W zasadzie nie zajmuję się kwestią bezpieczeństwa na tym blogu, jednak znaleziony artykuł wydał mi się tak ubogi, że postanowiłem dowiedzieć się czegoś więcej na ten temat.

Po przeczytaniu artykułu na ten temat w webinside jestem w kropce – czy napisał go ktoś, kto zadał sobie trud przeczytania źródła (pdf), które przytacza?

W tym artykule niestety nie ma nic ciekawego chyba, że jego celem jest fakt wywołania sensacji, czy czegoś w tym stylu. Dlatego przejrzałem pobieżnie ten artykuł i podstawowe wnioski są następujące:

Atak nie może być przeprowadzony podczas tzw. autoryzacji online
To znaczy, że atakujący nie wybierze Twoich pieniędzy w bankomacie. A to dlatego, że w tym rodzaju autoryzacji pin jest przesyłany do banku, tam weryfikowany, a z banku wraca odpowiedź “ok/nie ok” (opis w dużym uproszczeniu).

Atakujący potrzebuje współpracy sprzedawcy (z pewnym wyjątkiem)
Ten wyjątek, to znalezienie takiego punktu sprzedaży, gdzie sprzedawca nie dotyka karty klienta, a prosi o jej włożenie do terminala (w Krakowie spotkałem się z takim podejściem tylko na jednej stacji benzynowej). Dlaczego to jest potrzebne do ataku? Dlatego, że pomiędzy skradzioną kartą a terminalem musi zmieścić się sprzęt, który przechwyci komunikację karta<->terminal:

Nawet jeśli tym urządzeniem ma być na przykład smartfon – gdzieś tam musi się pałętać kabelek, który musi zostać zauważony (w miejscach, gdzie klienci sami wkładają karty do terminali można te elementy ukryć na przykład w rękawie).

Karty z chipem były odpowiedzią na skimming – kopiowanie pasków magnetycznych. W wypadku skimmingu złoczyńca musiał jednocześnie skopiować pasek karty i poznać pin. Tutaj wystarczy zdobyć kartę. Możliwe jest przygotowanie zestawu, który umożliwia użycie karty zaraz po jej zdobyciu. Jednak jest jeden plus tej sytuacji – musisz fizycznie stracić tą kartę. Oczywiście jeśli ktoś Ci ją zwędzi w galerii, to zrobi zakupy na kilka tysięcy złotych. Jednak jeśli Ty też jesteś akurat na zakupach – w kolejnym sklepie możesz zauważyć jej brak (i ją zablokować).

Ale wydaje mi się, że odbiegam od tematu. Chciałem nieco uzupełnić mocno wybrakowany artykuł (wystarczyło 15 minut pomęczyć się z moim średnim angielskim nad oryginalnym artykułem. Chciałem też wiedzieć, czy sytuacja jest tragiczna, czy nie. No i moim zdaniem nie wygląda to beznadziejnie ;) Zatem pilnujcie swoich kart – zwykłe posiadanie głowy na karku powinno was ustrzec przed nowym rodzajem ataku.

I was moved by Seth Godin’s note.
Not more than a year ago I was having at least one private project in progress. Most of them finished after first enthusiasm about creating new things. But for the first couple of weeks it was something that released some extra energy, and there was always something new to learn.

So, I was closing master degree and decided not to distract myself. And now, about three months after defence of my diploma I still have no extra project running because I was so good at “not to distract myself”. I should change it though.

It is possible those “quick not ever finished” projects are the same for programmer, what sketches are for a painter, and essays for writer – sharpening the saw.

Po przeczytaniu notki Setha Godina jakoś mnie tknęło.
Nie dalej jak rok temu miałem zawsze na tapecie jakiś projekt. Większość kończyła się wraz z początkowym zapałem tworzenia czegoś nowego. Jednak zawsze przez pierwsze kilka tygodni to było coś, co wyzwalało dodatkową energię. Przy tych okazjach prawie zawsze pojawiało się coś nowego do nauczenia.

Jednak niedawno zamykałem sprawę “mgr” i postanowiłem się takimi rzeczami nie rozpraszać. No i jakoś to nierozpraszanie poszło mi tak dobrze, że teraz, trzy miesiące po obronie nie robię nic “na boku”. Jednak myślę, że warto to zmienić.

Możliwe, że takie słomiane projekty są dla programisty tym, czym szkice dla malarza i eseje dla pisarza – ostrzeniem piły.