Warum lernen die Dienstleister nicht aus Fehlern?

Kreditkartendaten haben auf öffentlich erreichbaren Servern nichts zu suchen! Datenbankverbindungen sind nur mit besonderen Nutzerrechten zu gewähren, während die Datenbank selbst von außen auf keinen Fall direkt ansprechbar sein darf!

Ich bin nach offiziell propagierten Maßstäben keine "Fachkraft", weiß aber trotzdem wie man eine sichere Server-Infrastruktur aufbaut. Kann mal bitte einer den Steam-Dilettanten eins auf die Mütze geben!! Wenn die nur nicht-ausgebildete Mitarbeiter haben, sollten die Kunden davon erfahren.

#sb

spambox schrieb:
--------------------------------------------------------------------------------
> Kreditkartendaten haben auf öffentlich erreichbaren Servern nichts zu
> suchen! Datenbankverbindungen sind nur mit besonderen Nutzerrechten zu
> gewähren, während die Datenbank selbst von außen auf keinen Fall direkt
> ansprechbar sein darf!

Wenn du dir die Original-Infos durchliest, dann wirst du folgende Zeilen lesen:

> intruders had accessed our Steam database but we found no evidence
> that the intruders took information from that database

> the intruders obtained a copy of a backup file with information about
> Steam transactions between 2004 and 2008

Ich gehe davon aus, dass die Backups nicht öffentlich im Netz stehen. Aber der Begriff "Intruders" wiederum deutet darauf hin, dass sich jemand Zugriff auf das interne/private Netz verschafft hat. Glücklicherweise waren wichtige Daten verschlüsselt (das soll ja woanders nicht einmal bei Passwörtern der Fall sein) und bisher sieht es so aus, als ob sie das auch immer noch wären:

> We do not have any evidence that the encrypted credit card numbers
> or billing addresses have been compromised.

Vielleicht wäre es noch besser gewesen, das gesamte Backup zu verschlüsseln, um alle Kundendaten vor solchen Angriffen zu schützen.


highrider

--
Duplicati - Verschlüsseltes, inkrementelles Backup auf File-Servern, Online-Speichern und in der Cloud (Windows, Linux, Mac OS X)

Leider muss ich Deinen Ausführungen widersprechen und die IT von Valve zumindest teilweise in Schutz nehmen, da weder Du noch ich weiß wie die Infrastruktur von Valve im einezelnen aufgebaut ist.
Fakt ist, dass der Datenbankserver mit Sicherheit weder öffentlich erreichbar ist, noch auf der selben Maschine läuft wie die Webserver. So ein Setup könnte die Masse der sekündlichen Anfragen zu den Spitzenzeiten überhaupt nicht abarbeiten. Zudem lernt man man im ersten Semester Informatik, dass IT Sicherheit kein Zustand, sondern ein Prozess ist, ergo bekommt man ein solches System NIE völlig einbruchssicher. Man kann nur versuchen es dem Angreifer möglichst schwer zu machen, ohne dabei die Infrastruktur so komplex zu machen, dass sie Niemand mehr nutzen mag / kann.
Für einen Onlineshop kann ich mir übrigens ganz gut vorstellen, dass es, von seiten des Webservers aus, erforderlich ist, lesend auf Kreditkarteninformationen zuzugreifen (habe sowas noch nicht entwickelt). Wenn also beispielsweise einer der Webserver, auf welchem Wege auch immer, kompromitiert wird (dafür muss noch nichteinmal Valve selbst Mist gebaut haben, sondern ein anderer Dienstleister / Softwarehersteller), dann kann man lesenden Zugriff auf die Datenbank kaum verhindern. Die einzige Möglichkeit soetwas wieder möglichst schwer zu machen, ist sensible Informationen, nicht im Klartext in der Datenbank liegen zu haben. Für sowas gibt es den sog. PCI Standart (http://de.wikipedia.org/wiki/Payment_Card_Industry_Data_Security_Standard), der wie ich meine in der EU sogar vorgeschrieben ist.

Lange Rede, kurzer Sinn: Man sollte nicht sofort die dicke Keule auspacken und versuchen einer Softwarefirma, die schon knapp 16 Jahre im Geschäft ist, zu erzählen wie der Hase läuft. Zumal, wie ich finde die Sache halb so wild ist, da es sich bei den MÖGLICHERWEISE gestohlenen Daten um ein Backup von 2008 handelt und 90% der Kreditkarteninformationen faktisch wertlos sind, weil abgelaufen ^^.

Betse Grüße
Stressfrei

> zumindest teilweise in Schutz nehmen, da weder Du noch ich weiß wie die
> Infrastruktur von Valve im einezelnen aufgebaut ist.

Ähm, dann darfst Du die auch teilweise nicht in Schutz nehmen, weil Du es ja eben NICHT weisst.

> Fakt ist, dass der Datenbankserver mit Sicherheit weder öffentlich
> erreichbar ist, noch auf der selben Maschine läuft wie die Webserver.

Und woher willst Du das wissen?

> Zudem lernt man man im ersten Semester Informatik, dass IT Sicherheit
> kein Zustand, sondern ein Prozess ist, ergo bekommt man ein solches
> System NIE völlig einbruchssicher.

So einen Spruch darfst Du vielleicht als Erstsemester bringen, aber wenn Du z.B. für eine Bank arbeitest, dann wird "Shit happens!" und "There is no safe system!" nur eine MENGE Ärger einbringen! Vor allem als öffentliches Statement.

Und da die Firmen ALLE gern im Sicherheitsbereich sparen, kann es genausogut sein, dass sich Valves IT sich einen DICKEN Fehler geleistet hat. Macht ja nichts, wenn es niemand in die Öffentlichkeit hinausposaunt. Die Banken z.B. behaupten bis heute stur, dass EC-Karte & Pin absolut sicher sind.

> Man kann nur versuchen es dem Angreifer möglichst schwer zu machen, ohne
> dabei die Infrastruktur so komplex zu machen, dass sie Niemand mehr nutzen
> mag / kann.

Man muss nur regelmässig jemanden damit beauftragen, die Sicherheit des Systems zu überprüfen. Bzw. das System so aufbauen, dass das überhaupt möglich ist. Und auch da sparen viele Firmen.

> Für einen Onlineshop kann ich mir übrigens ganz gut vorstellen, dass es,
> von seiten des Webservers aus, erforderlich ist, lesend auf
> Kreditkarteninformationen zuzugreifen (habe sowas noch nicht entwickelt).

Bei Kreditkarten sind - soweit ich weiss - auch Auflagen der Banken zu beachten! Schliesslich werden diese Daten auch mit ihnen abgeglichen bzw. verifiziert - und prinzipiell geschieht das bei jeder Online-Zahlung!

> Wenn also beispielsweise einer der Webserver, auf welchem Wege auch immer,
> kompromitiert wird (dafür muss noch nichteinmal Valve selbst Mist gebaut
> haben, sondern ein anderer Dienstleister / Softwarehersteller)

Das ändert aber nichts am Vorwurf, denn Valve ist auch für die verantwortlich.

> Die einzige Möglichkeit soetwas wieder möglichst schwer zu machen, ist sensible
> Informationen, nicht im Klartext in der Datenbank liegen zu haben.

Ist das jetzt Deine Annahme, WAS genau passiert ist?

> Lange Rede, kurzer Sinn: Man sollte nicht sofort die dicke Keule auspacken
> und versuchen einer Softwarefirma, die schon knapp 16 Jahre im Geschäft
> ist, zu erzählen wie der Hase läuft.

Der Vorwurf bleibt bestehen und ist gerechtfertigt. Punkt. Wenn sie ehrlich dazu stehen und Besserung geloben - nicht wie Sony - dann werden die meisten dafür Verständnis haben.

> Zumal, wie ich finde die Sache halb so wild ist, da es sich bei den MÖGLICHERWEISE
> gestohlenen Daten um ein Backup von 2008 handelt und 90% der
> Kreditkarteninformationen faktisch wertlos sind, weil abgelaufen ^^.

Den möglichen Schaden würde ich weder marginalisieren, noch was mit den Daten alles gemacht oder nicht gemacht werden kann. Valve hat sich dbzgl. nämlich gar nicht festgelegt, WAS genau in so einem Backup alles drinsteckt.

Kein Gezanke! Wir haben doch alle irgendwie recht, oder?

Das Problem ist das Grundprinzip von Steam. Der Zwang, sich registrieren zu müssen, ist in Ordnung. Der Zwang bestimmer Bezahlmethoden ist krimimell. Der Zwang, des Logins für ein Offline-Spiel ist auch inakzeptabel. Ich bin mir sicher, dass das den deutschen Gesetzen nicht ganz gerecht wird...aber wo kein Kläger, da kein Richter.

Letztendlich muss der Konsument das nehmen, was die Konzerne ihm hinwerfen.

#sb