Uusimmat

Huhupartio: PSN:n tietoturva on kuin teini-Erkin koodaama

27.04.2011 11:09 Miikka Lehtonen

Alkaa hetki hetkeltä näyttää enemmän ja enemmän siltä, kuin PlayStation Networkin hakkeroinnista olisi tulossa Sonylle todellinen painajainen. Aluksi vain rutiinikyykkäykseltä vaikuttanut ongelma on osoittautumassa täydelliseksi tietoturvakatastrofiksi, jonka taustalla piilevät kenties vielä kaiken kukkuraksi perustavanlaatuiset töpit.

Sony ja huono tietoturva ei tietenkään ole mikään uusi yhtälö. Koko PlayStation 3:n turvallisuuden piti perustua systeemiin, jossa satunnaislukujen pohjalta generoidut turvakoodit tekivät hakkerointiyritykset miltei mahdottomiksi. Niin olisikin ollut, ellei joku puupää olisi käyttänyt satunnaislukujen sijaan vakioarvoja, joiden löytämisen jälkeen koko systeemi paukahti avoimeksi. Hups.

Nyt näyttää siltä, että tämä oli vain jäävuoren huippu, sillä asiaan perehtyneiden hakkerien puheiden perusteella PlayStation Networkin tietoturva oli vähintään yhtä leväperäistä tasoa. Tieto ei toki ole virallista, joten älkää nielaisko välttämättä kaikkea pureskelematta. Mutta spekuloidaan hetki.

Kaiken taustalla on PlayStation Networkin suunnitteluprosessi. Pitkän linjan PlayStation-toimittajan tietojen mukaan koko verkkoratkaisu kasattiin alusta asti ongelmallisesti. Sonyn Japanin toimisto tilaili yleensä verkkopelejä duunaavalta Sony Online Entertainmentilta pieniä palasia yksi kerrallaan ja ilman mitään suurta visiota. Yksi palikka saattoi hoitaa kaverilistan, toinen taas vaikka viestien lähettelyn ja kolmas PSN-kaupan. Tästä johtuen koko kauppa oli pitkään pelkkä WWW-sivu, johon PlayStation 3 otti selaimellaan yhteyden. Ja tästä alkavat myös ongelmat.

PlayStation 3:n ja PlayStation Networkin välillä liikkuvia paketteja tutkineet hakkerit huomasivat jo alkukeväästä, että PlayStation 3 lähetti kauppaan kaikki luottokorttiisi liittyvät tiedot pitkässä HTTP-litaniassa. Viesti toki lähetettiin salattuna, joten matkalta sitä oli vaikea napata, mutta samaiset hakkerit epäilivät, että nämä todella arkaluontoiset HTTP-viestit päätyivät Sonyn servereillä samoihin logeihin kuin kaikki muutkin HTTP-viestisi. Mikäli näin on, kuka tahansa voisi logit nappaamalla päästä käsiksi lukemattomien luottokorttien tietoihin.

Ongelmat eivät lopu tähän, sillä toiset hakkerit ovat naureskelleet pitkään Sonyn serveriratkaisuille. PlayStation Networkin autentikointiserverit tiettävästi pyörivät wanhalla serverisoftalla, jonka tietoturva-aukot olivat yleisessä tiedossa. Tämä itsestään olisi jo todella paha tietoturvatöppi, mutta serveri kertoi myös kysyttäessä kaikille halukkaille tarkat ohjelmistoversionsa, jonka jälkeen kyse on vain siitä, että joku viitsii nähdä hetken vaivaa korkatakseen serverit.

Näinkö se siis tapahtui? Hakkeri pujahti sisään tunnetusta tietoturva-aukosta ja pölli kaikkien tiedot ja luottokortit selkokielisissä tekstitiedostoissa? Sitä emme toki tiedä, emmekä tule tietämäänkään, ellei hakkeri itse kerro salaisuuksiaan. Skenaario vaikuttaa kuitenkin pelottavan mahdolliselta, varsinkin firman eiliset kommentit huomioiden.

Pelkästään se, että Sony myöntää luottokorttien tietojen varastamisen mahdolliseksi, kertoo siitä, että nyt on tehty jotain väärin. Sen kun ei pitäisi olla tällä tasolla mahdollista. Lähtökohtaisesti firmat eivät nimittäin varastoi itse luottokorttiesi tietoja, vaan ainoastaan niiden neljä viimeistä numeroa.

Tämän sijaan kortin ensimmäisellä syöttökerralla harrastetaan matematiikkaa: serveri laskee korttisi numeron ja salaisten algoritmien avulla yksilöllisen ja murtovarman turvakoodin, jonka avulla sitten jatkossa todistetaan Visalle, että kortin numerot on aikanaan tarkistettu. Suojauskoodi on ainutlaatuinen ja yksisuuntainen: firma ei voi sitä itse purkaa vaikka haluaisikin, eikä sama koodi kelpaa kuin yhdelle kortille, yhdessä kaupassa. Kortin numeroa ei siis pitäisi missään vaiheessa varastoida serverille.

Rehellisyyden nimissä emme tiedä myöskään, onko Sony varastoinut sitä mihinkään. On ihan mahdollista, että firma on hoitanut kaiken viimeisen päälle ja haluaa vain tiedotteissaan kallistua varmuuden vuoksi pahimman mahdollisuuden kannalle. Pelottavalta silti tuntuu firman historian ja nyt tietämämme asiat huomioiden. Masentavinta hommassa on se, että kyse ei ole mistään korkean tason ”once in a lifetime” -töpeistä, vaan ratkaisuista, jotka jokainen ensimmäisen vuoden opiskelijakin tajuaa surkeiksi.

Mutta oli miten oli, pyyhkeitä Sony silti ansaitsee, ainakin asian käsittelystään. Firman edustajille murto on ollut selviö jo viikko sitten, jolloin PlayStation Network yllättäen kiskaistiin alas. Miksi asiakkaille kerrottiin asiasta vasta nyt, jolloin varkaalla on ollut viikko aikaa rypeä saamissaan tiedoissa? Kun kyseessä ovat näin arkaluontoiset asiat, tiedotuksen olisi pitänyt olla paljon rehellisempää ja nopeampaa. Altistuneita käyttäjiä on kuitenkin kymmeniä miljoonia.

Sekin kielii vakavista tietoturva-aukoista, että serverit tulevat lopulta olemaan firman arvioiden mukaan kumossa pari viikkoa. Käytännössä tämä tarkoittaa, että vakavia ongelmia korjataan parhaillaan hiki hatussa. Jää nähtäväksi, miten suuret seuraukset näillä vakavilla ongelmilla vielä on.

Lisää aiheesta

PlayStation Network voi nousta viikon päästä – mutta vain osittain

Sony tunnustaa: hakkerit varastivat PlayStation Networkin kaikki käyttäjätiedot

Sony: emme edelleenkään tiedä koska PlayStation Network palaa

PSN-hakkerit saattoivat viedä myös käyttäjien luottokorttien tiedot

Muropaketin uusimmat