Past na bezkontaktní platební karty

X+krast je tak snadne, se spatnym designem v pozadi...

Vzhledem k tomu, že nejsem ani právník, ani si nemohu dovolit právní analýzu toho, co by se stalo, pokud bych poskytnul přímý návod nebo demo prezentaci níže popsaného chování bezkontaktní platební karty, zůstane pouze u teorie. Pokud vás ale problém zaujme, vězte, že není velký problém udělat krůček od teorie k praxi, za pomoci google [resp. http://duckduckgo.com] a čínských obchodů se spotřební elektronikou.

Já sám jsem se demo prezentace vytěžení dat z bezkontaktní karty účastnil a i proto si o něm mohou dovolit podat svědectví.

S jakými kartami hrajeme a proč?

Poslední dobou je takříkajíc cool v oblasti bankovních služeb, poskytovat klientům, téměř všem bank bez rozdílu, takzvanou bezkontaktní platební kartu.

Následkem tohoto marketingu na nebezpečnou zbytečnost je pak to, že se vás při placení kartou musejí roztomilé prodavačky poptat, zda je možné s vaší kartou platit bezkontaktně, a pokud odpovíte, že to možné není, často s velmi milým úsměvem dodají něco ve smyslu "Och, ty můj chudáčku ze staré školy, neboj, další karta už bezkontaktní jistě bude."
Mému tatínkovi tahle chvilka dává roztomilou příležitost k flirtování, mě však přeběhne mráz po zádech.

Je to tak, vaše další platební karta bude téměř jistě bezkontaktní, což považuji v post-Snowden době za podivnou výstřednost již tak dost děravého systému elektronické bezpečnosti.

Čím je vlastně bezkontaktní karta pro zákazníka banky zajímavá?
Z mého lajckého pohledu (tedy právě pohledu zákazníka) vůbec ničím. Banka však tvrdí, že čas ušetřený tím, že při platbách do pěti set korun českých, je velice důležitý moment ve vašem i mém životě.
Ano je to tak, dá se prostě někomu podat kartu, kterou on, či ona "mávne" nad magickou krabičkou, usměje se na vás, kartu vrátí a vaše konto je rázem o nějakou tu stovku lehčí. Tolik k výhodnosti bezkontaktních platebních karet.

Trošku mi to připomíná moment, kdy typicky muži, nosí v zadní kapse kalhot krom hřebenu také šrajtofli a jednou za čas, se diví, že jim po vystoupení z tramvaje zůstal jen ten hřeben a oči pro pláč.

Ale vždyť... aneb magická krabička a eso v kapse u kalhot

Ještě stále nevidíte, proč je bezkontaktní placení stejně nebezpečné jako ukradená peněženka z kabelky či zadní kapsy kalhot?
Dobře, postoupíme mírně v osvětě, abychom si pověděli, jak taková bezkontaktní platební operace vlastně probíhá.

Karta: obsahuje nějaký nosič informace, říkejme mu čip. Co je na čipu nahráno je samozřejmě jasně dané, popsané a s patřičným (nevelkým) úsilím je možné zjistit formát dat i informace, které na kartě v čipu musejí být, aby karta byla opravdu platební a ne jen falešné eso z rukávu.

Magická krabička, tedy platební terminál, není nic jiného, než středně složitý vysílač a přijímač signálu s určitými parametry. Stejně jako je možné na Internetu najít specifikaci formátu dat na čipu karty, je samozřejmě možné dopátrat se toho, co vysílačka vysílá a jakou přijímač očekává odpověď. Abych vám přiblížil nebezpečí schované jako had ve větvých, tak takový vysílač a přijímač můžete běžně potkat třeba pod sjezdovkou, kde z karty ukryté ve speciální kapsičce vaší lyžařské bundy, přečte, zda vás ještě má pustit na další jízdu lanovkou nebo zda už kredit došel, a bombardino budete dál pít už pouze pod svahem.

Tak tedy co že nám to vlastně nabízí kouzlo bezkontaktního placení?
Vysílačku s přijímačem, jejichž specifikaci je možné zjistit na Internetu, protože je to norma a standard, a takové zařízení (s různým výkonem, o čemž bude řeč později) není ani potřeba složitě vymýšlet v tajné hackerské laboratoři, poněvadž jde zcela snadno opatřit z čínských krámků s levnou a neznačkovou elektronikou za cenu, v základu, nepřevyšující dva tisíce korun.

Výkonnější zařízení budou také mírně dražší nebo je možné je vyrobit úpravou těch menších. Pokud máte zájem o opravdu kvalitní kousky s velkým dosahem, nejjednodušší bude se asi porozhlédnout právě po oné čtečce, která se používá pod sjezdovkami.

Past na kreditky aneb tajná zbraň za pět tisícovek

Čtecí zařízení máme, s troškou šikovnosti jej připojíme k tabletu, notebooku nebo dokonce k chytrému telefonu. Samozřejmě náš nový zlodějský automat musí obsahovat software v podobě operačního systému, který umožňuje například psát a číst, doporučuji tedy buďto systém s Tučňákem Patagonským v Logu (GNU/Linux) popřípadě se zelenou příšerkou vymyšlenou Karlem Čapkem (Android) . Operační systémy pro lidi, kteří jsou natolik hloupí, že vyměnily starodávné umění číst abecedu za ještě starší dovednost odlišit od sebe nakousnuté jablko (McInstosh Apple) a rozbité okno (Windows) mají smůlu a zlí hackeři se z nich nestanou (stejně jako intelektuálové, a nepomohou ani brýle značky RayBan).

Nabíjíme zbraně

Máme tedy tablet propojený s kouzelnou skříňkou, kterou jsme si pořídili v DealExtreme nebo na e-bay, umíme číst a psát, tušíme, že data předávaná mezi kartou a naší čtečkou jsou zřejmě v nějakém přesně daném formátu, pokud jsme příliš líní, abychom využili dovednost čtení nějak hlouběji, stačí se opět obrátit na google.com (toto není reklama, reklama je, když napíšu, že existuje obdobný, ale daleko bezpečnější vyhledávač DuckDuckGo.com, který nekrade vaše osobní údaje a soukromí).

Vyhledávač nám po správně napsaném dotazu sdělí, že specifikace datové výměny mezi terminálem jsou opravdu standardizované, poskytne nám patřičné drivery pro naši čtečku a Tučňáka či Androida (ty je dobré hledat předtím, než pořizujeme čtečku). Důležité je také to, že nám ale poskytne software, který přečtená data z transakce dokáže poskládat do velice přehledné podoby, třeba excelová tabulka, xml nebo cokoliv je vlastně libo.

Vhodné klíčové slovo, jak si opatřit munici v podobě parseru předávaných binárních dat může být například RifidRIOT

A jde se lovit

Díky tomu, že jsou dnešní karty opravdu bezkontaktní, a díky tomu, že za pár tisícovek máme v kapse vše co potřebujeme, aniž bychom nakonec musel nějak moc umět číst a psát, můžeme se teď vydat na nějaké místo častého výskytu bytostí na bázi uhlíku (tedy lidí).

Profesionál by asi své zařízení připojil k rámu dveří a data sbíral z pohodlí svého domova plného krabic od pizzy a prázdných krabiček od ukrajinských cigaret. My však jsme dobrodružné povahy a svou tajnou zbraň si ukryjeme v batohu a půjdeme se projít například do metra.

Hop hej, jsem bohatej

Co všechno jde vyčíst naší novou supertajnou zbraní, postavenou z tabletu, čtečky a pár skriptů v perlu?
Vlastně téměř vše co je fyzicky napsáno na kartě, tedy: jméno majitele, číslo karty, datum vydání a datum konce platnosti.

Další věc kterou karty sdílejí je jistý počet posledních transakcí. Tímto si nejsem ani já přesně jistý, ale kamarádova karta, s kterou jsme dělali pokus, mu prozradila, že rád kouří Lucky Strike, kterých kupoval tři krabičky v 23:23:23 na Dejvické, o Pět minut později, že platil za kuře v nedalekém KFC a nakonec si koupil v Žabce lubrikační gel a velké balení kondomů. Protože však kondomy a gel přesáhly pět stovek, za lahev levného šampaňského platil zvlášť.

Jediná další věc, která nám tedy vlastně chybí, abychom mohli data z kamarádovy karty (aha, vlastně šli jsme na lov do tramvají, přece bychom neokrádali kamaráda, že?).... OK, tak jediná další informace, která nám brání ve zneužití informací nalovených z kreditních karet okolostojících lidí z tramvaje je neznalost třímístného kódu, který je k dokončení transakce potřebný také. Napsat si program, který vyzkouší jednu podruhé každou kombinaci z 999 možných, to je opravdu veliká překážka. Doporučuji se zeptat DuckDuckGo.com či google.com jak na to.

Počítače umějí počítat a není obrany

Naše tajná zbraň nám sice tedy neumožnila provádět přímo transakce, kdy majitele bezkontaktní karty, elektronický kapsář obere o první í poslední povolenou pětistovku, nicméně díky tomu, že počítač je dobrý v počítání a software v naší pasti na kreditní karty s tím počítá, může potencionální pachatel ochotný jednorázově investovat pár tisícovek, okrádat celý dav lidí třeba při již zmíněném průchodu pastí, která se bude tvářit jako bezpečnostní rám u dveří obchodu, může se proste projít po MHD a číst vám karty z batohů, kapes a kabelek a to úplně stejně, jako to dělá čtečka karet pod sjezdovkou. Víc podobných karet v jedné peněžence není problém, ba naopak. Vzdálenost taky není problém s patřičnou anténou (viz. čtečky pod sjezdovkami). Dokonce ani nepomůže schovat karty do aluminiové folie, tím se pouze zkracuje vzdálenost na kterou jsou data z karty ještě čitelná.

Ukradená data z karet jdou použít různě, dá se s nimi platit v eObchodech, dají se hromadně prodat nějaké spřízněné mafii, potencionální možnost duplikace karty nás asi může napadnout jako další... představivosti se meze nekladou.

Pokud se ptáte, jak je tedy možné se bránit přečtení bezkontaktní platební karty, musím s politováním odpovědět, že nijak. Jedině tak, že takovou kartu nebudete používat a budete od banky vyžadovat kartu normální, která svá data vydá, až když se jí někdo dotkne a slušně poprosí.

Mimochodem: celý problém se netýká pouze platebních karet, ale na vzdálené a hromadné čtení údajů jsou náchylné i další doklady a karty ve vaší peněžence. Zkoušeli jsme pas, OpenCard, In-Kartu... opět, fantazii se meze nekladou.

Poděkování

Pokud by něko krom komentáře chtěl přispět a motivovat tak autora tohoto článku k napsání dalších, štědrosti se meze nekladou a BitCoiny můžete posílat na 

tuhle adresu: 1MdDoSeTgUHqxVNECcdDvq6VksC6216sTK (nebo použijte přiložený QR kód)

Děkuji id TRILOBYTE za opravu hrubek :)