» »

Sony PlayStation Network nazaj prihodnji teden, številke kreditnih kartic so bile šifrirane

Sony PlayStation Network nazaj prihodnji teden, številke kreditnih kartic so bile šifrirane

Le kakšne bodo dolgoročne posledice napada za Sony?

vir: Ars Technica
Slo-Tech - Sonyjeva storitev PlayStation Network (PSN), ki je zaradi vdora v sistem nedosegljiva že od prejšnjega tedna, ostaja izključena, medtem ko na internet curljajo nove, to pot bolj pomirljive informacije o incidentu. Čeprav so na Ars Technici poročali o bralcih, ki so doživel zlorabo kreditne kartice in za to obtožili vdor v Sony PSN, ker sicer kreditne kartice niso bili nikjer uporabili, se to zdi manj verjeten razlog.

Sony je namreč zagotovil, da so bili vsi podatki o kreditnih karticah strank šifrirani, tako da si napadalci tudi z odtujenimi podatki ne bi mogli pomagati, če je bilo šifriranje seveda kakovostno (o tem Sony ni razkril podrobnosti). Poizvedba sicer kaže, da tabela s temi podatki sploh ni bila odtujena. Toda priznali so, da ostali podatki niso bili šifrirani, marveč shranjeni kot navadno besedilo. Napadalci so bržčas pridobili rojstne podatke, stalno prebivališče in podobno od vsaj nekaterih izmed 77 milijonov uporabnikov.

Sony že sodeluje z organi pregona. Kar se tiče same storitve PSN, jo Sony ponovno gradi in počasi pripravlja na vnovičen zagon. Da bi preprečili prihodnje napade, so vso strojno opremo prenesli na novo lokacijo, saj trenutni izsledki preiskave kažejo, da je moral biti nekdo fizično prisoten v podatkovnem centru, da je napad uspel. PSN bodo ponovno zagnali šele, ko bodo prepričani, da je za varnost najbolje poskrbljeno, kar bo trajalo še vsaj nekaj dni (neuradno se omenja prihodnja sreda).

Seveda se je na Sony usula ploha kritik. Omenili smo že tožbo v ZDA, oglasili so se tudi ameriški senatorji, ki terjajo odgovore od Sonyja, in nemški informacijski pooblaščenec.

49 komentarjev

dronyx ::

Kakor jaz razumem šifriranje je to sicer bolje kot čiste txt datoteke, ampak če so hekerji prišli tudi do zasebnega ključa za dešifriranje verjetno ne bo ravno težko priti do podatkov?

billy ::

Ne razumem, kaj vsi tako krizirajo in še hočejo tožiti Sony, tukaj se je šlo za navaden internetni zločin, kdaj pa na veliko kritizirajo banke, če se zgodi rop ali vlom, ali pa poštarja, če le-tega oropajo.

Seljak ::

Mislim no,z katerim podatkom Sony zavaja ljudi :)) Številke kreditnih kartic so bile šifrirane:))
Te bučke lahko prodajajo babicam in dedkom!Cel njihov varnostni sistem je pokleknil pod napadom a številke kreditn.kartic pa so bil šifrirane.Svašta.

Constantine ::

Pričakujem od Sonya da mi za nasljendji dve leti šenka vse špile in podari PS4 ko pride.

Hvala.

Zgodovina sprememb…

Good Guy ::

oda priznali so, da ostali podatki niso bili šifrirani, marveč shranjeni kot navadno besedilo.


Sure, retards!

HairyFotr ::

@billy obstajajo zakoni o varovanju osebnih podatkov. Če se dokaže, da jih Sony ni spoštoval, so seveda odgovorni.

3furious ::

Q: Will there be a goodwill gesture for the time we haven't been able to utilize PSN/Qriocity?
A: We are currently evaluating ways to show appreciation for your extraordinary patience as we work to get these services back online.
:D
In the age of information, ignorance is a choice.

dronyx ::

billy je izjavil:

Ne razumem, kaj vsi tako krizirajo in še hočejo tožiti Sony, tukaj se je šlo za navaden internetni zločin, kdaj pa na veliko kritizirajo banke, če se zgodi rop ali vlom, ali pa poštarja, če le-tega oropajo.

Če oropajo poštarja to težko prizadene 75 milijonov ljudi.

HeMan ::

Neverjetno. Do sedaj sem v teh novicah samo billya videl, da se zgraža nad zlikovci, vsi ostali pa nad Sonyem.. Kam smo prišli...

dronyx je izjavil:

billy je izjavil:

Ne razumem, kaj vsi tako krizirajo in še hočejo tožiti Sony, tukaj se je šlo za navaden internetni zločin, kdaj pa na veliko kritizirajo banke, če se zgodi rop ali vlom, ali pa poštarja, če le-tega oropajo.

Če oropajo poštarja to težko prizadene 75 milijonov ljudi.


Banke si pa priročno izpustil ;)

Zgodovina sprememb…

  • spremenil: HeMan ()

lmfao ::

saj trenutni izsledki preiskave kažejo, da je moral biti nekdo fizično prisoten v podatkovnem centru, da je napad uspel.

!?!?!?!?

dronyx ::

@HeMan: Nisem banke spustil. Klasični rop banke je podobno kot poštarja. To prizadene banko samo, vendar oni so domnevam za take primere zavarovani, tako da škoda ni tako huda. Če pa enkrat ukradejo osebne podatke in gesla pa ni več poti nazaj.

Ko so vdrli v Wordpress in baje pobrali uporabniška imena in gesla sem imel jaz precej dela, da sem zamenjal gesla na mailu, steamu... Jaz dvomim, da kdo uporablja drugo geslo za vsako storitev. In ko imaš enkrat v rokah tako bazo je samo vprašanje kreativnosti, kaj vse se lahko s tem počne.

HeMan ::

Zato pa se je potrebno še toliko bolj zgražat nad kriminalci, ki take stvari počnejo! Ne pa da se obnašamo, kot da je to nekaj samoumevnega in da so zlikovci v tem primeru Sony ker niso tega preprečili... Vem da bi lahko bolj zaščitili, vendar v končni fazi so čisto vsega krivi kriminalci, ki so dejansko ukradli.

Kostko ::

dronyx je izjavil:

Jaz dvomim, da kdo uporablja drugo geslo za vsako storitev.


Lahko kar nehaš dvomiti, to je enostavno dobra varnostna praksa. ;)
Human stupidity is not convergent, it has no limit!

dronyx ::

Ja, poznam to dobro varnostno prakso. Potem imaš pa v denarnici listke z vsemi temi 24 mestnimi gesli.

Seljak ::

dronyx je izjavil:

Jaz dvomim, da kdo uporablja drugo geslo za vsako storitev. In ko imaš enkrat v rokah tako bazo je samo vprašanje kreativnosti, kaj vse se lahko s tem počne.


Nehaj dvomit;) Jaz recimo za varnost računalnikov znam poskrbeti.To pomeni,da sem dobro poskrbel za varnost storitev in aplikacij,ki "laufajo" na moji kišti.Kaj pa mi to pomaga,če pa on na drugi strani z katerim poslujem zajeb* in ni poskrbel za varnost mojih podatkov,kot so recimo št.kreditnih kartic,...kot se je zgodilo Sony-ju,za kar pa ne bi smelo biti opravičila.Tožbe se bodo kar vrstile in tako je tudi prav,saj prasci za vsako igro,serverje,.. mastno kasirajo,za osnovno varnost pa ne znajo poskrbeti.

mn ::

HeMan je izjavil:

Zato pa se je potrebno še toliko bolj zgražat nad kriminalci, ki take stvari počnejo! Ne pa da se obnašamo, kot da je to nekaj samoumevnega in da so zlikovci v tem primeru Sony ker niso tega preprečili... Vem da bi lahko bolj zaščitili, vendar v končni fazi so čisto vsega krivi kriminalci, ki so dejansko ukradli.


Po eni strani se strinjam s tabo, vendar bi se vseeno vprašal zakaj Sony potrebuje vse te podatke. IMHO ne potrebuje ničesar drugega kot moj email, letnico rojstva in moj "nickname".
Številka kreditne pa zgolj opcijsko, če si želim olajšati nakupovanje in je ne želim vsakič pretipkavati.
Pa tudi glede številke kreditne kartice je vprašanje če jo je smiselno hraniti v centralnem serverju in ne na lokalni napravi?
Se mi pa zdi pravilno, da vsaka izguba osebnih podatkov podjetje drago stane, ker le tako se bodo začeli spraševati če res potrebujejo hraniti vse te naše podatke in da če je odgovor da; le tako jih bodo zares varno hranili.
Je pa seveda jasno, da je Sony tukaj žrtev in ne "bad guy".

Me pa zanima kako dobro se v praksi da rešiti kriptiranje podatkovne baze. Namreč, če želiš, da podatkovna baza deluje mora imeti ključ za dostop do podatkov lokalno na voljo in če ima napadalec fizični dostop, kako preprečiti da pride do ključa?

Kostko ::

dronyx je izjavil:

Ja, poznam to dobro varnostno prakso. Potem imaš pa v denarnici listke z vsemi temi 24 mestnimi gesli.


Niti približno.
Human stupidity is not convergent, it has no limit!

3furious ::

@Benji
A mogoče namiguješ, da imaš ti bolje zaščiten računalnik kot Sony svoje strežnike?:)) Na podlagi tega, da so Sonyju vdrli, tebi pa ne?
In the age of information, ignorance is a choice.

dronyx ::

mn je izjavil:

Me pa zanima kako dobro se v praksi da rešiti kriptiranje podatkovne baze. Namreč, če želiš, da podatkovna baza deluje mora imeti ključ za dostop do podatkov lokalno na voljo in če ima napadalec fizični dostop, kako preprečiti da pride do ključa?


Jaz sicer ne vem, kako v praksi to rešujejo, ampak jaz bi zadevo rešil tako, da imaš ti na enem mestu samo močno kriptirane podatke, ki ne pomenijo nič. Če želi nekdo opraviti plačilo, potem pa gre ta podatek pri dekriptiranju čez par strežnikov, ki vsak ve samo del ključa in če ukradejo samo enega, niso naredili nič.

To je analogija stare ključavničarske fore, ko imaš ključavnico, kjer več oseb pride s svojim ključem, da lahko odprejo vrata,

Kostko ::

dronyx je izjavil:

Jaz sicer ne vem, kako v praksi to rešujejo, ampak jaz bi zadevo rešil tako, da imaš ti na enem mestu samo močno kriptirane podatke, ki ne pomenijo nič. Če želi nekdo opraviti plačilo, potem pa gre ta podatek pri dekriptiranju čez par strežnikov, ki vsak ve samo del ključa in če ukradejo samo enega, niso naredili nič.

To je analogija stare ključavničarske fore, ko imaš ključavnico, kjer več oseb pride s svojim ključem, da lahko odprejo vrata,


In del ključa bi lahko imel vsak uporabnik pri sebi.
Human stupidity is not convergent, it has no limit!

techfreak :) ::

dronyx je izjavil:

Jaz dvomim, da kdo uporablja drugo geslo za vsako storitev.

Naključen salt je že skoraj standard za gesla in v tem primeru baza gesel napadalcu nič ne pomaga, tudi če ima uporabnik za vsako storitev isto geslo.

Seljak ::

3furious je izjavil:

@Benji
A mogoče namiguješ, da imaš ti bolje zaščiten računalnik kot Sony svoje strežnike?:)) Na podlagi tega, da so Sonyju vdrli, tebi pa ne?

Ja ;) Kaj ni to dovolj dober razlog :D

dronyx ::

techfreak :) : Torej če jaz tebe prav razumem oni ne pridejo direktno do mojega gesla "razhodka21895", ampak dobijo samo neko binarno vrednost, v katero se pretvori moje geslo in niso sposobni dobiti nazaj pravega gesla?

Tr0n ::

techfreak :) ::

dronyx je izjavil:

Jaz sicer ne vem, kako v praksi to rešujejo, ampak jaz bi zadevo rešil tako, da imaš ti na enem mestu samo močno kriptirane podatke, ki ne pomenijo nič.

Pri kreditnih karticah se to v praksi rešuje tako, da ponudnik ne shrani CVV2 kode.

Ales ::

Salt mora biti nekje zapisan, sicer je podatek izgubljen tudi za legitimnega uporabnika. Pri vdorih takih razsežnosti se lahko zgodi, da napadalci pridejo tudi do salta in posledično je čisto vseeno, če je salt obstajal ali ne.

Do pravih gesel v (za prave lastnike) najboljšem primeru lahko pridejo le z brute force napadom. Preprosta gesla lahko kaj hitro izluščijo tudi tako.

Vprašanje je, kako so bile šifrirane številke kreditnih kartic in ali so hranili CVV kodo zraven.

mn ::

dronyx je izjavil:


Jaz sicer ne vem, kako v praksi to rešujejo, ampak jaz bi zadevo rešil tako, da imaš ti na enem mestu samo močno kriptirane podatke, ki ne pomenijo nič. Če želi nekdo opraviti plačilo, potem pa gre ta podatek pri dekriptiranju čez par strežnikov, ki vsak ve samo del ključa in če ukradejo samo enega, niso naredili nič.


Oracle recimo ima podatkovne tabele kriptirane z ključi, ki jih ima v nekem svojem password store-u. Kar mene zanima je kako kako tehnično hranijo le-ta ključ. Po mojem mnenju je v primeru napada kjer je napadalec fizično prisoten takšno kriptiranje neuporabno.
Ravno tako če greš preko več strežnikov stvar ni kaj dosti bolj varna. Vsi strežniki namreč morajo biti povezani v isto mrežo kar pomeni da so dostopni in posledično ranljivi. Edino dostop do master key-ev je težji če so ti strežniki na različnih lokacijah.
Ampak če želiš kriptirati relacijsko podatkovno bazo so vse te rešitve neuporabnem Ključ moraš imeti lokalno.

borisk ::

o saltu je neumno govoriti, sploh če se spomnimo hekanja PS3
 naključno število

naključno število

techfreak :) ::

Pri vdorih takih razsežnosti se lahko zgodi, da napadalci pridejo tudi do salta in posledično je čisto vseeno, če je salt obstajal ali ne.

Ni vseeno. Če imaš za vsako uporabniško geslo svoj salt, napadalcu rainbow tabele nič ne koristijo.

mn ::

Ales je izjavil:

Salt mora biti nekje zapisan, sicer je podatek izgubljen tudi za legitimnega uporabnika. Pri vdorih takih razsežnosti se lahko zgodi, da napadalci pridejo tudi do salta in posledično je čisto vseeno, če je salt obstajal ali ne.

Do pravih gesel v (za prave lastnike) najboljšem primeru lahko pridejo le z brute force napadom. Preprosta gesla lahko kaj hitro izluščijo tudi tako.

Vprašanje je, kako so bile šifrirane številke kreditnih kartic in ali so hranili CVV kodo zraven.

Točno tako. Salt je zapisan vendar verjetno stvar dela tako, da dodaš salt geslu in z združenega podatka narediš hash. Če je salt dober si ravnokar precej otežil dictionary attack. Še vedno pa seveda obstaja brute force, katerega pa ne moreš preprečiti ker napadalec verjetno pozna salt in hash algoritem.

techfreak :) ::

Še vedno pa seveda obstaja brute force, katerega pa ne moreš preprečiti ker napadalec verjetno pozna salt in hash algoritem.

Vendar če imaš hash, salt in poznaš hash algoritem boš pri brute force še vseeno dobil neskončno možnih nizov. Izmed teh pa moraš najti tistega, ki ga je uporabnik uporabil.

3furious ::

V čem je fora, da prodajajo podatke o karticah po enem tednu, ko jih je večina že preklicala?

@Benji
Hehe, najbolje da patentiraš svojo nezlomljivo zaščito:D
In the age of information, ignorance is a choice.

techfreak :) ::

V čem je fora, da prodajajo podatke o karticah po enem tednu, ko jih je večina že preklicala?

Sarkazem?

mn ::

techfreak :) je izjavil:


Vendar če imaš hash, salt in poznaš hash algoritem boš pri brute force še vseeno dobil neskončno možnih nizov. Izmed teh pa moraš najti tistega, ki ga je uporabnik uporabil.


Lahko sestaviš rainbow tabelo. Sicer bo trajalo ampak IMHO imaš v 24 urah že večino passwordow. Pol pa samo pomatch-aš svoje hash-e s tistimi v bazi.

revvs ::

1 črka š je že zadosti pa ne bo mavrice, potem pa še dosti soli in potrebuješ mogoče par terabaytov disk pa se še vedno niti 1 barve ne bo v mavrici. Kitajce pa tako ne boš moral shekati z abc.

3furious ::

techfreak :) je izjavil:

V čem je fora, da prodajajo podatke o karticah po enem tednu, ko jih je večina že preklicala?

Sarkazem?

Ne, resno mislim. A ni logično, da se ukradeno kartico uporabi, preden jo lastnik prekliče? Dlje kot čakaš, večja je verjetnost, da bo preklicana. Sploh zdaj, ko so že dali ven pisna obvestila vsem uporabnikom. Verjamem, da vsi ne gledajo mailov in da jih niso preklicali, ampak vseeno.
In the age of information, ignorance is a choice.

FireSnake ::

Zgleda, da številke le niso bile kriptirane:
http://www.dailytech.com/Report+PS3+PSP...
Poglej in se nasmej: vicmaher.si

amigo_no1 ::

cv2 številka kartica je bila tudi shranjena v bazi ?

3furious ::

Sony pravi, da je nikoli niso niti zahtevali, tako da je nemogoče, da je bila v bazi.

"...Keep in mind, however that your credit card security code (sometimes called a CVC or CSC number) has not been obtained because we never requested it from anyone who has joined the PlayStation Network or Qriocity, and is therefore not stored anywhere in our system."
In the age of information, ignorance is a choice.

roli ::

Resnično upam, da so se pri Sonyju in ostalih firmah naučili da je treba zmnjšati to prekleto odvisnost od oblačkov. Mislim da bi bil počasi čas, da začnemo jiti malce nazaj v čas. Več občutljivih podatkov naj se hrani lokalno, kjer centralizirani serverji niso potrebni naj se uporabi P2P, ... Da imaš naprave ki za sam zagon potrebujejo network povezljivost je tudi absurdno do amena (Microsoft in Sidekick naprimer).

Na srečo sem pri svojih nakupih na PSN uporabljal Wirecard (virtualni mastercard), pa še ta je že potekel kake pol leta nazaj. Tako da zaradi mene lahko številko kreditnih kartic tudi imajo.
http://www.r00li.com

Zgodovina sprememb…

  • spremenil: roli ()

3furious ::

Sony je popravil prejšnjo izjavo: "UPDATE: While we do ask for CCV codes, we do not store them in our database.":)
In the age of information, ignorance is a choice.

Seljak ::

roli je izjavil:


Na srečo sem pri svojih nakupih na PSN uporabljal Wirecard (virtualni mastercard), pa še ta je že potekel kake pol leta nazaj. Tako da zaradi mene lahko številko kreditnih kartic tudi imajo.


Sam sicer kupujem preko spleta,ampak,če kaj naročim plačam po povzetju.Sliši se staromodno,starokopitno in nevem kaj še vse ampak enostavno ne zaupam nikomur,takšen pač sem,probam biti čimbolj previden pri tem kupovanju z karticami in prisegam na tako imenovani old scool način :D Ampak sem pa razmišljal o tej kartici(wirecard)ampak kolikor vem je tudi to rizično.Spomnimo se,da so v nemčiji hakerji napadli banko in haknili "kao" pametne kartice oz.ta sistem za generiranje varnostne kode,katero pa ima vsak imetnik,ki se ukvarja oz.plačuje preko spleta položnice.Torej sploh nismo več varni na spletu,kar se tiče kupovanja-plačevanja.Kaj ti pomaga,če sem jaz previden,ko pa ga kiksnejo na drugi strani in ponudnik storitev ni poskrbel za mojo varnost!
Glede varnosti strežnikov in teh sistemov,ki so bili ranljivi pri Sony-ju nimam toliko pojma kot nekateri tukaj,mi pa je zanimivo brati izjave in se morda iz tega še kaj naučim,za to mi ne zamerit,če sem se kje zmotil,lahko pa me popravite in mi svetujete;)

zeleni ::

Kaksen uptime ima PSN?

Ob veckratnih izpadih in tudi tako dolgem kot je ta, nimas s konzolo kaj poceti. Bos igral single player? :S Pa igraca ni bila poceni.

opeter ::

Jaz igram večino samo single player špile, da.
Hrabri mišek (od 2015 nova serija!) -> http://tinyurl.com/na7r54l
18. november 2011 - Umrl je Mark Hall, "oče" Hrabrega miška
RTVSLO: http://tinyurl.com/74r9n7j

3furious ::

zeleni je izjavil:

Kaksen uptime ima PSN?

Ob veckratnih izpadih in tudi tako dolgem kot je ta, nimas s konzolo kaj poceti. Bos igral single player? :S Pa igraca ni bila poceni.


Ne spomnim se, da bi bil kdaj v izpadu dlje kot par ur. Vzdrževanja so med delavniki, v večini primerov lahko igraš online, če se zlogiraš pred začetkom del.
In the age of information, ignorance is a choice.

Bananovec ::

We are initiating several measures that will significantly enhance all aspects of PlayStation Network's security and your personal data, including moving our network infrastructure and data center to a new, more secure location, which is already underway.

V maju pričakujmu tudi no FW.
Its only copying if samsung does it. And unless we patent this in 5 years,
this is the shittest tech ever ... and we'll sue you.
Regards, Apple

Tr0n ::

Bananovec ::

Sony Fired Hundreds of Online Employees Just Days Before PSN Attack!
To bi znalo biti zanimivo !
Its only copying if samsung does it. And unless we patent this in 5 years,
this is the shittest tech ever ... and we'll sue you.
Regards, Apple

opeter ::

Kje to piše? Link?
Hrabri mišek (od 2015 nova serija!) -> http://tinyurl.com/na7r54l
18. november 2011 - Umrl je Mark Hall, "oče" Hrabrega miška
RTVSLO: http://tinyurl.com/74r9n7j


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

V lanskem vdoru v Sony ušel neizdani material Michaela Jacksona

Oddelek: Novice / Varnost
4913924 (11642) ahac
»

Sony še vedno na udaru (strani: 1 2 3 )

Oddelek: Novice / Varnost
13129387 (27027) ABX
»

Sony zavoljo varnosti primoran izključiti tudi SOE, ukradene nadaljnje številke kredi

Oddelek: Novice / Varnost
228600 (7400) 3furious
»

Sony PlayStation Network nazaj prihodnji teden, številke kreditnih kartic so bile šif

Oddelek: Novice / Zasebnost
4915346 (14006) opeter
»

PlayStation Network še vedno izključen, vložena tožba zoper Sony

Oddelek: Novice / Varnost
309534 (7759) XsenO

Več podobnih tem