Slo-Tech - Sonyjeva storitev PlayStation Network (PSN), ki je zaradi vdora v sistem nedosegljiva že od prejšnjega tedna, ostaja izključena, medtem ko na internet curljajo nove, to pot bolj pomirljive informacije o incidentu. Čeprav so na Ars Technici poročali o bralcih, ki so doživel zlorabo kreditne kartice in za to obtožili vdor v Sony PSN, ker sicer kreditne kartice niso bili nikjer uporabili, se to zdi manj verjeten razlog.
Sony je namreč zagotovil, da so bili vsi podatki o kreditnih karticah strank šifrirani, tako da si napadalci tudi z odtujenimi podatki ne bi mogli pomagati, če je bilo šifriranje seveda kakovostno (o tem Sony ni razkril podrobnosti). Poizvedba sicer kaže, da tabela s temi podatki sploh ni bila odtujena. Toda priznali so, da ostali podatki niso bili šifrirani, marveč shranjeni kot navadno besedilo. Napadalci so bržčas pridobili rojstne podatke, stalno prebivališče in podobno od vsaj nekaterih izmed 77 milijonov uporabnikov.
Sony že sodeluje z organi pregona. Kar se tiče same storitve PSN, jo Sony ponovno gradi in počasi pripravlja na vnovičen zagon. Da bi preprečili prihodnje napade, so vso strojno opremo prenesli na novo lokacijo, saj trenutni izsledki preiskave kažejo, da je moral biti nekdo fizično prisoten v podatkovnem centru, da je napad uspel. PSN bodo ponovno zagnali šele, ko bodo prepričani, da je za varnost najbolje poskrbljeno, kar bo trajalo še vsaj nekaj dni (neuradno se omenja prihodnja sreda).
Kakor jaz razumem šifriranje je to sicer bolje kot čiste txt datoteke, ampak če so hekerji prišli tudi do zasebnega ključa za dešifriranje verjetno ne bo ravno težko priti do podatkov?
Ne razumem, kaj vsi tako krizirajo in še hočejo tožiti Sony, tukaj se je šlo za navaden internetni zločin, kdaj pa na veliko kritizirajo banke, če se zgodi rop ali vlom, ali pa poštarja, če le-tega oropajo.
Mislim no,z katerim podatkom Sony zavaja ljudi Številke kreditnih kartic so bile šifrirane Te bučke lahko prodajajo babicam in dedkom!Cel njihov varnostni sistem je pokleknil pod napadom a številke kreditn.kartic pa so bil šifrirane.Svašta.
Q: Will there be a goodwill gesture for the time we haven't been able to utilize PSN/Qriocity? A: We are currently evaluating ways to show appreciation for your extraordinary patience as we work to get these services back online.
Ne razumem, kaj vsi tako krizirajo in še hočejo tožiti Sony, tukaj se je šlo za navaden internetni zločin, kdaj pa na veliko kritizirajo banke, če se zgodi rop ali vlom, ali pa poštarja, če le-tega oropajo.
Če oropajo poštarja to težko prizadene 75 milijonov ljudi.
Ne razumem, kaj vsi tako krizirajo in še hočejo tožiti Sony, tukaj se je šlo za navaden internetni zločin, kdaj pa na veliko kritizirajo banke, če se zgodi rop ali vlom, ali pa poštarja, če le-tega oropajo.
Če oropajo poštarja to težko prizadene 75 milijonov ljudi.
@HeMan: Nisem banke spustil. Klasični rop banke je podobno kot poštarja. To prizadene banko samo, vendar oni so domnevam za take primere zavarovani, tako da škoda ni tako huda. Če pa enkrat ukradejo osebne podatke in gesla pa ni več poti nazaj.
Ko so vdrli v Wordpress in baje pobrali uporabniška imena in gesla sem imel jaz precej dela, da sem zamenjal gesla na mailu, steamu... Jaz dvomim, da kdo uporablja drugo geslo za vsako storitev. In ko imaš enkrat v rokah tako bazo je samo vprašanje kreativnosti, kaj vse se lahko s tem počne.
Zato pa se je potrebno še toliko bolj zgražat nad kriminalci, ki take stvari počnejo! Ne pa da se obnašamo, kot da je to nekaj samoumevnega in da so zlikovci v tem primeru Sony ker niso tega preprečili... Vem da bi lahko bolj zaščitili, vendar v končni fazi so čisto vsega krivi kriminalci, ki so dejansko ukradli.
Jaz dvomim, da kdo uporablja drugo geslo za vsako storitev. In ko imaš enkrat v rokah tako bazo je samo vprašanje kreativnosti, kaj vse se lahko s tem počne.
Nehaj dvomit Jaz recimo za varnost računalnikov znam poskrbeti.To pomeni,da sem dobro poskrbel za varnost storitev in aplikacij,ki "laufajo" na moji kišti.Kaj pa mi to pomaga,če pa on na drugi strani z katerim poslujem zajeb* in ni poskrbel za varnost mojih podatkov,kot so recimo št.kreditnih kartic,...kot se je zgodilo Sony-ju,za kar pa ne bi smelo biti opravičila.Tožbe se bodo kar vrstile in tako je tudi prav,saj prasci za vsako igro,serverje,.. mastno kasirajo,za osnovno varnost pa ne znajo poskrbeti.
Zato pa se je potrebno še toliko bolj zgražat nad kriminalci, ki take stvari počnejo! Ne pa da se obnašamo, kot da je to nekaj samoumevnega in da so zlikovci v tem primeru Sony ker niso tega preprečili... Vem da bi lahko bolj zaščitili, vendar v končni fazi so čisto vsega krivi kriminalci, ki so dejansko ukradli.
Po eni strani se strinjam s tabo, vendar bi se vseeno vprašal zakaj Sony potrebuje vse te podatke. IMHO ne potrebuje ničesar drugega kot moj email, letnico rojstva in moj "nickname". Številka kreditne pa zgolj opcijsko, če si želim olajšati nakupovanje in je ne želim vsakič pretipkavati. Pa tudi glede številke kreditne kartice je vprašanje če jo je smiselno hraniti v centralnem serverju in ne na lokalni napravi? Se mi pa zdi pravilno, da vsaka izguba osebnih podatkov podjetje drago stane, ker le tako se bodo začeli spraševati če res potrebujejo hraniti vse te naše podatke in da če je odgovor da; le tako jih bodo zares varno hranili. Je pa seveda jasno, da je Sony tukaj žrtev in ne "bad guy".
Me pa zanima kako dobro se v praksi da rešiti kriptiranje podatkovne baze. Namreč, če želiš, da podatkovna baza deluje mora imeti ključ za dostop do podatkov lokalno na voljo in če ima napadalec fizični dostop, kako preprečiti da pride do ključa?
Me pa zanima kako dobro se v praksi da rešiti kriptiranje podatkovne baze. Namreč, če želiš, da podatkovna baza deluje mora imeti ključ za dostop do podatkov lokalno na voljo in če ima napadalec fizični dostop, kako preprečiti da pride do ključa?
Jaz sicer ne vem, kako v praksi to rešujejo, ampak jaz bi zadevo rešil tako, da imaš ti na enem mestu samo močno kriptirane podatke, ki ne pomenijo nič. Če želi nekdo opraviti plačilo, potem pa gre ta podatek pri dekriptiranju čez par strežnikov, ki vsak ve samo del ključa in če ukradejo samo enega, niso naredili nič.
To je analogija stare ključavničarske fore, ko imaš ključavnico, kjer več oseb pride s svojim ključem, da lahko odprejo vrata,
Jaz sicer ne vem, kako v praksi to rešujejo, ampak jaz bi zadevo rešil tako, da imaš ti na enem mestu samo močno kriptirane podatke, ki ne pomenijo nič. Če želi nekdo opraviti plačilo, potem pa gre ta podatek pri dekriptiranju čez par strežnikov, ki vsak ve samo del ključa in če ukradejo samo enega, niso naredili nič.
To je analogija stare ključavničarske fore, ko imaš ključavnico, kjer več oseb pride s svojim ključem, da lahko odprejo vrata,
In del ključa bi lahko imel vsak uporabnik pri sebi.
Human stupidity is not convergent, it has no limit!
techfreak :) : Torej če jaz tebe prav razumem oni ne pridejo direktno do mojega gesla "razhodka21895", ampak dobijo samo neko binarno vrednost, v katero se pretvori moje geslo in niso sposobni dobiti nazaj pravega gesla?
Jaz sicer ne vem, kako v praksi to rešujejo, ampak jaz bi zadevo rešil tako, da imaš ti na enem mestu samo močno kriptirane podatke, ki ne pomenijo nič.
Pri kreditnih karticah se to v praksi rešuje tako, da ponudnik ne shrani CVV2 kode.
Salt mora biti nekje zapisan, sicer je podatek izgubljen tudi za legitimnega uporabnika. Pri vdorih takih razsežnosti se lahko zgodi, da napadalci pridejo tudi do salta in posledično je čisto vseeno, če je salt obstajal ali ne.
Do pravih gesel v (za prave lastnike) najboljšem primeru lahko pridejo le z brute force napadom. Preprosta gesla lahko kaj hitro izluščijo tudi tako.
Vprašanje je, kako so bile šifrirane številke kreditnih kartic in ali so hranili CVV kodo zraven.
Jaz sicer ne vem, kako v praksi to rešujejo, ampak jaz bi zadevo rešil tako, da imaš ti na enem mestu samo močno kriptirane podatke, ki ne pomenijo nič. Če želi nekdo opraviti plačilo, potem pa gre ta podatek pri dekriptiranju čez par strežnikov, ki vsak ve samo del ključa in če ukradejo samo enega, niso naredili nič.
Oracle recimo ima podatkovne tabele kriptirane z ključi, ki jih ima v nekem svojem password store-u. Kar mene zanima je kako kako tehnično hranijo le-ta ključ. Po mojem mnenju je v primeru napada kjer je napadalec fizično prisoten takšno kriptiranje neuporabno. Ravno tako če greš preko več strežnikov stvar ni kaj dosti bolj varna. Vsi strežniki namreč morajo biti povezani v isto mrežo kar pomeni da so dostopni in posledično ranljivi. Edino dostop do master key-ev je težji če so ti strežniki na različnih lokacijah. Ampak če želiš kriptirati relacijsko podatkovno bazo so vse te rešitve neuporabnem Ključ moraš imeti lokalno.
Salt mora biti nekje zapisan, sicer je podatek izgubljen tudi za legitimnega uporabnika. Pri vdorih takih razsežnosti se lahko zgodi, da napadalci pridejo tudi do salta in posledično je čisto vseeno, če je salt obstajal ali ne.
Do pravih gesel v (za prave lastnike) najboljšem primeru lahko pridejo le z brute force napadom. Preprosta gesla lahko kaj hitro izluščijo tudi tako.
Vprašanje je, kako so bile šifrirane številke kreditnih kartic in ali so hranili CVV kodo zraven.
Točno tako. Salt je zapisan vendar verjetno stvar dela tako, da dodaš salt geslu in z združenega podatka narediš hash. Če je salt dober si ravnokar precej otežil dictionary attack. Še vedno pa seveda obstaja brute force, katerega pa ne moreš preprečiti ker napadalec verjetno pozna salt in hash algoritem.
Še vedno pa seveda obstaja brute force, katerega pa ne moreš preprečiti ker napadalec verjetno pozna salt in hash algoritem.
Vendar če imaš hash, salt in poznaš hash algoritem boš pri brute force še vseeno dobil neskončno možnih nizov. Izmed teh pa moraš najti tistega, ki ga je uporabnik uporabil.
Vendar če imaš hash, salt in poznaš hash algoritem boš pri brute force še vseeno dobil neskončno možnih nizov. Izmed teh pa moraš najti tistega, ki ga je uporabnik uporabil.
Lahko sestaviš rainbow tabelo. Sicer bo trajalo ampak IMHO imaš v 24 urah že večino passwordow. Pol pa samo pomatch-aš svoje hash-e s tistimi v bazi.
1 črka š je že zadosti pa ne bo mavrice, potem pa še dosti soli in potrebuješ mogoče par terabaytov disk pa se še vedno niti 1 barve ne bo v mavrici. Kitajce pa tako ne boš moral shekati z abc.
V čem je fora, da prodajajo podatke o karticah po enem tednu, ko jih je večina že preklicala?
Sarkazem?
Ne, resno mislim. A ni logično, da se ukradeno kartico uporabi, preden jo lastnik prekliče? Dlje kot čakaš, večja je verjetnost, da bo preklicana. Sploh zdaj, ko so že dali ven pisna obvestila vsem uporabnikom. Verjamem, da vsi ne gledajo mailov in da jih niso preklicali, ampak vseeno.
Sony pravi, da je nikoli niso niti zahtevali, tako da je nemogoče, da je bila v bazi.
"...Keep in mind, however that your credit card security code (sometimes called a CVC or CSC number) has not been obtained because we never requested it from anyone who has joined the PlayStation Network or Qriocity, and is therefore not stored anywhere in our system."
Resnično upam, da so se pri Sonyju in ostalih firmah naučili da je treba zmnjšati to prekleto odvisnost od oblačkov. Mislim da bi bil počasi čas, da začnemo jiti malce nazaj v čas. Več občutljivih podatkov naj se hrani lokalno, kjer centralizirani serverji niso potrebni naj se uporabi P2P, ... Da imaš naprave ki za sam zagon potrebujejo network povezljivost je tudi absurdno do amena (Microsoft in Sidekick naprimer).
Na srečo sem pri svojih nakupih na PSN uporabljal Wirecard (virtualni mastercard), pa še ta je že potekel kake pol leta nazaj. Tako da zaradi mene lahko številko kreditnih kartic tudi imajo.
Na srečo sem pri svojih nakupih na PSN uporabljal Wirecard (virtualni mastercard), pa še ta je že potekel kake pol leta nazaj. Tako da zaradi mene lahko številko kreditnih kartic tudi imajo.
Sam sicer kupujem preko spleta,ampak,če kaj naročim plačam po povzetju.Sliši se staromodno,starokopitno in nevem kaj še vse ampak enostavno ne zaupam nikomur,takšen pač sem,probam biti čimbolj previden pri tem kupovanju z karticami in prisegam na tako imenovani old scool način Ampak sem pa razmišljal o tej kartici(wirecard)ampak kolikor vem je tudi to rizično.Spomnimo se,da so v nemčiji hakerji napadli banko in haknili "kao" pametne kartice oz.ta sistem za generiranje varnostne kode,katero pa ima vsak imetnik,ki se ukvarja oz.plačuje preko spleta položnice.Torej sploh nismo več varni na spletu,kar se tiče kupovanja-plačevanja.Kaj ti pomaga,če sem jaz previden,ko pa ga kiksnejo na drugi strani in ponudnik storitev ni poskrbel za mojo varnost! Glede varnosti strežnikov in teh sistemov,ki so bili ranljivi pri Sony-ju nimam toliko pojma kot nekateri tukaj,mi pa je zanimivo brati izjave in se morda iz tega še kaj naučim,za to mi ne zamerit,če sem se kje zmotil,lahko pa me popravite in mi svetujete
Hrabri mišek (od 2015 nova serija!) -> http://tinyurl.com/na7r54l
18. november 2011 - Umrl je Mark Hall, "oče" Hrabrega miška
RTVSLO: http://tinyurl.com/74r9n7j
Ob veckratnih izpadih in tudi tako dolgem kot je ta, nimas s konzolo kaj poceti. Bos igral single player? :S Pa igraca ni bila poceni.
Ne spomnim se, da bi bil kdaj v izpadu dlje kot par ur. Vzdrževanja so med delavniki, v večini primerov lahko igraš online, če se zlogiraš pred začetkom del.
We are initiating several measures that will significantly enhance all aspects of PlayStation Network's security and your personal data, including moving our network infrastructure and data center to a new, more secure location, which is already underway.
V maju pričakujmu tudi no FW.
Its only copying if samsung does it. And unless we patent this in 5 years,
this is the shittest tech ever ... and we'll sue you.
Regards, Apple
Hrabri mišek (od 2015 nova serija!) -> http://tinyurl.com/na7r54l
18. november 2011 - Umrl je Mark Hall, "oče" Hrabrega miška
RTVSLO: http://tinyurl.com/74r9n7j
Številke kreditnih kartic so bile šifrirane
