Honderden servers doelwit bij creditcard-diefstal supermarkt
Uit onderzoek blijkt dat onbekende criminelen malware hebben kunnen plaatsen op honderden servers van de Amerikaanse supermarktketen Hannaford Brothers. Hierdoor kregen zij miljoenen creditcardnummers in handen.
De grootschalige fraudezaak werd door de supermarktketen op 17 maart openbaar gemaakt, maar details over de kraak ontbraken. Uit nader onderzoek door beveiligingsfirma's blijkt dat de criminelen vakkundig te werk zijn gegaan. Zij wisten hun malware op driehonderd servers van het bedrijf te plaatsen. De kwaadaardige software deed zijn werk tussen 7 december en 10 maart en kon bij elke betalingstransactie tussen een verkooppunt van de supermarkt en een autorisatiesysteem creditcardgegevens onderscheppen. De gestolen creditcardnummers en de bijbehorende verloopdata werden door de malware gebundeld en in batches doorgestuurd naar een buitenlands ip-adres, zo laat de getroffen firma in een brief aan justitie weten. In totaal zouden de gegevens van 4,2 miljoen kaarthouders zijn gestolen.
Onduidelijk blijft nog hoe de malware op de servers van Hannaford terecht is gekomen, zo bericht The Boston Globe. Inmiddels heeft de supermarktketen al zijn systemen vervangen, nadat beveiligingsexperts en de geheime dienst de besmette servers hadden weten te identificeren. Het bedrijf benadrukte dat zijn serverpark op 27 februari nog was goedgekeurd voor de pci-beveiligingsnorm die door Visa en Mastercard aan ondernemers wordt opgelegd. Een van de eisen is dat het betalingsverkeer tussen de systemen moet worden versleuteld.
Beveiligingsexperts stellen dat de kraak bij Hannaford Brothers een van de eerste grootschalige aanvallen is waarbij malware betalingsgegevens weet te onderscheppen tijdens het uitwisselen van data tussen verschillende serversystemen. Eerdere aanvallen van cybercriminelen waren vooral gericht op databases met klantgegevens. Hoewel het nog een raadsel is hoe de malware op grote schaal geïnstalleerd kon worden, sluiten de beveiligingsexperts een inside job niet uit. Ook zou de firewall van het bedrijf niet goed gefunctioneerd hebben, omdat de criminelen onopgemerkt de gestolen gegevens naar buiten konden sturen.
Reacties (88)
En dat is 't probleem met creditcard aankopen en online transacties: ook al ben je nog zo zorgvuldig met je gegevens als een webshop o.i.d. ten prooi valt aan dit soort praktijken liggen al je gegevens nog steeds op straat.
Het gaat hier volgens mij niet eens om een online transactie. Uit het artikel maak ik op dat het gaat om "gewone" creditcardtransacties bij winkels van de supermarkt. Geen enkele reden dus om dit te koppelen aan online betalingen via de creditcard...
... en dan gebruiken criminelen je credit card en woon jij een week later in een kartonnen doos. 
Maar serieus: je moet gewoon altijd je credit card afschriften in de gaten houden. Zie je een transactie die je niet gedaan hebt, dan meldt je dat en krijg je je geld terug. Dat is mijn ervaring tenminste. Elk betaalmiddel heeft zo wel z'n voor- en nadelen. Geld kan ontwaarden door hyperinflatie, of gewoon gestolen worden. Wat dat betreft loop ik liever met een credit card over straat dan met 4000 euro in cash.
Vind het prima hoor, als iemand geen credit card wil, maar ga dan ook niet jammeren dat het zo moeilijk is iets bij een buitenlandse webshop te bestellen.
Maar serieus: je moet gewoon altijd je credit card afschriften in de gaten houden. Zie je een transactie die je niet gedaan hebt, dan meldt je dat en krijg je je geld terug. Dat is mijn ervaring tenminste. Elk betaalmiddel heeft zo wel z'n voor- en nadelen. Geld kan ontwaarden door hyperinflatie, of gewoon gestolen worden. Wat dat betreft loop ik liever met een credit card over straat dan met 4000 euro in cash.
Vind het prima hoor, als iemand geen credit card wil, maar ga dan ook niet jammeren dat het zo moeilijk is iets bij een buitenlandse webshop te bestellen.
en met je cc kun je ook prima bij paypal terecht 
"Elk betaalmiddel heeft zo wel z'n voor- en nadelen. Geld kan ontwaarden door hyperinflatie, of gewoon gestolen worden. Wat dat betreft loop ik liever met een credit card over straat dan met 4000 euro in cash."
Het geld dat op je bankrekening staat ontwaardt bij inflatie ook gewoon hoor:) heb je nog steeds niks aan een creditcard. En als je creditcard gestolen wordt ben je ook niet blij.
Het geld dat op je bankrekening staat ontwaardt bij inflatie ook gewoon hoor:) heb je nog steeds niks aan een creditcard. En als je creditcard gestolen wordt ben je ook niet blij.
Op een creditcard staat geen geld maar krediet. Dus inflatie heeft alleen invloed als je iets gekocht heb met je kaart en nog niet afbetaald (een positieve invloed zelfs).
Ehm, een credit card wordt gedekt door geld op je bankrekening (wat dus ontwaard) of door het betalen van rente. De betaalde rente voor credit is over het algemeen hoger dan de inflatie.
Alle aankopen zijn een jaar verzekerd bij Visa / Mastercard.
Ook ben je verzekerd tijdens transport (schade) en voor het niet geleverd worden van objecten die je hebt gekocht.
Onzin dus die doos
Sowieso zit er op iedere kaart een daglimiet, weeklimiet of maandlimiet zoals op iedere reguliere PIN-pas in Nederland.
Ook ben je verzekerd tijdens transport (schade) en voor het niet geleverd worden van objecten die je hebt gekocht.
Onzin dus die doos
Sowieso zit er op iedere kaart een daglimiet, weeklimiet of maandlimiet zoals op iedere reguliere PIN-pas in Nederland.In Nederland ja.
Dit omdat de betalingen via Interpay verlopen.
In sommige landen is dit echter niet het geval. In sommige landen wordt er door zo'n terminal alleen maar de zaken gedaan die vroeger gedaan werden via de telefoon.
Bellen, CC nummer doorgeven, en bedrag doorgeven. De controle aan de andere kant bestaat dan uit controle of pas niet als geblokkeerd staat, of er de laatste maand geen overtrokken vlag staat en of je niet over je limiet gaat. (Dit is een limiet per uitgave).
De detaillist moet dan nog na de transactie zelf de bonnen versturen als met het oude slipsysteem.
(Overigens zit daar een deel van het probleem) De detaillist MOET de data opslaan. Erfenis van het oude systeem dus en in sommige landen verplicht. Als gevolg daarvan kan je dan dus niet met een blinde terminal werken die alleen maar communiceert met een pinpad.
Maar ook die zijn niet helemaal veilig tegen skimming zoals bijvoorbeeld het hypercom verhaal.
Dit omdat de betalingen via Interpay verlopen.
In sommige landen is dit echter niet het geval. In sommige landen wordt er door zo'n terminal alleen maar de zaken gedaan die vroeger gedaan werden via de telefoon.
Bellen, CC nummer doorgeven, en bedrag doorgeven. De controle aan de andere kant bestaat dan uit controle of pas niet als geblokkeerd staat, of er de laatste maand geen overtrokken vlag staat en of je niet over je limiet gaat. (Dit is een limiet per uitgave).
De detaillist moet dan nog na de transactie zelf de bonnen versturen als met het oude slipsysteem.
(Overigens zit daar een deel van het probleem) De detaillist MOET de data opslaan. Erfenis van het oude systeem dus en in sommige landen verplicht. Als gevolg daarvan kan je dan dus niet met een blinde terminal werken die alleen maar communiceert met een pinpad.
Maar ook die zijn niet helemaal veilig tegen skimming zoals bijvoorbeeld het hypercom verhaal.
Merkwaardig dat je niet negatiever over de creditcard denkt, terwijl je hier aangeeft dat ook jij met een frauduleuze poging te maken hebt gehad...Zie je een transactie die je niet gedaan hebt, dan meldt je dat en krijg je je geld terug. Dat is mijn ervaring tenminste.
En 't is natuurlijk gewoon uitermate droevig dat je elke transactie perfect in de gaten moeten houden (c.q. dat je alles moet noteren). 'T geeft gewoon aan dat 't systeem niet goed in elkaar steekt.
In NL worden creditcards nog niet zo heel veel gebruikt, maar in de US wordt 't gewoon continue gebruikt voor elke betaalhandeling. Dan valt 't ook niet op als er een keertje een klein bedrag wordt afgeschreven die niet klopt - ook al let je goed op.
Somige dingen kan je (bijna) niet zonder CC. Zoals een auto huren, een hotelbed reserveren.
Het is inderdaad jammer dat een CC slecht beveiligd is.
Het is inderdaad jammer dat een CC slecht beveiligd is.
mwa, ik ben mijn CC vergeten en heb nu toch al in aardig wat hotels weten te overnachten (ja, ik zit een paar maanden in verwegistan)
Ik heb ook meegemaakt dat met een machtiging die ik aangetekend schriftelijk had opgezegd bij een bedrijf, dat er toch nog steeds maandelijks werd afgeboekt.
Ik ben dan toch ook niet meteen helemaal negatief over het Nederlandse girale betalingssysteem?
Fraude zie je overal. Het pleit voor de creditcard dat je zo eenvoudig onder de gevolgen van die fraude uitkomt.
Ik ben dan toch ook niet meteen helemaal negatief over het Nederlandse girale betalingssysteem?
Fraude zie je overal. Het pleit voor de creditcard dat je zo eenvoudig onder de gevolgen van die fraude uitkomt.
Je hoeft persoonlijk niet eens je creditcard afschriften bij te houden. Dat doet de CC-Company zelf. Bij veranderingen in je uitgavepatroon bellen ze je op en vragen wat je laatste betaling was. Alles transacties na die datum worden ongeldig verklaard. CC-Companies doen hier zo makkelijk over omdat het huidige CC-systeem oud en onveilig is. Door snel te reageren bij een veranderend uitgavepatroon en door niet moeilijk te doen over het ongeldig verklaren van betalingen die de kaarthouder niet heeft gemaakt houden de CCC's het systeem en daarmee zichzelf in stand.
Online transacties zijn denk ik niet per se verkeerd. Het zit hem denk ik meer in de kwetsbaarheid dat je alleen je nummer en vervaldatum van je kaart hoeft te geven. Als je bijvoorbeeld bij online bankieren inlogt moet je eerst via een los apparaatje een code krijgen en vervolgens ook nog voor je overschrijvingen. Dit is natuurlijk ook vast wel op een of andere manier te kraken maar al stukken moeilijker dan creditcards...
Misschien moet die beveiligingsnorm dan omhooggeschroefd worden? Die malware was toen al een tijdje bezig, en de beveiliging die in die norm opgelegd is is dus kennelijk niet effectief.Het bedrijf benadrukte dat zijn serverpark op 27 februari nog was goedgekeurd voor de pci-beveiligingsnorm die door Visa en Mastercard aan ondernemers wordt opgelegd.
Ik denk niet dat de norm hoger moet komen te liggen, maar breder. Ik bedoel, als die Firewall zo "open" staat dat de criminelen onopgemerkt al die gegevens naar buiten kunnen transporteren, is dat duidelijk een hiaat in de normering. (Hoewel ik heel goed weet dat je moeilijk álles dicht kunt zetten)
[Reactie gewijzigd door sjaakduhuuhl op zondag 30 maart 2008 17:13]
Als het dan toch een inside job was, en als ze zo dicht zaten dat ze al die computers konden infecteren, dan konden ze ook gewoon de firewall openzetten waarschijnlijk.. 
Misschien hebben ze de data gewoon versleuteld en via smtp of http verzonden?
Misschien hebben ze de data gewoon versleuteld en via smtp of http verzonden?
Hoe goed je beveiliging ook is, tegen een inside job sta je gewoon machteloos. Zolang er mensen bij betrokken zijn heb je een zwakke plek. Zegt de norm eigenlijk ook iets over wie toegang mag hebben tot welke systemen, en hoeveel toegangsrechten die persoon mag hebben?
Eigenlijk een nietszeggende mededeling. Evengoed kan je zeggen: 'Zolang er computers bij betrokken zijn heb je een zwakke plek.'. Want die computers zijn ook weer door mensen gemaakt.Zolang er mensen bij betrokken zijn heb je een zwakke plek.
Betalen met een creditcard gaat veels te makkelijk ( daar zijn ze eigenlijk voor ) echter voor kwaadaardige mensen is ook makkelijk ermee misbruik kunnen maken zodra zij aan de gegevens zijn voorzien. Het is wel belangrijk voor de kaarthouder, nadat zij een transactie hebt afgerond ,daarna controleert of het nog wel klopt zodat er op tijd maatregeling getroffen kunnen worden.
Ik heb ook een creditcard destijds gebruik van gemaakt en er is niks makkelijker om een product hiermee te betalen. Jammer dat ideal NOG niet wereld wijd wordt ondersteund.
Ik hoop alleen dat sommigen voorzichtiger ermee omgaat.
Ik heb ook een creditcard destijds gebruik van gemaakt en er is niks makkelijker om een product hiermee te betalen. Jammer dat ideal NOG niet wereld wijd wordt ondersteund.
Ik hoop alleen dat sommigen voorzichtiger ermee omgaat.
Als buitenlander heb je inderdaad niets aan Ideal. Zit je constant lange overschrijvingen te maken ipv Ideal. Slechts heel soms zijn er nog webshops die mogelijkheid tot Visa houden in combinatie met Ideal.
4.2 miljoen mensen getroffen in ongeveer 3 maanden? Zoveel mensen die een creditcard bij een supermarkt gebruiken?
Wie rekent zijn boodschappen dan ook met een creditcard af? Voor kleinere bedragen moet je dan soms zelfs een toeslag betalen. Zoiets doe je toch met een pinpas of contant ofzo?
Een insidejob, dus door een eigen personeelslid, lijkt me zoals ze zelf al aangeven een goede kans ja. Dat zou dan ook verklaren waarom de firewall niet (goed) werkte, want zo'n medewerker kan die natuurlijk ook gewoon configgen zodat het betreffende verkeer word doorgelaten.
Overigens wel slecht dat het drie maanden heeft geduurd voor men erachter was. Men heeft toch wel procedures om op gezette tijden op malware of andere verdachte zaken te controleren?
En die pci-norm stelt kennelijk ook niet zo heel erg veel voor, als een met malware besmet systeem er gewoon doorheen komt.
Wie rekent zijn boodschappen dan ook met een creditcard af? Voor kleinere bedragen moet je dan soms zelfs een toeslag betalen. Zoiets doe je toch met een pinpas of contant ofzo?
Een insidejob, dus door een eigen personeelslid, lijkt me zoals ze zelf al aangeven een goede kans ja. Dat zou dan ook verklaren waarom de firewall niet (goed) werkte, want zo'n medewerker kan die natuurlijk ook gewoon configgen zodat het betreffende verkeer word doorgelaten.
Overigens wel slecht dat het drie maanden heeft geduurd voor men erachter was. Men heeft toch wel procedures om op gezette tijden op malware of andere verdachte zaken te controleren?
En die pci-norm stelt kennelijk ook niet zo heel erg veel voor, als een met malware besmet systeem er gewoon doorheen komt.
[Reactie gewijzigd door wildhagen op zondag 30 maart 2008 17:18]
Even niet in de gaten gehad dat over de Amerikaanse supermarktketen Hannaford Brothers gaat. Pinpas en contant betalen zijn daar niet gebruikelijk.
Volgens mij zijn juist de Amerikanen nog aanhangers van contant geld. Een tijdje terug was er nog een artikel over hun aversie tegen het vervangen van de 1 Dollar briefjes door muntjes, omdat ze die briefjes zo makkelijk in een bundeltje mee konden nemen
Maar aan de andere kant is het zo dat ze ook zo'n beetje alles met een creditcard kopen als het meer is dan een paar dollar. Zij zien een creditcard zoals wij een pinpasje zien en met een heleboel Amerikanen is het niet zo vreemd dat er dus heel veel mensen de dupe van zijn.
De meeste mensen gebruiken een debit card. Credit card en pinpas gecombineerd. Staat er geen geld op je rekening kun je ook geen betalingen verrichten. Wel zo makkelijk want het kost ook niks aan rente e.d.
Een debit card is een normale bankpas.
Dat zal wel een andere reden hebben. In de VS moet je zowat voor alles een fooi geven. Een stapel 1 dollar briefjes in je zakken is dan erg handig.
Met KroontjesPen. Wat hier een pinpas is, is in Amerika een creditcard. Je kunt daar zonder creditcard bijna niets, en er zijn zat mensen die zelfs in de Starbucks met een creditcard betalen. Dus ja, die 4.2 miljoen in 3 maanden is helemaal niet zo vreemd.
In heel veel landen, ik spreek nu van Zuid-Amerika, kun je je boodschappen gewoon op afbetaling betalen. Dat is heel verleidelijk en het gebeurt massaal.
In amerika zijn debit cards ook gebacked door Mastercard en Visa, dus wat hier een pinpas is is daar een mastercard of een visa. Vandaar dat iedereen er ook een heeft, het is gewoon hun bankkaart.
"Jammer dat ideal NOG niet wereld wijd wordt ondersteund.
Ik hoop alleen dat sommigen voorzichtiger ermee omgaat."
Maar een groot nadeel van Ideal is dat de betaling meteen plaatsvindt terwijl het bij de meeste bedrijven zo is dat je pas betaalt (met je creditcard) op het moment dat de spullen verzonden worden.
Ik hoop alleen dat sommigen voorzichtiger ermee omgaat."
Maar een groot nadeel van Ideal is dat de betaling meteen plaatsvindt terwijl het bij de meeste bedrijven zo is dat je pas betaalt (met je creditcard) op het moment dat de spullen verzonden worden.
Wat heeft iDeal (overigens idd een erg goed en handig systeem) hiermee te maken? Dat gaat over online aankopen, terwijl het hier over een supermarkt gaat. Ik ken, ook in Nederland, geen enkele supermarkt waar ik aan de kasse met iDeal kan betalen.
Inderdaad, maar begrijp ik nu dat Baltar enzo dat veranderd willen zien? Aan de kassa met iDeal betalen als alternatief voor de PIN pas of chipknip?Ik ken, ook in Nederland, geen enkele supermarkt waar ik aan de kasse met iDeal kan betalen.
Met iDeal aan de kassa betalen? Dus dan sta je met het apparaatje van de rabobank en je pas in de aanslag om daarna een aantal codes in te voeren. En bij de postbank krijg je een TAN code per sms. Ook niet echt handig als je in de supermarkt geen bereik hebt.. PIN en Chipknip vindt ik dan een stuk handiger..
Asjeblieft niet! Ideal is met name verzonnen door winkeliers zodat zij een 100% aanbetaling kunnen ontvangen waarbij de rechtspositiie van de koper erg slecht is. Met Ideal heb je geen manier om je geld teruggestort te krijgen als de winkel failliet gaat, niet levert, geen koop-op-afstand wil respecteren of geen verzendschade wil vergoeden. Met een goede creditcard heb je dit wel. Ik koop in Nederlandse webshops nooit iets via vooruitbetaling juist om deze redenen.
De nadelen die je noemt kloppen wel, maar je vergeet de voordelen te noemen. iDeal is in feite niets meer dan een snel alternatief voor de ouderwetse overschrijving. Het is een flink stuk veiliger dan een creditcardbetaling. Over het uitgegeven bedrag op een creditcard betaal je achterlijk veel rente en bovendien gaat een deel van dat bedrag als provisie (~3%) naar de creditcard-maatschappij, wat je terugziet in de prijs van de webshop. Betalingen met iDeal zijn veel goedkoper voor winkeliers. Tevens heeft in NL simpelweg niet iedereen een creditcard.
De rechtspositie van de consument is in beide gevallen overigens gelijk, maar met een probleem bij een creditcardbetaling zal je inderdaad eerder je gelijk krijgen dan bij betalingen mbv iDeal. Maar de shopsurvey checken voordat je bij een webshop koopt kan al een hoop ellende schelen...
De rechtspositie van de consument is in beide gevallen overigens gelijk, maar met een probleem bij een creditcardbetaling zal je inderdaad eerder je gelijk krijgen dan bij betalingen mbv iDeal. Maar de shopsurvey checken voordat je bij een webshop koopt kan al een hoop ellende schelen...
Naar mijn idee zou een creditcard nummer + verloopdatum geen enkele waarde moeten hebben voor een dief. Net zo min als ik jou mijn gironummer zou geven. Wat moet je daarmee? Er moeten gewoon extra beveiligingen zijn die ondanks diefstal van wat nummers een transactie moeten waarborgen. Een code per SMS of cardreader helpt al een stuk beter.
Die extra beveiliging is er al, achterop staat een 3-cijferige verificatie code.
Met deze gegevens kan je de verificatie code berekenen/bepalen of je eigen kaarten persen, daarna kan je alles kopen wat je maar wilt =D
Een extra code per sms of cardreader ontneemt alle gemak van een creditcard, en dat is nou juist waarvoor ze er zijn, voor het gemak. (Je geeft hem af alsof het geld is en krijgt hem terug zonder wisselgeld)
edit: verkeerd gelezen
Met deze gegevens kan je de verificatie code berekenen/bepalen of je eigen kaarten persen, daarna kan je alles kopen wat je maar wilt =D
Een extra code per sms of cardreader ontneemt alle gemak van een creditcard, en dat is nou juist waarvoor ze er zijn, voor het gemak. (Je geeft hem af alsof het geld is en krijgt hem terug zonder wisselgeld)
edit: verkeerd gelezen
[Reactie gewijzigd door timmo op zondag 30 maart 2008 23:48]
Creditcards bieden toch altijd verzekering en dergelijke aan? En je moet toch tekenen voor transacties oid? Of mis ik nou iets (heb zelf geen CC en ook nog nooit mee betaald)?
Als de firewall niet goed werkt , hangt het programma denk ik. Zo'n programma doet echt niets meer of minder dan er in de instellingen aangegeven is.....Ook zou de firewall van het bedrijf niet goed gefunctioneerd hebben, omdat de criminelen onopgemerkt de gestolen gegevens naar buiten konden sturen......
Overigens, als ik html via poort 80 iets naar buiten stuur, zal er niet zoveel te melden zijn dunkt me.
Programma hoeft helemaal niet te hangen. Met "niet goed werken" kan natuurlijk ook gewoon bedoeld worden dat hij verkeer doorlaat wat hij eigenlijk had moeten blokkeren, ik denk ook dat dat hier bedoeld word. Of dat nu door een foute configuratie komt of door kwade opzet van een insider is nog de vraag.
En html via port 80 is leuk, maar het lijkt me dat je dat alleen openzet voor PC's/servers die ook daadwerkelijk HTML moeten kunnen gebruiken. Ik kan geen reden bedenken waarom een server die zich met betaaltransacties bezig houd HTML zou moeten kunnen gebruiken. In zo'n geval zet je dus port 80 dicht voor die server(s), en dan zou het dus wel opvallen (of althans, moeten opvallen) als er opeens iets via die port gebeurt op die server.
En html via port 80 is leuk, maar het lijkt me dat je dat alleen openzet voor PC's/servers die ook daadwerkelijk HTML moeten kunnen gebruiken. Ik kan geen reden bedenken waarom een server die zich met betaaltransacties bezig houd HTML zou moeten kunnen gebruiken. In zo'n geval zet je dus port 80 dicht voor die server(s), en dan zou het dus wel opvallen (of althans, moeten opvallen) als er opeens iets via die port gebeurt op die server.
Het gaat een stap verder...In zo'n geval zet je dus port 80 dicht voor die server(s)[...]
Standaard staat ALLES DICHT!
Ongeacht voor welke server(s).
Pas daarna ga je kijken voor welke server welke poort / protocol nodig is naar welk(e) ipadres(sen) om open te zetten.
Initieel is het een arbeidsintensief klusje, maar het gaat hier wel om beveiliging van gevoelige gegevens en daar moet je gewoon de tijd voor nemen.
Als er fatsoenlijke documentatie bij de software geleverd is, is dat helemaal geen "arbeidsintensief klusje". Onzin om dat met de hand uit gaan zitten vogelen.
Je kan nog zoveel dichtzetten in de firewall als je wil, meestal wordt HTTP naar buiten wel toegestaan (voor bvb updates). En als de malware gewoon de gegevens via HTTP POST naar buiten stuurt dan kun je niet veel doen. Dus de hoofdvraag blijft hoe is de malware daar terecht gekomen !
Een goed netwerk is beter beveiligd dan allen hardwarematige ASICs chips
Denk aan een softwarefirewall die de pakketjes ook inhoudelijk kan scannen
Denk aan een softwarefirewall die de pakketjes ook inhoudelijk kan scannen
software updates? via internet? voor zulke gevoelige systemen? ik hoop het niet!
Ik neem aan dat het voor de servers met informatie nagenoeg niet mogelijk is om evrbindingen naar buiten op te zetten, en dan eiegnlijk alleen naar specifieke hosts.
Ik neem aan dat het voor de servers met informatie nagenoeg niet mogelijk is om evrbindingen naar buiten op te zetten, en dan eiegnlijk alleen naar specifieke hosts.
"Ook zou de firewall van het bedrijf niet goed gefunctioneerd hebben, omdat de criminelen onopgemerkt de gestolen gegevens naar buiten konden sturen."
Dit lijkt mij een klein foutje, overigens ingegeven door onder meer Microsoft: een firewall beschermt namelijk een entiteit van buiten naar binnen. Het voorkomt dat nare bende BINNENkomt. Wil je nare bende niet naar buiten hebben, dan praat je imo een Stateful Packet Inspector.
Of ik moet de definitie van Firewall verkeerd hebben.
Dit lijkt mij een klein foutje, overigens ingegeven door onder meer Microsoft: een firewall beschermt namelijk een entiteit van buiten naar binnen. Het voorkomt dat nare bende BINNENkomt. Wil je nare bende niet naar buiten hebben, dan praat je imo een Stateful Packet Inspector.
Of ik moet de definitie van Firewall verkeerd hebben.
Ik betwijfel dat een dergelijk groot concern hun betalingsservers uitrust met alleen de Windows firewall (als ze uberhaupt al Windows draaien). Voor dergelijke clusters zijn er waarschijnlijk een aantal dedicated firewall servers.
Ik vraag me af welk besturingssysteem deze systemen hadden draaien en hoe goed deze werden geupdate.
Als het een inside job was maakt dat natuurlijk niet veel uit maar door niemand alle controle over een systeem te geven kan je de kans dat dit soort dingen gebeurt al sterk doen dalen...
Als het een inside job was maakt dat natuurlijk niet veel uit maar door niemand alle controle over een systeem te geven kan je de kans dat dit soort dingen gebeurt al sterk doen dalen...
Wat moet men dan doen? Per server 2 ict'ers inhuren? Je moet wegen tussen veiligheid en of het financiëel haalbaar is.
Nee, essentiële dingen groeperen en scheiden per ict'er/gebruiker. Zodat niemand het alleenrecht heeft op EN netwerktoegang met de buitenwereld EN toegang tot klantengegevens EN toegang tot het installeren van programmas EN toegang tot het wijzigen van logs EN etc.
Op deze manier crëeer je een systeem van zelfcontrole zodat misbruik al de samenwerking vraagt van een groep mensen.
Op deze manier crëeer je een systeem van zelfcontrole zodat misbruik al de samenwerking vraagt van een groep mensen.
[Reactie gewijzigd door Zubnix op zondag 30 maart 2008 18:05]
Hellaas gaat dat niet op...
Er is toch minimaal 1 superuser. Er moet toch iemand rechten laten uitdelen. anders kan niemand zijn werk doen.
Erg leuk maar onhaalbaar.
Er is toch minimaal 1 superuser. Er moet toch iemand rechten laten uitdelen. anders kan niemand zijn werk doen.
Erg leuk maar onhaalbaar.
Ja, als er maar 1 superuser is, weet je direct wie het gedaan heeft
Het recht om rechten uit te delen staat niet gelijk aan het recht om rechten te hebben... als je dit ook nog combineert met het 4-eyes principle heb je geen individu in je organisatie met alle rechten/mogelijkheden. Het is in principe heel makkelijk alleen nogal intensief en niet iets wat je leert op een gemiddelde ICT cursus/opleiding....
Wel haalbaar hoor namelijk SELinux:
Ik citeer uit wikipedia:
"...It has no concept of a "root" super-user, and does not share the well-known shortcomings of the traditional Linux security mechanisms (such as a dependence on setuid/setgid binaries)..."
http://en.wikipedia.org/wiki/SELinux
Ik citeer uit wikipedia:
"...It has no concept of a "root" super-user, and does not share the well-known shortcomings of the traditional Linux security mechanisms (such as a dependence on setuid/setgid binaries)..."
http://en.wikipedia.org/wiki/SELinux
volgens netcraft op de b2b server windows 2000:
b2b.hannaford.com Site Report December 2002 Hannaford Bros. Co. Windows 2000
http://searchdns.netcraft...n=limited&lookup=Wait..
b2b.hannaford.com Site Report December 2002 Hannaford Bros. Co. Windows 2000
http://searchdns.netcraft...n=limited&lookup=Wait..
Zie ik hier verdachten?Het bedrijf benadrukte dat zijn serverpark op 27 februari nog was goedgekeurd voor de pci-beveiligingsnorm die door Visa en Mastercard aan ondernemers wordt opgelegd
Mensen gaan serverpark controleren en plaatsen stiekem malware op de servers
Lijkt mij in ieder geval niet onmogelijk...
-edit-
Bedankt GlennVd en dutchminator..Heb er blijkbaar overheen gelezen..Blijft uiteraard raar dat ze zoiets niet merken tijdens een controle
[Reactie gewijzigd door Devrim op zondag 30 maart 2008 18:04]
De malware stond er al op toen...
De kwaadaardige software deed zijn werk tussen 7 december en 10 maart en kon bij elke betalingstransactie tussen een verkooppunt van de supermarkt en een autorisatiesysteem creditcardgegevens onderscheppen.
"De kwaadaardige software deed zijn werk tussen 7 december en 10 maart"
De malware stond er dus al enkele maanden op. Ze hebben het serverpark goedgekeurd terwijl de malware tussendoor lekker aan het intercepten was,...
De malware stond er dus al enkele maanden op. Ze hebben het serverpark goedgekeurd terwijl de malware tussendoor lekker aan het intercepten was,...
Ik ken de PCI regels niet, maar het zou me niets verbazen als de regel alleen maar stelt dat je een firewall moet hebben. Niet dat het ding aan moet staan of ingeregeld is ;-)
Op dit item kan niet meer gereageerd worden.
Onderwerpen
Populair: Asus Samsung Mobiele telefoons Laptops Apple Sony Games Microsoft Consoles Microsoft Xbox One
© 1998 - 2013 Tweakers.net B.V. Contact Over Tweakers Jouw privacy Algemene voorwaarden Cookies
Tweakers wordt uitgegeven door De Persgroep en wordt gehost door True
