RSS

Paweł Goleń, blog

Zrzędzenie starego zgreda

Thursday, November 24. 2011

Jabłka, gruszki, pierścionek i potwierdzenie przelewu

Na początek kontekst. Tym razem będzie to jeden z poprzednich wpis Jest "dziura". I co z tego? (wraz z komentarzami, szczególnie tym, tym i tym) oraz historia pewnego przekrętu: Ukradł pierścionek wystawiony na Allegro.

W cytowanym wpisie postawiłem następujące pytanie:

(...) w jakim przypadku opisany sposób uzyskania potwierdzenia przelewu, który w rzeczywistości nie został wykonany, jednak ma (większy) sens?

Odpowiedź pojawiła się w komentarzach do wpisu. A w oderwaniu od szczegółów można ją sprowadzić do stwierdzenia, że pozyskanie potwierdzenia przelewu z banku przed wykonaniem tego przelewu ma sens wówczas, gdy atakujący nie może go (dokładnie) sfałszować. W komentarzach pojawił się wątek podpisu cyfrowego i jest to właśnie ten przykład, który miałem na myśli.

Potwierdzenie przelewu, w ogólnym przypadku, jest kawałkiem papieru (lub jego cyfrowym odpowiednikiem, na przykład plikiem PDF), który zawiera informację, że określona suma pieniędzy została przekazana z jednego konta na drugie. Problem w tym, że informacja ta nie jest w żadnym stopniu uwierzytelniona. Warto zwrócić uwagę na informację, która znajduje się zwykle na dole takiego potwierdzenia, tę o elektronicznie wygenerowanym potwierdzeniu, które nie wymaga podpisu ani stempla.

Taki dokument jest potwierdzeniem przelewu, ponieważ jego "dostawca" (osoba, która go przedstawia, wykonawca przelewu) twierdzi, że jest to potwierdzenie przelewu, a odbiorca w to wierzy. Odbiorca wierzy, że jest to potwierdzenie przelewu, bo przedstawiony dokument wygląda jak potwierdzenie przelewu i osoba, która go dostarcza twierdzi, że jest to potwierdzenie przelewu. W tym przypadku nie ma żadnej zaufanej strony trzeciej, która potwierdzi, że rzeczywiście jest to potwierdzenie przelewu.

Czy system bankowy jest niezbędny do tego, by przygotować dokument, który będzie wyglądał jak potwierdzenie przelewu? Oczywiście, że nie. Wystarczy wiedzieć jak powinno wyglądać potwierdzenie przelewu pochodzące z określonego banku. Sytuacja zmienia się w przypadku dokumentu opatrzonego podpisem cyfrowym. Według aktualnego stanu wiedzy sfałszowanie takiego podpisu jest co najmniej trudne.

Dokument opatrzony podpisem cyfrowym pozwala między innymi na potwierdzenie:

  • źródła pochodzenia dokumentu (przynajmniej faktu, kto go podpisał),
  • jego integralności (dokument nie został zmodyfikowany po podpisaniu),

Można przypuszczać, że potwierdzenie w takiej formie będzie bardziej wiarygodne. Przynajmniej dla tych odbiorców, którym pojęcie podpisu elektronicznego obiło się o uszy. Ale to wcale nie znaczy, że automatycznie potwierdzenia przelewu w innych formach stracą swoją "wiarygodność".

Teraz pora na historię opisaną we wspominanym artykule, tę o ukradzionym pierścionku. W uproszczeniu historia wyglądała w sposób następujący:

  • na aukcję wystawiony jest pierścionek,
  • pojawia się chętny do jego zakupu,
  • sprzedający i kupujący spotykają się w celu obejrzenia pierścionka,
  • kupujący w towarzystwie sprzedającego dokonuje przelewu,
  • sprzedający przekazuje kupującemu pierścionek
  • kupujący na prośbę sprzedającego drukuje "potwierdzenie przelewu",
  • (...)
  • pieniądze nie wpływają na konto sprzedającego, bo kupujący anulował przelew,

A teraz dość interesujący fragment artykułu:

Na wydruku, który otrzymała kobieta, widniała jedynie "transakcja oczekująca", jednak pieniądze nie zostały przelane (...)

Szczerze mówiąc zastanawiam się co konkretnie otrzymała sprzedająca. Część banków rzeczywiście pozwala na wydrukowanie potwierdzenia operacji znajdującej się w dowolnym stanie, przy czym na drukowanym potwierdzeniu znajduje się wówczas informacja o tym statusie. W tym przypadku był to status transakcja oczekująca (mógł to być również na przykład wydruk listy transakcji oczekujących). Istotne jest to, że kupująca dysponując autentycznym (w sensie - nie przygotowanym "poza" systemem, lub uzyskanym z wykorzystaniem jakiejś podatności) dokumentem i tak nie miała pewności, że pieniądze trafiły/trafią na jej konto. Być może nawet nie była świadoma tego, że przelew można anulować, lub myślała, że nie jest to możliwe w przypadku przelewu zleconego w "ziemskim" oddziale banku.

W tej chwili można zacząć mówić o pewnym protokole związanym z operacją sprzedaży/zakupu. Występują w nim dwie strony, kupujący i sprzedający. Kupujący przekazuje sprzedającemu pieniądze, sprzedający przekazuje kupującemu zakupioną rzecz. Proste? Teoretycznie tak, ale wiele rzeczy może pójść nie tak. Na przykład kupujący w sklepie w chwili, gdy przychodzi do płacenia za zakupy może po prostu wybiec z nimi ze sklepu. Z drugiej strony sprzedający może otrzymać pieniądze, ale nie wydać towaru. Może być też tak, że towar okaże się niezgodny z umową (mądrość ludowa: kupowanie kota w worku), albo pieniądze - fałszywe. (...) Zawsze znajdzie się ktoś, kto zechce dostać towar nie płacąc za niego, lub chętnie przyjmie wpłatę za sprzedawany przedmiot, ale najchętniej nie przekaże go sprzedającemu. Zagwarantowanie, że proces wymiany pieniądze/towar dojdzie do skutku zgodnie z oczekiwaniami wcale nie jest trywialnym zadaniem.

Przeprowadźmy mały myślowy eksperyment. Niech będzie sobie Jaś i Małgosia, dwójka skrajnie nieufających sobie dzieci. Jaś dostał jabłko, a Małgosia gruszkę. Tak się składa, że Jaś woli gruszki, Małgosia natomiast preferuje jabłka, więc dość naturalnym pomysłem jest zamienienie się jabłkiem/gruszką. Problem w tym, że choć Jaś woli gruszki, to jabłkiem też nie pogardzi. Tak samo jest w przypadku Małgosi, ale z preferencją przesuniętą w kierunku jabłek, a przecież lepiej jest mieć i jabłko, i gruszkę, niż jabłko XOR gruszkę, prawda? Jak Jaś z Małgosią mogą zamienić się owocami, tak by mieć (wystarczającą) pewność, że do zamiany rzeczywiście dojdzie?

W pierwszym wariancie może być tak, że podają sobie owoce jednocześnie. Teoretycznie może to zadziałać, ale przecież zawsze jedno z nich może wyrwać owoc z ręki drugiego, przy okazji nie oddając mu swojego owocu. Mogą więc przyjąć inny wariant. Stają w odległości 10 metrów od siebie. Kładą w widocznym miejscu swój owoc, a następnie powoli i jednocześnie idą po ten drugi. Może to zadziałać, chyba, że jedno z dzieci jest wyjątkowo szybkie i zdąży dobiec po drugi owoc, a następnie jeszcze wrócić po swój. Jeszcze innym rozwiązaniem jest skorzystanie z zaufanej strony trzeciej - dzieci poproszą o pomoc Krzysia, u którego najpierw każde z nich zdeponuje swój owoc, a następnie odbierze od niego ten drugi.

Pomysłów tego typu można jeszcze trochę mnożyć. Można też po prostu spróbować zamienić się "normalnie" owocami, a jak Jaś/Małgosia zrobi przekręt, iść na skargę. W końcu to jest konkretny Jaś/Małgosia, będący zupełnie przypadkowo rodzeństwem. I właśnie to zrobiła poszkodowana w opisywanym przekręcie. Poszła na Policję, której udało się odnaleźć nieuczciwego kupującego. Było to o tyle łatwiejsze, że jego dane były dość dokładnie znane (lub możliwe do łatwego ustalenia). Przy okazji, tak mi się luźno skojarzyło: Włamywacz kretyn.

Podsumowując - wymiana pieniędzy na towar jest pewnego rodzaju protokołem. Zwykle działa on prawidłowo, to znaczy kupujący płaci, sprzedający wydaje towar, ale czasami coś idzie nie tak. Można próbować protokół "załatać" (np. ESCROW jest próbą wprowadzenia strony trzeciej), ale w pewnej chwili całość może stać się zbyt skomplikowana/niewygodna, by z niej korzystać. Ponieważ doskonałych rozwiązań nie ma, trzeba liczyć się z tym, że protokół czasem zawiedzie. Dobrze, by wówczas był jeszcze jakiś fallback.

Z cyklu inne ciekawe fraudy coś o nabiciu w kopertę (i wspominany artykuł: Nabici w kopertę, czyli jak ukraść milion).

A na koniec dygresja. Ostatnio czytałem książkę The Devil's Alterative. W przedstawionej historii też pojawia się problem tego, w jaki sposób zagwarantować, że obie strony zrobią to, do czego się zobowiązały. W tym wypadku w roli stron wystąpili terroryści oraz rządy kilku państw. Podobne problemy pojawiają się przy przekazywaniu okupu czy też płaceniu szantażyście. W tych przypadkach jest o tyle "prościej", że brak zaufania jest stanem "normalnym" (raczej nie ufamy porywaczom/szantażystom). Co do zasady jesteśmy jednak jako ludzie ufni. W większości przypadków takie podejście się sprawdza, ale zawsze istniały, istnieją i będą istniały jednostki, które to "domyślne" zaufanie będą chciały nadużyć.

Ślady
Brak Śladów
Komentarze
Brak komentarzy
Dodaj komentarz
Zamknięcie tekstu w znakach gwiazdki spowoduje jego wytłuszczenie (*tekst*), podkreślenia są tworzone przez zastosowanie _tekst_.
Standardowe emotikony jak :-) lub ;-) będą zmieniane na ich graficzną wersję.
Adresy e-mail nie będą pokazywane i będą używane tylko do celów wysyłania powiadomień drogą e-mailową
 
 

UWAGA: uprzedzam, że wszelki spam komentarzowy będzie cięty bez litości.

 

RSS dla komentarzy: ten artykuł | wszystkie komentarze

Najnowsze wpisy

Jak powstaje elektrozłom
Sunday, 21 July 2024
Cluster
Monday, 15 July 2024
Sponsorem przebudowy placu zabaw jest...
Sunday, 30 June 2024
Po lewej stronie drogi
Sunday, 19 May 2024
Nie lubię, gdy jest płasko
Sunday, 18 February 2024
Nowy iPad - wrażenia z przesiadki
Wednesday, 24 January 2024
Jak nie wiesz, to nie wiesz
Sunday, 14 January 2024
Z microk8s na k3s
Wednesday, 8 November 2023
Rajesh Penetrator
Saturday, 2 September 2023
random(random())
Tuesday, 1 August 2023

Losowe wpisy

Bieganie do/z pracy
Thursday, 9 July 2015
random(random())
Tuesday, 1 August 2023
BSidesWarsaw 2013
Friday, 25 October 2013
Dostęp do Ksiąg Wieczystych przez Internet i...
Friday, 18 June 2010
WebScarab. W 2019 roku.
Monday, 28 October 2019
Tajemnice hakerów: jak dostać się do ukrytych danych :)
Monday, 12 September 2011
Szukania SQLi i XSSów mam już dość
Tuesday, 13 October 2009
www.1939.com.pl
Thursday, 24 April 2008
YAGNI II: bezpieczeństwo
Friday, 9 January 2009
Kleksy i antyphishing
Friday, 7 December 2007