Uusimmat

Asiantuntija: Sonyn palvelimilla ei ollut edes palomuuria

05.05.2011 16:15 Jukka O. Kauppinen

Tietoturva-asiantuntija Gene Spafford on viitannut Sonyyn Yhdysvaltain kongressille  pitämässään tietoturva-esitelmässä, joka käsitteli kuluttajiin kohdistuvaa tieto- ja identiteettivarkauksien uhkaa. Spaffordin käsittelyssä Sony saa tietoturvastaan surkean arvosanan.

Spaffordin mukaan Sonyn palvelimet käyttivät paitsi vanhentuneita versioita Apache-palvelinkäyttöjärjestelmästä, eikä niille oltu edes asennettu palomuuriohjelmistoja.

Ja kuten toissapäivänä kerroimme,

Trixterin mukaan Sonyn PlayStation Network -palvelun osaset pyörivät toisistaan erillisinä järjestelminä, jotka olivat kaikki suorassa yhteydessä internetiin. Muun muassa PlayStation-konsolien autentikointijärjestelmä, ladattavan sisällön hallinta, kuvien tallennuspalvelu ja muut järjestelmät toimivat vanhentuneilla Apache-palvelinkoneilla, joiden välistä kommunikointia ei oltu edes salata. Saati piilotettu avointa internetiä tarvitsemattomia palveluja.

”En koskaan nähnyt yhdelläkään koneella ajanmukaista Apachea”, Trixter tylyttää.

”Jos hyökkääjät pääsivät Apachen sisään, he olivat luultavasti kiinni Sonyn mailipalvelimessa, DNS-palvelimen sisäpuolella. He pääsivät luultavasti kaikkialle.”

Spaffordin mukaan haavoittuvuuksista oli keskusteltu Sonyn keskustelufoorumilla jo useita kuukausia ennen hyökkäyksiä.

Alkujaan ynnäilimme

Kaiken taustalla on PlayStation Networkin suunnitteluprosessi. Pitkän linjan PlayStation-toimittajan tietojen mukaan koko verkkoratkaisu kasattiin alusta asti ongelmallisesti. Sonyn Japanin toimisto tilaili yleensä verkkopelejä duunaavalta Sony Online Entertainmentilta pieniä palasia yksi kerrallaan ja ilman mitään suurta visiota. Yksi palikka saattoi hoitaa kaverilistan, toinen taas vaikka viestien lähettelyn ja kolmas PSN-kaupan. Tästä johtuen koko kauppa oli pitkään pelkkä WWW-sivu, johon PlayStation 3 otti selaimellaan yhteyden. Ja tästä alkavat myös ongelmat.

PlayStation 3:n ja PlayStation Networkin välillä liikkuvia paketteja tutkineet hakkerit huomasivat jo alkukeväästä, että PlayStation 3 lähetti kauppaan kaikki luottokorttiisi liittyvät tiedot pitkässä HTTP-litaniassa. Viesti toki lähetettiin salattuna, joten matkalta sitä oli vaikea napata, mutta samaiset hakkerit epäilivät, että nämä todella arkaluontoiset HTTP-viestit päätyivät Sonyn servereillä samoihin logeihin kuin kaikki muutkin HTTP-viestisi. Mikäli näin on, kuka tahansa voisi logit nappaamalla päästä käsiksi lukemattomien luottokorttien tietoihin.

Lähde: Security Expert: Sony Knew Its Software Was Obsolete Months Before PSN Breach

Lisää aiheesta

”He pääsivät kaikkialle”, hakkeri arvioi Sony-hyökkäyksestä

Myös Sony Online hakkerien kohteena: 25 miljoonan käyttäjän tiedot varastettiin

Sony: 10 miljoonan luottokortit ehkä varastettu

YLE: PlayStation Network -murrossa vietiin 70 000 suomalaisen luottokortit

Viestintävirasto varoittaa: PlayStation Network -käyttäjien tietoja varastettu

Huhupartio: PSN:n tietoturva on kuin teini-Erkin koodaama

Sony tunnustaa: hakkerit varastivat PlayStation Networkin kaikki käyttäjätiedot

Muropaketin uusimmat