Brute force hacking av flybilletter

[robertaas]

http://www.digi.no/artikler/du-kan-bli-din-egen-reiseagent-og-stjele-flyreiser/366877
Så nå kan moroa begynne.

Og så får man det plutselig travelt med å bytte ut de gamle bookingsystemene...

 

[Discus]

Ja, det der er jo ikke noe nytt. Heldigvis er det en del selskaper som krever litt mer informasjon enn bare booking-referanse for å endre på ting. Det vil ikke være nødvendig å endre på baksystemene, man må bare få tettet (i første omgang) web-grensesnittene som finnes (evt. tilgangen de bruker innover). Eks. hos Norwegian så må jeg logge på sidene deres, eller få tilsendt kode på SMS/mail i tillegg til at jeg må inn med kredittkortinfo. Men en del flyselskaper, og online reisebyråer, er litt mer slepphendte.

Sjekk denne videoen som viser en del flere svakheter hos reiseselskapene, eks. det å komme seg inn på bonuskontoer, som jo i dag er fulle av verdi:
https://vimeo.com/97530814

 

[Hypern]

Tja veldig morsomt at noen slår opp brute force som noe sensasjonelt - det er jo den ene metoden som til syvende og sist alltid vil fungere, men tid og krefter er en annen sak...

 

[roger]

Tja veldig morsomt at noen slår opp brute force som noe sensasjonelt - det er jo den ene metoden som til syvende og sist alltid vil fungere, men tid og krefter er en annen sak...

OT, men det er vel like sensasjonelt som at det går an å gå inn på utland med fullflexbillett, kjøpe "kvota", gå ut og så kansellere. Ref sak på VG el DB i dag.

Sent fra min MotoG3 via Tapatalk

 

[Jens W]

Tja veldig morsomt at noen slår opp brute force som noe sensasjonelt - det er jo den ene metoden som til syvende og sist alltid vil fungere, men tid og krefter er en annen sak...

Nå ja. Brute force har, selv med tilgjengelig datakraft i snart2017, blitt relativt enkelt å sikre seg mot. Man må bare ha sterke nok algoritmer og måter å sikre seg på. 33x6 tegn tar derimot ikke lang tid.

Det som til syvende og sist vil fungere, og som faktisk er den vanligste måten å begå datainnbrudd på, er social engineering.

 

[LN-MOW]

.

Og så får man det plutselig travelt med å bytte ut de gamle bookingsystemene...

Nei gitt - det er de fancy webapplikasjonene som ligger 'oppå' som er sårbare. Hindring av 'ubegrensede ip-oppslag' er fullt mulig og gjøres - som f.eks. Ryanair gjør med Skyscanner og Skypicker. Problemet med dette er at man da også riaikerer å sperre for søkemotorer på 'lovlig oppdrag'.

Man vil heller ikke gjøre det for vanskelig for kunden. Da mister man salg.

 

[gustavf]

Nei gitt - det er de fancy webapplikasjonene som ligger 'oppå' som er sårbare.

Nja.... Nei. Problemet er at det er underliggende systemer som er laget uten spesielt mye tanke på sikkerhet, og i hvert fall ikke sikkerhetsutfordringene der kundene skal drive selvbetjening. Da blir mye av sikkerheta avhengig a at disse webapplikasjonene, og det er en fryktelig dårlig ide.

I bunn og grunn er problemet at flybransjen er avhengig av gamle systemer som er like fleksible som tankskip og like tilpasset dagens IT-virkelighet som en zeppeliner.

 

[LN-MOW]

Joa, sant nok, men de utfordringene ville du nok hatt uansett. Det er jo det som er 'customer facing' som er det kritiske, og da spiller det liten rolle hva som ligger i bånn. Spesielt når det skal være både brukervennlig og sikkert.

 

[dc-8-63]

Nja.... Nei. Problemet er at det er underliggende systemer som er laget uten spesielt mye tanke på sikkerhet, og i hvert fall ikke sikkerhetsutfordringene der kundene skal drive selvbetjening. Da blir mye av sikkerheta avhengig a at disse webapplikasjonene, og det er en fryktelig dårlig ide.

I bunn og grunn er problemet at flybransjen er avhengig av gamle systemer som er like fleksible som tankskip og like tilpasset dagens IT-virkelighet som en zeppeliner.

Nja...nei - er langt i fra enig med deg, muligens har du bedre innsikt i flybransjen enn det jeg har, men jeg har et helt annet inntrykk. At man har "stormaskin" i bunn er langt i fra unikt for flybransjen, bank, helse og forsikring har samme arkitektur og dette har langt mer med transaksjonsvolum enn alder paa de underliggende systemene aa gjoere.

Det er jo ikke heller slik at man slo av lyset, sluttet aa utvikle og lot alle utviklere pensjonere seg naar de underliggende systemene ble levert. Flere av de store har utviklet totalt nye loesninger for blant annet tilpasse seg LCC.

Flybransjen har uten problemer klart aa moete den enorme veksten en har hatt de senere aarene, hver ny passasjer medfoerer vel rundt 100 transaksjoner.

Hele distribusjonens kanalene er totalt endret, fra et noksaa lukket system (FlySelskap - Reisebyraa) til et system hvor du som kunde, passasjer har full adgang til aa finne, sammenligne og handle reiser som du tidligere var 100% avhengig av aa bruke reisebyraa eller flyselskap for aa finne ut av. Det er en helt ny fleksibilitet og noe som er kjernen i hvordan de underliggende systemene 100% har aapnet for LCC's utvikling - hvordan tror du Norwegian ville ha klart seg om de maatte selge seg inn hos alle reisebyraaer, betale 9% kommisjon paa allt salg og fremdeles ha begrenset adgang til aa selge seg inn i nye markeder.

Jeg skjoenner overhodet ikke hva du mener at Web Applikasjonene er sikkerhets problemer ? Flybransjen bruker ikke lette Python og PHP loesninger, det er solide Web Applikasjoner som Oracle's eCommerce Platform som brukes, og disse kan sikres med sertifisering (uten problemer godkjennt for HIPAA) - og dette er standarder som benyttes i all eCommerce.

I dag kan jeg i loepet av minutter finne den beste prisen paa en reise som starter paa andre siden av Atlanterhavet, jeg kan endre salgssted (det er ofte store variasjoner etter hvilket land), valuta og kjoepe en billett som leveres til min kone hjemme i Seattle. Gaar jeg til en Bank med oenske om aa overfoere samme beloep slik at hun kan kjoepe billetten lokalt, blir minuttene til minimum 3 arbeidsdager - ofte 5 arbeidsdager med rundt 10-15% feil (pengene kunne ikke overfoeres og blir returnert etter nye 3-5 dager).