https://archive.mroczna-zaloga.org/ Paweł Goleń, blog - Zrzędzenie starego zgreda pl Serendipity - http://www.s9y.org/ Sat, 15 Mar 2025 22:14:38 GMT https://archive.mroczna-zaloga.org/templates/bulletproof/img/s9y_banner_small.png https://archive.mroczna-zaloga.org/ 100 21 https://archive.mroczna-zaloga.org/archives/821-co-identyfikuje-rachunek-czyli-ile-cyfr-niewystarczy.html#c30407 https://archive.mroczna-zaloga.org/archives/821-co-identyfikuje-rachunek-czyli-ile-cyfr-niewystarczy.html#comments https://archive.mroczna-zaloga.org/wfwcomment.php?cid=821 nospam@example.com (Maciek) Siema, tu znalazlem fajny generator: http://generatory.it/ Thu, 25 Feb 2016 12:19:10 +0100 https://archive.mroczna-zaloga.org/archives/821-guid.html#c30407 https://archive.mroczna-zaloga.org/archives/821-co-identyfikuje-rachunek-czyli-ile-cyfr-niewystarczy.html#c2254 https://archive.mroczna-zaloga.org/archives/821-co-identyfikuje-rachunek-czyli-ile-cyfr-niewystarczy.html#comments https://archive.mroczna-zaloga.org/wfwcomment.php?cid=821 nospam@example.com (Marcin Gryszkalis) Moim zdaniem 99% w ogóle nie sprawdza w SMSach numerów kont, natomiast mniej niż połowa sprawdza kwotę (czy się czasem nie pomylili i nie przelwają za dużo). Wcale bym się nie zdziwił jeśli cała masa ludzi zignorowałaby błąd certyfikatu (jeśli tylko by wiedziała co kliknąć aby go ominąć). Mon, 01 Mar 2010 23:42:22 +0100 https://archive.mroczna-zaloga.org/archives/821-guid.html#c2254 https://archive.mroczna-zaloga.org/archives/821-co-identyfikuje-rachunek-czyli-ile-cyfr-niewystarczy.html#c2246 https://archive.mroczna-zaloga.org/archives/821-co-identyfikuje-rachunek-czyli-ile-cyfr-niewystarczy.html#comments https://archive.mroczna-zaloga.org/wfwcomment.php?cid=821 nospam@example.com (Paweł Goleń) Generuje w tym sensie, że przynajmniej w części ofert wiąże się konkretny "identyfikator" z klientem po to, by otrzymać później bezpośrednio z systemu raport płatności. Tak, jednostki zajmujące się płatnościami masowymi są wydzielone i druga część numeru rozliczeniowego (ostatnie cztery cyfry) jest inna, można to zweryfikować w wykazie dostępnym na stronie NBP. Zagadka jest prosta - ryzyko "kolizji" maleje wraz ze wzrostem ilości cyfr z numeru rachunku, które użytkownik powinien sprawdzić. Tylko im więcej cyfr ma sprawdzić, tym przeciętny użytkownik jest mniej skłonny do współpracy (czyli - nie sprawdza). Ciekawy jestem jaka jest wartość maksymalna ilości cyfr, po której przekroczeniu ilość użytkowników rzeczywiście uważnie sprawdzających zgodność dwóch numerów zaczyna gwałtownie spadać. Drugie pytanie to też coś, co mnie ciekawi. Z moich obserwacji wynika, że ludzie otrzymane np. SMS dane transakcji sprawdzają z numerem wyświetlonym na stronie, a nie tym numerem, który wpisywali do systemu. Zastanawiam się, czy wynika to z "próbki", na której prowadziłem obserwacje, czy rzeczywiście tak robi znacząca część (większość?) użytkowników. Powyższe pytania są istotne, bo trzeba zwrócić uwagę, że atak przy pomocy malware zwykle jest atakiem masowym. Nie musi być idealnie dopracowany, ważne, by się opłacał, czyli by istniała wystarczająca liczba użytkowników, którzy dadzą się złapać. W tym kontekście po co kombinować z "kolizjami", jeśli np. 65% użytkowników nie sprawdza danych transakcji, lub robi to patrząc na dane wyświetlone na stronie, które są potencjalnie kontrolowane przez malware? Fri, 26 Feb 2010 07:31:58 +0100 https://archive.mroczna-zaloga.org/archives/821-guid.html#c2246 https://archive.mroczna-zaloga.org/archives/821-co-identyfikuje-rachunek-czyli-ile-cyfr-niewystarczy.html#c2245 https://archive.mroczna-zaloga.org/archives/821-co-identyfikuje-rachunek-czyli-ile-cyfr-niewystarczy.html#comments https://archive.mroczna-zaloga.org/wfwcomment.php?cid=821 nospam@example.com (Marcin Gryszkalis) Warto zauważyć, że w przypadku płatności masowych kont "wirtualnych" się w praktyce nie generuje - one wszystkie po prostu istnieją. Czyli przelew na dowolne konto o odpowiednim przedrostku zostanie zaakceptowany (a pieniądze trafiają na powiązany rachunek "rzeczywisty"). W opisanym scenariuszu ataku ma to o tyle znaczenie, że nie musimy sobie rezerwować czasu na stworzenie konta wirtualnego o konfliktowym numerze. Druga informacja to taka, że jednostki zajmujące się płatnościami masowymi są zazwyczaj wydzielone i mają inną drugą połowę numeru rozliczeniowego. Co do zagadki - to nie rozumiem pytania :) A rozumiem, że pytania dodatkowe są retoryczne ;) Fri, 26 Feb 2010 01:36:16 +0100 https://archive.mroczna-zaloga.org/archives/821-guid.html#c2245 https://archive.mroczna-zaloga.org/archives/821-co-identyfikuje-rachunek-czyli-ile-cyfr-niewystarczy.html#c2241 https://archive.mroczna-zaloga.org/archives/821-co-identyfikuje-rachunek-czyli-ile-cyfr-niewystarczy.html#comments https://archive.mroczna-zaloga.org/wfwcomment.php?cid=821 nospam@example.com (Paweł Goleń) A możesz rozwinąć temat? Bo Matematyka, królowa nauk, wraz ze swą Strażą Przyboczną pod dowództwem Kombinatoryki, mówi NIE. Gdyby WSZYSTKIE banki w Polsce chciały zagwarantować unikalność ostatnich czterech cyfr numeru rachunku, to byłaby możliwość założenia tylko 10000 rachunków. Gdyby "globalnie unikalne" miały być cztery ostatnie cyfry i liczby kontrolne, wówczas liczba ta wzrosłaby do 1 000 000 (w rzeczywistości mniej, ale to nieistotne). Można do tego jeszcze dodać numery rozliczeniowe banków (nie wszystkie możliwe, tylko te "używane"), ale dalej liczba możliwości nie powala... Chwila z googlem i znalazłem inne konto, które z moim kontem ma "kolizję" w przypadku XX XXXX..XXXX. Thu, 25 Feb 2010 07:34:19 +0100 https://archive.mroczna-zaloga.org/archives/821-guid.html#c2241 https://archive.mroczna-zaloga.org/archives/821-co-identyfikuje-rachunek-czyli-ile-cyfr-niewystarczy.html#c2240 https://archive.mroczna-zaloga.org/archives/821-co-identyfikuje-rachunek-czyli-ile-cyfr-niewystarczy.html#comments https://archive.mroczna-zaloga.org/wfwcomment.php?cid=821 nospam@example.com (Koziołek) No nie do końca. Banki co do zasady dbają by nie występowały kolizje tego typu. Zatem w znakomitej większości przypadków przelew zostanie odrzucony w systemie transakcyjnym przy następnej sesji po sesji na którą wszedł przelew (komunikat zwrotny - brak rachunku). Wed, 24 Feb 2010 22:56:29 +0100 https://archive.mroczna-zaloga.org/archives/821-guid.html#c2240