Комментарии 20
Один из лучших ИБ-ресерчей за последнее время.
Отличная статья!
жду продолжения :)
И это мы еще не упоминали атаки на генераторы псевдослучайных чисел, Padding Oracle, и множество других веселых штук, которые заслуживают отдельной статьи.
напишите про это по подробнее, пожалуйста
Электронные системы расчетов существуют в интернете уже давно, а баги на них встречаются...И еще как встречаются. Только что отвалился Тинькоф. Не работают платежи, из приложений пропадают карты и тд тп.
Не совсем в тему статьи, сорри — просто лень писать новость :)
Не просто плюс, а к самой жирной пятерке. Буду использовать материал в курсе по хранилищной тематике в нашем учебном центре. Вопрос защиты транзакции, ее проверки, ввода на баланс, конверсии типа данных, создание атак на банк через кросс-курс - описан преотлично! А вопрос счетчиков на 32 и 64 бита до сих пор актуален. Хоть на собес выноси.
На самом деле самая большая проблема - это что вот все работает со всеми этим посредниками и просто заплатить сайту 0.2 копейки, не вовлекая в процесс никого постороннего (прямо в процесс, а не до или после) - либо невозможно, либо не имеет смысла из за накладных расходов.
Хочу платежи электронной наличностью на манер GNU Taller, когда покупатель и продавец просто "монетками" обмениваются, а банки уже потом участвуют.
2 года до спецоперации пользовался Юмани (Яндекс Деньги). Проблем не было. В текущем году начались проблемы. Удаляешь, устанавливаешь новый .apk - файл, каждый раз другого размера и опять после нескольких оплат сбой.
Mir Pay - аналогичная фигня. При удалении удаляется история, после установки какое - то время работает. Не показывает наличие денег в кошельке, нужно смотреть в онлайн СберБанка. После посещения онлайн СберБанка нужно опять удалять и устанавливать кошелек Mir Pay, иначе не работает.
Я в 2014м небольшую статейку написал на этот счёт. Будет как дополнение к этой: https://habr.com/ru/post/227021/
это не статья а диссертация целая...
А мне мот интересно, сможет ли кто-нибудь ответить. Может ли директор или хозяин банка, взять вытащить деньги из банкомата и снова их туда засунуть и так несколько раз по кругу, увеличивая сумму на каком-нибудь счёте? Что защищает систему от таких действий?
вы не поняли, сам хозяин банка главный главарь, отдаст распоряжение, несите сюда банкомат, и сам будет прокручивать эти деньги, как система от этого защищена?
А зачем ему заморачиваться с банкоматом? Ему достаточно в условной базе данных, изменить значение отвечающее за сумму нужного счета.
Первый банковский взлом в чем заключался: сотрудник банка настроил расчет процентов по вкладам таким образом, что отбрасываемая после округления часть долей "центов/копеек/пфенингов...", зачислялась на его счет.
Весь вопрос: "зачем директору банка брать на себя обязательство выплатить эти деньги", он как раз заинтересован в обратной процедуре: "уменьшать сумму счета", чтобы уменьшить размер обязательств перед вкладчиками.
20 лет проблем приема платежей