Υποκλοπή στοιχείων πληρωμής από το online booking της British Airways

[Symos]

Κρυπτογραφημένα τα φυλάνε στις βάσεις δεδομένων. Είναι υποχρεωτικό για βάσεις που φυλάνε στοιχεία πιστωτικών καρτών. Αν έχεις πρόσβαση στη βάση με τα κατάλληλα δικαιώματα πρόσβασης τα βλέπεις μια χαρά.
Σε κάποιο άλλο άρθρο, από την British Airways υποστηρίζουν ότι δεν τους χακαραν, αλλά τους έκλεψαν δεδομένα. Άρα κάποιος με τα κατάλληλα δικαιώματα πρόσβασης τους τα πήρε:
https://thehackernews.com/2018/09/br...ta-breach.html

Δεν το παίζω ειδικός (γιατί δεν είμαι) αλλά αυτό που λες δεν νομίζω πως μας διαφωτίζει κάπως όσον αφορά την ασφάλεια που θα μπορούσε να προσφέρει η κρυπτογράφηση (αυτό ήταν το αρχικό ερώτημα του ardi21 στο οποίο απάντησα).

Υπάρχει one-way encryption και two-way encryption. Στην πρώτη περίπτωση τα δεδομένα δεν μπορούν να αποκρυπτογραφηθούν με κάποιο κλειδί αλλά φυσικά αυτό έχει το side effect ότι δεν μπορούν και να χρησιμοποιηθούν από την εφαρμογή. Άρα δεν μπορεί να εφαρμοστεί για τα περισσότερα δεδομένα μιας βάσης, μιας και δεν θα είχε νόημα να τα έχουμε, αν δεν μπορούμε να τα χρησιμοποιήσουμε. Χρησιμοποιείται όμως για τα passwords, μιας και εκεί πρέπει ο χρήστης να μας δώσει ο ίδιος ξανά το password του για να κάνει login και εμείς να το κρυπτογραφήσουμε ξανά και να το συγκρίνουμε με το αποθηκευμένο. Δεν μπορούμε όμως να πούμε στον χρήστη ποιό είναι το password του (ή να το χρησιμοποιήσουμε κάπου) γιατί δεν το ξέρουμε. Ακόμη λοιπόν και να κλέψει κάποιος τα password από μια βάση, θα χρειαστεί πάρα πολύ χρόνο για να σπάσει την κρυπτογράφηση, εφόσον αυτή είναι ασφαλής (καλός αλγόριθμος, καλά κλειδιά κλπ.).

Στη δεύτερη περίπτωση τα δεδομένα κρυπτογραφούνται με ένα κλειδί (συν salt, whatever), αλλά με το ίδιο κλειδί μπορούν να αποκρυπτογραφηθούν (λογικό, γιατί θέλουμε να τα χρησιμοποιήσουμε κάπου στην εφαρμογή). Και για να χρησιμοποιήσει μια εφαρμογή αυτά τα δεδομένα (π.χ. η σελίδα κρατήσεων της ΒΑ), θα πρέπει το κλειδί αυτό να βρίσκεται κάπου στον server. Και όταν κάποιος αποκτήσει πρόσβαση στον server, θα αποκτήσει πρόσβαση στη βάση ΚΑΙ στο κλειδί (όπως λες κι εσύ, "αν έχεις πρόσβαση στη βάση με τα κατάλληλα δικαιώματα πρόσβασης τα βλέπεις μια χαρά"). Άρα η "κρυπτογράφηση" σε αυτή την περίπτωση είναι σχετικά ανούσια, όπως είπα στο πρώτο μήνυμα. Μόνο αν έπεφτε ένας δίσκος στα χέρια σου από τον ουρανό και είχε μέσα τη βάση αλλά όχι το κλειδί, θα είχε νόημα το γεγονός ότι τα δεδομένα είναι κρυπτογραφημένα.

Ίσως λοιπόν να ισχύει πως τα δεδομένα πιστωτικών καρτών αποθηκεύονται πάντα κρυπτογραφημένα, αλλά αυτό δεν παρέχει κάποια ουσιαστική ασφάλεια. Και αυτό νομίζω απαντάει και το αρχικό ερώτημα του φίλου, γιατί δηλαδή τα δεδομένα δεν αποθηκεύονται κρυπτογραφημένα (απάντηση: Γιατί θα αύξανε την πολυπλοκότητα χωρίς να αυξάνει ουσιαστικά την ασφάλεια) και αν, εφόσον τα έκλεβε κάποιος θα χρειάζονταν χρόνια να τα αποκρυπτογραφήσει (απάντηση: Όχι, γιατί κατά πάσα πιθανότητα θα είχε κλέψει και το κλειδί, το οποίο θα έπρεπε να βρίσκεται κι αυτό απαραίτητα κάπου στον server).

[stel67]

Δεν το παίζω ειδικός (γιατί δεν είμαι) αλλά αυτό που λες δεν νομίζω πως μας διαφωτίζει κάπως όσον αφορά την ασφάλεια που θα μπορούσε να προσφέρει η κρυπτογράφηση (αυτό ήταν το αρχικό ερώτημα του ardi21 στο οποίο απάντησα).

Υπάρχει one-way encryption και two-way encryption. Στην πρώτη περίπτωση τα δεδομένα δεν μπορούν να αποκρυπτογραφηθούν με κάποιο κλειδί αλλά φυσικά αυτό έχει το side effect ότι δεν μπορούν και να χρησιμοποιηθούν από την εφαρμογή. Άρα δεν μπορεί να εφαρμοστεί για τα περισσότερα δεδομένα μιας βάσης, μιας και δεν θα είχε νόημα να τα έχουμε, αν δεν μπορούμε να τα χρησιμοποιήσουμε. Χρησιμοποιείται όμως για τα passwords, μιας και εκεί πρέπει ο χρήστης να μας δώσει ο ίδιος ξανά το password του για να κάνει login και εμείς να το κρυπτογραφήσουμε ξανά και να το συγκρίνουμε με το αποθηκευμένο. Δεν μπορούμε όμως να πούμε στον χρήστη ποιό είναι το password του (ή να το χρησιμοποιήσουμε κάπου) γιατί δεν το ξέρουμε. Ακόμη λοιπόν και να κλέψει κάποιος τα password από μια βάση, θα χρειαστεί πάρα πολύ χρόνο για να σπάσει την κρυπτογράφηση, εφόσον αυτή είναι ασφαλής (καλός αλγόριθμος, καλά κλειδιά κλπ.).

Στη δεύτερη περίπτωση τα δεδομένα κρυπτογραφούνται με ένα κλειδί (συν salt, whatever), αλλά με το ίδιο κλειδί μπορούν να αποκρυπτογραφηθούν (λογικό, γιατί θέλουμε να τα χρησιμοποιήσουμε κάπου στην εφαρμογή). Και για να χρησιμοποιήσει μια εφαρμογή αυτά τα δεδομένα (π.χ. η σελίδα κρατήσεων της ΒΑ), θα πρέπει το κλειδί αυτό να βρίσκεται κάπου στον server. Και όταν κάποιος αποκτήσει πρόσβαση στον server, θα αποκτήσει πρόσβαση στη βάση ΚΑΙ στο κλειδί (όπως λες κι εσύ, "αν έχεις πρόσβαση στη βάση με τα κατάλληλα δικαιώματα πρόσβασης τα βλέπεις μια χαρά"). Άρα η "κρυπτογράφηση" σε αυτή την περίπτωση είναι σχετικά ανούσια, όπως είπα στο πρώτο μήνυμα. Μόνο αν έπεφτε ένας δίσκος στα χέρια σου από τον ουρανό και είχε μέσα τη βάση αλλά όχι το κλειδί, θα είχε νόημα το γεγονός ότι τα δεδομένα είναι κρυπτογραφημένα.

Ίσως λοιπόν να ισχύει πως τα δεδομένα πιστωτικών καρτών αποθηκεύονται πάντα κρυπτογραφημένα, αλλά αυτό δεν παρέχει κάποια ουσιαστική ασφάλεια. Και αυτό νομίζω απαντάει και το αρχικό ερώτημα του φίλου, γιατί δηλαδή τα δεδομένα δεν αποθηκεύονται κρυπτογραφημένα (απάντηση: Γιατί θα αύξανε την πολυπλοκότητα χωρίς να αυξάνει ουσιαστικά την ασφάλεια) και αν, εφόσον τα έκλεβε κάποιος θα χρειάζονταν χρόνια να τα αποκρυπτογραφήσει (απάντηση: Όχι, γιατί κατά πάσα πιθανότητα θα είχε κλέψει και το κλειδί, το οποίο θα έπρεπε να βρίσκεται κι αυτό απαραίτητα κάπου στον server).

Ναι, πολυ σωστά τα λες. Ούτε εγώ είμαι ειδικός επί του θέματος. Επιδερμικά ξέρω μερικά πράγματα.
'Εχε υπόψη σου, ότι η πλήρης κρυπτογράφηση της βάσης δεδομένων επιβάλεται από το PCI-DSS σε βάσεις που φυλάνε στοιχεία πιστωτικών καρτών. Χωρίς τη πιστοποίηση PCI-DSS η VISA/Mastercard κλπ, δεν σου επιτρέπουν να κάνεις συναλλαγές με αυτές, Άρα θεώρησε δεδομένο ότι η BA έχει full database encryption και υπάρχει και encryption over the wire (κρυπτογραφημένη επικοινωνία μεταξύ από την αρχή μέχρι το τέλος (από το browser του χρήστη μέχρι και τη βάση δεδομένων)).
Το Transparent Data Encryption που χρησιμοποιείται συνήθως από τις βάσεις (για λόγους απλότητας, καθώς το ίδιο κλειδί κρυπτογραφεί τα data, indexes, logs της βάσης, τα backups, το data replication κλπ) κρυπτογραφεί τα data at rest, δηλαδή όταν αποθηκευθούν στο δίσκο. Στην περίπτωση που ο root του λειτουργικού πάρει το αρχείο, χωρις να έχει το κλειδί της βάσης, τα δεδομένα είναι άχρηστα. Το ίδιο ισχύει και για τα backup της βάσης. Τα κλειδιά αυτά τα φυλάνε συνήθως σε key vaults.
Αν σκεφτείς πόσο συχνά αλλάζουν προληπτικά δίσκους τα μεγάλα data center ή ότι τα backups πολλές φορές μεταφέρονται με φορτηγά, το encryption των δεδομένων at rest, διασφαλίζει ότι αν αυτοί οι δίσκοι πέσουν σε λάθος χέρια, δεν θα διαβαστούν (γύρω στο 2000 είχαν κλέψει τα φορτηγά μεγάλης αμερικανικής τράπεζας που μετέφεραν τα backups, καταλαβαίνεις τι ζημιά μπορούσε να γίνει ή τελικά έγινε).
Επιπλέον μπορεί να επιβάλει η ίδια εφαρμογή extra κρυπτογράφηση σε στήλες και τη διαχείριση των κλειδιών να την κάνει η ίδια η εφαρμογή, αλλά αυτό γίνεται πολύ complex ειδικά για τα operations της βάσης (backup, πλάνα DR κλπ).
Ο DBA μπορεί μια χαρά να δει τα data της βάσης. H βάση διαχειρίζεται τα κλειδιά, έχει το access right, κάνει ότι θέλει.
Υπάρχουν εργαλεία που δεν επιτρέπουν στο διαχειριστή της βάσης δεδομένων να κάνει ούτε select στη βάση. Απ' ότι φαίνεται, η BA δεν είχε κάνει τέτοια υλοποίηση (και μόλις το μετάνιωσε).
Η δουλειά στην BA φαίνεται να είναι inside job. Κάποιος είχε πρόσβαση στα data και έκανε ένα καλό select.

[manicx]

μάλιστα, μέγα μπλέξιμο.
Και πως θα βρει η τράπεζα ποιές αγορές έγιναν από τον νόμιμο κάτοχο και ποιές από το σαϊνι που έκλεψε την BA από 21-08 έως 05-09?

Υποθέτω ότι οι άδειες προπληρωμένες ή οι άδειες πιστωτικές (με 0 overdraft) και χρεωστικές θα είναι ασφαλείς.

Εγώ πάντως ζήτησα να μου αναφέρουν όλες τις χρεώσεις ακόμη και αποτυχημένα attempts αν υπήρχαν. Ευτυχώς δεν υπάρχει κάτι.

[Symos]

@stel67

Καλά όλα αυτά και ναι, η κρυπτογράφηση των δεδομένων at rest παρέχει μια ασφάλεια στην περίπτωση που βρεθεί στα χέρια σου απλά ένα backup ή ένας δίσκος. Και όταν μιλάμε για στοιχεία πιστωτικών καρτών, ακόμα και αυτές οι περιπτώσεις έχουν μεγάλη σημασία. Αλλά εμένα το βασικό μου ερώτημα είναι πώς έχει πρόσβαση η ίδια η εφαρμογή στα data.

Άσε δηλαδή τι κάνει ο DBA και αν μπορεί ο διαχειριστής να τρέξει queries ή όχι. Η ίδια η εφαρμογή, δεν θα πρέπει να μπορεί να τρέξει queries;
Αλλιώς δεν θα είχε νόημα να αποθηκεύσω τα στοιχεία της πιστωτικής σου, αν την επόμενη φορά που θα μπεις στο booking system δεν μπορώ να τα επαναφέρω ώστε να κάνω την πληρωμή χωρίς να τα πληκτρολογήσεις ξανά.

Η εφαρμογή λοιπόν, θα πρέπει να έχει πρόσβαση στα αποκρυπτογραφημένα data, χωρίς να χρειάζεται κάποιος να πληκτρολογεί το κλειδί. Οπότε, συμπεραίνω λογικά, το κλειδί πρέπει να βρίσκεται κάπου αποθηκευμένο στον server της εφαρμογής και να είναι ως εκ τούτου διαθέσιμο σε κάποιον που απέκτησε πρόσβαση στον server και στα δεδομένα. Ούτε έχει σημασία αν το κλειδί θα είναι σε κάποιο vault. Και πάλι η εφαρμογή θα πρέπει να έχει πρόσβαση στο vault, δηλαδή να υπάρχει κάπου αποθηκευμένο το password του vault.

Εκτός λοιπόν αν χάνω κάτι στην όλη διαδικασία, εξακολουθώ να πιστεύω αυτό που έγραψα πριν. Ότι δηλαδή η αμφίδρομη κρυπτογράφηση των δεδομένων μιας βάσης, στις περισσότερες περιπτώσεις δεν αυξάνει την ασφάλεια των δεδομένων.
Αλλιώς, σίγουρα όλες οι βάσεις σήμερα θα ήταν κρυπτογραφημένες.

[stel67]

@Symos, δεν αντιλέγω.
Η ασφάλεια μιας εφαρμογής είναι σε πολλά επίπεδα. Ανάλογα με την κρισιμότητα της εφαρμογής και την επίπτωση που μπορεί να έχει η διαρροή στοιχείων, λαμβάνει κανείς τα μέτρα του.
Η κρυπτογράφηση μιας βάσης είναι ένα από τα απλά μέτρα που ακολουθεί κανείς και είναι δεν τόσο εύκολη υπόθεση. Έχει τα κατά της (επιβάρυνση επεξεργαστή, δραστική αύξηση του απαιτούμενου storage, αύξηγη του όγκου των back up, μπορεί να δεις queries με πολύ I/O να σέρνονται, περιπλέκει το data replication, DR κλπ).
Αν η εφαρμογή είναι ιδιαίτερα ευαίσθητη, μπορεί να ακολουθήσεις και την λογική που περιγράφεις με αυξημένο διαχειριστικό και υπολογιστικό κόστος.
Επιλογές υπάρχουν πάρα πολλές όπως και διαφορετικές προσεγγίσεις.

- - - Updated - - -

Τελικά το πρόβλημα ήταν στο ui:

https://www.bbc.com/news/technology-45481976

He claimed to have discovered evidence of a "skimming" script designed to steal financial data from online payment forms.

BA said it was unable to comment.

A very similar attack, by a group dubbed Magecart, affected the Ticketmaster website recently, which RiskIQ said it also analysed in depth.

The company said the code found on the BA site was very similar, but appeared to have been modified to suit the way the airline's site had been designed.

...

Andrew Dwyer, a cyber-security researcher at the University of Oxford added that the attackers appeared to have gone to "extraordinary lengths" to tailor their code to the BA site.

According to RiskIQ, they also acquired a Secure Socket Layer (SSL) certificate - which suggests to web browsers, not always accurately, that a web page is safe to use.

Πολύ ανησυχητικό είναι αυτό το περιστατικό. Ωραία η BA.Χυμαδιό

[manicx]

Πραγματικά, αν υπάρχουν κάποια steps για security, από το 1 (εύκολο) στο 10 (δύσκολο), αυτοί το έχασαν στο 1... Τελευταία φορά που την χρησιμοποιώ, ας πληρώσω και κάτι παραπάνω για άλλη εταιρεία. Αν είναι να τρέχω με νέες κάρτες, δεν αξίζει για 10 και 20 ευρώ.

[stel67]

Μου φαίνεται ότι η πιο ασφαλής επιλογή είναι να μην πληρώνεις καθόλου online με κάρτα. Μόνο PayPal. Έτσι τα στοιχεία της κάρτας τα ξέρει μόνο ένας κι όχι κι ο έμπορος, αεροπορική εταιρεία κλπ

[Symos]

Πραγματικά, αν υπάρχουν κάποια steps για security, από το 1 (εύκολο) στο 10 (δύσκολο), αυτοί το έχασαν στο 1... Τελευταία φορά που την χρησιμοποιώ, ας πληρώσω και κάτι παραπάνω για άλλη εταιρεία. Αν είναι να τρέχω με νέες κάρτες, δεν αξίζει για 10 και 20 ευρώ.

Δεν προκύπτει από κάπου αυτό που λες. Το να βάλει κάποιος malicious script στο front end του site σου δεν είναι απαραίτητα πιο εύκολο από το να κλέψει π.χ. τη βάση σου.
Ούτε σημαίνει πως ο server ήταν πιο "ευάλωτος".