@hacsi:
Komolyan, próbálod magyarázni, hogy a tej fekete, hiába vannak vitathatatlan tények, azokat teljesen figyelmen kivül hagyod...
Minden héten van egy olyan hír (persze nem publikus, mert a bankok hozzák nyilvánoságra, csak ha nem tehetnek más), ezt a bankot nyomták fel, abból a bankból loptak pénzt az ügyfelek számlájáról, stb.
"A táblák, mezők egy részéről ki lehet találni, hogy mire valók, de nagy részükről csak a fejlesztők esetleg üzemeltetők tudhatják, mire való."
MInt a cikk is írja "egy támadás átlagosan 2-4 hónap alatt zajlott le." ez alatt bőven lehet elemzni a DB -t a forráskódokat, dokumentációkat, sok rendszerben még a tárolt eljárásokban van az üzleti logika, mellete a fejlesztői kommentekkel, stb.
De erre a cikk is kitért, hogy az alatt a 2-4 hónap alatt tudták elemezni a folyamatokat. Ha tudta azt, hogy pl. mikor indítottak el egy utalást, akkor egy DB logot megnézve sok minden kideríthető...
"A kliensprogramokon keresztül meg nincs az a banki rendszer, ami ezt megengedné."
Tankönyv szerint igen, a gyakorlat sajnos nem ezt mutatja....
Re: Carbanak: egymilliárd dollárt is veszíthettek a bankok
#42
Elküldve: 2015. 02. 18. 13:05
@hacsi:
Konkrét példa. Pár évvel ezelőtt, magyar pénzintézet, új pénzügyi rendszert szállítottunk. Természetesen szükség volt migrációra a régi rendszerből, rendelkezésre álló dokumentáció nem sok volt és nem lehetett kérdezni az előző rendszer szállítójától (még nem tudták, hogy ki lesznek dobva). Elkezdtük elemezni a forráskódot (szerencsére a nagyja tárol eljárásban volt), logoltuk a felhasználói műveleteket, stb. vagyis szisztematikusan feltérképeztük a db t, és mint utólag kiderült sikeresen
Konkrét példa. Pár évvel ezelőtt, magyar pénzintézet, új pénzügyi rendszert szállítottunk. Természetesen szükség volt migrációra a régi rendszerből, rendelkezésre álló dokumentáció nem sok volt és nem lehetett kérdezni az előző rendszer szállítójától (még nem tudták, hogy ki lesznek dobva). Elkezdtük elemezni a forráskódot (szerencsére a nagyja tárol eljárásban volt), logoltuk a felhasználói műveleteket, stb. vagyis szisztematikusan feltérképeztük a db t, és mint utólag kiderült sikeresen
#43
Elküldve: 2015. 02. 18. 14:00
@hacsi: Szerintem ha elmennék az összes magyar bankhoz biztosan találnék olyat, ahol az adatbázis szerver dba/sql név/jelszóval beengedne. Amelyik vastag klienst használ, vagyis a felhasználó saját db userrel lép ki, ott meg ki is tudnám próbálni. Innen kezdve meg miről is beszélünk triggerekről meg tárolt eljárásokról?
Már elévült, meg nem is én csináltam, csak hallottam a kocsmában félrészegen, mert mindig sokat iszok, de mintha lett volna olyan sok 100 millióba kerülő állami weboldal, amibe az egyszeri hülyegyerek beírta a login formba hogy ";delete from users; és láss csodát, az oldal utána fél napig csak adatbázis hiba szöveget szolgáltatott. Ezt is k.rva nehéz elhinni, de hát sajna így van. Ahogy van olyan oldal is, ahol pwd mezőbe beírva egy uniont meg egy dual-os selectet simán belépsz. Hány magyar bank ilyen a 100-ból szerinted? Legyen mondjuk 3. Az már sokaknak elég pénz.
Nem arról volt szó, hogy az összes bankot felnyomták, hanem hogy sok bankot. Mo-n is van vagy 100 - ha felnyomnak itt kettőt, meg minden országban kettőt, az már elég sok. Ha nem is kizárólag senkiháziak kezében van a popszakma, de meglepően sok senkiházi van a popszakmában.
Már elévült, meg nem is én csináltam, csak hallottam a kocsmában félrészegen, mert mindig sokat iszok, de mintha lett volna olyan sok 100 millióba kerülő állami weboldal, amibe az egyszeri hülyegyerek beírta a login formba hogy ";delete from users; és láss csodát, az oldal utána fél napig csak adatbázis hiba szöveget szolgáltatott. Ezt is k.rva nehéz elhinni, de hát sajna így van. Ahogy van olyan oldal is, ahol pwd mezőbe beírva egy uniont meg egy dual-os selectet simán belépsz. Hány magyar bank ilyen a 100-ból szerinted? Legyen mondjuk 3. Az már sokaknak elég pénz.
Nem arról volt szó, hogy az összes bankot felnyomták, hanem hogy sok bankot. Mo-n is van vagy 100 - ha felnyomnak itt kettőt, meg minden országban kettőt, az már elég sok. Ha nem is kizárólag senkiháziak kezében van a popszakma, de meglepően sok senkiházi van a popszakmában.
#44
Elküldve: 2015. 02. 18. 19:13
@NancsiBacsi: "Szerintem ha elmennék az összes magyar bankhoz biztosan találnék olyat, ahol az adatbázis szerver dba/sql név/jelszóval beengedne."
Szerintem nem, mert egy bank csak akkor kaphat mukodesi engedelyt, ha atmegy egy biztonsagi auditon es ezt is tartalmazza termeszetesen. Ez pedig nem amolyan mosolygos ISO audit.
A kocsmai pletykakat pedig nem kell komolyan venni.
Szerintem nem, mert egy bank csak akkor kaphat mukodesi engedelyt, ha atmegy egy biztonsagi auditon es ezt is tartalmazza termeszetesen. Ez pedig nem amolyan mosolygos ISO audit.
A kocsmai pletykakat pedig nem kell komolyan venni.
#45
Elküldve: 2015. 02. 18. 20:30
@UnA: A mellékelt ábra mutatja, hogy mennyit érnek ezek a biztonsági auditok. Persze fontos fenntartani a látszatot - inkább kiköhögik a kárt, csak fel ne merüljön, hogy esetleg ott is előfordulnak balf.szok. A kocsmai pletykáknak meg akkor hiszek, ha a saját szememmel látom - bár néha még akkor is nehéz