Jak jednoduše způsobit kolaps e-bankingu
10. 9. 2007 9:13
Petr Krčmář
Na známém českém blogu La Trine vyšly dva články, zabývající se možností hromadného „DoS útoku“ na internetové bankovnictví České spořitelny. Autor vychází z toho, že se přihlašovací systém automaticky zablokuje, pokud uživatel zadá třikrát nesprávné heslo. Klientská čísla přitom lze velmi jednoduše vydedukovat. Ve druhém článku je pak naznačen praktický postup. „Tohle není návod. Tohle je analýza bezpečnostní vady webové aplikace, na kterou byla banka upozorněna již 3. ledna 2005.“
bububu ! (neregistrovaný)
10. 9. 2007 12:41
Nový
Třesky plesky
celé vlákno
Ono to nebude ani zdaleka tak žhavé...
uživatel si přál zůstat v anonymitě
10. 9. 2007 13:28
Nový
Re: Třesky plesky
celé vlákno
Moznost zablokovat cizi ucet kdyz znam jeho uzivatelske jmeno je snadna a banky nejsou jediny kdo timhle trpi, nicmene pokud jsou ucty v nejake neprilis derave sekvenci nebo jinak uhodnutelne, tak je to pak obzvlaste jednoduche.
hisaak (neregistrovaný)
10. 9. 2007 21:33
Nový
Jednou
celé vlákno
bych chtel potkat to pako, ktere je blbe jak necky a pritom vymysli pro banky tahle "reseni".
Sancho (neregistrovaný)
11. 9. 2007 11:27
Nový
Re: Jednou
celé vlákno
Tak sa s nami podel o svoj nazor, ako by si chranil ucet so statickym heslom proti pokusom o obycajny utok systemom pokus/omyl?
Pokial viem, tak to pouziva takmer kazdy system.
Dokonca aj SafeWrod karta na autorizaciu sa zablokuje, ak 3 krat zle zadam pin.
Osobne som celkom rad, ze ma banka takto chrani. Aj ked to moze sposobit neprijemnosti co sa tyka prihlasenia, radsej nech mam ucet ja pol dna nedostupny, ako keby k nemu mal na 10 sekund pristup niekto iny...
Pokial viem, tak to pouziva takmer kazdy system.
Dokonca aj SafeWrod karta na autorizaciu sa zablokuje, ak 3 krat zle zadam pin.
Osobne som celkom rad, ze ma banka takto chrani. Aj ked to moze sposobit neprijemnosti co sa tyka prihlasenia, radsej nech mam ucet ja pol dna nedostupny, ako keby k nemu mal na 10 sekund pristup niekto iny...
vorner (neregistrovaný)
11. 9. 2007 12:32
Nový
Re: Jednou
celé vlákno
Hm, a nebude problém v tom, že to takto lze zablokovat ne jednomu člověku, ale úplně všem a to v docela krátké době? Třeba by to mohlo po 3 špatně zadaných heslech na půl dne zablokovat tu jednu IP ze které to přišlo a nedat tomu možnost zablokovat další účet. Ale to už je moc práce pro banku, to dělají jen šílenci, co mají mašinu s ssh přístupem na půdě a nikdo nezná jejich uživatelský jména...
Sancho (neregistrovaný)
24. 9. 2007 11:14
Nový
Re: Jednou
celé vlákno
Nechapem poznamku s SSH a moc prace.
To to mam chapat tak, ze si niekto vynasiel skvely system na blokovanie IP adries pri neplatnych pokusoch o prihlasenie a mysli si, aka je to novinka?
Uz sa tesim, az sa raz seknete pri prihlasovani z GPRS spojenia - slovensky T-mobile pouziva na vsetkych svojich GPRS/UMTS klientov 8 (slovom osem) IP adries (s vynimkou tej hrstky ludi, ktori si zaplatili verejnu - ale len dynamicku - IP adresu).
Takymto krokom totiz odstavite od moznosti prihlasit sa pomerne vela klientov.
To to mam chapat tak, ze si niekto vynasiel skvely system na blokovanie IP adries pri neplatnych pokusoch o prihlasenie a mysli si, aka je to novinka?
Uz sa tesim, az sa raz seknete pri prihlasovani z GPRS spojenia - slovensky T-mobile pouziva na vsetkych svojich GPRS/UMTS klientov 8 (slovom osem) IP adries (s vynimkou tej hrstky ludi, ktori si zaplatili verejnu - ale len dynamicku - IP adresu).
Takymto krokom totiz odstavite od moznosti prihlasit sa pomerne vela klientov.
