Jump to content
  • הצטרפו למשפחה

    היי, היי אתה (או את) שם!

    אנחנו יודעים, נחמד להיות אנונימי, ולמי בכלל יש כוח להירשם או להיות עכשיו "החדשים האלה".

    אבל בתור חברי פורום רשומים תוכלו להנות ממערכת הודעות פרטיות, לנהל מעקב אחרי כל הנושאים בהם הייתם פעילים, ובכלל, להיות חלק מקהילת הרכב הכי גדולה, הכי מגניבה, וכן - גם הכי שרוטה, באינטרנט הישראלי. 

    אז קדימה, למה אתם מחכים? בואו והצטרפו ותהיו חלק מהמשפחה הקצת דפוקה שלנו.
     

dir="rtl" style="text-align:right;"> שימו לב! השרשור הזה בן 5295 ימים, שזה ממש ממש הרבה ולכן הוא ננעל.

אם אתם פותחי השרשור ו/או יש לכם עדכון רלוונטי לנושא - פנו לאחד המנהלים ונפתח את השרשור חזרה לתגובות.

פוסטים מומלצים

פורסם

אין לכם מה לחפש קבצים ברשת

 

שכל אחד יכנס לאתר של חברת האשראי שלו ובדף הראשי כל החברות שמו רוביקות למילוי פרטים אישיים כדי לברר במדוייק מה עלה בגורל מספר האשראי שלכם

לתגובה רצינית, ראה את הודעתו של gsi16v.
זה משפט שלא ציפיתי לראות בפורום הזה
  • תגובות 31
  • פורסם
  • תגובה אחרונה

המגיבים הפעילים ביותר בשרשור

המגיבים הפעילים ביותר בשרשור

פורסם

הבזיון מתחלק לכמה:

1. שמירת פרטי אשראי אסורה בהחלט (קיים אישור נדיר שניתן רק לחברות סליקה לצורך "הוראת קבע") , בוודאי לא CVV (מספר בן 3 ספרות בגב הכרטיס).

2. אם כבר אתה מספיק מטומטם בכדי לשמור פרטי אשראי, לפחות תצפין אותם בדרך כלשהי, אפילו מינימלית

3. אין סינון SQLI באתרים המסריחים האלו והסיסמאות דיפולטיביות

4. אני אופתע אם יש SSL

 

אבל PAYPAL שומרים את הנתונים לא ?

פורסם
אבל PAYPAL שומרים את הנתונים לא ?

כנ"ל appstore

ZX 94 > קסנטיה 97 > לנסר 2007 > מונדאו 2007 > קורולה 2013 > קורולה 2015 > איוניק 2018 > סיוויק 2002 > מזדה3 2018

 

Everybody in the galaxy tries to take over the galaxy. The trick is to be left alone by whoever succeeds

פורסם

1. שמירת פרטי אשראי אסורה בהחלט (קיים אישור נדיר שניתן רק לחברות סליקה לצורך "הוראת קבע") , בוודאי לא CVV (מספר בן 3 ספרות בגב הכרטיס).

 

החברות שכן מקבלות את האישור ועוברות על התקן הארוך והמסובך PCI, יכולות לשמור.

מדובר על מסד נתונים פנימי, שרת שונה מהחיצוני, עליו הכל מוצפן וכולל FIREWALL פנימי וחיצוני, כולל עדכונים\סריקות תקופתיות ועוד עשרות מנגנוני הגנה מתוחכמים. אי אפשר למשוך את המספר של האשראי בשום אופן. כדי לסלוק הם מעבירים הוראה של מזהה חד חד ערכי של האשראי (מזהה כלשהו 1234) המקושר לאשראי ואת הסכום.

 

מערכות כאלו לא נפרצות אלא אם מישהו ממש ממש התאמץ ובד"כ זה לא שווה את זה.

טכנולוגית זה סיפור מטורף עד בלתי אפשרי (למרות שבאבטחת מידע אף פעם לא אומרים אף פעם) אבל אם נניח יש לכם הדלפה פנימית כמו עובד שסרח או משהו בסגנון זה כמובן מקל על העבודה..

 

האתרים המעאפנים האלו שנפרצו, שמרו את המספר של האשראי בplaintext במסד נתונים. כל "האקר" חובבן שיודע מעט מאוד SQLI יכל להוציא את הנתונים האלו.

פורסם

תרגיעו רבותי, תרגיעו, אל תצאו בתאורים חסרי ביסוס עובדתי כמו בזיון ומחדל, אל תכתבו דברים לא נכונים.

חברות האשראי לא שייכות לסיפור. לא פרצו אליהן, לא דלף מהן כלום!

מגיעים לחברות האשראי שבחים רבים על פעילות יעילה, נמרצת ומצויינת מרגע שנתגלתה הדליפה לרשת.

חברות האשראי משקיעות משאבים רבים מאוד במעקב קבוע ואבטחה קשיחה. כאשר יש דפ"אות והתכוננות מראש - התוצאות בזמן אמת הן מצויינות. הרי כל מי שהקפיצו אותו לעבודה בלילה של יום שני ידע מה לעשות ואיך, והמערכת שלהן תפקדה היטב. אילתורים טובים רק לשעת הצורך והפתעות בלתי צפויות.

הלואי שכל הגופים הממשלתיים והבטחוניים יפעלו כך בשעת חרום.

 

אין שום חוק שאוסר על עסקים לשמור כרטיסי אשראי וקוד נוסף (3 עד 5 ספרות). אי אפשר לחייב כל עסק קטן לסידורי אבטחה מעבר למינימליסטיים (בנוסח סגרתי את הדלת של המשרד), או מערכות הצפנה.

החוק היחידי הידוע לי בתחום אבטחת מיחשוב הוא לגבי שמירת פרטים אישיים של עובדים במערכות משאבי אנוש.

מספרי כרטיסים ופרטי חשבונות בנק שלכם מצויים בהמון מקומות: מתחנת הדלק, הסופר, חנות קטנה שקניתם משהו ב-20 ש"ח ועד אתרים בכל העולם וכל איפה שאי פעם שילמתם משהו. אנשים רושמים בפייסבוק הרבה פרטים אישיים ולא יודעים כמה המידע נגיש ולא מחיק.

הלקוח מוגן היטב משימוש לרעה בכרטיס. יש גם תקרת אשראי אישית שמונעת שימוש בסכומי עתק.

יש המון מערכות תוכנה בהן הפרטים שמורים לבירורים והתחשבנות שאינה בזמן אמיתי, ואין באופק פתרון טוב להגנה מירבית. אף עסק או מתכנת לא עובר על החוק.

אתם חושבים שחברות הדלק מצפינות מספרים? העיריה? המרכולים? או חברות הביטוח (למעט אחת שבה ידוע לי כי יש הצפנה)? שכל מוסך מחזיק מערך אבטחה והצפנה למחשב שלו? אל תהיו תמימים. הם לא.

תבינו: הצפנה היא תהליך מורכב, יקר מאוד, קשה להטמעה במערכת קיימת וברוב הארגונים יש מערכת תוכנה קיימת.

גם אם תהיה הצפנה, מי שקצת מכיר מערכות מידע יודע שהמידע קיים ונגיש בקלות בדרכים אחרות, ולא נרחיב.

 

1. שמירת פרטי אשראי אסורה בהחלט ( אין, והאדום מיותר

קיים אישור נדיר שניתן רק לחברות סליקה לצורך "הוראת קבע") , בוודאי לא CVV (מספר בן 3 ספרות בגב הכרטיס). בולשיט. אתה יודע בכלל איך עובד מנגנון הוראת קבע?

 

החברות שכן מקבלות את האישור ועוברות על התקן הארוך והמסובך PCI, יכולות לשמור.

מדובר על מסד נתונים פנימי, שרת שונה מהחיצוני, עליו הכל מוצפן וכולל FIREWALL פנימי וחיצוני, כולל עדכונים\סריקות תקופתיות ועוד עשרות מנגנוני הגנה מתוחכמים. אי אפשר למשוך את המספר של האשראי בשום אופן. כדי לסלוק הם מעבירים הוראה של מזהה חד חד ערכי של האשראי (מזהה כלשהו 1234) המקושר לאשראי ואת הסכום.

איפה ראית דבר כזה? אין הפרדה בין שרתים, זה ממש לא ישים, מדובר על מחשבים גדולים ולא פיסי, ככה שהפיירוול יתכן רק על התקשורת הכללית, אין שום מסד פנימי של מספרים בארגון של עשרות/מאות/אלפי עובדים. אם ה"קישור" שאתה מתכוון הוא אינדקס לקובץ המוצפנים - זו שיטה לא הכי יעילה, וממילא המידע נגיש בדרך אחרת.

 

האתרים המעאפנים האלו שנפרצו, שמרו את המספר של האשראי בplaintext במסד נתונים.

ממש לא. אין תצורה כזו במסד נתונים, זה לא עורך טקסט של פיסי

 

... במקרה ו 400 אלף לקוחות עוברים הונאה וצריך לפצות כל אחד באלפי שקלים, זה כבר עלול לערער את כל החברה..:wink:

לא נכון לגבי חברות האשראי. לחברות יש ביטוח, ולביטוח יש מבטחי משנה לפיזור הסיכון. גם 400,000 כרטיסים גנובים כפול, נגיד 10,000 נזק (יש תקרה ממוצעת) - יתן 40 מיליון - שבחלוקה בין החברות יהיה סכום שהן יעמדו בו בכבוד גם ללא הפעלת הביטוח. יש להן חובת הון עצמי.

ילה גבר בא נראה! מר +1
פורסם

איני יודע על חוק לגבי הצפנת מידע, אבל יש חוק המחייב כל מי שמחזיק ב"מאגר מידע" (הכולל מידע אישי מסויים) לרשום אותו, נדמה לי במשרד המשפטים. מדובר בכל מאגר הכולל את אותם פרטים אישיים, לא רק במערכות משאבי אנוש.

 

מה שברור לי הוא שאין שום אמצעי בטוח למניעת הונאות וגניבות - אפשר לכייס אותך או לפרוץ ולגנוב לך את התכשירטים אפשר לגנוב ולזייף המחאות, ויש תרמיות בכרטיסי אשראי.

 

מכל הסיפור עניין כרטיסי האשראי הוא מה שפחות מטריד אותי. אני מוטרד הרבה יותר מהאפשרות לגניבת זהות.

 

ולמי שמזכיר את הפייסבוק ודומיו - יותר מאשר צודק, צריך להיות זהירים מאוד בבחירת המידע שמעלים לרשת, וגם בבחירת ה"חברים" ברשתות החברתיות.

לפני 5 שעות, David32 כתב:

מה שאתה לא מבין זה שאתה מבזבז את הזמן שלך, את תעבורת האינטרנט שלך ואת אורך החיים של סוויצים במקלדת שלך.

 

פורסם
תרגיעו רבותי, תרגיעו, אל תצאו בתאורים חסרי ביסוס עובדתי כמו בזיון ומחדל, אל תכתבו דברים לא נכונים.

חברות האשראי לא שייכות לסיפור. לא פרצו אליהן, לא דלף מהן כלום!

מגיעים לחברות האשראי שבחים רבים על פעילות יעילה, נמרצת ומצויינת מרגע שנתגלתה הדליפה לרשת.

חברות האשראי משקיעות משאבים רבים מאוד במעקב קבוע ואבטחה קשיחה. כאשר יש דפ"אות והתכוננות מראש - התוצאות בזמן אמת הן מצויינות. הרי כל מי שהקפיצו אותו לעבודה בלילה של יום שני ידע מה לעשות ואיך, והמערכת שלהן תפקדה היטב. אילתורים טובים רק לשעת הצורך והפתעות בלתי צפויות.

הלואי שכל הגופים הממשלתיים והבטחוניים יפעלו כך בשעת חרום.

 

אין שום חוק שאוסר על עסקים לשמור כרטיסי אשראי וקוד נוסף (3 עד 5 ספרות). אי אפשר לחייב כל עסק קטן לסידורי אבטחה מעבר למינימליסטיים (בנוסח סגרתי את הדלת של המשרד), או מערכות הצפנה.

החוק היחידי הידוע לי בתחום אבטחת מיחשוב הוא לגבי שמירת פרטים אישיים של עובדים במערכות משאבי אנוש.

מספרי כרטיסים ופרטי חשבונות בנק שלכם מצויים בהמון מקומות: מתחנת הדלק, הסופר, חנות קטנה שקניתם משהו ב-20 ש"ח ועד אתרים בכל העולם וכל איפה שאי פעם שילמתם משהו. אנשים רושמים בפייסבוק הרבה פרטים אישיים ולא יודעים כמה המידע נגיש ולא מחיק.

הלקוח מוגן היטב משימוש לרעה בכרטיס. יש גם תקרת אשראי אישית שמונעת שימוש בסכומי עתק.

יש המון מערכות תוכנה בהן הפרטים שמורים לבירורים והתחשבנות שאינה בזמן אמיתי, ואין באופק פתרון טוב להגנה מירבית. אף עסק או מתכנת לא עובר על החוק.

אתם חושבים שחברות הדלק מצפינות מספרים? העיריה? המרכולים? או חברות הביטוח (למעט אחת שבה ידוע לי כי יש הצפנה)? שכל מוסך מחזיק מערך אבטחה והצפנה למחשב שלו? אל תהיו תמימים. הם לא.

תבינו: הצפנה היא תהליך מורכב, יקר מאוד, קשה להטמעה במערכת קיימת וברוב הארגונים יש מערכת תוכנה קיימת.

גם אם תהיה הצפנה, מי שקצת מכיר מערכות מידע יודע שהמידע קיים ונגיש בקלות בדרכים אחרות, ולא נרחיב.

 

ממש לא. אין תצורה כזו במסד נתונים, זה לא עורך טקסט של פיסי

 

 

לא נכון לגבי חברות האשראי. לחברות יש ביטוח, ולביטוח יש מבטחי משנה לפיזור הסיכון. גם 400,000 כרטיסים גנובים כפול, נגיד 10,000 נזק (יש תקרה ממוצעת) - יתן 40 מיליון - שבחלוקה בין החברות יהיה סכום שהן יעמדו בו בכבוד גם ללא הפעלת הביטוח. יש להן חובת הון עצמי.

 

עם כל הכבוד חביבי, בלי להכיר אותך אני יכול בבטחה להגיד שאני ללמד אותך דבר או שניים על אבטחת מידע + הוראות קבע. יעידו כמה חברי פורום שהיו איתי בצבא ויודעים מה אני שווה. בנוסף עבדתי דרך חברה חיצונית בPAYPAL העולמית וייעצתי להם לגבי אבטחת מידע ויש לי אינספור נקודות בקו"ח שיכולות להוכיח את זה.

יש לי עסק גדול ומפורסם בבעלותי עם מעל 10,000 "הוראות קבע" אשראי בחודש. לא מדובר על הוראות קבע פרופר מהבנק אלא מהאשראי, משמע סליקה "רגילה" כל חודש אך בניהול חברת סליקה חיצונית. רק מכנים את זה הוראות קבע, בדיוק כמו שאתה נרשם לאתר בורסה וצריך להקיש פעם אחת את האשראי. כך שהנסיון שלי לא מבוסס על מדריכים ושמועות אלא הוא מוכח.

 

ולשאלה "איפה שמעתי על זה" אני עונה לך, בכל אתר שבו יש "הוראות קבע אשראיות" שהן לפי ההסבר שלי למעלה לא באמת "הוראת קבע" אלא חברות סליקה ששומרות את המספר ושולחות חזרה לסולק את הUID של הכרטיס.

לאחר מכן אתה שולח לו UID וסכום. ככה זה עובד אצלי, בכל אתר גדול ובכל העולם.

 

זה נכון שאין חוק מדינה בספר החוקים שאוסר על אחסון בלתי מוצפן, אבל כל תקן סטנדרטי מינימלי אוסר על שמירת נתוני אשראי ללא הצפנה. במידה ואתה עובד עם חברות אשראי (אני עובד עם כולן) אתה אמור להכיר את זה.

 

לידיעתך, רוב העסקים עובדים עם חברות סליקה חיצוניות ולא שומרים את המספרים המלאים.

חברות הסליקה החיצוניות, מקבלות את המספר מול עסקה חד פעמית ומחזירות לך כן או לא (או כמה ארורים שונים).

מבחינתך המספר נשכח ואתה פשוט יודע אם זה עבר או לא ומה מספר הקבלה.

 

האתרים שנפרצו שמרו את המידע PLAINTEXT שזה בעצם STRING רגיל לחלוטין ללא כל הצפנה.

זה בזיון מוחלט ויש להעניש את הבעלים של האתרים.

 

מערכות הצפנה לא "יקרות מאוד". הן "יקרות מאוד" לאנשים שמחפשים דברים יקרים.

יש גם הצפנה קלאסית OFB, PKCS7, DES, AES Cipher + padding שלא עולה לך הרבה, אלא יותר בסגנון 30 דקות של כתיבת קוד.

אם אתה מפחד שיקחו את המפתח, למרות שבפריצת SQLI (שהן הרוב המוחלט של הפריצות) לא יצליחו לקחת אותו אלא אם כן יריצו לך XP CMDSHELL וזה לרוב מבוטל, אתה יכול לאחסן את המנגון בDOK עם SID לכל כניסה נפרדת. הנה בניתי לך מערכת הצפנה שאגב פעילה אצלי בכל האתרים ביום יומיים כולל בדיקות. אם אתה מפחד מBRUTE שמבצע התוקף אתה יכול גם למנוע גישה מעל מספר פעמים שתקבע.

 

אגב, כתבת ש"הפרדת שרתים" זה לא ישים. אין חברת סליקה בעולם + אתר מסחר + בנקאות בעולם כולו שלא משתמש בהפרדת שרתים, פשוט כי זה התקן.

לא כדאי להוריד את הרמה של הדיון, כי "הפרדת שרתים" זה בערך הא.ב. של מי שיודע מעט אבטחת מידע.

לא שומרים את נתוני האשראי, מוצפנים ככל שיהיו, על שרת הWEB שלך. יש שרת חיצוני עם FW וIDS המחובר לשרת הWEB, הוא מקבל שאילתות לרוב בפרוטוקול קוסטומייזד של החברה.

 

בגלל שקבעת הכל בצורה כל כך נחרצת והטעת לחינם (אני תמיד אומר אם לא יודעים עדיף לא להגיד):

קח ציטוט בערך מהפסקאות הראשונות של תקן PCI DSS:

Place the database in an internal network zone, segregated from the DMZ

The best way to protect such a database is to make sure it sits on a separate box from your Web server, encrypt the contents AND, in effect, make ODBC database traffic the only traffic ''qualified'' to access the server (in addition to the password-protection/software key of encryption).

http://databases.about.com/od/security/a/pcidss.htm

פורסם

לא נכון לגבי חברות האשראי. לחברות יש ביטוח, ולביטוח יש מבטחי משנה לפיזור הסיכון. גם 400,000 כרטיסים גנובים כפול, נגיד 10,000 נזק (יש תקרה ממוצעת) - יתן 40 מיליון - שבחלוקה בין החברות יהיה סכום שהן יעמדו בו בכבוד גם ללא הפעלת הביטוח. יש להן חובת הון עצמי.

 

במחלוקת בינך לבין מקס הזועם אני לא מתערב כי כל מה שכתבתם , אפשר היה גם מבחינתי לכתוב בסינית מדוברת.

 

לגבי יכולות החשבון שלך יש לי מה להעיר

 

400000 מוכפלים ב 10000 = 4,000,000,000 ובמילים ארבעה מיליארד ולא 40 מיליון .

 

נזק , אבל חברות הביטוח מכירות נזקים גדולים מאלה ובמטבעות יותר קשים מאשר הש"ח

ישראל סבא בסבבא של 🥰🥰🥰🥰🥰🥰🥰🥰

😍😍😍

יששששש נבחרת כדורגל

סלע כתב " מתים רק פעם אחת , חיים כל יום מחדש

פורסם

תראה מקס, אחת הבעיות שלי שאני תמיד מוכן ללמוד, לקבל עוד אינפורמציה, לעשות דברים כמה שיותר מושלמים.

אין טעם להכנס פה לעניינים מקצועיים והתנצחות. מצידי - כל עוד העסק שלך מרויח וגובה כל מה שמגיע - מצויין !

אני לא מבין יותר מידי באבטחה, אולי מבין קצת בתוכנה, אולי מכיר כמה ארגונים.

אם כבר מוזכר צבא ומחשבים, נתחיל בסיפור קטן? בגלל ידע כזה או אחר, פעם נקראנו (במילואים) לתדרוך לילי אצל הקצח"ר. קורה. באמצע בא אלינו מישהו עם קופסה ו.. "אמרו לי שאתם מבינים במחשבים - תבדקו מה עושים עם זה, אולי זה יעזר לכם". זה היה ה-GPS הראשון בצבא. במאמץ משותף וארוך של "מבינים" הצלחנו להפעיל אותו בחורשה שם באמצע הלילה, אחרי כיול מול כמה לווינים, לא ישראליים. פעם זה היה ידני... אז כבר ברורה דעתי על צבא ואנשי מחשב.

לא כולם. ברור. יש המון מצויינים !

בכל זאת, הארות על מה שמוכר לי, כי גם אחרים קוראים את הכתוב.

לא ברור לי איך נתוני הכרטיס של הלקוח מגיעים ממך אל הסולק. אם יש בארץ משהו דוגמת פייפאל - אשמח להכיר

האם אתה בטוח שהסולק שלך מצפין כרטיסים? מה קורה שכלקוח מחליף כרטיס? איך מי שמקליד או קולט אוטונטית רואה את זה? מה עושים אם לקוח משנה סכום בגלל שינוי הזמנה?

עם כל הכבוד וההערכה לעסק שלך, ככה לא עובדים בחברות גדולות בארץ. נגיד שאני מכיר כמה. הן מחזיקות מה שנקרא מסוף, פונות לחברות האשראי בכל מיני צורות, וכנראה שומרות אצלן במערכת את פרטי הכרטיס. לא מוצפן, כבר אמרנו?

זה כל כך נורא, כבר ציינתי כי בהרבה מקומות יש פרטי חשבון בנק (כגון להעברת משכורת) - ומה יקרה אם החשבונות יודלפו?

כתבת "כל תקן סטנדרטי מינימלי אוסר על שמירת נתוני אשראי ללא הצפנה". אין כזה. וגם בציטוט שהבאת מהאתר זו המלצה. בלבד.

בחיים למדנו שיש פער עצום בין מה שלומדים ומה שמיושם בשטח. טיעון שתקף חזק לעניין אבטחת מידע.

ההצפנה יקרה מאוד. אם אתה יכול ליישם אותה בחברות תוך שבועיים (נעזב יומיים - קח אפילו חודשיים) - עזוב הכל ולך תעשה את זה. יחטפו אותך ויעמדו בתור, גם אם תבקש כמה עשרות אלפי ש"ח עבור העבודה.

תו דעתך שעולם המיחשוב אינו רק סביבת ווב. ככל שהארגון גדול יותר - זוהי רק מדיה, והנתונים הם שם באיזה חדר במחשב מרכזי. ושם עיקר האקשן - הטיפול והאחסון.

ובשביל החיוך לסיום - נדמה לי שהתנועה אל ומחברות האשראי אינה מוצפנת. ברוב הזמן. אההה.. הפתעה.

ילה גבר בא נראה! מר +1
פורסם

תראה מקס, אחת הבעיות שלי שאני תמיד מוכן ללמוד, לקבל עוד אינפורמציה, לעשות דברים כמה שיותר מושלמים. אין טעם להכנס פה לעניינים מקצועיים והתנצחות. מצידי - כל עוד העסק שלך מרויח וגובה כל מה שמגיע - מצויין ! אני לא מבין יותר מידי באבטחה, אולי מבין קצת בתוכנה, אולי מכיר כמה ארגונים.

אם כבר מוזכר צבא ומחשבים, נתחיל בסיפור קטן? פעם נקראנו (במילואים) לתדרוך לילי אצל הקצח"ר. קורה. בא אלינו מישהו עם קופסה ו.. "אמרו לי שאתם מבינים במחשבים - תבדקו מה עושים עם זה, אולי זה יעזר לכם". זה היה ה-GPS הראשון בצבא. במאמץ משותף וארוך של "מבינים" הצלחנו להפעיל אותו בחורשה שם באמצע הלילה.

אז כבר ברורה דעתי על צבא ואנשי מחשב. לא כולם. ברור

בכל זאת, הארות על מה שמוכר לי, כי גם אחרים קוראים את הכתוב.

לא ברור לי איך נתוני הכרטיס של הלקוח מגיעים ממך אל הסולק. אם יש בארץ משהו דוגמת פייפאל - אשמח להכיר

האם אתה בטוח שהסולק שלך מצפין כרטיסים? מה קורה שכלקוח מחליף כרטיס? איך מי שמקליד או קולט אוטונטית רואה את זה? מה עושים אם לקוח משנה סכום בגלל שינוי הזמנה?

עם כל הכבוד וההערכה לעסק שלך, ככה לא עובדים בחרות גדולות בארץ. נניח שאני מכיר כמה. הן מחזיקות מה שנקרא מסוף, פונות לחברות האשראי בכל מיני צורות, וכנראה שומרות אצלן במערכת את פרטי הכרטיס. לא מוצפן, כבר אמרנו?

זה לא כל כך נורא, כבר ציינתי כי בהרבה מקומות יש פרטי חשבון בנק (כגון להעברת משכורת) - ומה יקרה אם החשובנות יודלפו?

כתבת "כל תקן סטנדרטי מינימלי אוסר על שמירת נתוני אשראי ללא הצפנה". אין כזה. וגם בציטוט מהאתר זו המלצה. בלבד, ואיני יודע כמה בר סמכא אותו אתר.

בחיים למדנו שיש פער עצום ביןמה שלומדים ומה שמיושם בשטח. טיעון שתקף חזק לעניין אבטחת מידע.

ההצפנה יקרה מאוד. אם אתה יכול ליישם אותה בחברות תוך שבועיים (נעזב יומיים - קח אפילו חודשיים) - עזוב הכל ולך תעשה את זה. יחטפו אותך ויעמדו בתור, גם אם תבקש כמה עשרות אלפי ש"ח עבור העבודה.

תו דעתך שעולם המיחשוב אינו רק סביבת ווב. ככל שהארגון גדול יותר - זוהי רק מדיה, והנתונים הם שם באיזה חדר במחשב מרכזי. ושם עיקר האקשן - הטיפול והאחסון.

ובשביל החיוך לסיום - נדמה לי שהתנועה אל ומחברות האשראי אינה מוצפנת. ברוב הזמן. וואייי. אם נחשוב רגע - הן לא יכולים לכפות משהו אחר על הלקוחות שלהן.

 

יאשה - תודה על התיקון ! לוקח את דברי חזרה ומתנצל. תמיד טוב שיש חשבונאי בסביבה ולא לסמוך רק על המחשב.

ילה גבר בא נראה! מר +1
פורסם

 

מה שעוד יותר הצחיק אותי, זה שפתאום אני שומע אנשים אומרים "אחי אני ברשימה הזאת של הכרטיסי אשראי" ואז אמרתי לעצמי, מאיפה הם יודעים? הרי הרשימה שפורסמה באתרים הגדולים מסתירה את ארבעת הספרות האחרונות. בקיצור התברר שכל אחד שאמר לי שהוא מופיע שם, אחרי בדיקה בקבצים האמיתיים, לא מופיע בשום רשימה. אנשים לא מבינים כנראה ש**** זה 9999 אפשרויות.

 

ליתר דיוק, 6561 אפשרויות (9 בחזקת 4) :wink:

SAY MY NAME | www.alonadler.com

פורסם
תראה מקס, אחת הבעיות שלי שאני תמיד מוכן ללמוד, לקבל עוד אינפורמציה, לעשות דברים כמה שיותר מושלמים. אין טעם להכנס פה לעניינים מקצועיים והתנצחות. מצידי - כל עוד העסק שלך מרויח וגובה כל מה שמגיע - מצויין ! אני לא מבין יותר מידי באבטחה, אולי מבין קצת בתוכנה, אולי מכיר כמה ארגונים.

אם כבר מוזכר צבא ומחשבים, נתחיל בסיפור קטן? פעם נקראנו (במילואים) לתדרוך לילי אצל הקצח"ר. קורה. בא אלינו מישהו עם קופסה ו.. "אמרו לי שאתם מבינים במחשבים - תבדקו מה עושים עם זה, אולי זה יעזר לכם". זה היה ה-GPS הראשון בצבא. במאמץ משותף וארוך של "מבינים" הצלחנו להפעיל אותו בחורשה שם באמצע הלילה.

אז כבר ברורה דעתי על צבא ואנשי מחשב. לא כולם. ברור

בכל זאת, הארות על מה שמוכר לי, כי גם אחרים קוראים את הכתוב.

לא ברור לי איך נתוני הכרטיס של הלקוח מגיעים ממך אל הסולק. אם יש בארץ משהו דוגמת פייפאל - אשמח להכיר

האם אתה בטוח שהסולק שלך מצפין כרטיסים? מה קורה שכלקוח מחליף כרטיס? איך מי שמקליד או קולט אוטונטית רואה את זה? מה עושים אם לקוח משנה סכום בגלל שינוי הזמנה?

עם כל הכבוד וההערכה לעסק שלך, ככה לא עובדים בחרות גדולות בארץ. נניח שאני מכיר כמה. הן מחזיקות מה שנקרא מסוף, פונות לחברות האשראי בכל מיני צורות, וכנראה שומרות אצלן במערכת את פרטי הכרטיס. לא מוצפן, כבר אמרנו?

זה לא כל כך נורא, כבר ציינתי כי בהרבה מקומות יש פרטי חשבון בנק (כגון להעברת משכורת) - ומה יקרה אם החשובנות יודלפו?

כתבת "כל תקן סטנדרטי מינימלי אוסר על שמירת נתוני אשראי ללא הצפנה". אין כזה. וגם בציטוט מהאתר זו המלצה. בלבד, ואיני יודע כמה בר סמכא אותו אתר.

בחיים למדנו שיש פער עצום ביןמה שלומדים ומה שמיושם בשטח. טיעון שתקף חזק לעניין אבטחת מידע.

ההצפנה יקרה מאוד. אם אתה יכול ליישם אותה בחברות תוך שבועיים (נעזב יומיים - קח אפילו חודשיים) - עזוב הכל ולך תעשה את זה. יחטפו אותך ויעמדו בתור, גם אם תבקש כמה עשרות אלפי ש"ח עבור העבודה.

תו דעתך שעולם המיחשוב אינו רק סביבת ווב. ככל שהארגון גדול יותר - זוהי רק מדיה, והנתונים הם שם באיזה חדר במחשב מרכזי. ושם עיקר האקשן - הטיפול והאחסון.

ובשביל החיוך לסיום - נדמה לי שהתנועה אל ומחברות האשראי אינה מוצפנת. ברוב הזמן. וואייי. אם נחשוב רגע - הן לא יכולים לכפות משהו אחר על הלקוחות שלהן.

 

יאשה - תודה על התיקון ! לוקח את דברי חזרה ומתנצל. תמיד טוב שיש חשבונאי בסביבה ולא לסמוך רק על המחשב.

היי,

 

המטרה לא הייתה להיכנס להתנצחות חסרת משמעות אלא פשוט ליידע את קהל הקוראים מה היא האמת.

יש המון חברות גדולות ששומרות כרטיסי אשראי לא מוצפנים. לא מתווכח על זה. כשאתה יוצר התקשרות חדשה עם ישראכארט או סולקים אחרים, הם דורשים רק SSL ועמוד "פוליסי". כתוב באופן ברור בחוזה שהכרטיס לא ישמר כלל אלא אם כן אתה רוצה לעבור לרמה 2 שהיא סולק שעבר תקן PCI DSS. אני עובד עם חברת סליקה חיצונית, אתרים כמו פייפאל, אתרי בורסה של השקעות ובעצם כל אתר שבו אתה מכניס את הכרטיס שלך רק פעם אחת והוא שומר אותו עובדים כך:

אתה מכניס מספר כרטיס, פייפאל מקבלים את המידע ב SSL כמובן, המספר מועבר לשרת סליקה, השרת מחזיר לנו UID מזהה מסוים כדי שנדע איך להתייחס למספר הזה. שרת הסליקה עושה בדיקת התכנות לכרטיס, ניגש לשב"א (אצלהם זה לא שב"א אבל לא משנה) ושב"א מחזיר תשובה האם תקף או לא, זו עסקה וירטואלית הנועדה להגיד לפייפאל האם הכרטיס שלנו תקף או לא. לאחר מכן אם הכרטיס תקף, השרת של פייפאל מעביר אותו בצורה מאובטחת (פרוטוקול של פייפאל) לשרת פנימי אחר אצלהם בחווה.

השרתים האלו מאובטחים פיזית ותוכנתית ברמה הגבוהה ביותר. זה אומר שרת DB (אגב הDB הוא לא מוכר כדי למנוע הזרקות למיניהן, מדובר בDB customized שהם בנו לבד. בסה"כ HASHTABLE עם קי מסוים שהוא הID ואובייקט עם פרטי האשראי, מוצפנים לאללה). כשאתה קונה משהו בEBAY נניח, אתה עושה לוגין לPAYPAL ומשלם. איך זה קורה? המשתמש שלך מזוהה עם מספר כרטיסי אשראי, לכל כרטיס יש את הUID עליו דיברנו קודם. אתה רק רואה את ארבעת הספרות האחרונות, אותן אפשר לשמור בצורה בלתי מוצפנת, רק בשביל שתזהה את הכרטיס שאותו תרצה לסלוק. השרת WEB מעביר פקודה לשרת הסליקה, לסלוק את כרטיס UID= 9J82KVF (סתם דוגמה), שרת הסליקה ניגש לשרת הDB ואומר לו תן לי את הכרטיס 9J82KVF, שרת הDB מחזיר לו את הכרטיס, מוצפן, שרת הסליקה ניגש לשרת מבודד אחר שתפקידו היחיד הוא להצפין ולפענח. המטרה בבידוד השרת היא בידוד המפתח. השרת הזה נעול הרמטית חוץ מפורט אחד עם פרוטוקול אבסטרקטי שיודע לקבל סטרינג ולהחזיר לך אותו מפוענח או ההפך. יש גם נתוני META אחרים שצריך לשלוח אבל לא נכנס לזה, מדובר בהגנה כנגד ברוט פורס, הרשאות לפענוח ועוד. את הפרוטוקול הזה לא ניתן לפרוץ כי הוא כל כך פשוט וכל כך הרמטי. השרת סליקה מקבל את הפרטים וסולק. בכל התהליך הזה, הכרטיס שלנו מאוחסן אך ורק בשרת הDB הסופר מגה שמור ללא יציאה חיצונית ובזכרון הRAM של מחשב הסליקה. כל התקשורת היא SSL עם הגנות MITM וכמובן ועם פיירוולים בדרך. ככה זה עובד בפייפאל וככה זה עובד בכל אתרגדול ששומר כרטיסי אשראי ופועל לפי תקן. יש כמובן מערכות שבהן ישקיעו פחות, ללא פרוטוקולים, ללא DB קוסטומייזד ועוד. בשורה התחתונה, פריצות כמו של ה"האקר" הסעודי, במקרה הזה מדובר בילד בן 16 שלומד קצת SQLINJECTION ברמה הכי בסיסית שיש, לא יביאו אותו בחיים, אבל בחיים למאגר כזה. כל הצפנה בסיסית הייתה מונעת ממנו להדליף רשימה, כל הגנת SQLI בסיסית הייתה מונעת ממנו להיכנס לאתר. כשאני אומר בסיסית אני מדבר על מודול IIS או APACHE אחד מסכן שמפלטר לנו SQLI בצורה מצוינת לאתרים בסיסיים. הבושה והחרפה פה מגיעה לבעלי האתרים, שפשוט פתחו אתר בסיסי, שמרו את נתוני האשראי בDB פתוח לחלוטין ללא כל הצפנה ואין להם אפילו חצי מושג מה זה SQL INJECTION. בימינו כשכבר כל מתכנת יודע מה היא SQLI ולא רק אנשי אבטחת

מידע, אין שום סיבה לראות אתרים כאלו.

 

אגב, לגבי "אם אתה יכול להצפין בכלום כסף לך תעשה את זה", מדובר בתהליך פסיכולוגי מאוד קשה ומסובך. חברות גדולות מעדיפות לעבוד עם חברות גדולות ולהשקיע הון כסף במקום למצוא פתרון קטן פשוט ויעיל פי כמה. למה? כי הן טיפשות.

במיוחד באבטחת מידע, לרוב, עדיף להשתמש במוצרים לא מוכרים (תוך הנחה שתבדוק אותו כמו שצריך כמובן). עולם הפריצות מתבסס על ידע קודם של ההאקר עם המערכות, REVERSE ENGINEERING, קריאת SOURCE CODE אם היא מערכת פתוחה ועוד.

כשהאקר נתקל במערכת אבטחה שהוא לא מכיר, זה בדרך כלל הדבר שהכי יפריע לו. אגב אני מציע שירותי ייעוץ, אבטחת מידע, פיתוח ועוד www.brinschlider.com.

פורסם
ליתר דיוק, 6561 אפשרויות (9 בחזקת 4) :wink:

ליתר דיוק, 1000 אפשרויות (10 בחזקת 3 כי מותר גם 0) והספרה הרביעית נקבעת לפי checksum למספר (כמו זה שיש בתעודות זהות).

פורסם

מקס,

מעניין לקרוא את ההסבר המפורט אם כי לדעתי אין לו מקום בפורום הזה, ובודאי שלא לתת למישהו עוד שיקול בתכנון מזימה או להצביע על נקודת תורפה בתהליך. ואני מניח שאתה יודע איפה שומרים, בדרך כלל, את הקודים והכרטיסים החכמים להפעלת אותו שרת מבודד... ותאמין לי שעד היום רק במקום אחד היה לי שרת כזה, וגם שם רק בגלל שאותו ארגון עוסק בעניינים בטחוניים והמערכת שלו מנותקת לחלוטין מהאינטרנט. כלומר יש לך שני מחשבים מתחת השולחן - אחד לעבודה ואחד החוצה.

 

לא ראיתי הסבר למה עושים כאשר לקוח מחליף כרטיס, ומה עושים כאשר הבנק/חברת אשראי מחזיר פידבק לגבי התשלום ומקרה שהתשלום היה מחשבון/כרטיס אחר ואתה רוצה לעדכן את בסיס הנתונים במידע החדש. לפחות בחו"ל יש דבר כזה. התנועה אל ומחברות האשראי, ולא משנה אם ישירות או דרך מתווך, בעייתית.

אין עוררין כי חברות האשראי וסולקים רציניים נוקטים באמצעי אבטחה חזקים.שים לב שאותו בחור ידע לאתר את החולשה במקום אחר, ולא אצלן. פריצות מדווחות לארגונים גדולים וממשלתיים (ויש הרבה שלא מגיעות לתקשורת) הן, בחלק לא קטן מהמקרים, למטרות אגו ולא לשימוש לרעה. יכול להיות דיון מעניין על האקרים טובים ורעים.

 

העניין שאתה רואה רק את עולם הווב, ובנקודה אחת בלבד, רק נדבך אחד בשרשרת המידע, לא מה קורה באותו קיוסק, תחנת דלק, עיריה או חברת ביטוח וכל מקום שבו משלמים באשראי, ולא את המקומות הרבים בהם יש פרטי חשבון ופרטים אישיים. אי אפשר להצפין את כל הנתונים במערכות המידע. לא זה סוד שכמעט לכל מידע אפשר להגיע, בחינם או תמורת תשלום. ככה יהיה, זה מחיר התקשורת הרבה שיש בעולם כיום. ואי אפשר לעצור את זה, אולי אפשר לשפר אבטחה אבל יהיה קשה לכפות אותה בלי לערער את הכלכלה וההרגלים.

 

לגבי "חברות גדולות מעדיפות לעבוד עם חברות גדולות ולהשקיע הון כסף במקום למצוא פתרון קטן פשוט ויעיל פי כמה. למה? כי הן טיפשות." איזי עם השחצנות. זה מצדיק את ההשערה כי לטפשים יש מזל, תראה את המצב הכלכלי של אותן חברות.

רק שלא כולם טפשים. כנראה אינך מכיר את מערכות המידע שלהן, בסיסי הנתונים, למה ואיפה צריך נתוני אשראי או בנק ואיזה סיפור מורכב כרוך בהצפנה. מנהלים לא אוהבים לשלם, הם נמדדים בניצול תקציב הוצאות, הם יודעים להעריך כדאיות מול עלות, וכמו שאמר לי מישהו בחברה קטנה שם נערך דיון בשדרוג מערכת התוכנה ליעול ושיפור החברה (והוא חבר שלי, ככה שהמידע מהימן): אני מעדיף לקחת את הכמה מאות אלפים האלו ולקנות אוטו חדש מאשר להשקיע בתוכנה הזו ....

כבר ציינתי כי אם אם השיטה שלך טובה וזולה משמעותית - מחכה לך מכרה זהב. פנה לחברה גדולה ותבדק. רק שאני חושש שאחרי הפגישה הראשונה תבין שאההה.. לא.. זה לא ילך ככה.

 

בעקבות המקרים, אני הוספתי לרזומה שלי תאור שיש לי משהו ביחד עם בר רפאלי. (ולא נגיד שהקטע הוא ששנינו היינו ברשימה הראשונה). הייתי שקט מאוד, המשכתי לנסוע במהירות 32 ולעבוד כרגיל. רק בערב סימסו לי הודעה ויצרו קשר, וכל הנזק היה 10 דקות להגיע לקבל כרטיס חדש, וגם זה כי לא רציתי לקבל בדואר. אגב, המוזכרת השניה לא סימסה ולא כלום.

ילה גבר בא נראה! מר +1

×
×
  • תוכן חדש...