Gyurkity Péter

Több szolgáltatást érintett a Sony elleni támadás

Több napon át tartó bizonytalan periódust zártak le látszólag az első hivatalos közlemények, amelyekből megtudhattuk, hogy a PlayStation Network adatbázisához illetéktelenek fértek hozzá, innen személyes adatokat emeltek el. Ezt követően elsősorban arról zajlott a vita, hogy pontosan milyen adatokat és mely terjedelemben lophattak el az internetes betörők, ám több cáfolat, majd pedig a rendszer fokozatos visszaállítására vonatkozó hírek után kiderült, hogy a Sony Online Entertainment is érintett az ügyben, innen (szintén) bankkártyák millióinak adatai kerültek a tolvajok kezére.

Az ügy - legalábbis a felhasználók nagy többsége számára - április 20-án kezdődött, amikor minden magyarázat nélkül elérhetetlenné vált a PlayStation Network weboldala, valamint az ahhoz kapcsolódó konzolos és egyéb szolgáltatások. Az érdeklődők először egy egyszerű hibaüzenettel találkoztak a portálon, amely részletekkel nem szolgált, így csak annyi derült ki, hogy a platform valamiért leállt. A hivatalos blogoldal látogatói elsőként 22-én értesültek arról, hogy a Sony tud a gondokról, ezt pedig a lehető legrövidebb úton orvosolni fogják - az csak később derült ki, hogy éppen ők állították le a szolgáltatást, miután tudomást szereztek arról, hogy külső támadók hatoltak be a rendszerbe és fértek hozzá egy fontos adatbázishoz.


Ahogy arról mi is beszámoltunk, ezen támadók 17. és 19. között törtek be, a kompromittálódott adatbázisból pedig mintegy 75 millió felhasználó adatait tulajdonították el, ami nemcsak a népszerű PlayStation Network, valamint a PlayStation Home szolgáltatást, hanem a Qriocity zenei és videóplatform regisztrált tagjait is érintette. Itt az első közlemények szerint a felhasználók nevét, személyes adatait, felhasználónevüket, valamint jelszavukat lopták el, a bankkártyák adatai azonban nem kerültek a kezükre, így attól nem kellett tartani, hogy furcsa tranzakciók tűnnek majd fel a havi összegzéseken.

Ez némileg nyugtatólag hatott, bár rögtön vita indult arról, hogy miért nem védték jobban például a jelszavakat - amint kiderült, ezeket nem titkosították, mindössze egy gyenge hash-algoritmus volt hivatott gondoskodni a biztonságról, ami nyilván nem optimális megoldás. Arról sem egyeztek a vélemények, hogy valóban érintetlenek maradtak-e a banki adatok, avagy ezeket is sikeresen ellopták a támadók. Ami a lehetséges motivációt illeti, felmerült, hogy egy PS-hacker korábbi ügye miatti megtorlásról van szó, ezt viszont mások cáfolták, kiemelve, hogy a Sony és George "GeoHot" Hotze között már a hónap közepén létrejött a megállapodás (ami a PS3 feltörésével volt kapcsolatos). Azt azonban érdemesnek tartották megjegyezni, hogy egyes információk szerint a mostani támadásban felhasználták az Anonymous csoport által két héttel korábban végrehajtott DDoS-akció tanulságait, így akár ők is elkövethették azt.


A Sony vezérigazgatója, Kazuo Hirai (középen) a két alelnökkel együtt mély sajnálatát fejezte ki a 77 millió ember személyes adatának elvesztése miatt

A szolgáltatás mindenesetre továbbra is elérhetetlen maradt, a Sony pedig megkezdte a felhasználók felkészítését azon eshetőségre, hogy talán valóban sor került a bankkártyák adatainak eltulajdonítására. Az újabb bejegyzésekben ennek lehetőségét nem zárták ki, bár azt minden egyes esetben leszögezték, hogy erre egyelőre semmilyen jel nem utal. Cáfolták azon híreket is, miszerint az interneten máris felbukkantak a bankkártyaszámok millióit tartalmazó listák, amelyre azok új gazdái vevőket keresnek - ez nyilván nem lenne meglepő, amennyiben tényleg sikerrel jártak a tolvajok. A Sony annyit közölt tényként, hogy a San Diego-i adatközpontba április folyamán behatoltak, itt pedig minden létező felhasználó személyes adataihoz hozzáférhettek.

Kazuo Hirai a cég részéről május első napján Tokióban arról beszélt, hogy egy alkalmazásszerver biztosította a belépési pontot a támadók számára, akiket eddig még nem sikerült azonosítani. Hozzátette, hogy a PlayStation Network szolgáltatás esetében mintegy 10 millió felhasználó aktív bankkártyája foroghat veszélyben, ennyi található meg a rendszerben, bár kiemelte, hogy továbbra sem áll rendelkezésükre egyértelmű bizonyíték arra vonatkozóan, hogy ezeket valóban lenyúlták. Ezt megelőzően biztonsági szakértők részéről még elhangoztak olyan vélemények, miszerint nem is került sor valódi behatolásra, minden bizonnyal a cég kissé pánikba esett a külső hozzáférés láttán és túlreagálta a "modderek" akcióját - a jelek szerint mégis komoly támadásról volt szó.


A Sony eközben megerősítette, hogy dolgoznak a platform helyreállításán, erre május első hetében sor kerül, ezt követően pedig a PlayStation 3 és PlayStation Portable tulajdonosok újra hozzáférnek majd az online játékokhoz, valamint a hálózaton keresztül kínált további szolgáltatásokhoz és tartalmakhoz. Ehhez egy frissítést kell letölteniük, amelynek részeként innentől kezdve a jelszavakat csakis azon gépről lehet majd megváltoztatni, amelyről eredetileg regisztrálták a felhasználói fiókot (a másik lehetőség a megerősítő email igénybe vétele), a cég pedig komoly lépéseket tesz a biztonság fokozása érdekében, többek között újabb tűzfalakkal, illetve a szerverek egy meg nem nevezett helyre történő átszállításával, amelyet állításuk szerint már korábban terveztek.

A kieső időért cserébe a vállalat 30 napig elérhetővé teszi a felhasználóknak a PlayStation Plus prémium szolgáltatást, ugyanígy 30 napot kapnak ingyen a Music Unlimited platformon, valamint további szórakoztató tartalmakat, amelyeket egyelőre még szintén nem neveztek meg. Egyes lapok már arról kérdezhetik az olvasókat, hogy vajon mindezt követően mennyien váltanak majd a rivális Xbox Live platformra, míg mások arról írnak, hogy ezzel minden idők egyik legnagyobb támadását hajtották végre, hiszen 75 milliónál többen nem túl gyakran voltak eddig érintettek ilyen és hasonló akciókban, ami az alábbi listából is jól látszik.

Amennyiben mindez még nem lenne elég galiba a japán óriás számára, hétfőn kiderült, hogy a Sony Online Entertainment rendszere is áldozatul esett egy támadásnak, mégpedig 16-án és 17-én, amire csak a most lefolytatott belső vizsgálat mutatott rá. Csaknem 13 ezer, nem amerikai bankkártya, valamint további 11 ezer felhasználó (elsősorban német osztrák, spanyol és holland játékosok) banki adatai kerülhettek ki egy régebbi adatbázisból, amely a cég állítása szerint különálló a központi rendszertől (a SOE elsősorban MMO játékokkal foglalkozik).

Itt ingyenes játékidőt, valamint szintén komoly biztonsági intézkedéseket ígérnek kompenzációként, az azonban valószínűleg csak később derül majd ki, hogy mennyire komoly következményekkel jár a két támadás - a cég ellen eddig egy per indult a tengerentúlon a felhasználók adatainak hanyag kezelése miatt, meglátjuk, mennyire sikeresen tudják kezelni a tüneteket.

Hozzászólások

A témához csak regisztrált és bejelentkezett látogatók szólhatnak hozzá!
Bejelentkezéshez klikk ide
(Regisztráció a fórum nyitóoldalán)
  • Tetsuo #18
    Nos, a hirek arrol szoltak ugye, hogy nem volt komoly vedelem, mert hamar megfejtettek a hasht. Igen tudom, hogy letezik durva hash is, de ugy latszik nem a Sony-nal.
    Persze lehet, hogy nem pontosak a hirek... arrol en nem tehetek.
    Lehet belso ember stb., az is egy biztonsagi res.
    A Sonynak mindenkeppen sz*pas.
  • opeca #17
    Igen? Átkódolták? Mivel, .net decryption-el?:D
  • Csatti #16
    Te milyen mintáról beszélsz? Érted te, hogy is működik a hash? Nem az algoritmust kell visszafejteni (ezekre szabványok vannak), hanem egy alapvetően egyirányú matematikai számítás végeredményéből kell visszakapni az eredeti bemenő adatot. Ez a számítás pedig nem veszteségmentes, azaz két különböző bemenet is adhatja ugyanazt a végeredményt.

    Az MD5-re pl. már találtak olyan módszert, hogy gyorsan visszakaphatóak a lehetséges bementek, de pl. az SHA-256-nál még mindig 2^251 próbálkozásra van szükség a jelszó töréséhez (ennyit tudtak csökkenteni az eredetiből). Namármost ez még nagyon gyors gépekkel is egy örökkévalóság, ha pedig a jelszavak sózottak, akkor minden egyes jelszóra külön el kell végezni a számításokat. Szóval mielőtt hülyeségeket zengedezel, először tudni kéne, hogy milyen szinten és milyen hash algoritmussal voltak védettek azok a jelszavak.
  • opeca #15
    Pff, ezeket aztán jól ráültették a f@szra.

    "hogy külső támadók hatoltak be a rendszerbe és fértek hozzá egy fontos adatbázishoz. "

    Komoly védelem lehetett. Na erre szokták mondani, illetve ilyenkor szokták kérdezni, hogy mire sajnálod a pénzt, baszod? Annak a háromnak az öltönyeik árából kijönne egy komoly szakember, aki levédené a fontosabb adatbázisokat, de dúlván...

    Japánban anno ilyenkor lemondott a legnagyobb fejes, hogy a többi dolgozót védje. Most mi lesz a szitu?
    Vagy már Japánban sem divat a közösségi felelősségvállalás?
  • Nightwish006 #14
    Az anonymus az onion hálózaton belül tevékenykedő júzereket jelenti szerintem, sokszor csak szimplán anonnak hívják :) Ha érdekel bele áshatod magad a történetbe, bár jelentem sok sok illegális dolog van a hagyma belsőbb rétegeiben ^^
  • Tetsuo #13
    A hash-t viszont nehany mintabol mar vissza lehet fejteni, keves brute force-szal. Ennel azert komolyabb vedelem illett volna tobb millio jelszohoz es plane bankkartya adatokhoz. ;)
  • Csatti #12
    Olvasd el a linkelt blogot. De egyébként a cikk is írja, hogy a jelszavak hash-elve voltak. Ez az jelenti, hogy a jelszavakat nem az eredeti formájukban tárolták, hanem egy hash algoritmussal átkódolták és a végeredmény lett eltéve. Amikor ellenőrzi a rendszer a jelszót, akkor a megadott jelszót hash-eli majd a két hash-t veti össze. Ez azt jelenti, hogy amennyiben a jelszavak nem voltak "sózva", akkor megszívhatják azok akik gyakran használt jelszavakat használnak, mivel azokra kész hash adatbázisok vannak (a hash-elés azért elég időigényes feladat, épp ezért nem könnyű brute force-olni ha csak egy adott jelszót akarsz visszafejteni).

    Sózás: a jelszavakat darabonként egy random résszel ellátni, amivel módosítva a hash algoritmust rákényszerül a hacker, hogy egyenként brute force-olni kelljen neki az összes jelszót

    Brute force: az összes lehetséges karakterlánc egyenként való végigpróbálása a helyes jelszó megtalálásához
  • Tetsuo #11
    Az is pech, hogy nem titkositottak semmit? :DD Akkor az egesz ceg egy pech.
  • cateran #10
    En ugyan nem nagyon szivelelem a Sony-t, de ez az eset tulmutat rajtuk....Erint minden ceget, amelyiknek maniaja az adatgyujtes (Google, MS, Apple, etc.) A Sony volt az 1. nagy hal, amelyik megszivta, de ez csak pech, nem feltetlenul az o saruk...Akarmelyik masik ceg is lehetett volna es sanda gyanum szerint lesz is...
  • Macccy #9
    Én X360 user vagyok, de ez azért nem ilyen sima, hogy "köcsög SONY blabla". Szerencsétleneknek van azért bajuk rendesen. Tény hogy a szerverek biztonságára ezentúl jobban oda fognak figyelni, nem szabad így eljátszani a felhasználók bizalmát. Így is rendesen el fognak gondolkodni páran valóban, hogy akkor Sony -val hogyan tovább. Remélem azért mindegyik entertainment óriás jobban oda fog figyelni a jövőben, ezután a "rekord" után.

    Én meg most inkább nem veszek bankkártyával LIVE -ot, biztos ami biztos :)