Bezkontaktní platební karty jsou opravdu děravé a lze ukrást víc než pětistovku bez znalosti PIN

[Petr Nachtmann]

Bezkontaktní platební karty jsou opravdu děravé a lze ukrást víc než pětistovku bez znalosti PIN

Doporučuji k přečtení odborný článek:

Harvesting High Value Foreign Currency Transactions

from EMV Contactless Credit Cards without the PIN

http://homepages.cs.ncl.ac.uk/budi.arief/home.formal/Papers/CCS2014.pdf

o kterém se píše na:

https://nakedsecurity.sophos.com/2014/11/04/how-to-steal-a-million-dollars-actually-999999-99-no-pin-required/

http://www.ncl.ac.uk/press.office/press.release/item/contactless-cards-fail-to-recognise-foreign-currency

http://www.bbc.com/news/uk-england-tyne-29862080

http://computerworld.cz/securityworld/nebezpecne-bezkontaktni-karty-visa-51531

i jinde.

V té souvislosti mě rozveselily vzpomínky, jak se do mě pustili před rokem zde na konferenci zastánci bezpečnosti bezkontaktních karet a jak byla vzniklá diskuse přetavena do článku

http://www.mesec.cz/clanky/myty-a-fakta-o-bezkontaktnim-placeni/

s diskusí na

http://www.mesec.cz/clanky/myty-a-fakta-o-bezkontaktnim-placeni/nazory/

ze které cituji:

"Ano, staci si precist vic nez rok stare PDFko

Renaud Lifchitz: Hacking the NFC credit cards for fun and debit ;)

kde je zmineno

* Active read up to 1.5m (50x better!) using a dedicated amplifier (2000€) and antenna (1000€). Everything fits into a backpack...

* Passive sniffing up to 15m (500x better!) using a radio receiver (e.g. USRP) with a standard telescopic antenna

A to ze jsou na karte nijak nesifrovana data o cisle, majiteli a transakcich rozhodne neni dobre..."

=> dokument na

http://www.slideshare.net/Shakacon/hacking-the-nfc-credit-cards-for-fun-and-debit-by-renaud-lifchitz

http://2012.hackitoergosum.org/blog/wp-content/uploads/2012/04/HES-2012-rlifchitz-contactless-payments-insecurity.pdf

http://www.scribd.com/doc/231125825/Hacking-the-NFC-credit-cards-for-fun-and-debit

=> video z přednášky na

https://www.youtube.com/watch?v=VWIzW0rRw_s

[Dalibor Z. Chvátal]

On je rozdíl mezi např. US bezkontaktní kartou a kartou vydanou CZ bankami. České banky jsou na tom fakt dobře. Ale nikdo nikdy netvrdil, že nelze karty zneužít, samozřejmě že lze. Karty nikdy nebyly a nebudou vzorem bezpečnosti. To riziko vs. potenciální ztráta jsou ale malé.

Nicméně v testu který jsem si soukromě dělal (a který budu opakovat) jsou rozdíly v přístupu CZ vydavatelů, kdy karta zařve, že chce do online režimu. Třeba s mBank jsem se dostal na cca 2100 Kč offline transakcí, s ostatními kartami mi terminál zařval o PIN u cca 4. platby. A protože v ČR je už jen držení cizí karty (natož použití) trestný čin, to by zkoušel zneužít jen zoufalec. Je lepší způsob, jak dostat z karty peníze: online podvody, card not present, skimming. Bezkontakt posbírá jen šušně, vejvar malý, trestnost vysoká. To se nevyplatí.

Kdo chce mít 100% bezpečnost, ať platí hotově. Každý máme možnost volby. Jen ji nesmíte ztratit a nesmíte s ní cestovat po USA :)

Ale to je fakt off topic.

dalich

---------- Původní zpráva ----------
Od: Petr Nachtmann <nach...@gmail.com>
Komu: GSM conference at Silicon Hill <g...@sh.cvut.cz>
Datum: 4. 12. 2014 18:39:16
Předmět: Bezkontaktní platební karty jsou opravdu děravé a lze ukrást víc než pětistovku bez znalosti PIN

[Petr Tomasek]

> Kdo chce mít 100% bezpečnost, ať platí hotově. Každý máme možnost volby. Jen
> ji nesmíte ztratit a nesmíte s ní cestovat po USA :)

A co když chci platit kartou, ale ne bezkontaktně? Banka se mi snaží pořád
nasrat tu kontaktní a na výběr tedy nemám. Tak kde je ta Vaše slavná možnosti
volby, ha?

P.T.

[Dalibor Z. Chvátal]

Jo, to je problém. Těch bank s jen kontaktími kartami ubývá. Dobrá banka nabídne alespoň možnost zamezit bezkontaktnímu použití, ale stále to není standard. Bohužel. Úkol nás novinářů, abychom je motivovali, že to mají dělat.

---------- Původní zpráva ----------
Od: Petr Tomasek <tom...@etf.cuni.cz>
Komu: GSM conference at Silicon Hill <g...@lists.sh.cvut.cz>
Datum: 5. 12. 2014 7:36:25
Předmět: Re: OT: Re: Bezkontaktní platební karty jsou opravdu děravé a lze ukrást víc než pětistovku bez znalosti PIN

[Pavel Troller]

Zdravím,
vždyť to není problém.
Kartu máte v takovém tom plastovém pouzdru, že ?
Tak ho obalte alobalem - 2 vrstvy bohatě stačí - a máte JISTOTU, že si vaši
kartu z kapsy ani peněženky nikdo nepřečte. Vyndavejte ji z pouzdra až těsně
u terminálu a ihned po transakci ji tam vraťte. Tím je zelepena jedna z děr,
které se u tohoto druhu útoku zneužívá, a celý útok je tím odsouzen k selhání.
Pro kontrolu účinnosti můžete zkusit platit kartou na oficiálním terminálu,
aniž ji před tím vyndáte z toho alobalem "zesíleného" pouzdra.
A pokud to pouzdro náhodou nepoužíváte, tak si ho pořiďte, nebo si vlepte
alobal do přihrádky peněženky, kam obvykle kartu strkáte.
Zdraví Pavel

[Wencel, Josef]

Zdravim,

u Airbank i kdyz si nastavim denni limit na bezkontaktni karty na 1 Kc nebo klidne na 0 Kc tak mi stale na mnoha terminalech lze bezkontaktne platit, kde to zpusobi chybu a musim pouzit cip je naproste minimum.
Zamezeni ze strany banky se tak ve finale dost miji ucinkem :(

MfG,
JW

[Dalibor Z. Chvátal]

Softwarově to nejde, vždy zaplatíte na offline terminálu. Ale to je úplně to samé, jako když tam zaplatíte zablokovanou kartou. Musí se blokovat použuití čipu, což jde. Ale jak psal Pavel T., stačí hliník, alobal, pouzdro a je po problému :)

---------- Původní zpráva ----------
Od: Wencel, Josef <jo...@wencel.cz>

Komu: GSM conference at Silicon Hill <g...@lists.sh.cvut.cz>

Datum: 5. 12. 2014 9:00:36

Předmět: Re: OT: Re: Bezkontaktní platební karty jsou opravdu děravé a lze ukrást víc než pětistovku bez znalosti PIN

[Petr Nachtmann]

To je rozumne.

Dokonce se jiz prodavaji podobne futraly jiz hotove.

Blbe je, ze podobne futraly trhaji penezenku (vyzkouseno).

A napada me, jakou muze mit uzivatel techto vynalezu prezdivku:

http://m.youtube.com/watch?v=_aQzFa0TFeM

---

Od:Pavel Troller
Odesláno:‎5. ‎12. ‎2014 8:52

Komu:GSM conference at Silicon Hill

[Honza Fiala]

Ono stačí mít těch karet v peněžence více. Alespoň platební terminál to vždy zblbne dokonale.

5. prosince 2014 9:08:47 CET, Petr Nachtmann <nach...@gmail.com> napsal:

To je rozumne.

Dokonce se jiz prodavaji podobne futraly jiz hotove.

Blbe je, ze podobne futraly trhaji penezenku (vyzkouseno).

A napada me, jakou muze mit uzivatel techto vynalezu prezdivku:

http://m.youtube.com/watch?v=_aQzFa0TFeM

---

Od:Pavel Troller
Odesláno:‎5. ‎12. ‎2014 8:52
Komu:GSM conference at Silicon Hill
Předmět:Re: OT: Re: Bezkontaktní platební karty jsou opravdu děravé a lze ukrást víc než pětistovku bez znalosti PIN

Zdravím,
  vždyť to není problém.
  Kartu máte v takovém tom plastovém pouzdru, že ?
  Tak ho obalte alobalem - 2 vrstvy bohatě stačí - a máte JISTOTU, že si vaši
kartu z kapsy ani peněženky nikdo nepřečte. Vyndavejte ji z pouzdra až těsně
u terminálu a ihned po transakci ji tam vraťte. Tím je zelepena jedna z děr,
které se u tohoto druhu útoku zneužívá, a celý útok je tím odsouzen k selhání.
Pro kontrolu účinnosti můžete zkusit platit kartou na oficiálním terminálu,

aniž ji před tím vyndáte z to ho alobalem "zesíleného" pouzdra.

  A pokud to pouzdro náhodou nepoužíváte, tak si ho pořiďte, nebo si vlepte
alobal do přihrádky peněženky, kam obvykle kartu strkáte.
  Zdraví Pavel

> Jo, to je problém. Těch bank s jen kontaktími kartami ubývá. Dobrá banka
> nabídne alespoň možnost zamezit bezkontaktnímu použití, ale stále to není
> standard. Bohužel. Úkol nás novinářů, abychom je motivovali, že to mají
> dělat.
>
>
> ---------- Původní zpráva ----------
> Od: Petr Tomasek <tom...@etf.cuni.cz>
> Komu: GSM conference at Silicon Hill <g...@lists.sh.cvut.cz>
> Datum: 5. 12. 2014 7:36:25
> Předmět: Re: OT: Re: Bezkontaktní platební karty jsou opravdu děravé a lze
> ukrást víc než pětistovku bez znalosti PIN
>

> "> Kdo chce mít 100% bezpečnost, ať platí hotově. Každ ý máme možnost volby.

> Jen
> > ji nesmíte ztratit a nesmíte s ní cestovat po USA :)
>
> A co když chci platit kartou, ale ne bezkontaktně? Banka se mi snaží pořád
> nasrat tu kontaktní a na výběr tedy nemám. Tak kde je ta Vaše slavná
> možnosti
> volby, ha?
>
> P.T."

--
Odesláno z mého telefonu s Androidem pomocí pošty K-9 Mail. Omluvte prosím moji stručnost.

[Tonda]

Když chceš platit kontaktně, tak plať kontaktně, tato funkce na těch
kartách zůstala.

T.

[Tonda]

V tom případě je potřeba aby karta offline transakce nepřipouštěla
podobně jako blesk peněženka.

T.

On 5.12.2014 9:08, Dalibor Z. Chvátal wrote:

> Softwarově to nejde, vždy zaplatíte na offline terminálu. Ale to je
> úplně to samé, jako když tam zaplatíte zablokovanou kartou. Musí se
> blokovat použuití čipu, což jde. Ale jak psal Pavel T., stačí hliník,
> alobal, pouzdro a je po problému :)
>
>
> ---------- Původní zpráva ----------

[Tonda]

Tohle říkám pořád, zneužití karty bezkontaktními podlimitními platbami
je ten nejvíce rizikový a nejméně výnosný způsob, tohle by fakt dělal
jen magor, bohužel odpůrci to stále nedokáží pochopit.

T.

[Ales Filip]

Dobrý den,

Tak zkuste anténu karty přestřihnout :-) Myslím, že anténa bude dokola
po obvodu karty, takže když ji nastříhnete nůžkama z druhé strany než je
čip, tak asi anténu přestřihnete. Nemám tady žádnou starou kartu, na
které bych to vyzkoušel. Zkontrolovat si to můžete mobilem s NFC, a
programem NFC Tools.

S pozdravem,

--
Aleš Filip
Kutná Hora
http://xanadu.khnet.info


Dne 5.12.2014 8:06, Dalibor Z. Chvátal napsal(a):

[Tomáš Koželuh]

Dokonce existuje stíněná peněženka. Na RFID funguje spolehlivě, bezpečnost karty jsem nezkoušel.

[Petr Sedlacek]

Zdravim,

zajimavy napad, vecer to doma zkusim :) Mam spoustu starych karet, nejak si je rad vsechny schovavam :)

P.

[kre...@centrum.cz]

To mě zajímá, jak to dopadne :-)
Zatím se mi i manželce podařilo při poslední výměně vydržkovat si kartu pouze kontaktní, ale jak to bude za 2-3 roky ?

Asi před 8.lety jsme dostali v rpáci bezkontaktní karty pro vstup (místo píchaček).
Měly velikost klasických karet, asi centimetr od jednoho rohu byl zalitý čip a anténa byla několk závitů plochého pásku po obvodu karty, asi milimetr od okraje.
Několk chlapů na dílně si jí provrtalo a dalo na šňůrku - výsledek byla jasný, jeden zničil čip (trefil správný roh), několik dalších zničilo anténu...
KR
______________________________________________________________
> Od: Petr Sedlacek <pe...@sedlacek.biz>

> Komu: GSM conference at Silicon Hill <g...@lists.sh.cvut.cz>

> Datum: 05.12.2014 10:17

> Předmět: Re: OT: Re: Bezkontaktní platební karty jsou opravdu děravé a lze ukrást víc než pětistovku bez znalosti PIN
>

[Ales Filip]

Dobrý den,

A jsou bezkontaktní? Já mám všechny staré karty jenom s čipem :-(

S pozdravem,

-- 
 Aleš Filip
 Kutná Hora
 http://xanadu.khnet.info

Dne 5.12.2014 10:17, Petr Sedlacek napsal(a):

[Pavel Machek]

On Fri 2014-12-05 10:17:30, Petr Sedlacek wrote:
>
>
> Zdravim,
>
> zajimavy napad, vecer to doma zkusim :) Mam spoustu starych karet, nejak
> si je rad vsechny schovavam :)

Neni nahodou karta majetkem banky? ;-).

Pavel
--
(english) http://www.livejournal.com/~pavelmachek
(cesky, pictures) http://atrey.karlin.mff.cuni.cz/~pavel/picture/horses/blog.html

[kre...@centrum.cz]

Při poslední výměně karty (KB, soukromý účet, každé 3 roky) jsem chtěl kartu vrátit.
Řekli, že je deaktivovaná a že si jí můžu nechat.

Před šeti lety - kartu si vzali a přede mnou jí paní přestřihla na půl :-)

Hmm,
vůbec se mi nelíbí, kam to směřuje a jak rychle (s vývojem technologií)...
Napadá mě, kam až to v budoucnu zajde ?
Možná za několik let už nebudeme mít na výběr a všechny platební prostředky (karty-či co je nahradí ?) budou bezkontaktní ?
Zatím je to jen úvaha, ale pokud nebude možné platit ani hotovostí, kam to povede (kontrola státu nad 100% plateb) ?
KR

______________________________________________________________
> Od: Pavel Machek <pa...@ucw.cz>

> Komu: GSM conference at Silicon Hill <g...@lists.sh.cvut.cz>

> Datum: 05.12.2014 11:25

> Předmět: Re: OT: Re: Bezkontaktní platební karty jsou opravdu děravé a lze ukrást víc než pětistovku bez znalosti PIN
>

[Michal Gust]

V dalne budoucnosti vam naimplantuji chip pochopitelne s bezdratovou
komunikaci hned pri narozeni a bude kompletne vymalovano... ;-) K
autentizaci kdekoliv to staci a pak uz staci k ID pouze priradit
bankovni sluzby apod...

K tomu zruseni hotovosti je potreba zajistit on-line mezibankovni
prevody 7x24 hodin, jinak neni mozne realizovat platby neobchodnikum
(napr. "bazarove" zbozi pres inzerat nebo mezi znamymi/pribuznymi -
platba pri predani veci).

MG.

[Dalibor Z. Chvátal]

Je, ale co vám tak asi udělá, kdyýž ji nevrátíte (prošlou), nebo ji nahlásíte jako ztracenou (0 Kč)? Nic :-) Mám jich také slušný počet a na eBay se s nimi skvěle obchoduje (cca 5 USD/ks pro obyčejné karty).

DC

---------- Původní zpráva ----------
Od: Pavel Machek <pa...@ucw.cz>

Komu: GSM conference at Silicon Hill <g...@lists.sh.cvut.cz>

Datum: 5. 12. 2014 11:26:00

Předmět: Re: OT: Re: Bezkontaktní platební karty jsou opravdu děravé a lze ukrást víc než pětistovku bez znalosti PIN

[Jindrich Fucik]

> On je rozdíl mezi např. US bezkontaktní kartou a kartou vydanou CZ
> bankami. České banky jsou na tom fakt dobře.

V US mají na bezkontaktu jen nahranej magnetickej proužek.
Je to typ karty MSR+cless, ty se u nás prakticky nevyskytují.

> To riziko vs. potenciální ztráta jsou ale malé.

A v téměř 100% případů ho u nás nese banka+obchodník
Jednoduše řešeno - pokud se mi na výpise objeví transakce, která byla
offline a přesáhla 500,- tak je téměř 100% jistota, že pokud jí budu
reklamovat, protože to je víc než limit kterej mi banka nastavila, tak
ty peníze dostanu.
Druhej problém je, že obchodník má možnost vyvolat vyšetřování za krádež
zboží a pokud jsem někde na kamerách jak si machruju s kartou, tak to
těžko obhájím.

> online režimu. Třeba s mBank jsem se dostal na cca 2100 Kč offline
> transakcí, s ostatními kartami mi terminál zařval o PIN u cca 4. platby.

Karta klidně mohla jít do online a přitom si nepožadovat pin. To je
případ například nápojových automatů. Ty nemají klávesnici, ale mají
online, takže se dotazují vydavatelské banky na každou transakci a v
součtu se na nich dá dostat na velkou částku.
(legrační je, jak se pak člověk posouvá po EWS a když si každý den
cestou z práce koupí limonádu, tak po zhruba dvou týdnech dostane z
banky hovor, jestli je vše v pořádku, nebo jestli mi někdo nevykrádá
kartu malejma transakcema. To hrajeme u nás, protože máme kartovej
automat na chodbě a hodně lidí si kupuje pití v pravidelné časy (cestou
do práce a nebo z práce)

[Jindrich Fucik]

> Kartu máte v takovém tom plastovém pouzdru, že ?
> Tak ho obalte alobalem - 2 vrstvy bohatě stačí - a máte JISTOTU, že si vaši

...

Nebo si prostě dejte v peněžence dvě karty na sebe, to je jednodušší a
stejně účinné. Útočník sice pozná, že jsou karty dvě, ale nedokáže je od
sebe rozlišit. To se dá taky snadno vyzkoušet - v obchodě přiložíte
peněženku se dvěma cless kartama a terminál začne psát, že máte přiložit
pouze jednu kartu.

[Michal Gust]

Fakt? Nerozumim, proc by za to nekdo daval $5, i kdyz treba Delfinek od
mBank je celkem peknej, ale jinak nic moc (no jeste goldka od GE, ale to
jen proto, ze goldka). U nas doma je sysli deti - u nich je to
pochopitelny...

MG.

[Michal Gust]

Fakt banka+obchodnik?

Nesleduju vyvoj predpisu, ale VOP byly obvykle koncipovany tak, ze
riziko nese zakaznik. Jeste si pamatuju, ze par let zpatky byla
stanovena max spoluucast pri ztrate (vychazelo to kolem 100E), ale pokud
nechytili zlodeje, tak aspon tu spoluucast nes zakaznik a pokud nedoslo
k odcizeni, tak bych rekl ze mozna v plne vysi, pokud se neprokazalo, ze
to byl fraud...

MG.

[Petr Tomasek]

On Fri, Dec 05, 2014 at 08:52:34AM +0100, Pavel Troller wrote:
> Zdravím,
> vždyť to není problém.
> Kartu máte v takovém tom plastovém pouzdru, že ?
> Tak ho obalte alobalem - 2 vrstvy bohatě stačí - a máte JISTOTU, že si vaši
> kartu z kapsy ani peněženky nikdo nepřečte. Vyndavejte ji z pouzdra až těsně
> u terminálu a ihned po transakci ji tam vraťte. Tím je zelepena jedna z děr,

A kde mám jistotu, že útok nenastane právě v tom okamžiku, kdy kartu vytáhnu?

Nene, nechápu, proč mi nutí něco, co nechci. Díra je pořád díra a snažit
se to zaflikovat alobalem nemusí být řešení.

P.T.

> které se u tohoto druhu útoku zneužívá, a celý útok je tím odsouzen k selhání.
> Pro kontrolu účinnosti můžete zkusit platit kartou na oficiálním terminálu,
> aniž ji před tím vyndáte z toho alobalem "zesíleného" pouzdra.
> A pokud to pouzdro náhodou nepoužíváte, tak si ho pořiďte, nebo si vlepte
> alobal do přihrádky peněženky, kam obvykle kartu strkáte.
> Zdraví Pavel
>
> > Jo, to je problém. Těch bank s jen kontaktími kartami ubývá. Dobrá banka
> > nabídne alespoň možnost zamezit bezkontaktnímu použití, ale stále to není
> > standard. Bohužel. Úkol nás novinářů, abychom je motivovali, že to mají
> > dělat.
> >
> >
> > ---------- Původní zpráva ----------
> > Od: Petr Tomasek <tom...@etf.cuni.cz>
> > Komu: GSM conference at Silicon Hill <g...@lists.sh.cvut.cz>
> > Datum: 5. 12. 2014 7:36:25
> > Předmět: Re: OT: Re: Bezkontaktní platební karty jsou opravdu děravé a lze
> > ukrást víc než pětistovku bez znalosti PIN
> >
> > "> Kdo chce mít 100% bezpečnost, ať platí hotově. Každý máme možnost volby.
> > Jen
> > > ji nesmíte ztratit a nesmíte s ní cestovat po USA :)
> >
> > A co když chci platit kartou, ale ne bezkontaktně? Banka se mi snaží pořád
> > nasrat tu kontaktní a na výběr tedy nemám. Tak kde je ta Vaše slavná
> > možnosti
> > volby, ha?
> >
> > P.T."

--
Petr Tomasek <http://www.etf.cuni.cz/~tomasek>
Jabber: but...@jabbim.cz

[Petr Tomasek]

On Fri, Dec 05, 2014 at 09:31:56AM +0100, Tonda wrote:
> Když chceš platit kontaktně, tak plať kontaktně, tato funkce na těch
> kartách zůstala.
>
> T.

To myslíte vážně, nebo si děláte prdel???

Jak chci platit je irelevantní. Důležité je, že nechci, aby kartou
nebylo možné bezkontaktně platit...

PT.

[Petr Tomasek]

On Fri, Dec 05, 2014 at 09:42:12AM +0100, Tonda wrote:
> Tohle říkám pořád, zneužití karty bezkontaktními podlimitními
> platbami je ten nejvíce rizikový a nejméně výnosný způsob, tohle by
> fakt dělal jen magor, bohužel odpůrci to stále nedokáží pochopit.
>
> T.

A proč riskovat, že se ten magor najde a vysaje mi konto?

PT.

[Petr Nachtmann]

Provrtáním v dílně přerušit anténu, jak bylo zde popsáno?

[Pavel Machek]

Ahoj!

> vždyť to není problém.
> Kartu máte v takovém tom plastovém pouzdru, že ?
> Tak ho obalte alobalem - 2 vrstvy bohatě stačí - a máte JISTOTU, že si vaši
> kartu z kapsy ani peněženky nikdo nepřečte. Vyndavejte ji z pouzdra až těsně
> u terminálu a ihned po transakci ji tam vraťte. Tím je zelepena jedna z děr,
> které se u tohoto druhu útoku zneužívá, a celý útok je tím odsouzen k selhání.
> Pro kontrolu účinnosti můžete zkusit platit kartou na oficiálním terminálu,
> aniž ji před tím vyndáte z toho alobalem "zesíleného" pouzdra.

No... to, ze to nezvladne oficialni terminal, neznamena ze to nezvladne
utocnik. (Plus, samozrejme, ze nejlepsi misto pro kopirovacku karet by
bylo kousek od oficialni ctecky...)

Pritom by to cely slo udelat lip. Telefon ma bluetooth a vykonej
procesor. Proc mu proste pokladna neposle sumu a komu je potreba
platit, a on neposle zpet digitalne podepsany ze s tim souhlasi?

[Jindrich Fucik]

Dne 5.12.2014 16:01, Michal Gust napsal(a):

> Fakt banka+obchodnik?
>
> Nesleduju vyvoj predpisu, ale VOP byly obvykle koncipovany tak, ze
> riziko nese zakaznik. Jeste si pamatuju, ze par let zpatky byla
> stanovena max spoluucast pri ztrate (vychazelo to kolem 100E), ale pokud
> nechytili zlodeje, tak aspon tu spoluucast nes zakaznik a pokud nedoslo
> k odcizeni, tak bych rekl ze mozna v plne vysi, pokud se neprokazalo, ze
> to byl fraud...

To máš tak - aby se dostalo na obchodníka, tak by se k němu ta informace
musela dostat. A to by v podstatě znamenalo, že by některá banka
vyvolala spor. A aby vyvolala spor, tak by minimálně musela zaplatit
kauci pro asociace (Visa). A ta kauce není moc malá. A abych zaplatil
kauci v řádu desítek až stovek kilo pro transakci v řádu půl kila, tak
to se raději napřed pokusím poslat mail do té druhé banky a slušně se
zeptám, jestli nepojedeme napůl. Tím se případ na obou stranách v
tichosti dostane do EWS a není to zase tak drahé. Až když to někde z té
EWS vybočuje, tak to začnu řešit.

Důvod proč banky tak tlačí cless karty je taky jasnej - lidé s nima
platí za mnohem menší nákupy a peníze se do světa nedostávají přes
bankochmaty, ale v klidu se přesouvají v nehmotné podobě. To je pro
banku mnohem lepší. Bankomat se musí doplňovat, servisovat, platit za
elektriku a nevím co ještě a dělám to v podstatě zadarmo, zatímco při
platbách jen přesouvám jedničky a nuly a strhávám si procento za použití.

[Pavel Machek]

On Fri 2014-12-05 12:52:17, Dalibor Z. Chvátal wrote:
> Je, ale co vám tak asi udělá, kdyýž ji nevrátíte (prošlou), nebo ji
> nahlásíte jako ztracenou (0 Kč)? Nic :-) Mám jich také slušný počet a na
> eBay se s nimi skvěle obchoduje (cca 5 USD/ks pro obyčejné karty).
>

To by me zajimalo, na co jim jsou...?

[Jindrich Fucik]

Dne 5.12.2014 17:19, Pavel Machek napsal(a):

> Pritom by to cely slo udelat lip. Telefon ma bluetooth a vykonej
> procesor. Proc mu proste pokladna neposle sumu a komu je potreba
> platit, a on neposle zpet digitalne podepsany ze s tim souhlasi?

Ale takové systémy přece dávno existují.
U nás je asi nejrozšířenější http://mastercardmobile.cz/
A například pokud máš NFC telefon, tak si v klidu a pohodě pustíš
emulaci karty a i když to obchodník nečeká, tak mu tapneš telefonem na
terminál a nepotřebuješ aby ti vystavoval BLE

[Michal Gust]

Pavel Machek wrote:
> Ahoj!
>
>> vždyť to není problém.
>> Kartu máte v takovém tom plastovém pouzdru, že ?
>> Tak ho obalte alobalem - 2 vrstvy bohatě stačí - a máte JISTOTU, že si vaši
>> kartu z kapsy ani peněženky nikdo nepřečte. Vyndavejte ji z pouzdra až těsně
>> u terminálu a ihned po transakci ji tam vraťte. Tím je zelepena jedna z děr,
>> které se u tohoto druhu útoku zneužívá, a celý útok je tím odsouzen k selhání.
>> Pro kontrolu účinnosti můžete zkusit platit kartou na oficiálním terminálu,
>> aniž ji před tím vyndáte z toho alobalem "zesíleného" pouzdra.
>
> No... to, ze to nezvladne oficialni terminal, neznamena ze to nezvladne
> utocnik. (Plus, samozrejme, ze nejlepsi misto pro kopirovacku karet by
> bylo kousek od oficialni ctecky...)

Jednak kartu pokud vim zkopirovat nejde, jen jde pomoci NFC "proxy"
provest platbu na vzdalenem terminalu, coz samozrejme vyzaduje shodne
casove okno pro platbu a cteni karty - pokud v tom nejede i obchodnik,
na coz by se brzy prislo, tak asi jediny realne proveditelny scenar je
pritocit se k nekomu v MHD, kde muzu v blizkosti napadene karty pobyvat
i nekolik minut, nez komplic zaplati... (samozrejme musi byt mimo kamery
apod. detaily).

Druha vec je, ze v realu bude utocnik podstatne dal nez oficialni ctecka
(desitky cm vc. nekolik mm), coz je pro magneticke pole docela zasadni
rozdil, takze uz jen prekonani vzdalenosti to bude vyzadovat radove
vetsi citlivost - zabaleni do stiniciho materialu dalsich nekolik radu
(pokud nestaci alobal, muzete zkusit Mu-metal, ktery ma z tohoto pohledu
lepsi vlastnosti)... nekonec dojdete k tomu, ze k tomu, abyste vubec byl
schopen pole detekovat, potreboval byste nezanedbatelne velkou civku ze
supravodiveho materialu, coz budete mit problem schovat pod kabatem...

Jinak jak uz tu bylo receno, pokud prerusite vodic civky, asi uz ani
teoreticky vam z cipu nikdo nic neprecte... takze to by vas mohlo
"satisfackovat".

MG.

[Dalibor Chvátal]

Jen sběratelé. Někdo sbírá známky, krabičky od cigaret, od zápalek, někdo plasty karet :)



5. 12. 2014 v 17:20, Pavel Machek <pa...@ucw.cz>:

[Tonda]

Původně si psal (a citaci odmazal), takže cituji:

> A co když chci platit kartou, ale ne bezkontaktně? Banka se mi snaží pořád
> nasrat tu kontaktní a na výběr tedy nemám. Tak kde je ta Vaše slavná možnosti
> volby, ha?

Kontaktně tou kartou platit lze, takže bezkontaktně platit nemusíš, když
nechceš, o požadavku na nemožnost platit bezkontaktně si nepsal.

Vyjadřuješ se nekonzistentně.
T.

[Vojtech Fiala]

Ahoj!
Neb jsem se problematikou pred casem vice zabyval dovolim si par postrehu.
Alobal nic neresi, jak uz kdosi napsal, kdyz se postavim s patricnym vybavenim
k pokladnam v nejakem retezci, tak toho pochytam hodne behem par chvil. Vyrobci
se snazi chlacholit, ze vzdalenost karty k zachyceni komunikace je jen par
centrimetru, ale jde to i podstatne dale. (Ne sice s civkou o prumeru 5 cm,
ale jde to). Jak kdosi psal, ze je to velmi rizikova a zisk maly ani s tim nelze
souhlasit. Ve srovnani s jinymi zpusoby mi riziko prijde velmi nizke a otazka zisku
je relativni. Prekupnik s LTO se do diskutovaneho projektu poustet pravdepodobne
nebude, ale sikovny student by si tmto zpusobem mohl klidne zdvojnasobit
svou zivotni uroven...
I ja po zkusenostech nechci byt vlastnikem bezkontaktni karty a pokud by nebyla
jina volba, urcite by prisel na radu vrtak. Akorat bych vrtal co nejblize cipu,
aby k antennimu vystupu cipu vedl co nejkratsi vodic. Preruseni anteny na opacnem
konci nez je cip by mohlo byt v nekterych pripadech ne zcela dostacujici.
S pozdravem

-vf

> On je rozdíl mezi např. US bezkontaktní kartou a kartou vydanou CZ bankami.

> České banky jsou na tom fakt dobře. Ale nikdo nikdy netvrdil, že nelze karty
> zneužít, samozřejmě že lze. Karty nikdy nebyly a nebudou vzorem bezpečnosti.

> To riziko vs. potenciální ztráta jsou ale malé.
>

> Nicméně v testu který jsem si soukromě dělal (a který budu opakovat) jsou
> rozdíly v přístupu CZ vydavatelů, kdy karta zařve, že chce do online režimu.

> Třeba s mBank jsem se dostal na cca 2100 Kč offline transakcí, s ostatními

> kartami mi terminál zařval o PIN u cca 4. platby. A protože v ČR je už jen
> držení cizí karty (natož použití) trestný čin, to by zkoušel zneužít jen

> zoufalec. Je lepší způsob, jak dostat z karty peníze: online podvody, card
> not present, skimming. Bezkontakt posbírá jen šušně, vejvar malý, trestnost
> vysoká. To se nevyplatí.
>

> Kdo chce mít 100% bezpečnost, ať platí hotově. Každý máme možnost volby. Jen
> ji nesmíte ztratit a nesmíte s ní cestovat po USA :)
>

> Ale to je fakt off topic.
>
> dalich
>
>
>
> ---------- Původní zpráva ----------
> Od: Petr Nachtmann <nach...@gmail.com>
> Komu: GSM conference at Silicon Hill <g...@sh.cvut.cz>
> Datum: 4. 12. 2014 18:39:16
> Předmět: Bezkontaktní platební karty jsou opravdu děravé a lze ukrást víc

> než pětistovku bez znalosti PIN
>
> "
>
>
> Bezkontaktní platební karty jsou opravdu děravé a lze ukrást víc než
> pětistovku bez znalosti PIN
>
>
>
>

> Doporučuji k přečtení odborný článek:
>
> Harvesting High Value Foreign Currency Transactions
>
> from EMV Contactless Credit Cards without the PIN
>
>
>
>
> http://homepages.cs.ncl.ac.uk/budi.arief/home.formal/Papers/CCS2014.pdf
> (http://homepages.cs.ncl.ac.uk/budi.arief/home.formal/Papers/CCS2014.pdf)
>
>
>
>
> o kterém se píše na:
>
> https://nakedsecurity.sophos.com/2014/11/04/how-to-steal-a-million-dollars-
> actually-999999-99-no-pin-required/
> (https://nakedsecurity.sophos.com/2014/11/04/how-to-steal-a-million-dollars-actually-999999-99-no-pin-required/)
>
>
>
>
> http://www.ncl.ac.uk/press.office/press.release/item/contactless-cards-fail-
> to-recognise-foreign-currency
> (http://www.ncl.ac.uk/press.office/press.release/item/contactless-cards-fail-to-recognise-foreign-currency)
>
>
>
>
> http://www.bbc.com/news/uk-england-tyne-29862080
> (http://www.bbc.com/news/uk-england-tyne-29862080)
>
>
>
>
> http://computerworld.cz/securityworld/nebezpecne-bezkontaktni-karty-visa-
> 51531
> (http://computerworld.cz/securityworld/nebezpecne-bezkontaktni-karty-visa-51531)
>
> i jinde.
>
>
>
>
> V té souvislosti mě rozveselily vzpomínky, jak se do mě pustili před rokem
> zde na konferenci zastánci bezpečnosti bezkontaktních karet a jak byla
> vzniklá diskuse přetavena do článku
>
> http://www.mesec.cz/clanky/myty-a-fakta-o-bezkontaktnim-placeni/
> (http://www.mesec.cz/clanky/myty-a-fakta-o-bezkontaktnim-placeni/)
>
> s diskusí na
>
> http://www.mesec.cz/clanky/myty-a-fakta-o-bezkontaktnim-placeni/nazory/
> (http://www.mesec.cz/clanky/myty-a-fakta-o-bezkontaktnim-placeni/nazory/)
>
> ze které cituji:
>
>
>
>
> "Ano, staci si precist vic nez rok stare PDFko
>
> Renaud Lifchitz: Hacking the NFC credit cards for fun and debit ;)
>
> kde je zmineno
>
> * Active read up to 1.5m (50x better!) using a dedicated amplifier (2000???)
> and antenna (1000???). Everything fits into a backpack...
>
> * Passive sniffing up to 15m (500x better!) using a radio receiver (e.g.
> USRP) with a standard telescopic antenna
>
> A to ze jsou na karte nijak nesifrovana data o cisle, majiteli a transakcich
> rozhodne neni dobre..."
>
>
>
>
> => dokument na
>
> http://www.slideshare.net/Shakacon/hacking-the-nfc-credit-cards-for-fun-and-
> debit-by-renaud-lifchitz
> (http://www.slideshare.net/Shakacon/hacking-the-nfc-credit-cards-for-fun-and-debit-by-renaud-lifchitz)
>
>
>
>
> http://2012.hackitoergosum.org/blog/wp-content/uploads/2012/04/HES-2012-
> rlifchitz-contactless-payments-insecurity.pdf
> (http://2012.hackitoergosum.org/blog/wp-content/uploads/2012/04/HES-2012-rlifchitz-contactless-payments-insecurity.pdf)
>
>
>
>
> http://www.scribd.com/doc/231125825/Hacking-the-NFC-credit-cards-for-fun-and
> -debit
> (http://www.scribd.com/doc/231125825/Hacking-the-NFC-credit-cards-for-fun-and-debit)
>
>
>
>
> => video z přednášky na
>
> https://www.youtube.com/watch?v=VWIzW0rRw_s
> (https://www.youtube.com/watch?v=VWIzW0rRw_s)
>
>
> "

[Aleš Filip]

Dobrý den,

Proč myslíte, že by mohlo být převrtání na opačném konci nedostatečné?

S pozdravem,

--
Aleš Filip
Kutná Hora
http://xanadu.khnet.info

Dne 6.12.2014 20:11, Vojtech Fiala napsal(a):

[Aleš Filip]

Dobrý den,

Když vezmu MasterCard, a prosvítím ji silnou baterkou, tak je docela
dost dobře ta anténa vidět :-)

[Vojtech Fiala]

Zdravim,
no kdyby to byla jen antena, tak cim kratsi vodic tim mensi dosah. Je ale fakt,
ze u vetsiny karet tato "antena" je zaroven civka, ktera diky elmag. indukci slouzi
jako napajeni cipu, takze i provrtani kdekoliv jinde by pro tento typ karet
poslouzilo stejne dobre.
S pozdravem

-vf

[Jindrich Fucik]

Dne 6.12.2014 20:11, Vojtech Fiala napsal(a):

> Neb jsem se problematikou pred casem vice zabyval dovolim si par postrehu.
> Alobal nic neresi, jak uz kdosi napsal, kdyz se postavim s patricnym vybavenim
> k pokladnam v nejakem retezci, tak toho pochytam hodne behem par chvil.

Mohu poprosit o nějaké bližší informace?
Například to, jak se sniffivací zařízení vyrovná s plovoucím kódem,
kterej si karta počítá? Ono odposlechnout jeden blok komunikace je
celkem k ničemu.

Pro neznalé - zjednodušeně si to lze představit takto:

Karta má svoje číslo, to je na přední straně karty. Je to velice
důležité číslo, ale samo o sobě není k ničemu.
Pokud má vydavatelská banka uvolnit peníze, tak potřebuje víc informací.

Například pro transakci bez přítomnosti karty (na internetu) je potřeba
doplnit CVC (malé číslo na zadní straně) (předpokládám, že většina
zdejších paranoiků ho má vyškrábané, nebo alespoň přelepené izolepou)

Pro transakci která vznikla přečtením magnetického proužku je potřeba
doplnit číslo, které je nahrané na magnetickém proužku (někdy se bavme o
track2). A ještě navíc pinblok (pin zakriptovaný nějakým plovoucím
klíčem - například DUKPT). Ještě je možnost že jsem obchodnk typu CAT1
(Cardholder Activated Terminal) - například placení mýta - tam stačí
samotnej obsah magnetického proužku, ale obchodník přijímá značné
riziko, že peníze nedostane v případě sporu.

Pro transakci, která vznikla čipem, tak zase dostávám jinej přívažek k
číslu karty. A tenhle je navíc plovoucí a ještě si jej vydavatelská
banka dokáže změnit kdykoli strčím kartu do bankomatu. (Vydavatel pošle
na kartu "issuer script" a karta se prostě bude chovat jinak)

Hodně podobné je to pro cless transakci, tam se ještě řeší, jakého je
karta typu - pokud má kontaktní čip, tak je zase schopná přijímat
skript, resetovat počítadla použití a tak dále. Pokud máme kartu bez
kontaktního čipu (samolepky), tak je to trochu komplikovanější, protože
se nedostane k živému spojení s vydavatelem, ale stále si je schopná
počítat kdejaké komplikované šifry a jejich výsledky lepit za číslo karty.

Přece kdekdo v této konferenci by mohl vědět, že odposlechnout
komunikaci mobilu se základnovkou je technicky jednoduché, ale neznamená
to, že mohu slyšet hovor a už vůbec ne sledovat pohybující se zařízení v
síti.

[Michal Gust]

A krom problemu s napajenim, nepouziva se cirou nahodou u pasivnich
zarizeni k prenosu zpetna vazba skrze magneticke pole na vysilac (tzn.
zmenou indukovaneho proudu v prijimaci ovlivnuji proud ve vysilaci, cimz
se prenasi informace)? Takze bez smycky, ve ktere by se neco
naindukovalo, nejen ze nemam napajeni, ale ani moznost prenosu?

Jinak sice bohuzel na magneticke pole neexistuje idealni stineni jako
Faradayova klec a ano "alobal", pokud se skutecne jedna o hlinikovou
folii, je jen velmi malo ucinny, ale magneticke pole slabne opravdu
velmi rychle a da se do jiste miry odstinit. Zkuste pouzit obal z
permaloye a myslim, ze budete mit docela zasadni problem vyvolat v karte
ze vzdalenosti vetsi nez 1 metr pole dost silne na to, aby se karta
aktivovala, natoz pak detekovat zmeny v poli, ktere by zpusobila
pripadna komunikace z karty...

MG.

[Pavel Troller]

Zdravím,

> A krom problemu s napajenim, nepouziva se cirou nahodou u pasivnich
> zarizeni k prenosu zpetna vazba skrze magneticke pole na vysilac (tzn.
> zmenou indukovaneho proudu v prijimaci ovlivnuji proud ve vysilaci, cimz se
> prenasi informace)? Takze bez smycky, ve ktere by se neco naindukovalo,
> nejen ze nemam napajeni, ale ani moznost prenosu?
>
> Jinak sice bohuzel na magneticke pole neexistuje idealni stineni jako
> Faradayova klec a ano "alobal", pokud se skutecne jedna o hlinikovou folii,
> je jen velmi malo ucinny, ale magneticke pole slabne opravdu velmi rychle a
> da se do jiste miry odstinit.

No, je zajímavé, že toto se neshoduje s mými experimenty. Používám fólii pro
pečení, známou jako "alobal" a věřím, že asi bude hliníková. Mohl by to být
ještě "staniol", tj. fólie cínová, která se používala hlavně dříve, ale ta to
asi nebude, tato je poměrně nová a nedávno zakoupená. Nadto obě by se v tomto
ohledu asi chovaly podobně.
Mám nyní 2 mobilní telefony s NFC. Oba jsou schopny zaregistrovat a úpsěšně
číst NFC kartu ze vzdálenosti cca 6 cm. Samy navzájem se vidí o něco dále, tak
8 - 10 cm, víc ne.
Pokud mezi telefon a kartu vložím jednu vrstvu výše zmíněné fólie, již toto
stačí pro dokonalé znemožnění spojení. Telefon prostě nikdy žádnou kartu
nezaregistruje. Nevidí se ani navzájem, a to ani když jsou přiloženy zády
k sobě a dotýkají se, ovšem přes tu fólii. Tedy bych nehovořil o velmi malé
účinnosti, alébrž o účinnosti maximální. Domnívám se proto, že kdyby se zmíněné
pouzdro na karty ovinulo alespoň třemi vrstvami téže fólie, a to z obou stran
(mé experimenty dokonce druhou stranu karty nijak nezakrývaly), myslím, že
by se tím kontakt s kartou opravdu podařilo zamezit.
Fyzikálně vím, že čistě magnetické pole se nedá hliníkem stínit, mnohem
lepší jsou v tomto feromagnetické materiály, což hliník není, ale zase vím,
že jakýkoliv vodič, tj. kov včetně hliníku, dokonale stíní elektrické pole.
Myslím, že NFC pole bude mít dostatečně zastoupeny obě složky a odstínění
elektrické složky je dostatečné. Domnívám se, že pokud by se mělo pro přenos
energie využívat dominantně magnetické složky pole, musel by být jak vysílač,
tak přijímač vybaven jádrovou anténou (např. typická "feritka" známá ze
středovlnných rádií). Ano, ta je uzpůsobena pro příjem magnetického pole.
Ale v praxi víme, že zejména v kartě taková anténa není, a též asi nebude
v normálním terminálu. Mohl by ji pravda mít nějaký hacker v batohu, to je
asi možné, takže skutečně pro odstínění i těchto případů by bylo dobré mít
stínění dvouvrstvé, např. železo-měděné, jak se skutečně používá např. ve
špičkové audiotechnice nebo ve vysílací technice. Pak by snad opravdu nemělo
hrozit kartě nebezpečí :-).

Zdraví Pavel

[Pavel Machek]

Ahoj!

> Přece kdekdo v této konferenci by mohl vědět, že odposlechnout komunikaci
> mobilu se základnovkou je technicky jednoduché, ale neznamená to, že mohu
> slyšet hovor a už vůbec ne sledovat pohybující se zařízení v síti.

Na BlackHatu o tom byly pekne prednasky.

https://www.youtube.com/watch?v=0hjn-BP8nro

Ne, odposlechnout komunikaci mobilu se zakladnovkou neni az tak
jednoduche (musim hackovat telefony nebo mit po ruce sw radio), a
desifrovat A5/1 neni nijak tezky (tusim potrebuju par terabajtu
tabulku a normalne vykonny procesor), a sledovat pohybuijici se
zarizeni v siti je taky nejaky jednoduchy (protoze

Fakt ta bezkontaktni karta pocita nejakou rozumnou kryptografii? Mel
jsem pocit ze na to nema dost vypocetniho vykonu...

[Aleš Filip]

Dobrý den,

Vy ale počítáte s tím, že obě zařízení jsou napájena vlastním zdrojem.
Pokus telefon - telefon je jasný. Tam stínění tolik vadit nemusí. Ale v
případě karty, kdy karta musí být napájena dostatečnou energií z čtecího
zařízení už to stínění alobalem vadí. Ještě kdyby ta anténa měla pár
desítek závitů z nějakého lakovaného drátu, tak by to asi mělo vyšší
účinnost. I když na 13.56MHz už to stejně nemůže fungovat jako
transformátor pro přenos energie. Ale v kartě je jenom nějaká klikihák
okolo a středem karty. Takže si myslím, že alobal to odstíní celkem
bezpečně. Zkoušel jsem to teď s mobilem. Kartu bez alobalu to načte tak
na 5mm, ale obalenou 1 vrstvou alobalu to nenačte vůbec. Ale zase na
druhou stranu asi ten mobil nebude mít skoro žádnou anténu pro rfid. Asi
koupím na eBay nějakou čtečku, a vyzkouším to :-)

S pozdravem,

--
Aleš Filip
Kutná Hora
http://xanadu.khnet.info

Dne 7.12.2014 17:07, Pavel Troller napsal(a):

[Petr Nachtmann]

Nestačilo by decentně kartu nastřihnout z opačné strany, než je čip, a přerušit tak anténu / cívku?

Bojím se, aby provrtanou kartu nepovažoval prodavač za neplatnou. Nastřižení by si nemusel vůbec všimnout, pokud by bylo provedeno šikovně.

[Petr Rousek]

Zdravím,

také jsem se zapojil do vašich testů. Jako čtečku NFC jsem použil telefon s
aplikací NFC Tools a zkoušel načíst kartu (MasterCard od KB). Kartu se mi
vůbec nepodařilo načíst, tak jsem zkoušel NFC nálepku a také ji nenačetl.
Teprve pak jsem si uvědomil, že pod zadním krytem mám přijímač pro
bezdrátové nabíjení
(http://www.aliexpress.com/item/New-Qi-Wireless-Charger-Charging-Receiver-Ki
t-Deal-For-Samsung-Galaxy-S4-i9500-Wavors/2005061902.html), který bránil
načtení NFC.

Nevím, jak alobal, ale i několik závitů tenkého drátu by pravděpodobně kartu
dokázalo odstínit. Pro jistotu bych takovou "falešnou anténu" zkratoval.

Petr

[Pavel Machek]

Ahoj!

Trochu bych se bal, aby se nastrizena karta nejak nezasekla v
bankomatu...

[Tomáš Koželuh]

Co nastřihnout/naříznout a pak slepit?

> -----Original Message-----
> From: gsm [mailto:gsm-b...@lists.sh.cvut.cz] On Behalf Of Pavel Machek
> Sent: Monday, December 08, 2014 8:14 AM
> To: GSM conference at Silicon Hill
> Subject: Re: OT: Re: Bezkontaktní platební karty jsou opravdu děravé a lze
> ukrást víc než pětistovku bez znalosti PIN
>

[Ales Filip]

Dobrý den,

Já myslím, že to nebude ani potřeba lepit. U mé karty je anténa asi 2mm
od okraje karty. Takže to nastřihnout, a nechat tak. Spíš bych měl
strach, že se ty přestřižené konce antény dotknou, a znovu se spojí.

S pozdravem,

--
Aleš Filip
Kutná Hora
http://xanadu.khnet.info

Dne 8.12.2014 10:22, Tomáš Koželuh napsal(a):

> Co nastřihnout/naříznout a pak slepit?
>
>> -----Original Message-----
>> From: gsm [mailto:gsm-b...@lists.sh.cvut.cz] On Behalf Of Pavel Machek
>> Sent: Monday, December 08, 2014 8:14 AM

>> To: GSM conference at Silicon Hill
>> Subject: Re: OT: Re: Bezkontaktní platební karty jsou opravdu děravé a lze
>> ukrást víc než pětistovku bez znalosti PIN
>>