Flyprat
Støtt oss. Bestill billetter og varer her:


Go Back   Flyprat > Småprat

Notices

Reply
 
Thread Tools Display Modes
Old 28-12-2016, 21:01   #1
robertaas
Helgeturekstremist
 
robertaas's Avatar
 
Join Date: Nov 2010
Posts: 7,250
Default Brute force hacking av flybilletter

http://www.digi.no/artikler/du-kan-b...yreiser/366877
Så nå kan moroa begynne.

Og så får man det plutselig travelt med å bytte ut de gamle bookingsystemene...
__________________
Disclaimer#1: Har ingen annen agenda her enn at jeg er en vanlig, men engansjert forbruker. Jobber ikke i bransjen og betaler selv for mine reiser.

OSL-DBX-LHE-DBX-OSL
OSL-DUS-OSL - Reisebilder:
http://picasaweb.google.com/robertaas Reisekart - Disclaimer#2
robertaas is offline   Reply With Quote
Old 29-12-2016, 12:09   #2
Discus
ScanFlyer Inventory

Galley Slave
Global Moderator
 
Discus's Avatar
 
Join Date: Apr 2008
Location: Bærum
Posts: 24,053
Default Re: Brute force hacking av flybilletter

Ja, det der er jo ikke noe nytt. Heldigvis er det en del selskaper som krever litt mer informasjon enn bare booking-referanse for å endre på ting. Det vil ikke være nødvendig å endre på baksystemene, man må bare få tettet (i første omgang) web-grensesnittene som finnes (evt. tilgangen de bruker innover). Eks. hos Norwegian så må jeg logge på sidene deres, eller få tilsendt kode på SMS/mail i tillegg til at jeg må inn med kredittkortinfo. Men en del flyselskaper, og online reisebyråer, er litt mer slepphendte.

Sjekk denne videoen som viser en del flere svakheter hos reiseselskapene, eks. det å komme seg inn på bonuskontoer, som jo i dag er fulle av verdi:
__________________

________________________________________
An airport runway is the most important Main Street in any town. (Norman Crabtree, Former Director, Ohio Department of Transportation)

Last edited by Discus; 29-12-2016 at 12:11.
Discus is offline   Reply With Quote
Old 29-12-2016, 12:25   #3
Hypern
ScanFlyer Crusty
 
Hypern's Avatar
 
Join Date: Dec 2009
Location: Oslo, Norway
Posts: 3,608
Default Re: Brute force hacking av flybilletter

Tja veldig morsomt at noen slår opp brute force som noe sensasjonelt - det er jo den ene metoden som til syvende og sist alltid vil fungere, men tid og krefter er en annen sak...
Hypern is offline   Reply With Quote
Old 29-12-2016, 21:30   #4
roger
Rakettforskar
 
Join Date: Jan 2012
Location: Trondheim
Posts: 1,651
Default Re: Brute force hacking av flybilletter

Quote:
Originally Posted by Hypern View Post
Tja veldig morsomt at noen slår opp brute force som noe sensasjonelt - det er jo den ene metoden som til syvende og sist alltid vil fungere, men tid og krefter er en annen sak...
OT, men det er vel like sensasjonelt som at det går an å gå inn på utland med fullflexbillett, kjøpe "kvota", gå ut og så kansellere. Ref sak på VG el DB i dag.

Sent fra min MotoG3 via Tapatalk
__________________
some....
roger is offline   Reply With Quote
Old 29-12-2016, 22:13   #5
Jens W
ScanFlyer Crusty
 
Jens W's Avatar
 
Join Date: Sep 2004
Posts: 3,191
Default Re: Brute force hacking av flybilletter

Quote:
Originally Posted by Hypern View Post
Tja veldig morsomt at noen slår opp brute force som noe sensasjonelt - det er jo den ene metoden som til syvende og sist alltid vil fungere, men tid og krefter er en annen sak...
Nå ja. Brute force har, selv med tilgjengelig datakraft i snart2017, blitt relativt enkelt å sikre seg mot. Man må bare ha sterke nok algoritmer og måter å sikre seg på. 33x6 tegn tar derimot ikke lang tid.

Det som til syvende og sist vil fungere, og som faktisk er den vanligste måten å begå datainnbrudd på, er social engineering.
__________________
Mine flybilder
Coming up:
NIL
Jens W is offline   Reply With Quote
Old 29-12-2016, 22:24   #6
LN-MOW
Flyklapper
 
LN-MOW's Avatar
 
Join Date: Sep 2004
Location: KGVL
Posts: 43,957
Default Re: Brute force hacking av flybilletter

Quote:
Originally Posted by robertaas View Post
.

Og så får man det plutselig travelt med å bytte ut de gamle bookingsystemene...
Nei gitt - det er de fancy webapplikasjonene som ligger 'oppå' som er sårbare. Hindring av 'ubegrensede ip-oppslag' er fullt mulig og gjøres - som f.eks. Ryanair gjør med Skyscanner og Skypicker. Problemet med dette er at man da også riaikerer å sperre for søkemotorer på 'lovlig oppdrag'.

Man vil heller ikke gjøre det for vanskelig for kunden. Da mister man salg.
__________________
Andreas Mowinckel
enfb.net
Airliners at Fornebu
Radar Station KGVL
LN-MOW is online now   Reply With Quote
Old 29-12-2016, 22:32   #7
gustavf
ScanFlyer Mile High Club

Galley Slave
Global Moderator
 
gustavf's Avatar
 
Join Date: Jul 2006
Location: Oslo
Posts: 7,968
Default Re: Brute force hacking av flybilletter

Quote:
Originally Posted by LN-MOW View Post
Nei gitt - det er de fancy webapplikasjonene som ligger 'oppå' som er sårbare.
Nja.... Nei. Problemet er at det er underliggende systemer som er laget uten spesielt mye tanke på sikkerhet, og i hvert fall ikke sikkerhetsutfordringene der kundene skal drive selvbetjening. Da blir mye av sikkerheta avhengig a at disse webapplikasjonene, og det er en fryktelig dårlig ide.

I bunn og grunn er problemet at flybransjen er avhengig av gamle systemer som er like fleksible som tankskip og like tilpasset dagens IT-virkelighet som en zeppeliner.
__________________
Meld deg inn i Foreningen Flyprat:
http://foreningen.flyprat.no/
gustavf is offline   Reply With Quote
Old 29-12-2016, 22:41   #8
LN-MOW
Flyklapper
 
LN-MOW's Avatar
 
Join Date: Sep 2004
Location: KGVL
Posts: 43,957
Default Re: Brute force hacking av flybilletter

Joa, sant nok, men de utfordringene ville du nok hatt uansett. Det er jo det som er 'customer facing' som er det kritiske, og da spiller det liten rolle hva som ligger i bånn. Spesielt når det skal være både brukervennlig og sikkert.
__________________
Andreas Mowinckel
enfb.net
Airliners at Fornebu
Radar Station KGVL
LN-MOW is online now   Reply With Quote
Old 04-01-2017, 17:32   #9
dc-8-63
Finn Erik Edvardsen
 
dc-8-63's Avatar
 
Join Date: Sep 2004
Posts: 7,490
Default Re: Brute force hacking av flybilletter

Quote:
Originally Posted by gustavf View Post
Nja.... Nei. Problemet er at det er underliggende systemer som er laget uten spesielt mye tanke på sikkerhet, og i hvert fall ikke sikkerhetsutfordringene der kundene skal drive selvbetjening. Da blir mye av sikkerheta avhengig a at disse webapplikasjonene, og det er en fryktelig dårlig ide.

I bunn og grunn er problemet at flybransjen er avhengig av gamle systemer som er like fleksible som tankskip og like tilpasset dagens IT-virkelighet som en zeppeliner.
Nja...nei - er langt i fra enig med deg, muligens har du bedre innsikt i flybransjen enn det jeg har, men jeg har et helt annet inntrykk. At man har "stormaskin" i bunn er langt i fra unikt for flybransjen, bank, helse og forsikring har samme arkitektur og dette har langt mer med transaksjonsvolum enn alder paa de underliggende systemene aa gjoere.

Det er jo ikke heller slik at man slo av lyset, sluttet aa utvikle og lot alle utviklere pensjonere seg naar de underliggende systemene ble levert. Flere av de store har utviklet totalt nye loesninger for blant annet tilpasse seg LCC.

Flybransjen har uten problemer klart aa moete den enorme veksten en har hatt de senere aarene, hver ny passasjer medfoerer vel rundt 100 transaksjoner.

Hele distribusjonens kanalene er totalt endret, fra et noksaa lukket system (FlySelskap - Reisebyraa) til et system hvor du som kunde, passasjer har full adgang til aa finne, sammenligne og handle reiser som du tidligere var 100% avhengig av aa bruke reisebyraa eller flyselskap for aa finne ut av. Det er en helt ny fleksibilitet og noe som er kjernen i hvordan de underliggende systemene 100% har aapnet for LCC's utvikling - hvordan tror du Norwegian ville ha klart seg om de maatte selge seg inn hos alle reisebyraaer, betale 9% kommisjon paa allt salg og fremdeles ha begrenset adgang til aa selge seg inn i nye markeder.

Jeg skjoenner overhodet ikke hva du mener at Web Applikasjonene er sikkerhets problemer ? Flybransjen bruker ikke lette Python og PHP loesninger, det er solide Web Applikasjoner som Oracle's eCommerce Platform som brukes, og disse kan sikres med sertifisering (uten problemer godkjennt for HIPAA) - og dette er standarder som benyttes i all eCommerce.

I dag kan jeg i loepet av minutter finne den beste prisen paa en reise som starter paa andre siden av Atlanterhavet, jeg kan endre salgssted (det er ofte store variasjoner etter hvilket land), valuta og kjoepe en billett som leveres til min kone hjemme i Seattle. Gaar jeg til en Bank med oenske om aa overfoere samme beloep slik at hun kan kjoepe billetten lokalt, blir minuttene til minimum 3 arbeidsdager - ofte 5 arbeidsdager med rundt 10-15% feil (pengene kunne ikke overfoeres og blir returnert etter nye 3-5 dager).
__________________
Bainbridge - A Drinking Island, with a Sailing Problem

Last edited by dc-8-63; 04-01-2017 at 17:35.
dc-8-63 is offline   Reply With Quote
Reply

Thread Tools
Display Modes

Posting Rules
You may not post new threads
You may not post replies
You may not post attachments
You may not edit your posts

BB code is On
Smilies are On
[IMG] code is On
HTML code is Off

Forum Jump

Similar Threads
Thread Thread Starter Forum Replies Last Post
Hacking av Dreamliner Fly high Flyforum 1 06-01-2008 16:18


All times are GMT +2. The time now is 04:30.


Feedback Buttons provided by Advanced Post Thanks / Like (Lite) - vBulletin Mods & Addons Copyright © 2017 DragonByte Technologies Ltd.
Copyright Foreningen Flyprat, Scanair og bidragsytere. Enkelte ikoner fra Famfamfam CC-BY.