Sony ujawnia szczegóły włamania

Janusz A. Urbanowicz
05.05.2011 14:15
A A A
Z informacji ujawnionych przez Sony na specjalnie zwołanej konferencji prasowej wynika, że włamania nie dokonał bawiący się dwunastolatek, ani też nie był to super-włamywacz zdolny pokonać wszelkie możliwe zabezpieczenia. Aby wykraść dane użytkowników usług PlayStation Network i Qriocity, wystarczyły zupełnie przeciętne umiejętności.

W ramach prezentacji ujawniona została wewnętrzna architektura serwisu PlayStation Network. To dość typowa konstrukcja nazywana w branży architekturą trójwarstwową, od ilość grup serwerów ("warstw") aplikacji z którą łączą się użytkownicy. Pierwsza, najbardziej zewnętrzna warstwa to serwery obsługujące komunikację WWW (połączenia protokołem HTTP). Te serwery odwołują się do serwerów drugiej warstwy, zajmujących się obróbką danych. Jeśli trzeba wysłać do użytkownika stronę zawierającą personalizowane informacje, czy przeprowadzić transakcję zakupu gry w PSN Store, zajmują się tym serwery drugiej warstwy, wykorzystujące oprogramowanie ramowe do budowania i uruchamiania serwerowych aplikacji internetowych.

Serwery drugiej warstwy to nie koniec. Zachodzi w nich przetwarzanie danych, ale same dane (informacje o kontach, usługi i oferty sklepu PSN Store itd.), są zapisane w bazach danych, uruchamianych na jeszcze jednej, wydzielonej grupie serwerów, serwerach trzeciej warstwy.

istock_serwery

Włamywaczowi udało się wykorzystać znaną lukę w oprogramowaniu serwera warstwy drugiej. Ponieważ część zadań takiego serwera jest stała, istnieją gotowe, darmowe i płatne pakiety oprogramowania ramowego (frameworki), wykorzystywane następnie do pisania konkretnych usług i serwisów. Lukę w takim gotowym pakiecie - niestety nie wiadomo, którym - wykorzystał włamywacz. Przedstawiciele Sony przyznali, że była to luka znana publicznie - informacje tego typu są publikowane aby zmotywować producentów oprogramowania do wydania łatających aktualizacji.

Włamanie do PSN było jak fachowo przeprowadzona kradzież samochodu - ktoś wiedział jak cicho wybić szybkę i spiąć na krótko stacyjkę. Przejechał się po mieście, a na koniec zabrał z bagażnika teczkę z dokumentami.

Prawdopodobnie, administratorzy Sony nie zainstalowali odpowiednich aktualizacji oprogramowania serwerów warstwy drugiej. Powodów może być kilka: konieczność przeprowadzenia planowego zatrzymania usługi (znienawidzona przez użytkowników i zarządy firmy), machnięcie ręką ze strony kierownictwa "szkoda czasu, przecież i tak się nikt nam nie włamie", czy też konieczność przeprowadzenia kosztownych testów współdziałania aplikacji z nową wersją frameworku.

Jakikolwiek ten powód był, oprogramowanie serwerów warstwy drugiej nie zostało "załatane" i w istniejącą lukę tajemniczy włamywacz wstrzelił odpowiednio przygotowane zapytanie o adres strony generowanej przez aplikację, które uruchomiło złośliwy kod, dający mu kontrolę nad serwerem.

Dalej to już było proste - mając kontrolę nad serwerem aplikacji włamywacz miał dostęp do wszystkiego do czego ma dostęp aplikacja. A aplikacja ma też uprawnienia do czytania danych z bazy danych, w której są też dane klientów, łącznie z adresami, hasłami i kartami kredytowymi. Z faktu, że przedstawiciele Sony podkreślają, że nie wiadomo, czy dane kart wyciekły, wynika,  że nie było żadnego mechanizmu rejestracji dostępu do danych osobowych użytkowników (takie mechanizmy są wymagane przez polską Ustawę o ochronie danych osobowych, ale nie przez amerykańskie prawodawstwo) i ich kart kredytowych. To też nie dziwi, takie mechanizmy dodatkowo komplikują architekturę systemów i tworzy się je tylko wtedy, jeśli są wymagane przez prawo (przy ochronie danych osobowych, albo informacji niejawnych).

Z przejętego serwera aplikacji włamywacz wysłał do bazy zapytanie o dane klientów, które następnie pobrał z przejętego serwera. Tym samym, jego misja zakończyła się sukcesem.

Przedstawiciele Sony podkreślają, że włamywacz miał dużą wiedzę. Można się zastanowić na ile stwierdzenie to ma wesprzeć tezę, że firma nie mogła nic zrobić. Na pewno włamywacz nie był dwunastolatkiem z gotowym "wytrychem" - typem nazywanym w branży bezpieczeństwa script kiddie - taki wandal nie poradziłby sobie z rozpoznaniem przejętego środowiska po włamaniu i wykradzeniem danych. Ale też nie ma tu śladów elitarnej wiedzy technicznej porównywalnej z tą, wykorzystaną do napisania robaka Stuxnet - nie zostały wykorzystane wcześniej nieznane luki na specjalistyczną architekturę. Architektura trójwarstwowa to w tej chwili standard przemysłowy w aplikacjach czysto internetowych, a ataki na nią są przeprowadzane przy rutynowych penetracyjnych testach bezpieczeństwa. Każda dostępna z internetu aplikacja powinna być odporna na próby wykorzystania znanych luk.

Porównując to co zrobił włamywacz do przestępczości w świecie fizycznym, to nie był wyrafinowany napad na bank w stylu tego pokazanego w "Vabanku". Nie był to też chamski numer "na wyrwę", gdy przestępca z zaskoczenia wyrywa przechodzącej kobiecie torebkę i ucieka, co nie wymaga żadnej wiedzy. Włamanie do PSN to była fachowo przeprowadzona kradzież samochodu - ktoś wiedział jak cicho wybić szybkę i spiąć na krótko stacyjkę, przejechał się po mieście, a na koniec zabrał z bagażnika teczkę z dokumentami.

Ale nie trzeba do tego być filmowym Kwintą.

 

Zobacz także:

-> Sprawdź, czy jesteś bezpieczny: raport Polygamii z włamania do PlayStation Network

-> Kim są Anonymous?

Komentarze (18)
Zaloguj się
  • syn.ksiedza.proboszcza

    Oceniono 3 razy 3

    Nie interesują mnie te tłumaczenia czy żałosne koraliki od Sony, po takim wygłupie żądam krwi. Niech członkowie zarządu popełnią seppuku, jak za starych dobrych lat.

  • mowiono.mi.ze.to.on

    Oceniono 2 razy 2

    No dobrze. Ile więc trwa skopiowanie danych 70 milionów użytkowników ?

  • ppawlow

    Oceniono 2 razy 2

    Tak to jest jak się buduje serwisy oparte na technologi Microsoft

  • smileordie

    Oceniono 1 raz 1

    Troche autor przesadzil. Zeby dopasc dziure we frameworku trzeba prowadzic dlugie i zmudne testy i rekonesans i pozostac przy tym niewykrytym.

  • studios_berlin

    Oceniono 1 raz 1

    Prawda, artykuł ciekawy. Tyle, że w momencie w którym Autor opisuje w jaki sposób haker włamał się do serwera, nie wiadomo za bardzo o co chodzi. Może sam Autor nie wie?

  • Oceniono 1 raz 1

    Życzę Sony powrotu do pełni sił. To firma, która ostatnio mnie nie zaniedbywała jako klienta mieszkającego w Polsce. Bardzo im współczuję.

  • Oceniono 1 raz 1

    Nieczęsto można napisać o wyborczej iż autor artykułu rzeczowo i dogłębnie opisał temat. Oby więcej było tak ciekawych artykułów.
    A co do tematu to ja tam osobiście nie martwię się wyciekiem danych gdyż mój numer karty który miałem przypisany do mojego konta w psn z ps3 i którą to kartą płaciłem za gry oraz abonament ps+ jest już nieaktualny gdyż tak się dobrze złożyło że karta straciła ważność z końcem kwietnia 2011 czyli wtedy gdy miał miejsce atak na psn.
    Ciekawe tylko czy to ktoś z anonimowych stoi za tym atakiem, ja osobiście w to wierzę gdyż to za bardzo zdecentralizowana grupa aby mieć kontrolę nad każdą "komórką" i osobą należącą do grupy anonimowych.
    Sony nie popisuje się także z czasem naprawy psn , ale mi to i tak rybka bo na ps3 nie gram często i raczej ze znajomymi w zaciszu domowym niż po sieci z nieznajomymi.
    Znając życie to jako rekompensatę oprócz miesiąca darmowego ps+ dadzą jakieś beznadziejne gry których nikt nie kupuje i większość graczy nie tknie tego chłamu nawet patykiem.
    Pozdrawiam serdecznie, Sloma.

  • bumcykcyk76

    Oceniono 1 raz 1

    Szkoda użytkowników, bo Soniaka mi nie szkoda.
    Narobili sobie wrogów, to teraz niech nie płaczą. Poza tym, co oni mają za adminów? Po znajomości jacyś?

  • kufel78

    Oceniono 1 raz 1

    lubię takie konkretne, i jednocześnie zrozumiałe, teksty :) A tematem PSN jestem żywo zainteresowany!

Aby ocenić zaloguj się lub zarejestrujX