1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Steam-Hack: Einbrecher könnten…

Warum lernen die Dienstleister nicht aus Fehlern?

Helft uns, die neuen Foren besser zu machen! Unsere kleine Umfrage dauert nur wenige Sekunden!
  1. Thema

Neues Thema Ansicht wechseln


  1. Warum lernen die Dienstleister nicht aus Fehlern?

    Autor: spambox 11.02.12 - 16:01

    Kreditkartendaten haben auf öffentlich erreichbaren Servern nichts zu suchen! Datenbankverbindungen sind nur mit besonderen Nutzerrechten zu gewähren, während die Datenbank selbst von außen auf keinen Fall direkt ansprechbar sein darf!

    Ich bin nach offiziell propagierten Maßstäben keine "Fachkraft", weiß aber trotzdem wie man eine sichere Server-Infrastruktur aufbaut. Kann mal bitte einer den Steam-Dilettanten eins auf die Mütze geben!! Wenn die nur nicht-ausgebildete Mitarbeiter haben, sollten die Kunden davon erfahren.

    #sb

  2. Re: Warum lernen die Dienstleister nicht aus Fehlern?

    Autor: highrider 11.02.12 - 16:41

    spambox schrieb:
    --------------------------------------------------------------------------------
    > Kreditkartendaten haben auf öffentlich erreichbaren Servern nichts zu
    > suchen! Datenbankverbindungen sind nur mit besonderen Nutzerrechten zu
    > gewähren, während die Datenbank selbst von außen auf keinen Fall direkt
    > ansprechbar sein darf!

    Wenn du dir die Original-Infos durchliest, dann wirst du folgende Zeilen lesen:

    > intruders had accessed our Steam database but we found no evidence
    > that the intruders took information from that database

    > the intruders obtained a copy of a backup file with information about
    > Steam transactions between 2004 and 2008

    Ich gehe davon aus, dass die Backups nicht öffentlich im Netz stehen. Aber der Begriff "Intruders" wiederum deutet darauf hin, dass sich jemand Zugriff auf das interne/private Netz verschafft hat. Glücklicherweise waren wichtige Daten verschlüsselt (das soll ja woanders nicht einmal bei Passwörtern der Fall sein) und bisher sieht es so aus, als ob sie das auch immer noch wären:

    > We do not have any evidence that the encrypted credit card numbers
    > or billing addresses have been compromised.

    Vielleicht wäre es noch besser gewesen, das gesamte Backup zu verschlüsseln, um alle Kundendaten vor solchen Angriffen zu schützen.


    highrider

  3. Re: Warum lernen die Dienstleister nicht aus Fehlern?

    Autor: Stressfrei 11.02.12 - 16:51

    Leider muss ich Deinen Ausführungen widersprechen und die IT von Valve zumindest teilweise in Schutz nehmen, da weder Du noch ich weiß wie die Infrastruktur von Valve im einezelnen aufgebaut ist.
    Fakt ist, dass der Datenbankserver mit Sicherheit weder öffentlich erreichbar ist, noch auf der selben Maschine läuft wie die Webserver. So ein Setup könnte die Masse der sekündlichen Anfragen zu den Spitzenzeiten überhaupt nicht abarbeiten. Zudem lernt man man im ersten Semester Informatik, dass IT Sicherheit kein Zustand, sondern ein Prozess ist, ergo bekommt man ein solches System NIE völlig einbruchssicher. Man kann nur versuchen es dem Angreifer möglichst schwer zu machen, ohne dabei die Infrastruktur so komplex zu machen, dass sie Niemand mehr nutzen mag / kann.
    Für einen Onlineshop kann ich mir übrigens ganz gut vorstellen, dass es, von seiten des Webservers aus, erforderlich ist, lesend auf Kreditkarteninformationen zuzugreifen (habe sowas noch nicht entwickelt). Wenn also beispielsweise einer der Webserver, auf welchem Wege auch immer, kompromitiert wird (dafür muss noch nichteinmal Valve selbst Mist gebaut haben, sondern ein anderer Dienstleister / Softwarehersteller), dann kann man lesenden Zugriff auf die Datenbank kaum verhindern. Die einzige Möglichkeit soetwas wieder möglichst schwer zu machen, ist sensible Informationen, nicht im Klartext in der Datenbank liegen zu haben. Für sowas gibt es den sog. PCI Standart (http://de.wikipedia.org/wiki/Payment_Card_Industry_Data_Security_Standard), der wie ich meine in der EU sogar vorgeschrieben ist.

    Lange Rede, kurzer Sinn: Man sollte nicht sofort die dicke Keule auspacken und versuchen einer Softwarefirma, die schon knapp 16 Jahre im Geschäft ist, zu erzählen wie der Hase läuft. Zumal, wie ich finde die Sache halb so wild ist, da es sich bei den MÖGLICHERWEISE gestohlenen Daten um ein Backup von 2008 handelt und 90% der Kreditkarteninformationen faktisch wertlos sind, weil abgelaufen ^^.

    Betse Grüße
    Stressfrei

  4. Re: Warum lernen die Dienstleister nicht aus Fehlern?

    Autor: Charles Marlow 11.02.12 - 18:44

    > zumindest teilweise in Schutz nehmen, da weder Du noch ich weiß wie die
    > Infrastruktur von Valve im einezelnen aufgebaut ist.

    Ähm, dann darfst Du die auch teilweise nicht in Schutz nehmen, weil Du es ja eben NICHT weisst.

    > Fakt ist, dass der Datenbankserver mit Sicherheit weder öffentlich
    > erreichbar ist, noch auf der selben Maschine läuft wie die Webserver.

    Und woher willst Du das wissen?

    > Zudem lernt man man im ersten Semester Informatik, dass IT Sicherheit
    > kein Zustand, sondern ein Prozess ist, ergo bekommt man ein solches
    > System NIE völlig einbruchssicher.

    So einen Spruch darfst Du vielleicht als Erstsemester bringen, aber wenn Du z.B. für eine Bank arbeitest, dann wird "Shit happens!" und "There is no safe system!" nur eine MENGE Ärger einbringen! Vor allem als öffentliches Statement.

    Und da die Firmen ALLE gern im Sicherheitsbereich sparen, kann es genausogut sein, dass sich Valves IT sich einen DICKEN Fehler geleistet hat. Macht ja nichts, wenn es niemand in die Öffentlichkeit hinausposaunt. Die Banken z.B. behaupten bis heute stur, dass EC-Karte & Pin absolut sicher sind.

    > Man kann nur versuchen es dem Angreifer möglichst schwer zu machen, ohne
    > dabei die Infrastruktur so komplex zu machen, dass sie Niemand mehr nutzen
    > mag / kann.

    Man muss nur regelmässig jemanden damit beauftragen, die Sicherheit des Systems zu überprüfen. Bzw. das System so aufbauen, dass das überhaupt möglich ist. Und auch da sparen viele Firmen.

    > Für einen Onlineshop kann ich mir übrigens ganz gut vorstellen, dass es,
    > von seiten des Webservers aus, erforderlich ist, lesend auf
    > Kreditkarteninformationen zuzugreifen (habe sowas noch nicht entwickelt).

    Bei Kreditkarten sind - soweit ich weiss - auch Auflagen der Banken zu beachten! Schliesslich werden diese Daten auch mit ihnen abgeglichen bzw. verifiziert - und prinzipiell geschieht das bei jeder Online-Zahlung!

    > Wenn also beispielsweise einer der Webserver, auf welchem Wege auch immer,
    > kompromitiert wird (dafür muss noch nichteinmal Valve selbst Mist gebaut
    > haben, sondern ein anderer Dienstleister / Softwarehersteller)

    Das ändert aber nichts am Vorwurf, denn Valve ist auch für die verantwortlich.

    > Die einzige Möglichkeit soetwas wieder möglichst schwer zu machen, ist sensible
    > Informationen, nicht im Klartext in der Datenbank liegen zu haben.

    Ist das jetzt Deine Annahme, WAS genau passiert ist?

    > Lange Rede, kurzer Sinn: Man sollte nicht sofort die dicke Keule auspacken
    > und versuchen einer Softwarefirma, die schon knapp 16 Jahre im Geschäft
    > ist, zu erzählen wie der Hase läuft.

    Der Vorwurf bleibt bestehen und ist gerechtfertigt. Punkt. Wenn sie ehrlich dazu stehen und Besserung geloben - nicht wie Sony - dann werden die meisten dafür Verständnis haben.

    > Zumal, wie ich finde die Sache halb so wild ist, da es sich bei den MÖGLICHERWEISE
    > gestohlenen Daten um ein Backup von 2008 handelt und 90% der
    > Kreditkarteninformationen faktisch wertlos sind, weil abgelaufen ^^.

    Den möglichen Schaden würde ich weder marginalisieren, noch was mit den Daten alles gemacht oder nicht gemacht werden kann. Valve hat sich dbzgl. nämlich gar nicht festgelegt, WAS genau in so einem Backup alles drinsteckt.

  5. Re: Warum lernen die Dienstleister nicht aus Fehlern?

    Autor: spambox 12.02.12 - 23:21

    Kein Gezanke! Wir haben doch alle irgendwie recht, oder?

    Das Problem ist das Grundprinzip von Steam. Der Zwang, sich registrieren zu müssen, ist in Ordnung. Der Zwang bestimmer Bezahlmethoden ist krimimell. Der Zwang, des Logins für ein Offline-Spiel ist auch inakzeptabel. Ich bin mir sicher, dass das den deutschen Gesetzen nicht ganz gerecht wird...aber wo kein Kläger, da kein Richter.

    Letztendlich muss der Konsument das nehmen, was die Konzerne ihm hinwerfen.

    #sb

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. über Hays AG, Dortmund
  2. Brückner Maschinenbau GmbH & Co. KG, Siegsdorf
  3. ivv GmbH, Hannover
  4. fodjan GmbH, Dresden

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. (u. a. be quiet! Straight Power 11 Platinum 850Watt PC-Netzteil für 154,90€, Heitronic...
  2. 172,90€
  3. (u. a. Razer Basilisk Ultimate Wireless Gaming-Maus und Mouse Dock für 129€, Asus ROG Strix G17...
  4. (u. a. Samsung GQ65Q80T 65 Zoll QLED für 1.199€, Corsair HS60 Over-ear-Gaming-Headset Carbon...


Haben wir etwas übersehen?

E-Mail an news@golem.de


Programm für IT-Jobeinstieg: Hoffen auf den Klebeeffekt
Programm für IT-Jobeinstieg
Hoffen auf den Klebeeffekt

Aktuell ist der Jobeinstieg für junge Ingenieure und Informatiker schwer. Um ihnen zu helfen, hat das Land Baden-Württemberg eine interessante Idee: Es macht sich selbst zur Zeitarbeitsfirma.
Ein Bericht von Peter Ilg

  1. Arbeitszeit Das Sechs-Stunden-Experiment bei Sipgate
  2. Neuorientierung im IT-Job Endlich mal machen!
  3. IT-Unternehmen Die richtige Software für ein Projekt finden

Weclapp-CTO Ertan Özdil: Wir dürfen nicht in Schönheit und Perfektion untergehen!
Weclapp-CTO Ertan Özdil
"Wir dürfen nicht in Schönheit und Perfektion untergehen!"

Der CTO von Weclapp träumt von smarter Software, die menschliches Eingreifen in der nächsten ERP-Generation reduziert. Deutschen Perfektionismus hält Ertan Özdil aber für gefährlich.
Ein Interview von Maja Hoock


    Fiat 500 als E-Auto im Test: Kleinstwagen mit großem Potenzial
    Fiat 500 als E-Auto im Test
    Kleinstwagen mit großem Potenzial

    Fiat hat einen neuen 500er entwickelt. Der Kleine fährt elektrisch - und zwar richtig gut.
    Ein Test von Peter Ilg

    1. Vierradlenkung Elektrischer GMC Hummer SUV fährt im Krabbengang seitwärts
    2. MG Cyberster MG B Roadster mit Lasergürtel und Union Jack
    3. Elektroauto E-Auto-Prämie übersteigt in 2021 schon Vorjahressumme