|
Post by christoffer on Apr 4, 2018 18:45:29 GMT 1
Hej Jag har funderat ibland på restauranger och liknande ställen hur säker den trådlösa kortläsaren egentligen är, när man ska göra rätt för sig. Det finns naturligtvis olika typer av lösningar, men de flesta behöver något slags medium för att kunna överföra informationen, t ex med ett SIM-kort eller lokalt WiFi. Osäkerheten där reduceras genom att informationen krypteras (hoppas jag) men krypteringen i sig själv måste ju bygga på någon överenskommelse eller utbyte av nycklar mellan den trådlösa terminalen och banken. Osäkerheten här kan väl reduceras genom att terminalen laddar ner en krypterad nyckellista så att banken sedan vet vilken krypteringsnyckel som kommer användas härnäst. Så att skanna för att försöka angripa och ändra kommunikationen är nog mycket svårt, men vad händer om man lyckas sno åt sig en terminal en kväll och därmed har åtkomst till nyckellistan... Här tänker jag att en blockchainteknik som t ex Ethereum med sin snabba blockkedja blir intressant. Enklast skulle naturligtvis vara att betala med Ethereum, men ett smart kontrakt (måste kanske till ett för varje bank) som på något sätt gör att auktoriseringen inte blir beroende av terminalens mjukvara utan att man kanske betalar med en app till restaurangens Ethereum-adress. Jag vet inte riktigt hur detta skulle fungera i praktiken och kortbolagen skulle bli sura, men det är en trevlig idé Med vänlig hälsning Christoffer
|
|
|
Post by jimlarsson on Apr 4, 2018 19:00:33 GMT 1
Intressant idé och en light-variant kunde vara att i de fall kortläsarna går över wifi skulle man kunna bygga en lösning där en blockkedja gör jobbet du beskriver fast mellan terminal och router exempelvis. Kunde kanske t o m blivit en Proof-Of-Concept för en riktig implementering enligt din idé?
|
|
ric
New Member
Posts: 43
|
Post by ric on Apr 4, 2018 20:38:05 GMT 1
Hej!
Kontaktlösa kredit och betalkort (NFC) har funnits i ca 10 år och själva tekniken är ifrån 60 talet.
Många implementationer av NFC har hackats och kändast blev nog Mifare hacken. En annan häftig attack utfördes av Chis Paget för ett antal år sedan när han byggde en specialantenn som kunde kommunicera med NFC chippet på ca 30 meters håll.
Tittar man på inpassringskort är de oftast väldigt enklar, det är egentligen en "nyckellista" som ligger på chippet....
När det kommer till kontaktlösa betal- och kreditkort finns det lite olika implemetationer. I de första varianterna kunde man läsa av kortnummer, expire date och ett dynamiskt CVV. En angripare kunde använda denna information för att göra ett köp, under förutsättning att han/hon gjorde det innan den rättmätiga innehavaren gjorde ett köp och ett nytt dynamiskt CVV genererades.
Det har funnits andra attacker där angripare har lyckas lura korterminalen att falla tillbaka till en lägre säkerhetsgrad och kunnat göra offlineköp, detta ska vara åtgärdat.
Ett coolt trick som har hittats "in the wild" är den digitala ficktjuven, där man lyckas få in ett malware i någon 3 parts store för androidtelefoner och sedan få folk att ladda ner appen. Appen kan sedan aktivera NFC och om mobilägaren har sina kort inom räckhåll (tänk en ficka som sitter på bakidan av smartphonen) kan den läsa av detta och maila till den kriminella utan att kortinnehavaren märker.... nu kan man ej få CVV koder men man kan ju handla på butiker som ej kräver eller verifierar detta.
Dagens betal- och kreditkort använder sig av challenge-respons i kommunikationen mellan kort och kortläsare och gör det betydligt svårare för en angripare, det är dynamiskt och inte beroende av statiska listor.
Självklart kan man fortfarande passera genom en t-banevagn, trång korridor eller liknande med lite utrustning för att stjäla kortnummer.
De mobila alternativen som Apple- och Samsung Pay använder en säkrare teknik och tokeniserade kortnummer som inte kan användas i andra kontexter.
|
|
|
Post by faiyazhussain on Apr 5, 2018 22:30:29 GMT 1
Väldigt intressant ämne för att vi håller på samtifigt disskutera om hur framtiden kommer ske när det gäller betalningsmetod. Samhället vill fokusera på att göra allting digitalt genom att slopa kontanter senare i framtiden och hålla värden med siffror. Både kontanter och att ha kortbetalning har sina nack och fördelar när det gäller säkerhet men samhället vill ha mer kontroll med hur folk hanterar pengarna genom att göra allting digitalt och ha bra säkerhet.Mobila enheter att använda nu som bankresurs är en utvecklig som Ric nämner med en väldigt stark säkerhet bakom transaktionen som sker mellan telefonen och betalningsapparaterna. Telefon har sin nackdel med att den kan bli stulen och kan bli hackad med kunskaper som man kan lära sig från varje nya patch som upptaderas av olika säkerhet som tillämpas. Vi ha kryptopengar som används idag också som betalningsmetod, en av huvudanledning till att Bitcoin existerar är på grund av personlig integritet som Satoshi Nakamotos utvecklade och att förmedla till oss att ha en personlig bank där bankerna kan inte bli inblandad. Människor vill ha saker personligt när det gäller vad de gör med pengarna men samtidigt vill staten veta hur du använder dina pengar när kryptopengar genereras digitalt utan att ge de information. Det är viktig att folk vill ha sitt egen rätt att använda sina egna pengar personligt utan att visa andra hur de används men samtidigt vill staten hålla koll på att du inte gör något olagligt. Vi genereras stora pengar från mining och bitcoin där staten vill att allt måste skattas och jagar efter alla som kräver att betala skatt. En väldigt intressant nyhet jag läste tidigare om en man från uppsala som blev misstänk för skattefusk på 20 miljoner kronor där han behöver skatta 10 miljoner kronor. www.unt.se/nyheter/uppsala/skatterazzia-mot-bitcoinhandlare-4923374.aspxDe blir intressant att fortsätta läsa mer om hur bitcoin och blockchain framtid kommer ske framöver när det gäller speciellt om att använda det som valuta.
|
|