Re: Zablokowanie dostępu przez www do konta w banku - Grupy dyskusyjne w eGospodarka.pl

eGospodarka.pl › Finanse › Grupy › pl.biznes.banki › Zablokowanie dostępu przez www do konta w banku › Re: Zablokowanie dostępu przez www do konta w banku

From: Piotr Gałka <p...@C...pl>
Newsgroups: pl.biznes.banki
References: <i3p16c$al5$1@inews.gazeta.pl>
<i3qt7i$6cs$2@inews.gazeta.pl><4c6150b8$1@news.home.net.pl>
<i3s8kc$564$1@news.net.icm.edu.pl><4c626847$1@news.home.net.pl>
<i3tu7m$619$1@inews.gazeta.pl>
Subject: Re: Zablokowanie dostępu przez www do konta w banku
Date: Wed, 11 Aug 2010 13:18:21 +0200
Lines: 42
MIME-Version: 1.0
Content-Type: text/plain; format=flowed; charset="utf-8"; reply-type=original
Content-Transfer-Encoding: 8bit
X-Priority: 3
X-MSMail-Priority: Normal
X-Newsreader: Microsoft Outlook Express 6.00.2900.5931
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.5931
NNTP-Posting-Host: 213.192.88.238
Message-ID: <4c62870c$1@news.home.net.pl>
X-Trace: news.home.net.pl 1281525516 213.192.88.238 (11 Aug 2010 13:18:36 +0200)
Organization: home.pl news server
X-Authenticated-User: piotr.galka.micromade
Path: news-archive.icm.edu.pl!news.icm.edu.pl!nf1.ipartners.pl!ipartners.pl!news.home
.net.pl!not-for-mail
Xref: news-archive.icm.edu.pl pl.biznes.banki:533883
[ ukryj nagłówki ]

Użytkownik "xbartx" <b...@h...net> napisał w wiadomości
news:i3tu7m$619$1@inews.gazeta.pl...
> Dnia Wed, 11 Aug 2010 11:07:15 +0200, Piotr Gałka napisał(a):
>
>> Właśnie wspomniany przez mnie brak informacji, czy konto prawidłowe, czy
>> nie, wpłynie na zmniejszenie liczby zablokowanych takim atakiem
>> _istniejących_ kont. Można tak zrobić, że tylko co setny (albo co
>> tysięczny) losowo wybrany login będzie prawdziwym loginem jakiegoś
>> konta. P.G.
>
> Odniosę się tylko do tego, bo nie chce mi się dalej brnąć. Ja jako
> atakujący totalnie w dupie mam czy bank mi coś pokaże czy nie. Mam armię
> komputerów, z których każdy z nich ma jedno zadanie zalogować się 3 razy
> na ten sam login (losowo wybrany z danej puli) i hasło. Koniec kropka.
> Teraz bardziej jasne? Nie chce się nigdzie zalogować, nic uzyskać, chcę
> przy pomocy botnetu zablokować jak największą ilość kont klientów danego
> banku co może pociągnąć na sobą konkretne skutki.
>
To jest jasne cały czas.
Na moje wyczucie system akceptujący do 10 000 logowań na minutę będzie (w
normalnym użytkowaniu) postrzegany przez klientów jako chodzący sprawnie.
Jeśli moje oszacowanie jest prawidłowe to nie ma powodu, aby system banku
udostępniał na zewnątrz (niezależnie od ilości atakujących go komputerów)
większej przepustowości (upraszczam tylko do samych logowań). Przy moich
założeniach (blokowanie konta tylko na minutę) wykorzystując całe to pasmo
można wykonać w ciągu minuty 10 000 prób logowań blokując w ten sposób 3 333
loginów. Jeśli tylko co tysięczny byłby prawdziwy to oznaczało by
praktycznie zablokowanie na stałe zaledwie 3 kont. Gdyby natomiast dało się
sprawdzić które loginy odpowiadają konkretnym kontom dało by się zablokować
na stałe 3 333 konta.
Ta różnica jest powodem dla którego napisałem: "dużej liczby loginów, z
których większość i tak byłaby nieprawidłowa bo nie byłoby jak sprawdzić,
które prawidłowe."
Sądzę, że w tej wypowiedzi jasno widać, że chodzi o prawidłowe loginy, a nie
o prawidłowe logowania.

Jeśli założyć, że ktoś potrafi przejąć całe pasmo udostępnione przez system
to kwestia ile kont zablokuje przestaje mieć znaczenie bo i tak nikt się nie
zaloguje;-).
P.G.