Δεν το παίζω ειδικός (γιατί δεν είμαι) αλλά αυτό που λες δεν νομίζω πως μας διαφωτίζει κάπως όσον αφορά την ασφάλεια που θα μπορούσε να προσφέρει η κρυπτογράφηση (αυτό ήταν το αρχικό ερώτημα του ardi21 στο οποίο απάντησα).
Υπάρχει one-way encryption και two-way encryption. Στην πρώτη περίπτωση τα δεδομένα δεν μπορούν να αποκρυπτογραφηθούν με κάποιο κλειδί αλλά φυσικά αυτό έχει το side effect ότι δεν μπορούν και να χρησιμοποιηθούν από την εφαρμογή. Άρα δεν μπορεί να εφαρμοστεί για τα περισσότερα δεδομένα μιας βάσης, μιας και δεν θα είχε νόημα να τα έχουμε, αν δεν μπορούμε να τα χρησιμοποιήσουμε. Χρησιμοποιείται όμως για τα passwords, μιας και εκεί πρέπει ο χρήστης να μας δώσει ο ίδιος ξανά το password του για να κάνει login και εμείς να το κρυπτογραφήσουμε ξανά και να το συγκρίνουμε με το αποθηκευμένο. Δεν μπορούμε όμως να πούμε στον χρήστη ποιό είναι το password του (ή να το χρησιμοποιήσουμε κάπου) γιατί δεν το ξέρουμε. Ακόμη λοιπόν και να κλέψει κάποιος τα password από μια βάση, θα χρειαστεί πάρα πολύ χρόνο για να σπάσει την κρυπτογράφηση, εφόσον αυτή είναι ασφαλής (καλός αλγόριθμος, καλά κλειδιά κλπ.).
Στη δεύτερη περίπτωση τα δεδομένα κρυπτογραφούνται με ένα κλειδί (συν salt, whatever), αλλά με το ίδιο κλειδί μπορούν να αποκρυπτογραφηθούν (λογικό, γιατί θέλουμε να τα χρησιμοποιήσουμε κάπου στην εφαρμογή). Και για να χρησιμοποιήσει μια εφαρμογή αυτά τα δεδομένα (π.χ. η σελίδα κρατήσεων της ΒΑ), θα πρέπει το κλειδί αυτό να βρίσκεται κάπου στον server. Και όταν κάποιος αποκτήσει πρόσβαση στον server, θα αποκτήσει πρόσβαση στη βάση ΚΑΙ στο κλειδί (όπως λες κι εσύ, "αν έχεις πρόσβαση στη βάση με τα κατάλληλα δικαιώματα πρόσβασης τα βλέπεις μια χαρά"). Άρα η "κρυπτογράφηση" σε αυτή την περίπτωση είναι σχετικά ανούσια, όπως είπα στο πρώτο μήνυμα. Μόνο αν έπεφτε ένας δίσκος στα χέρια σου από τον ουρανό και είχε μέσα τη βάση αλλά όχι το κλειδί, θα είχε νόημα το γεγονός ότι τα δεδομένα είναι κρυπτογραφημένα.
Ίσως λοιπόν να ισχύει πως τα δεδομένα πιστωτικών καρτών αποθηκεύονται πάντα κρυπτογραφημένα, αλλά αυτό δεν παρέχει κάποια ουσιαστική ασφάλεια. Και αυτό νομίζω απαντάει και το αρχικό ερώτημα του φίλου, γιατί δηλαδή τα δεδομένα δεν αποθηκεύονται κρυπτογραφημένα (απάντηση: Γιατί θα αύξανε την πολυπλοκότητα χωρίς να αυξάνει ουσιαστικά την ασφάλεια) και αν, εφόσον τα έκλεβε κάποιος θα χρειάζονταν χρόνια να τα αποκρυπτογραφήσει (απάντηση: Όχι, γιατί κατά πάσα πιθανότητα θα είχε κλέψει και το κλειδί, το οποίο θα έπρεπε να βρίσκεται κι αυτό απαραίτητα κάπου στον server).
Εμφάνιση 16-23 από 23
-
10-09-18, 12:30 Απάντηση: Υποκλοπή στοιχείων πληρωμής από το online booking της British Airways #16
-
10-09-18, 17:29 Απάντηση: Υποκλοπή στοιχείων πληρωμής από το online booking της British Airways #17
Ναι, πολυ σωστά τα λες. Ούτε εγώ είμαι ειδικός επί του θέματος. Επιδερμικά ξέρω μερικά πράγματα.
'Εχε υπόψη σου, ότι η πλήρης κρυπτογράφηση της βάσης δεδομένων επιβάλεται από το PCI-DSS σε βάσεις που φυλάνε στοιχεία πιστωτικών καρτών. Χωρίς τη πιστοποίηση PCI-DSS η VISA/Mastercard κλπ, δεν σου επιτρέπουν να κάνεις συναλλαγές με αυτές, Άρα θεώρησε δεδομένο ότι η BA έχει full database encryption και υπάρχει και encryption over the wire (κρυπτογραφημένη επικοινωνία μεταξύ από την αρχή μέχρι το τέλος (από το browser του χρήστη μέχρι και τη βάση δεδομένων)).
Το Transparent Data Encryption που χρησιμοποιείται συνήθως από τις βάσεις (για λόγους απλότητας, καθώς το ίδιο κλειδί κρυπτογραφεί τα data, indexes, logs της βάσης, τα backups, το data replication κλπ) κρυπτογραφεί τα data at rest, δηλαδή όταν αποθηκευθούν στο δίσκο. Στην περίπτωση που ο root του λειτουργικού πάρει το αρχείο, χωρις να έχει το κλειδί της βάσης, τα δεδομένα είναι άχρηστα. Το ίδιο ισχύει και για τα backup της βάσης. Τα κλειδιά αυτά τα φυλάνε συνήθως σε key vaults.
Αν σκεφτείς πόσο συχνά αλλάζουν προληπτικά δίσκους τα μεγάλα data center ή ότι τα backups πολλές φορές μεταφέρονται με φορτηγά, το encryption των δεδομένων at rest, διασφαλίζει ότι αν αυτοί οι δίσκοι πέσουν σε λάθος χέρια, δεν θα διαβαστούν (γύρω στο 2000 είχαν κλέψει τα φορτηγά μεγάλης αμερικανικής τράπεζας που μετέφεραν τα backups, καταλαβαίνεις τι ζημιά μπορούσε να γίνει ή τελικά έγινε).
Επιπλέον μπορεί να επιβάλει η ίδια εφαρμογή extra κρυπτογράφηση σε στήλες και τη διαχείριση των κλειδιών να την κάνει η ίδια η εφαρμογή, αλλά αυτό γίνεται πολύ complex ειδικά για τα operations της βάσης (backup, πλάνα DR κλπ).
Ο DBA μπορεί μια χαρά να δει τα data της βάσης. H βάση διαχειρίζεται τα κλειδιά, έχει το access right, κάνει ότι θέλει.
Υπάρχουν εργαλεία που δεν επιτρέπουν στο διαχειριστή της βάσης δεδομένων να κάνει ούτε select στη βάση. Απ' ότι φαίνεται, η BA δεν είχε κάνει τέτοια υλοποίηση (και μόλις το μετάνιωσε).
Η δουλειά στην BA φαίνεται να είναι inside job. Κάποιος είχε πρόσβαση στα data και έκανε ένα καλό select.Τελευταία επεξεργασία από το μέλος stel67 : 10-09-18 στις 17:37.
Guardian angels, lay a bed
Shed their light on my sleepy head
I am a threshold yearning to sing
Down with the the dancers having one last fling
Here's to the moment when you said, "Hello"
Come on my spirit are you ready, let's go
https://www.covidstats.gr
-
10-09-18, 18:05 Απάντηση: Re: Υποκλοπή στοιχείων πληρωμής από το online booking της British Airways #18
-
10-09-18, 18:16 Απάντηση: Υποκλοπή στοιχείων πληρωμής από το online booking της British Airways #19
@stel67
Καλά όλα αυτά και ναι, η κρυπτογράφηση των δεδομένων at rest παρέχει μια ασφάλεια στην περίπτωση που βρεθεί στα χέρια σου απλά ένα backup ή ένας δίσκος. Και όταν μιλάμε για στοιχεία πιστωτικών καρτών, ακόμα και αυτές οι περιπτώσεις έχουν μεγάλη σημασία. Αλλά εμένα το βασικό μου ερώτημα είναι πώς έχει πρόσβαση η ίδια η εφαρμογή στα data.
Άσε δηλαδή τι κάνει ο DBA και αν μπορεί ο διαχειριστής να τρέξει queries ή όχι. Η ίδια η εφαρμογή, δεν θα πρέπει να μπορεί να τρέξει queries;
Αλλιώς δεν θα είχε νόημα να αποθηκεύσω τα στοιχεία της πιστωτικής σου, αν την επόμενη φορά που θα μπεις στο booking system δεν μπορώ να τα επαναφέρω ώστε να κάνω την πληρωμή χωρίς να τα πληκτρολογήσεις ξανά.
Η εφαρμογή λοιπόν, θα πρέπει να έχει πρόσβαση στα αποκρυπτογραφημένα data, χωρίς να χρειάζεται κάποιος να πληκτρολογεί το κλειδί. Οπότε, συμπεραίνω λογικά, το κλειδί πρέπει να βρίσκεται κάπου αποθηκευμένο στον server της εφαρμογής και να είναι ως εκ τούτου διαθέσιμο σε κάποιον που απέκτησε πρόσβαση στον server και στα δεδομένα. Ούτε έχει σημασία αν το κλειδί θα είναι σε κάποιο vault. Και πάλι η εφαρμογή θα πρέπει να έχει πρόσβαση στο vault, δηλαδή να υπάρχει κάπου αποθηκευμένο το password του vault.
Εκτός λοιπόν αν χάνω κάτι στην όλη διαδικασία, εξακολουθώ να πιστεύω αυτό που έγραψα πριν. Ότι δηλαδή η αμφίδρομη κρυπτογράφηση των δεδομένων μιας βάσης, στις περισσότερες περιπτώσεις δεν αυξάνει την ασφάλεια των δεδομένων.
Αλλιώς, σίγουρα όλες οι βάσεις σήμερα θα ήταν κρυπτογραφημένες.
-
11-09-18, 19:32 Απάντηση: Υποκλοπή στοιχείων πληρωμής από το online booking της British Airways #20
@Symos, δεν αντιλέγω.
Η ασφάλεια μιας εφαρμογής είναι σε πολλά επίπεδα. Ανάλογα με την κρισιμότητα της εφαρμογής και την επίπτωση που μπορεί να έχει η διαρροή στοιχείων, λαμβάνει κανείς τα μέτρα του.
Η κρυπτογράφηση μιας βάσης είναι ένα από τα απλά μέτρα που ακολουθεί κανείς και είναι δεν τόσο εύκολη υπόθεση. Έχει τα κατά της (επιβάρυνση επεξεργαστή, δραστική αύξηση του απαιτούμενου storage, αύξηγη του όγκου των back up, μπορεί να δεις queries με πολύ I/O να σέρνονται, περιπλέκει το data replication, DR κλπ).
Αν η εφαρμογή είναι ιδιαίτερα ευαίσθητη, μπορεί να ακολουθήσεις και την λογική που περιγράφεις με αυξημένο διαχειριστικό και υπολογιστικό κόστος.
Επιλογές υπάρχουν πάρα πολλές όπως και διαφορετικές προσεγγίσεις.
- - - Updated - - -
Τελικά το πρόβλημα ήταν στο ui:
https://www.bbc.com/news/technology-45481976
He claimed to have discovered evidence of a "skimming" script designed to steal financial data from online payment forms.
BA said it was unable to comment.
A very similar attack, by a group dubbed Magecart, affected the Ticketmaster website recently, which RiskIQ said it also analysed in depth.
The company said the code found on the BA site was very similar, but appeared to have been modified to suit the way the airline's site had been designed.
...
Andrew Dwyer, a cyber-security researcher at the University of Oxford added that the attackers appeared to have gone to "extraordinary lengths" to tailor their code to the BA site.
According to RiskIQ, they also acquired a Secure Socket Layer (SSL) certificate - which suggests to web browsers, not always accurately, that a web page is safe to use.
Πολύ ανησυχητικό είναι αυτό το περιστατικό. Ωραία η BA.ΧυμαδιόGuardian angels, lay a bed
Shed their light on my sleepy head
I am a threshold yearning to sing
Down with the the dancers having one last fling
Here's to the moment when you said, "Hello"
Come on my spirit are you ready, let's go
https://www.covidstats.gr
-
12-09-18, 11:22 Απάντηση: Υποκλοπή στοιχείων πληρωμής από το online booking της British Airways #21
Πραγματικά, αν υπάρχουν κάποια steps για security, από το 1 (εύκολο) στο 10 (δύσκολο), αυτοί το έχασαν στο 1... Τελευταία φορά που την χρησιμοποιώ, ας πληρώσω και κάτι παραπάνω για άλλη εταιρεία. Αν είναι να τρέχω με νέες κάρτες, δεν αξίζει για 10 και 20 ευρώ.
-
12-09-18, 11:51 Απάντηση: Υποκλοπή στοιχείων πληρωμής από το online booking της British Airways #22
Μου φαίνεται ότι η πιο ασφαλής επιλογή είναι να μην πληρώνεις καθόλου online με κάρτα. Μόνο PayPal. Έτσι τα στοιχεία της κάρτας τα ξέρει μόνο ένας κι όχι κι ο έμπορος, αεροπορική εταιρεία κλπ
Guardian angels, lay a bed
Shed their light on my sleepy head
I am a threshold yearning to sing
Down with the the dancers having one last fling
Here's to the moment when you said, "Hello"
Come on my spirit are you ready, let's go
https://www.covidstats.gr
-
12-09-18, 12:34 Απάντηση: Υποκλοπή στοιχείων πληρωμής από το online booking της British Airways #23
Παρόμοια Θέματα
-
Πιθανή υποκλοπή δεδομένων από το online Adidas store στις ΗΠΑ
Από nnn στο φόρουμ ΕιδήσειςΜηνύματα: 10Τελευταίο Μήνυμα: 30-06-18, 20:09 -
Νέα υπηρεσία COSMOTE Mobile Security για την προστασία των smartphones από κακόβουλο λογισμικό & υποκλοπή στοιχείων
Από nnn στο φόρουμ ΕιδήσειςΜηνύματα: 13Τελευταίο Μήνυμα: 19-01-18, 12:07 -
Υποκλοπή στοιχείων σύνδεσης 1,7 εκατομμυρίων λογαριασμών της imgur το 2014
Από nnn στο φόρουμ ΕιδήσειςΜηνύματα: 22Τελευταίο Μήνυμα: 30-11-17, 14:36 -
Θύμα παραβίασης η Equifax, με υποκλοπή στοιχείων 143 εκατομμυρίων ατόμων στις ΗΠΑ
Από nnn στο φόρουμ ΕιδήσειςΜηνύματα: 12Τελευταίο Μήνυμα: 09-09-17, 17:51
Bookmarks