Pull to refresh

Comments 20

Один из лучших ИБ-ресерчей за последнее время.

Отличная статья!

жду продолжения :)

И это мы еще не упоминали атаки на генераторы псевдослучайных чисел, Padding Oracle, и множество других веселых штук, которые заслуживают отдельной статьи.

напишите про это по подробнее, пожалуйста

Электронные системы расчетов существуют в интернете уже давно, а баги на них встречаются...
И еще как встречаются. Только что отвалился Тинькоф. Не работают платежи, из приложений пропадают карты и тд тп.

Не совсем в тему статьи, сорри — просто лень писать новость :)

Здравствуйте. Простите нас, что так вышло. Сейчас у части клиентов есть проблемы с приложением, но мы уже вылетели все чинить. Совсем скоро все заработает.

 

Оказывается у Тиньковбанка есть тут блог?..

Я где бы их не упомянул, везде ответят, думаю у них мощный мониторинг сетевого пространства :)

Тинькофф, переведи мне 50 рублей с черной карты на мобильный!

Не просто плюс, а к самой жирной пятерке. Буду использовать материал в курсе по хранилищной тематике в нашем учебном центре. Вопрос защиты транзакции, ее проверки, ввода на баланс, конверсии типа данных, создание атак на банк через кросс-курс - описан преотлично! А вопрос счетчиков на 32 и 64 бита до сих пор актуален. Хоть на собес выноси.

Можете еще чем-нибудь дополнять)

На самом деле самая большая проблема - это что вот все работает со всеми этим посредниками и просто заплатить сайту 0.2 копейки, не вовлекая в процесс никого постороннего (прямо в процесс, а не до или после) - либо невозможно, либо не имеет смысла из за накладных расходов.

Хочу платежи электронной наличностью на манер GNU Taller, когда покупатель и продавец просто "монетками" обмениваются, а банки уже потом участвуют.

ОпенБанкинг как бы должен эти вопросы в Европе решить.

Посмотрел-почитал. Мне кажется, не совсем. Микроплатеж на 0.2 копейки останется все так же экономически не осмысленным - комиссии банков все съедят. Потому что нельзя накопить тысячу таких платежей (как с наличностью делают) и уже с ними идти в банк.

2 года до спецоперации пользовался Юмани (Яндекс Деньги). Проблем не было. В текущем году начались проблемы. Удаляешь, устанавливаешь новый .apk - файл, каждый раз другого размера и опять после нескольких оплат сбой.

Mir Pay - аналогичная фигня. При удалении удаляется история, после установки какое - то время работает. Не показывает наличие денег в кошельке, нужно смотреть в онлайн СберБанка. После посещения онлайн СберБанка нужно опять удалять и устанавливать кошелек Mir Pay, иначе не работает.

Ну кстати, проблемы в ней до сих пор актуальны)

это не статья а диссертация целая...

А мне мот интересно, сможет ли кто-нибудь ответить. Может ли директор или хозяин банка, взять вытащить деньги из банкомата и снова их туда засунуть и так несколько раз по кругу, увеличивая сумму на каком-нибудь счёте? Что защищает систему от таких действий?

По идее, инкассация банкомата покажет на несоответствие количества денег в банкомате (внесли n денег по логам, а фактическая сумма меньше).

вы не поняли, сам хозяин банка главный главарь, отдаст распоряжение, несите сюда банкомат, и сам будет прокручивать эти деньги, как система от этого защищена?

А зачем ему заморачиваться с банкоматом? Ему достаточно в условной базе данных, изменить значение отвечающее за сумму нужного счета.
Первый банковский взлом в чем заключался: сотрудник банка настроил расчет процентов по вкладам таким образом, что отбрасываемая после округления часть долей "центов/копеек/пфенингов...", зачислялась на его счет.
Весь вопрос: "зачем директору банка брать на себя обязательство выплатить эти деньги", он как раз заинтересован в обратной процедуре: "уменьшать сумму счета", чтобы уменьшить размер обязательств перед вкладчиками.

Only those users with full accounts are able to leave comments. Log in, please.

Articles