» »

Sony PlayStation Network nazaj prihodnji teden, številke kreditnih kartic so bile šifrirane

Le kakšne bodo dolgoročne posledice napada za Sony?

Le kakšne bodo dolgoročne posledice napada za Sony?

vir: Ars Technica
Slo-Tech - Sonyjeva storitev PlayStation Network (PSN), ki je zaradi vdora v sistem nedosegljiva že od prejšnjega tedna, ostaja izključena, medtem ko na internet curljajo nove, to pot bolj pomirljive informacije o incidentu. Čeprav so na Ars Technici poročali o bralcih, ki so doživel zlorabo kreditne kartice in za to obtožili vdor v Sony PSN, ker sicer kreditne kartice niso bili nikjer uporabili, se to zdi manj verjeten razlog.

Sony je namreč zagotovil, da so bili vsi podatki o kreditnih karticah strank šifrirani, tako da si napadalci tudi z odtujenimi podatki ne bi mogli pomagati, če je bilo šifriranje seveda kakovostno (o tem Sony ni razkril podrobnosti). Poizvedba sicer kaže, da tabela s temi podatki sploh ni bila odtujena. Toda priznali so, da ostali podatki niso bili šifrirani, marveč shranjeni kot navadno besedilo. Napadalci so bržčas pridobili rojstne podatke, stalno prebivališče in podobno od vsaj nekaterih izmed 77 milijonov uporabnikov.

Sony že sodeluje z organi pregona. Kar se tiče same storitve PSN, jo Sony ponovno gradi in počasi pripravlja na vnovičen zagon. Da bi preprečili prihodnje napade, so vso strojno opremo prenesli na novo lokacijo, saj trenutni izsledki preiskave kažejo, da je moral biti nekdo fizično prisoten v podatkovnem centru, da je napad uspel. PSN bodo ponovno zagnali šele, ko bodo prepričani, da je za varnost najbolje poskrbljeno, kar bo trajalo še vsaj nekaj dni (neuradno se omenja prihodnja sreda).

Seveda se je na Sony usula ploha kritik. Omenili smo že tožbo v ZDA, oglasili so se tudi ameriški senatorji, ki terjajo odgovore od Sonyja, in nemški informacijski pooblaščenec.

49 komentarjev

dronyx ::

Kakor jaz razumem šifriranje je to sicer bolje kot čiste txt datoteke, ampak če so hekerji prišli tudi do zasebnega ključa za dešifriranje verjetno ne bo ravno težko priti do podatkov?
Only the weak use their brains - the strong use their balls!

billy ::

Ne razumem, kaj vsi tako krizirajo in še hočejo tožiti Sony, tukaj se je šlo za navaden internetni zločin, kdaj pa na veliko kritizirajo banke, če se zgodi rop ali vlom, ali pa poštarja, če le-tega oropajo.

benji ::

Mislim no,z katerim podatkom Sony zavaja ljudi :)) Številke kreditnih kartic so bile šifrirane:))
Te bučke lahko prodajajo babicam in dedkom!Cel njihov varnostni sistem je pokleknil pod napadom a številke kreditn.kartic pa so bil šifrirane.Svašta.
MB Gigabyte 970A-DS3P/FX AMD FX 6350 @ 4100MHz RAM:16 GB 1600Mhz/
Sapphire R9 390 8GB Logitech G27 Oculus Rift DK2
http://slovirtualracing.wix.com/slovirtualracing

Constantine ::

Pričakujem od Sonya da mi za nasljendji dve leti šenka vse špile in podari PS4 ko pride.

Hvala.

Zgodovina sprememb…

Good Guy ::

oda priznali so, da ostali podatki niso bili šifrirani, marveč shranjeni kot navadno besedilo.


Sure, retards!

HairyFotr ::

@billy obstajajo zakoni o varovanju osebnih podatkov. Če se dokaže, da jih Sony ni spoštoval, so seveda odgovorni.

3furious ::

Q: Will there be a goodwill gesture for the time we haven't been able to utilize PSN/Qriocity?
A: We are currently evaluating ways to show appreciation for your extraordinary patience as we work to get these services back online.
:D
"Journalism is printing what someone else does not want printed.
Everything else is public relations." George Orwell

dronyx ::

billy je izjavil:

Ne razumem, kaj vsi tako krizirajo in še hočejo tožiti Sony, tukaj se je šlo za navaden internetni zločin, kdaj pa na veliko kritizirajo banke, če se zgodi rop ali vlom, ali pa poštarja, če le-tega oropajo.

Če oropajo poštarja to težko prizadene 75 milijonov ljudi.
Only the weak use their brains - the strong use their balls!

HeMan ::

Neverjetno. Do sedaj sem v teh novicah samo billya videl, da se zgraža nad zlikovci, vsi ostali pa nad Sonyem.. Kam smo prišli...

dronyx je izjavil:

billy je izjavil:

Ne razumem, kaj vsi tako krizirajo in še hočejo tožiti Sony, tukaj se je šlo za navaden internetni zločin, kdaj pa na veliko kritizirajo banke, če se zgodi rop ali vlom, ali pa poštarja, če le-tega oropajo.

Če oropajo poštarja to težko prizadene 75 milijonov ljudi.


Banke si pa priročno izpustil ;)
http://www.youtube.com/user/Rozinaa

Zgodovina sprememb…

  • spremenil: HeMan ()

lmfao ::

saj trenutni izsledki preiskave kažejo, da je moral biti nekdo fizično prisoten v podatkovnem centru, da je napad uspel.

!?!?!?!?

dronyx ::

@HeMan: Nisem banke spustil. Klasični rop banke je podobno kot poštarja. To prizadene banko samo, vendar oni so domnevam za take primere zavarovani, tako da škoda ni tako huda. Če pa enkrat ukradejo osebne podatke in gesla pa ni več poti nazaj.

Ko so vdrli v Wordpress in baje pobrali uporabniška imena in gesla sem imel jaz precej dela, da sem zamenjal gesla na mailu, steamu... Jaz dvomim, da kdo uporablja drugo geslo za vsako storitev. In ko imaš enkrat v rokah tako bazo je samo vprašanje kreativnosti, kaj vse se lahko s tem počne.
Only the weak use their brains - the strong use their balls!

HeMan ::

Zato pa se je potrebno še toliko bolj zgražat nad kriminalci, ki take stvari počnejo! Ne pa da se obnašamo, kot da je to nekaj samoumevnega in da so zlikovci v tem primeru Sony ker niso tega preprečili... Vem da bi lahko bolj zaščitili, vendar v končni fazi so čisto vsega krivi kriminalci, ki so dejansko ukradli.
http://www.youtube.com/user/Rozinaa

Kostko ::

dronyx je izjavil:

Jaz dvomim, da kdo uporablja drugo geslo za vsako storitev.


Lahko kar nehaš dvomiti, to je enostavno dobra varnostna praksa. ;)
Human stupidity is not convergent, it has no limit!

dronyx ::

Ja, poznam to dobro varnostno prakso. Potem imaš pa v denarnici listke z vsemi temi 24 mestnimi gesli.
Only the weak use their brains - the strong use their balls!

benji ::

dronyx je izjavil:

Jaz dvomim, da kdo uporablja drugo geslo za vsako storitev. In ko imaš enkrat v rokah tako bazo je samo vprašanje kreativnosti, kaj vse se lahko s tem počne.


Nehaj dvomit;) Jaz recimo za varnost računalnikov znam poskrbeti.To pomeni,da sem dobro poskrbel za varnost storitev in aplikacij,ki "laufajo" na moji kišti.Kaj pa mi to pomaga,če pa on na drugi strani z katerim poslujem zajeb* in ni poskrbel za varnost mojih podatkov,kot so recimo št.kreditnih kartic,...kot se je zgodilo Sony-ju,za kar pa ne bi smelo biti opravičila.Tožbe se bodo kar vrstile in tako je tudi prav,saj prasci za vsako igro,serverje,.. mastno kasirajo,za osnovno varnost pa ne znajo poskrbeti.
MB Gigabyte 970A-DS3P/FX AMD FX 6350 @ 4100MHz RAM:16 GB 1600Mhz/
Sapphire R9 390 8GB Logitech G27 Oculus Rift DK2
http://slovirtualracing.wix.com/slovirtualracing

mn ::

HeMan je izjavil:

Zato pa se je potrebno še toliko bolj zgražat nad kriminalci, ki take stvari počnejo! Ne pa da se obnašamo, kot da je to nekaj samoumevnega in da so zlikovci v tem primeru Sony ker niso tega preprečili... Vem da bi lahko bolj zaščitili, vendar v končni fazi so čisto vsega krivi kriminalci, ki so dejansko ukradli.


Po eni strani se strinjam s tabo, vendar bi se vseeno vprašal zakaj Sony potrebuje vse te podatke. IMHO ne potrebuje ničesar drugega kot moj email, letnico rojstva in moj "nickname".
Številka kreditne pa zgolj opcijsko, če si želim olajšati nakupovanje in je ne želim vsakič pretipkavati.
Pa tudi glede številke kreditne kartice je vprašanje če jo je smiselno hraniti v centralnem serverju in ne na lokalni napravi?
Se mi pa zdi pravilno, da vsaka izguba osebnih podatkov podjetje drago stane, ker le tako se bodo začeli spraševati če res potrebujejo hraniti vse te naše podatke in da če je odgovor da; le tako jih bodo zares varno hranili.
Je pa seveda jasno, da je Sony tukaj žrtev in ne "bad guy".

Me pa zanima kako dobro se v praksi da rešiti kriptiranje podatkovne baze. Namreč, če želiš, da podatkovna baza deluje mora imeti ključ za dostop do podatkov lokalno na voljo in če ima napadalec fizični dostop, kako preprečiti da pride do ključa?

Kostko ::

dronyx je izjavil:

Ja, poznam to dobro varnostno prakso. Potem imaš pa v denarnici listke z vsemi temi 24 mestnimi gesli.


Niti približno.
Human stupidity is not convergent, it has no limit!

3furious ::

@Benji
A mogoče namiguješ, da imaš ti bolje zaščiten računalnik kot Sony svoje strežnike?:)) Na podlagi tega, da so Sonyju vdrli, tebi pa ne?
"Journalism is printing what someone else does not want printed.
Everything else is public relations." George Orwell

dronyx ::

mn je izjavil:

Me pa zanima kako dobro se v praksi da rešiti kriptiranje podatkovne baze. Namreč, če želiš, da podatkovna baza deluje mora imeti ključ za dostop do podatkov lokalno na voljo in če ima napadalec fizični dostop, kako preprečiti da pride do ključa?


Jaz sicer ne vem, kako v praksi to rešujejo, ampak jaz bi zadevo rešil tako, da imaš ti na enem mestu samo močno kriptirane podatke, ki ne pomenijo nič. Če želi nekdo opraviti plačilo, potem pa gre ta podatek pri dekriptiranju čez par strežnikov, ki vsak ve samo del ključa in če ukradejo samo enega, niso naredili nič.

To je analogija stare ključavničarske fore, ko imaš ključavnico, kjer več oseb pride s svojim ključem, da lahko odprejo vrata,
Only the weak use their brains - the strong use their balls!

Kostko ::

dronyx je izjavil:

Jaz sicer ne vem, kako v praksi to rešujejo, ampak jaz bi zadevo rešil tako, da imaš ti na enem mestu samo močno kriptirane podatke, ki ne pomenijo nič. Če želi nekdo opraviti plačilo, potem pa gre ta podatek pri dekriptiranju čez par strežnikov, ki vsak ve samo del ključa in če ukradejo samo enega, niso naredili nič.

To je analogija stare ključavničarske fore, ko imaš ključavnico, kjer več oseb pride s svojim ključem, da lahko odprejo vrata,


In del ključa bi lahko imel vsak uporabnik pri sebi.
Human stupidity is not convergent, it has no limit!

techfreak :) ::

dronyx je izjavil:

Jaz dvomim, da kdo uporablja drugo geslo za vsako storitev.

Naključen salt je že skoraj standard za gesla in v tem primeru baza gesel napadalcu nič ne pomaga, tudi če ima uporabnik za vsako storitev isto geslo.

benji ::

3furious je izjavil:

@Benji
A mogoče namiguješ, da imaš ti bolje zaščiten računalnik kot Sony svoje strežnike?:)) Na podlagi tega, da so Sonyju vdrli, tebi pa ne?

Ja ;) Kaj ni to dovolj dober razlog :D
MB Gigabyte 970A-DS3P/FX AMD FX 6350 @ 4100MHz RAM:16 GB 1600Mhz/
Sapphire R9 390 8GB Logitech G27 Oculus Rift DK2
http://slovirtualracing.wix.com/slovirtualracing

dronyx ::

techfreak :) : Torej če jaz tebe prav razumem oni ne pridejo direktno do mojega gesla "razhodka21895", ampak dobijo samo neko binarno vrednost, v katero se pretvori moje geslo in niso sposobni dobiti nazaj pravega gesla?
Only the weak use their brains - the strong use their balls!

Tr0n ::

techfreak :) ::

dronyx je izjavil:

Jaz sicer ne vem, kako v praksi to rešujejo, ampak jaz bi zadevo rešil tako, da imaš ti na enem mestu samo močno kriptirane podatke, ki ne pomenijo nič.

Pri kreditnih karticah se to v praksi rešuje tako, da ponudnik ne shrani CVV2 kode.

Ales ::

Salt mora biti nekje zapisan, sicer je podatek izgubljen tudi za legitimnega uporabnika. Pri vdorih takih razsežnosti se lahko zgodi, da napadalci pridejo tudi do salta in posledično je čisto vseeno, če je salt obstajal ali ne.

Do pravih gesel v (za prave lastnike) najboljšem primeru lahko pridejo le z brute force napadom. Preprosta gesla lahko kaj hitro izluščijo tudi tako.

Vprašanje je, kako so bile šifrirane številke kreditnih kartic in ali so hranili CVV kodo zraven.
http://www.modronebo.net
Domene, gostovanje, strežniki, design

mn ::

dronyx je izjavil:


Jaz sicer ne vem, kako v praksi to rešujejo, ampak jaz bi zadevo rešil tako, da imaš ti na enem mestu samo močno kriptirane podatke, ki ne pomenijo nič. Če želi nekdo opraviti plačilo, potem pa gre ta podatek pri dekriptiranju čez par strežnikov, ki vsak ve samo del ključa in če ukradejo samo enega, niso naredili nič.


Oracle recimo ima podatkovne tabele kriptirane z ključi, ki jih ima v nekem svojem password store-u. Kar mene zanima je kako kako tehnično hranijo le-ta ključ. Po mojem mnenju je v primeru napada kjer je napadalec fizično prisoten takšno kriptiranje neuporabno.
Ravno tako če greš preko več strežnikov stvar ni kaj dosti bolj varna. Vsi strežniki namreč morajo biti povezani v isto mrežo kar pomeni da so dostopni in posledično ranljivi. Edino dostop do master key-ev je težji če so ti strežniki na različnih lokacijah.
Ampak če želiš kriptirati relacijsko podatkovno bazo so vse te rešitve neuporabnem Ključ moraš imeti lokalno.

borisk ::

o saltu je neumno govoriti, sploh če se spomnimo hekanja PS3
 naključno število

naključno število

techfreak :) ::

Pri vdorih takih razsežnosti se lahko zgodi, da napadalci pridejo tudi do salta in posledično je čisto vseeno, če je salt obstajal ali ne.

Ni vseeno. Če imaš za vsako uporabniško geslo svoj salt, napadalcu rainbow tabele nič ne koristijo.

mn ::

Ales je izjavil:

Salt mora biti nekje zapisan, sicer je podatek izgubljen tudi za legitimnega uporabnika. Pri vdorih takih razsežnosti se lahko zgodi, da napadalci pridejo tudi do salta in posledično je čisto vseeno, če je salt obstajal ali ne.

Do pravih gesel v (za prave lastnike) najboljšem primeru lahko pridejo le z brute force napadom. Preprosta gesla lahko kaj hitro izluščijo tudi tako.

Vprašanje je, kako so bile šifrirane številke kreditnih kartic in ali so hranili CVV kodo zraven.

Točno tako. Salt je zapisan vendar verjetno stvar dela tako, da dodaš salt geslu in z združenega podatka narediš hash. Če je salt dober si ravnokar precej otežil dictionary attack. Še vedno pa seveda obstaja brute force, katerega pa ne moreš preprečiti ker napadalec verjetno pozna salt in hash algoritem.

techfreak :) ::

Še vedno pa seveda obstaja brute force, katerega pa ne moreš preprečiti ker napadalec verjetno pozna salt in hash algoritem.

Vendar če imaš hash, salt in poznaš hash algoritem boš pri brute force še vseeno dobil neskončno možnih nizov. Izmed teh pa moraš najti tistega, ki ga je uporabnik uporabil.

3furious ::

V čem je fora, da prodajajo podatke o karticah po enem tednu, ko jih je večina že preklicala?

@Benji
Hehe, najbolje da patentiraš svojo nezlomljivo zaščito:D
"Journalism is printing what someone else does not want printed.
Everything else is public relations." George Orwell

techfreak :) ::

V čem je fora, da prodajajo podatke o karticah po enem tednu, ko jih je večina že preklicala?

Sarkazem?

mn ::

techfreak :) je izjavil:


Vendar če imaš hash, salt in poznaš hash algoritem boš pri brute force še vseeno dobil neskončno možnih nizov. Izmed teh pa moraš najti tistega, ki ga je uporabnik uporabil.


Lahko sestaviš rainbow tabelo. Sicer bo trajalo ampak IMHO imaš v 24 urah že večino passwordow. Pol pa samo pomatch-aš svoje hash-e s tistimi v bazi.

revvs ::

1 črka š je že zadosti pa ne bo mavrice, potem pa še dosti soli in potrebuješ mogoče par terabaytov disk pa se še vedno niti 1 barve ne bo v mavrici. Kitajce pa tako ne boš moral shekati z abc.

3furious ::

techfreak :) je izjavil:

V čem je fora, da prodajajo podatke o karticah po enem tednu, ko jih je večina že preklicala?

Sarkazem?

Ne, resno mislim. A ni logično, da se ukradeno kartico uporabi, preden jo lastnik prekliče? Dlje kot čakaš, večja je verjetnost, da bo preklicana. Sploh zdaj, ko so že dali ven pisna obvestila vsem uporabnikom. Verjamem, da vsi ne gledajo mailov in da jih niso preklicali, ampak vseeno.
"Journalism is printing what someone else does not want printed.
Everything else is public relations." George Orwell

FireSnake ::

Zgleda, da številke le niso bile kriptirane:
http://www.dailytech.com/Report+PS3+PSP...
" In The Sound Of Silence Time Is Standing Still" " You Have To Learn To Crawl Before You Learn To Walk"

amigo_no1 ::

cv2 številka kartica je bila tudi shranjena v bazi ?

3furious ::

Sony pravi, da je nikoli niso niti zahtevali, tako da je nemogoče, da je bila v bazi.

"...Keep in mind, however that your credit card security code (sometimes called a CVC or CSC number) has not been obtained because we never requested it from anyone who has joined the PlayStation Network or Qriocity, and is therefore not stored anywhere in our system."
"Journalism is printing what someone else does not want printed.
Everything else is public relations." George Orwell

rolihandrej ::

Resnično upam, da so se pri Sonyju in ostalih firmah naučili da je treba zmnjšati to prekleto odvisnost od oblačkov. Mislim da bi bil počasi čas, da začnemo jiti malce nazaj v čas. Več občutljivih podatkov naj se hrani lokalno, kjer centralizirani serverji niso potrebni naj se uporabi P2P, ... Da imaš naprave ki za sam zagon potrebujejo network povezljivost je tudi absurdno do amena (Microsoft in Sidekick naprimer).

Na srečo sem pri svojih nakupih na PSN uporabljal Wirecard (virtualni mastercard), pa še ta je že potekel kake pol leta nazaj. Tako da zaradi mene lahko številko kreditnih kartic tudi imajo.
http://www.r00li.com

Zgodovina sprememb…

3furious ::

Sony je popravil prejšnjo izjavo: "UPDATE: While we do ask for CCV codes, we do not store them in our database.":)
"Journalism is printing what someone else does not want printed.
Everything else is public relations." George Orwell

benji ::

rolihandrej je izjavil:


Na srečo sem pri svojih nakupih na PSN uporabljal Wirecard (virtualni mastercard), pa še ta je že potekel kake pol leta nazaj. Tako da zaradi mene lahko številko kreditnih kartic tudi imajo.


Sam sicer kupujem preko spleta,ampak,če kaj naročim plačam po povzetju.Sliši se staromodno,starokopitno in nevem kaj še vse ampak enostavno ne zaupam nikomur,takšen pač sem,probam biti čimbolj previden pri tem kupovanju z karticami in prisegam na tako imenovani old scool način :D Ampak sem pa razmišljal o tej kartici(wirecard)ampak kolikor vem je tudi to rizično.Spomnimo se,da so v nemčiji hakerji napadli banko in haknili "kao" pametne kartice oz.ta sistem za generiranje varnostne kode,katero pa ima vsak imetnik,ki se ukvarja oz.plačuje preko spleta položnice.Torej sploh nismo več varni na spletu,kar se tiče kupovanja-plačevanja.Kaj ti pomaga,če sem jaz previden,ko pa ga kiksnejo na drugi strani in ponudnik storitev ni poskrbel za mojo varnost!
Glede varnosti strežnikov in teh sistemov,ki so bili ranljivi pri Sony-ju nimam toliko pojma kot nekateri tukaj,mi pa je zanimivo brati izjave in se morda iz tega še kaj naučim,za to mi ne zamerit,če sem se kje zmotil,lahko pa me popravite in mi svetujete;)
MB Gigabyte 970A-DS3P/FX AMD FX 6350 @ 4100MHz RAM:16 GB 1600Mhz/
Sapphire R9 390 8GB Logitech G27 Oculus Rift DK2
http://slovirtualracing.wix.com/slovirtualracing

zeleni ::

Kaksen uptime ima PSN?

Ob veckratnih izpadih in tudi tako dolgem kot je ta, nimas s konzolo kaj poceti. Bos igral single player? :S Pa igraca ni bila poceni.

opeter ::

Jaz igram večino samo single player špile, da.
Hrabri mišek - www.dangermouse.org
18. november 2011 - Umrl je Mark Hall, "oče" Hrabrega miška
RTVSLO: http://tinyurl.com/74r9n7j

3furious ::

zeleni je izjavil:

Kaksen uptime ima PSN?

Ob veckratnih izpadih in tudi tako dolgem kot je ta, nimas s konzolo kaj poceti. Bos igral single player? :S Pa igraca ni bila poceni.


Ne spomnim se, da bi bil kdaj v izpadu dlje kot par ur. Vzdrževanja so med delavniki, v večini primerov lahko igraš online, če se zlogiraš pred začetkom del.
"Journalism is printing what someone else does not want printed.
Everything else is public relations." George Orwell

Bananovec ::

We are initiating several measures that will significantly enhance all aspects of PlayStation Network's security and your personal data, including moving our network infrastructure and data center to a new, more secure location, which is already underway.

V maju pričakujmu tudi no FW.
Its only copying if samsung does it. And unless we patent this in 5 years,
this is the shittest tech ever ... and we'll sue you.
Regards, Apple

Tr0n ::

Bananovec ::

Sony Fired Hundreds of Online Employees Just Days Before PSN Attack!
To bi znalo biti zanimivo !
Its only copying if samsung does it. And unless we patent this in 5 years,
this is the shittest tech ever ... and we'll sue you.
Regards, Apple

opeter ::

Kje to piše? Link?
Hrabri mišek - www.dangermouse.org
18. november 2011 - Umrl je Mark Hall, "oče" Hrabrega miška
RTVSLO: http://tinyurl.com/74r9n7j


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Sony zavoljo varnosti primoran izključiti tudi SOE, ukradene nadaljnje številke kredi

Oddelek: Novice / Varnost
223860 (2660) 3furious
»

PlayStation Network še vedno nedosegljiv, v nevarnosti podatki kreditnih kartic?

Oddelek: Novice / Omrežja / internet
182303 (1268) opeter
»

Sony PSN nazaj ta teden, verjetno odtujene številke kreditnih kartic

Oddelek: Novice / Varnost
133584 (2744) Lakotnik29
»

PlayStation Network še vedno izključen, vložena tožba zoper Sony

Oddelek: Novice / Varnost
304329 (2554) XsenO
»

Izguba osebnih podatkov s PlayStation Network je realnost

Oddelek: Novice / Omrežja / internet
355330 (2608) 3furious

Več podobnih tem