Sony ujawnia szczegóły włamania

Z informacji ujawnionych przez Sony na specjalnie zwołanej konferencji prasowej wynika, że włamania nie dokonał bawiący się dwunastolatek, ani też nie był to super-włamywacz zdolny pokonać wszelkie możliwe zabezpieczenia. Aby wykraść dane użytkowników usług PlayStation Network i Qriocity, wystarczyły zupełnie przeciętne umiejętności.

W ramach prezentacji ujawniona została wewnętrzna architektura serwisu PlayStation Network. To dość typowa konstrukcja nazywana w branży architekturą trójwarstwową, od ilość grup serwerów ("warstw") aplikacji z którą łączą się użytkownicy. Pierwsza, najbardziej zewnętrzna warstwa to serwery obsługujące komunikację WWW (połączenia protokołem HTTP). Te serwery odwołują się do serwerów drugiej warstwy, zajmujących się obróbką danych. Jeśli trzeba wysłać do użytkownika stronę zawierającą personalizowane informacje, czy przeprowadzić transakcję zakupu gry w PSN Store, zajmują się tym serwery drugiej warstwy, wykorzystujące oprogramowanie ramowe do budowania i uruchamiania serwerowych aplikacji internetowych.

Serwery drugiej warstwy to nie koniec. Zachodzi w nich przetwarzanie danych, ale same dane (informacje o kontach, usługi i oferty sklepu PSN Store itd.), są zapisane w bazach danych, uruchamianych na jeszcze jednej, wydzielonej grupie serwerów, serwerach trzeciej warstwy.

istock_serwery

Włamywaczowi udało się wykorzystać znaną lukę w oprogramowaniu serwera warstwy drugiej. Ponieważ część zadań takiego serwera jest stała, istnieją gotowe, darmowe i płatne pakiety oprogramowania ramowego (frameworki), wykorzystywane następnie do pisania konkretnych usług i serwisów. Lukę w takim gotowym pakiecie - niestety nie wiadomo, którym - wykorzystał włamywacz. Przedstawiciele Sony przyznali, że była to luka znana publicznie - informacje tego typu są publikowane aby zmotywować producentów oprogramowania do wydania łatających aktualizacji.

Włamanie do PSN było jak fachowo przeprowadzona kradzież samochodu - ktoś wiedział jak cicho wybić szybkę i spiąć na krótko stacyjkę. Przejechał się po mieście, a na koniec zabrał z bagażnika teczkę z dokumentami.

Prawdopodobnie, administratorzy Sony nie zainstalowali odpowiednich aktualizacji oprogramowania serwerów warstwy drugiej. Powodów może być kilka: konieczność przeprowadzenia planowego zatrzymania usługi (znienawidzona przez użytkowników i zarządy firmy), machnięcie ręką ze strony kierownictwa "szkoda czasu, przecież i tak się nikt nam nie włamie", czy też konieczność przeprowadzenia kosztownych testów współdziałania aplikacji z nową wersją frameworku.

Jakikolwiek ten powód był, oprogramowanie serwerów warstwy drugiej nie zostało "załatane" i w istniejącą lukę tajemniczy włamywacz wstrzelił odpowiednio przygotowane zapytanie o adres strony generowanej przez aplikację, które uruchomiło złośliwy kod, dający mu kontrolę nad serwerem.

Dalej to już było proste - mając kontrolę nad serwerem aplikacji włamywacz miał dostęp do wszystkiego do czego ma dostęp aplikacja. A aplikacja ma też uprawnienia do czytania danych z bazy danych, w której są też dane klientów, łącznie z adresami, hasłami i kartami kredytowymi. Z faktu, że przedstawiciele Sony podkreślają, że nie wiadomo, czy dane kart wyciekły, wynika,  że nie było żadnego mechanizmu rejestracji dostępu do danych osobowych użytkowników (takie mechanizmy są wymagane przez polską Ustawę o ochronie danych osobowych, ale nie przez amerykańskie prawodawstwo) i ich kart kredytowych. To też nie dziwi, takie mechanizmy dodatkowo komplikują architekturę systemów i tworzy się je tylko wtedy, jeśli są wymagane przez prawo (przy ochronie danych osobowych, albo informacji niejawnych).

Z przejętego serwera aplikacji włamywacz wysłał do bazy zapytanie o dane klientów, które następnie pobrał z przejętego serwera. Tym samym, jego misja zakończyła się sukcesem.

Przedstawiciele Sony podkreślają, że włamywacz miał dużą wiedzę. Można się zastanowić na ile stwierdzenie to ma wesprzeć tezę, że firma nie mogła nic zrobić. Na pewno włamywacz nie był dwunastolatkiem z gotowym "wytrychem" - typem nazywanym w branży bezpieczeństwa script kiddie - taki wandal nie poradziłby sobie z rozpoznaniem przejętego środowiska po włamaniu i wykradzeniem danych. Ale też nie ma tu śladów elitarnej wiedzy technicznej porównywalnej z tą, wykorzystaną do napisania robaka Stuxnet - nie zostały wykorzystane wcześniej nieznane luki na specjalistyczną architekturę. Architektura trójwarstwowa to w tej chwili standard przemysłowy w aplikacjach czysto internetowych, a ataki na nią są przeprowadzane przy rutynowych penetracyjnych testach bezpieczeństwa. Każda dostępna z internetu aplikacja powinna być odporna na próby wykorzystania znanych luk.

Porównując to co zrobił włamywacz do przestępczości w świecie fizycznym, to nie był wyrafinowany napad na bank w stylu tego pokazanego w "Vabanku". Nie był to też chamski numer "na wyrwę", gdy przestępca z zaskoczenia wyrywa przechodzącej kobiecie torebkę i ucieka, co nie wymaga żadnej wiedzy. Włamanie do PSN to była fachowo przeprowadzona kradzież samochodu - ktoś wiedział jak cicho wybić szybkę i spiąć na krótko stacyjkę, przejechał się po mieście, a na koniec zabrał z bagażnika teczkę z dokumentami.

Ale nie trzeba do tego być filmowym Kwintą.

 

Zobacz także:

-> Sprawdź, czy jesteś bezpieczny: raport Polygamii z włamania do PlayStation Network

-> Kim są Anonymous?