 2013
Sitat av etse Vis innlegg
Det skal godt gjøres å lese en NFC-brikke fra flere meters avstand som du snakker om. I tillegg har alle mobiler NFC-disablet by default så lenge skjermen er av.

Og med tanke på google-waller så må telefonens google-wallet app være aktivert (og logget inn med PIN) for at i det hele tatt skal være mulig å kommunisere med mobilens "wallet". Dette betyr at du rett og slett bare har muligheten til å lese i det brukeren ønsker å gjøre en betaling. (altså veldig likt det man allerede i dag gjør man bank-kort). Mya av hackene rundt NFC handler ofte om hacks av NFC-chipper og ikke av tjenester som kjører med secure-elements (slik som google-wallet), hvor NFC egentlig bare brukes som en antenne til å sende binær data mellom 2 enheter. (Apps kan fint bruke f.eks. SSL over NFC om ønskelig, med digitale signaturer for å verifisere at de snakker med riktig person - akkurat som over vanlig WIFI)
Vis hele sitatet...
I presentasjonen står det at man kan lese opptil 15 meter, og man får PAN, EXP-DATE og fult navn på korteier bare ved å scanne. SVV koden kan bruteforces eller kortet kan kopieres og brukes i situasjoner hvor PIN ikke er nødvendig.

Forslår at du ser/leser presentasjonen av han Renaud Lifchitz æ linka til.
etse
Ukjent
Donor
6.181 4.151
2. mars 2013
Nå er det stor forskjell på hvordan et nfc-kort og "google-wallet" fungerer. Så det er viktig å skille mellom disse to. Om du f.eks. bruker google-wallet for å ta i bruk betalingen så slipper du nesten alle issues som NFC-tags gir deg - rett og slett fordi det da er standard peer-to-peer kommunikasjon av binær-data. Du får ikke lest noe som helst kortinformasjon fra mobiltelefonen med mindre applikasjonen er startet og man har skrevet inn pinkoden. Jeg har heller ikke sett noe informasjon om at folk har klart å gjøre dette med google-wallet sin applikasjon; de hackene rundt denne appen er i hovedsak vært måter folk har prøvd å lese secure-element på mobiltelefonen gjennom f.eks. litt "ondsinnet" kode i ulike apps som de kjører. (men ut i fra hva jeg kan se er de fleste known bugs der allerede fikset - samt at dette blir litt som å si at man ikke burde bruke nettbank siden folk kan hacke deg om du får virus)

Edit: Men det er jo et tegn på at de helt klart må legge til ekstra sikkerhet på PayPass-kortene. For er der issuet ligger. De har rett og slett ikke lagt noe sikkerhet oppå selve kommunikasjonen. Blir litt som å gå i nettbanken uten å bruke SSL. Dette kan jo løses ved å ta i bruk kryptering, i hvertfall når chipene blir litt kraftigere.
Sist endret av etse; 2. mars 2013 kl. 15:43.
cos
Blyatsquad
cos's Avatar
807 217
2. mars 2013
Sitat av Turbolego Vis innlegg
Virkelig?

Når hadde vi et betalingssytem sist som tillot en tyv å kopiere bankinformasjonen din fra noen meters avstand uten at du merket det før du sjekket saldoen din?
Vis hele sitatet...
Det systemet hadde du etter at lommer ble oppfunnet, og man hadde pengene i disse. Du har vel hørt om lommetyver? Du merket det ikke da heller før du telte over sølvpengene
Dyret
Dyret's Avatar
Donor
1.916 1.753
2. mars 2013
Vha. en applikasjon som utveksler data kun i øyeblikket hvor transaksjonen skal foregå, så kan dette gjøres omtrent like sikkert som en vanlig nettbank. Problemet, slik jeg ser det, er at det er vanskelig å vite at den du kommuniserer med er den som den utgir seg for å være. Enten må da applikasjonen ha et lass med rotsertifikater utskrevet for f.eks. "Narvesen" og hver terminal må inneholde et sertifikat generert ut i fra det. MITM-problemet er vanligvis løst ved å kun utveksle OOB-keys få centimenter foran enheten, så med mindre noen har tuklet med terminalen kan ingen stå langt unna og plukke opp dette.

Det åpnes derimot for mange andre angrepsvektorer enn før. Dagens kredittkort/debitkort krever at du stjeler kort eller kortinfo til misbruk, og dette kan mye lettere oppdages og forsvares i etterkant (mtp. erstatning). Hvis et virus på telefonen din godkjenner transaksjoner for deg, f.eks. hver gang du kjøper inn noe så sender den litt penger et annet sted også, så er det vanskeligere å tro på da du vet du fortsatt har telefonen din og gjenkjenner kanskje klokkeslett/sum.

Jeg vet ikke helt om Google Wallet tilbyr muligheten for å ta ut penger noe sted, men hvis dette *ikke* hadde vært mulig så hadde det gjort det enda mindre attraktivt å stjele.