Database gegevens op straat ?

Overzicht Reageren

Sponsored by: Vacatures door Monsterboard

Ronny Vangaster

Ronny Vangaster

20/01/2024 16:22:14
Quote Anchor link
iedereen,

Hopelijk staat dit onderwerp in de juiste rubriek, zo niet mijn excuus hiervoor.

Tegenwoordig hoor je steeds meer dat gegevens kunnen worden ontfutseld door criminelen. Daar geloof ik uiteraard sterk in. Hoe dit komt kan ik logisch verklaren : het antwoorden op ontvangen phisingmails kan dit veroorzaken, het gebruik van gemakkelijke paswoorden zoals bv "123456" enz.

Maar wat ik niet goed snap is dat criminelen een database kunnen kopiëren. Ik zou echt niet weten hoe je dat kan doen als je geen inlog - of ftp-gegevens hebt, mijn kennis hierin is trouwens ondermaats. Je hoort regelmatig dat duizenden persoonlijke gegevens op straat worden gegooid. De tabellen die ik toevoeg in een database zijn altijd versleuteld met een 128-bits versleutelcode. Het lijkt me sterk dat criminelen die erin slagen de database te kunnen hacken dat ze ook de inhoud kunnen lezen. Zie ik dit correct ?
Wat is jullie mening hierover ? Dank.
Gewijzigd op 20/01/2024 16:24:33 door Ronny Vangaster
 
PHP hulp

PHP hulp

23/12/2024 13:03:41
 
Adoptive Solution

Adoptive Solution

20/01/2024 17:32:53
 
Ronny Vangaster

Ronny Vangaster

21/01/2024 04:50:20
Quote Anchor link
Bedankt voor de link die je gaf. Deze website gaat hoofdzakelijk over sql-injectie. Met sql-injectie kan je een database benaderen. Dat word uitvoerig uitgelegd op deze website. Eigenlijk ongelofelijk dat dit openbaar word getoond hoe je dat kan doen.
Je kan gegevens uit een tabel extraheren en ze exporteren naar bv een csv-bestand. Maar als de tabel is versleuteld heb je daar weinig aan, daar word verder niks over verteld. Volgens mij komen de versleutelde gegevens dan ook niet op straat. Met een automatische dagelijkse back-up van de database en versleuteling van de tabellen kan er weinig worden gehackt volgens mij ...
 
Ward van der Put
Moderator

Ward van der Put

21/01/2024 09:13:00
Quote Anchor link
Ronny Vangaster op 20/01/2024 16:22:14:
De tabellen die ik toevoeg in een database zijn altijd versleuteld met een 128-bits versleutelcode.

Waar sla je de sleutel op? Op dezelfde server? Of op een webserver die toegang heeft tot een databaseserver?
 
Ronny Vangaster

Ronny Vangaster

21/01/2024 11:48:21
Quote Anchor link
De coderingssleutel is nergens opgeslagen, die is "ingebakken" in de applicatie. Voor zover ik weet kan je alleen met deze applicatie de opgehaalde data "leesbaar" maken.
Ik vermoed dat er weinig of geen aandacht word besteed aan bv Wordpress-websites, eenmaal de site af is, is er verder weinig aandacht voor veiligheid en kan met sql-injectie gevoelige data worden geëxtraheerd uit een tabel, alhoewel dat er hier ook een plugin voor bestaat ....
 
Ward van der Put
Moderator

Ward van der Put

21/01/2024 12:38:07
Quote Anchor link
Ronny Vangaster op 21/01/2024 11:48:21:
De coderingssleutel is nergens opgeslagen, die is "ingebakken" in de applicatie.

Hoe heb je de coderingssleutel dan "ingebakken" in de applicatie zonder de sleutel op te slaan in de applicatie?
 
Ronny Vangaster

Ronny Vangaster

23/01/2024 04:04:49
Quote Anchor link
De coderingssleutel bevind zich in het softwarepakket dat ik gebruik. Hierin is mijn kennis ondermaats, maar ik ga ervan uit dat een bedrijf dat zulk een pakket heeft ontwikkeld dat ze echt wel weten hoe ze dit moeten maken. Ondertussen heb ik een test programmaatje gemaakt en enkelen laten zoeken in welk bestand de sleutel aanwezig is, maar (gelukkig) zonder resultaat.

Ik ga ervan uit, dat als je enkele duizenden Euro's betaald voor een ontwikkeltool, dat de ontwikkelaars van deze tool echt wel iets van encryptie af weten.
Gewijzigd op 23/01/2024 04:29:39 door Ronny Vangaster
 
Ivo P

Ivo P

23/01/2024 11:17:01
Quote Anchor link
Ronny Vangaster op 23/01/2024 04:04:49:
Ik ga ervan uit, dat als je enkele duizenden Euro's betaald voor een ontwikkeltool, dat de ontwikkelaars van deze tool echt wel iets van encryptie af weten.


hmmm.
Tik eens "datalek" in een zoektool en filter op Nieuws.
Daar staan namen als KLM en het Kadaster bij.

Die hebben waarschijnlijk wel meer dan een paar duizend euro betaald aan de ontwikkeling van hun databases.
 
Ronny Vangaster

Ronny Vangaster

23/01/2024 11:22:47
Quote Anchor link
maar hebben ze ook encryptie toegepast ? Ik denk het niet, anders zouden deze gegevens niet leesbaar zijn
Gewijzigd op 23/01/2024 11:23:43 door Ronny Vangaster
 
Adoptive Solution

Adoptive Solution

23/01/2024 12:40:46
Quote Anchor link
Wat is exact versleuteld? De data in de tables of de bestanden waarin de datatabellen zijn opgeslagen?

Dat eerste is makkelijk te controleren. Kijk in de database met bijv phpmyadmin.

Je weet hoe dat moet : https://www.phphulp.nl/profiel/ronny-vangaster/38154/

https://mariadb.com/kb/en/data-at-rest-encryption-overview/

https://severalnines.com/blog/exploring-different-ways-encrypt-your-mariadb-data/

https://www.cisco.com/web/about/security/intelligence/05_11_db-encryption.html
Gewijzigd op 23/01/2024 12:42:01 door Adoptive Solution
 
Ronny Vangaster

Ronny Vangaster

23/01/2024 13:32:41
Quote Anchor link
Dank je voor de nuttige links die je gaf. De bestanden zijn niet versleuteld, maar wel de tabellen.
 

24/01/2024 13:52:52
Quote Anchor link
Er zijn allerlei manieren om gegevens te versleutelen in een database, zoals bijvoorbeeld met searchable symmetric encryption. Maar wat je ook verzint, elke methode heeft voor- en nadelen. Postgres somt het aardig op: https://www.postgresql.org/docs/current/encryption-options.html

Encryptie in de database zelf is niet echt veilig omdat SQL statements (met wachtwoorden..) gelogd worden wat dan ook weer een risico is. Autorisatie als accounts, rechten en RLS moet gewoon goed ingeregeld zijn, de gegevensdrager moet voorzien zijn van encryptie (bitlocker / LUKS / ..) en het transport moet versleuteld zijn.

Dat laatste is echt een achilleshiel, want wie doet dat? Wie heeft de verbinding met de applicatieserver en de database server beveiligd met TLS? En wie heeft de HTTP-verbinding tussen de proxy webserver en de applicatieservers beveiligd met TLS? Omwille van 'performance' wordt encryptie nogal eens achterwege gelaten, met een term als SSL Offloading.

Wat veel mensen zich ook niet realiseren, is de 'store now, decrypt later'-tactiek die ook toegepast wordt. Met dat in het achterhoofd wil je alleen nog TLS 1.3 gebruiken met de beste ciphers. En dan alleen wanneer het nodig is gegevens over een publiek netwerk verplaatsen.
 
Ronny Vangaster

Ronny Vangaster

24/01/2024 14:03:06
Quote Anchor link
Beste, bedankt voor uw verhaal. Uw verhaal moet ik helaas overlaten aan "kenners", ik kan slechts alleen vertrouwen op de makers van de tool die ik gebruik. Ik heb wel een test programma gemaakt met een MySql database en daarin een versleutelde tabel. Tot op heden heeft nog niemand de coderingssleutel kunnen lezen. Lijk mij echt wel een uitdading voor u.
Mijn bedoeling is NIET om mensen te testen op hun kennis, maar wel om te kunnen vaststellen hoe veilig of onveilig versleuteling werkt.
 

25/01/2024 11:39:14
Quote Anchor link
Er zijn tools om computerprogramma's terug te vertalen naar leesbare code, bijvoorbeeld met een disassembler. Als iemand er werk van maakt kan diegene zien waar de sleutel vandaan komt en daarmee alle gegevens ontsleutelen. Voor als de quantumcomputer er nog niet is, want vanaf dan ligt zowat alles op straat. Voor meer info zie https://www.weforum.org/agenda/2022/09/organizations-protect-quantum-computing-threat-cybersecurity/
Gewijzigd op 25/01/2024 11:39:45 door
 



Overzicht Reageren

 
 

Om de gebruiksvriendelijkheid van onze website en diensten te optimaliseren maken wij gebruik van cookies. Deze cookies gebruiken wij voor functionaliteiten, analytische gegevens en marketing doeleinden. U vindt meer informatie in onze privacy statement.