Re: Zablokowanie dostępu przez www do konta w banku - Grupy dyskusyjne w eGospodarka.pl

eGospodarka.pl › Finanse › Grupy › pl.biznes.banki › Zablokowanie dostępu przez www do konta w banku › Re: Zablokowanie dostępu przez www do konta w banku

Data: 2010-08-11 11:18:21
Temat: Re: Zablokowanie dostępu przez www do konta w banku
Od: Piotr Gałka <p...@C...pl> szukaj wiadomości tego autora
[ pokaż wszystkie nagłówki ]

Użytkownik "xbartx" <b...@h...net> napisał w wiadomości
news:i3tu7m$619$1@inews.gazeta.pl...
> Dnia Wed, 11 Aug 2010 11:07:15 +0200, Piotr Gałka napisał(a):
>
>> Właśnie wspomniany przez mnie brak informacji, czy konto prawidłowe, czy
>> nie, wpłynie na zmniejszenie liczby zablokowanych takim atakiem
>> _istniejących_ kont. Można tak zrobić, że tylko co setny (albo co
>> tysięczny) losowo wybrany login będzie prawdziwym loginem jakiegoś
>> konta. P.G.
>
> Odniosę się tylko do tego, bo nie chce mi się dalej brnąć. Ja jako
> atakujący totalnie w dupie mam czy bank mi coś pokaże czy nie. Mam armię
> komputerów, z których każdy z nich ma jedno zadanie zalogować się 3 razy
> na ten sam login (losowo wybrany z danej puli) i hasło. Koniec kropka.
> Teraz bardziej jasne? Nie chce się nigdzie zalogować, nic uzyskać, chcę
> przy pomocy botnetu zablokować jak największą ilość kont klientów danego
> banku co może pociągnąć na sobą konkretne skutki.
>
To jest jasne cały czas.
Na moje wyczucie system akceptujący do 10 000 logowań na minutę będzie (w
normalnym użytkowaniu) postrzegany przez klientów jako chodzący sprawnie.
Jeśli moje oszacowanie jest prawidłowe to nie ma powodu, aby system banku
udostępniał na zewnątrz (niezależnie od ilości atakujących go komputerów)
większej przepustowości (upraszczam tylko do samych logowań). Przy moich
założeniach (blokowanie konta tylko na minutę) wykorzystując całe to pasmo
można wykonać w ciągu minuty 10 000 prób logowań blokując w ten sposób 3 333
loginów. Jeśli tylko co tysięczny byłby prawdziwy to oznaczało by
praktycznie zablokowanie na stałe zaledwie 3 kont. Gdyby natomiast dało się
sprawdzić które loginy odpowiadają konkretnym kontom dało by się zablokować
na stałe 3 333 konta.
Ta różnica jest powodem dla którego napisałem: "dużej liczby loginów, z
których większość i tak byłaby nieprawidłowa bo nie byłoby jak sprawdzić,
które prawidłowe."
Sądzę, że w tej wypowiedzi jasno widać, że chodzi o prawidłowe loginy, a nie
o prawidłowe logowania.

Jeśli założyć, że ktoś potrafi przejąć całe pasmo udostępnione przez system
to kwestia ile kont zablokuje przestaje mieć znaczenie bo i tak nikt się nie
zaloguje;-).
P.G.