PSN, un hack senza precedenti!

psn-down

Il 21 aprile 2011 è una data che avrà un suo posticino nella storia, almeno in quella della sicurezza informatica.
Se vogliamo non è nemmeno esatto parlare di sicurezza, piuttosto dell’inizio di un blackout come non se n’erano mai visti: quel giorno Sony ha spento i server del PSN, il Play Station Network. Perché questa mossa?

Perché gli addetti ai lavori di casa Sony si sono accorti che tra il 17 e il 19 aprile ci sono stati accessi non autorizzati ai dati sensibili di milioni iscritti, 77 per l’esattezza!
Nell’arco di 3 giorni sono stati sottratti tutti i dati che vengono inseriti durante la fase di creazione dell’account su PSN: nome e cognome, indirizzo, indirizzo mail, password d’accesso e come se non bastasse si sono portati via anche dati delle carte di credito registrate.
Sony ha risposto troppa calma, dando informazioni non chiare in tempi non adeguati e ha tenuto un comportamento del tutto scorretto verso i propri clienti!

Come prima cosa ha scollegato tutti i suoi server dopo un paio di giorni dal furto, si sono difesi dicendo che dovevano fare degli accertamenti, il che mi pare sensato: tu hai il dubbio di un attacco ai tuoi sistemi di estrema pericolosità e te ne stai bello tranquillo online a fare i tuoi esami. Dal mio punto di vista avrebbero dovuto spegnere tutto subito non appena i dubbi avessero iniziato ad essere un po’ più che semplici dubbi.
Però si possono solo fare ipotesi, ne io ne nessun altro può sapere con certezza se sony abbia agito tempestivamente oppure no, quindi non ritengo giusto alimentare ulteriori polemiche su questo aspetto.

Il comunicato ufficiale che ci sarebbe stato un furto dei dati è arrivato con estremo ritardo: si ok, non si poteva fare nulla per quanto riguarda i propri dati perché ormai quelli erano andati, però per una maggiore sicurezza la gente avrebbe potuto tenere sotto controllo la propria situazione finanziaria per controllare eventuali ammanchi nei propri conti!
Sony poi non è mai stata molto chiara su cosa fosse stato effettivamente rubato, fino all’ultimo ha continuato a dare differenti informazioni ma alla fine ha affermato che, per quanto riguarda le carte, i dati non erano in chiaro (quindi erano protetti, anche se poi bisogna vedere come) e che comunque mancavano i codici di sicurezza a 3 cifre posti sul retro della carta che, per nostra fortuna, Sony non ci ha mai chiesto all’atto degli acquisti.

Un consiglio che posso dare è di non usare carte di credito laddove si possa evitare. Nel nostro caso abbiamo la fortuna di avere le PSN Cards, tipo delle ricariche telefoniche che si comprano nei negozi specializzati in tagli da 20 e 50 euro. Basta inserire il codice riportato sulla carta nel PSN e ci verrà fornito il credito corrispondente per scaricare i contenuti. Meglio usare questo metodo piuttosto che la carta di credito (che comunque deve essere una prepagata, MAI quella legata al conto corrente!), la prudenza non è mai troppa!

Infine tra conferenze e messaggi sui blog ufficiali ha continuato ad affermare che non c’erano prove di un reale furto dei dati sulle carte (mentre sul resto il furto era certo) e che stava indagando con la polizia forense alla ricerca di due cose:
1. Chi erano i cracker responsabili.
I cracker sono quelli che commettono atti illegali a scopo di danneggiare gli altri; gli hacker invece sono persone che, oltre a scrivere programmi e a contribuire lo sviluppo di altri, testano la sicurezza talvolta anche con metodi non legali (attaccare un sistema informatico è comunque un illecito), ma sempre con lo scopo di migliorare il servizio avvisando chi di dovere del problema ed eventualmente aiutandolo nella migliorarlo: degli hacker avrebbero al limite bucato il PSN e informato subito Sony dei problemi di sicurezza, ma non avrebbero rubato nulla.

2. Cosa sia stato effettivamente trafugato.
Sony ci avvisa che questi sono i dati sottratti:

nome, indirizzo (città, stato/provincia, codice postale), nazione, indirizzo email, data di nascita, password, login e online ID di PSN/portatile. Inoltre è possibile che i dati del vostro profilo siano stati rilevati, inclusi la cronologia degli acquisti e l’indirizzo di addebito (città, stato/provincia, codice postale).
Tutti i dati erano protetti e l’accesso era ristretto sia fisicamente che attraverso il perimetro e la sicurezza della rete. L’intera tabella delle carte di credito era criptata e non c’è alcuna prova che siano stati sottratti dati delle carte di credito. La tabella dei dati personali, che costituisce un diverso insieme di dati, non era criptata, ma era, ovviamente, posta dietro un sistema di sicurezza molto sofisticato che è stato violato da un attacco di malintenzionati.
Nonostante tutte le informazioni relative alle carte di credito archiviate nei nostri sistemi siano criptate e non vi sia prova al momento attuale che siano stati sottratti dati delle carte di credito, non possiamo escludere questa possibilità.

A questo punto è scoppiata, come una moda, la voglia di mettere in croce Sony ad ogni costo (oltre la caccia al responsabile dove il dito è stato puntato un po’ da tutte le parti).
Ora, nessuno di noi sa che misure di sicurezza avesse installato Sony a difesa del PSN e dei dati rubati, quindi nessuno può provare che hanno agito con leggerezza nei confronti della nostra privacy, possiamo solo dire che il risultato finale è stato insufficiente e ci ha gravemente danneggiati, questo si.
Ovviamente tutti vogliamo che Sony subisca un’indagine e sia punita in caso di sue effettive mancanze di criterio nella sicurezza, non bisogna però dimenticare che coloro che hanno abbracciato questa moda stanno accusando la vittima! Si, Sony è vittima insieme a noi. Un esempio facile facile: se un ladro fa irruzione in casa tua e ti porta via tutto, è colpa tua che non vivi in un bunker con protezioni a livello del pentagono? Ovviamente no, è colpa del ladro, è lui che ha commesso un reato.
Ok, il nostro non è il mondo utopistico che molti di noi vorrebbero, ma si dovrebbe poter andare in giro come si vuole, dormire con le finestre aperte e lasciare il portafogli pieno di soldi incustodito in piazza a Milano senza che nessuno lo tocchi! Chi deve essere duramente punito è il delinquente. La gente deve poter stare tranquilla senza diventare paranoica sulla sicurezza.
Nel mondo reale è sicuramente giusto che chi tratta i nostri dati personali lo faccia con la massima serietà possibile e che venga punito per qualsiasi leggerezza, però arrivare a farne una crociata per cui la vittima è colpevole no!
E’ ora di iniziare a condannare il criminale in prima persona, soprattutto se si è gente onesta. I cheater e cracker che sguazzano nell’operato di Geohot, per esempio, in questa questione dovrebbero stare zitti e vergognarsi, altro che lamentele!

Ci sono poi altre campane che accusano proprio Geohot di aver reso possibile tutto questo. Con le mie limitate conoscenze sulla sicurezza di alto livello, io credo che (stavolta) lui non abbia colpe: hack o non hack della console, l’attacco è stato portato ai server del PSN dove le conoscenze acquisite tramite il reverse engineering della PS3 non servono a nulla. La PSP, per esempio, è stata bucata molto prima (anche se non a questi livelli), ma il PSN non era comunque stato toccato.
Questa è pur sempre una mia opinione e si senta libero di commentare chiunque abbia idee differenti sostenute però da fatti e prove concrete!

Alla riapertura Sony, per scusarsi con gli utenti, ha concesso qualche regalo, come periodi gratis sul PSN Plus e giochi scaricabili gratuitamente. Certo vuole riparare simbolicamente al danno dei dati rubati, ma non è tenuta a farlo per l’attacco informatico di per se: Sony stessa, e altre software house che lavorano su PS3, hanno perso un mucchio di soldi nelle ultime settimane. C’è chi comunque si lamenta e accusa Sony di non fare abbastanza… Certo è che questi regali, più che per “scusarsi” del disagio arrecato sono volti a mantenere la faccia e cercare di farsi una buona pubblicità (oltretutto il plus che regalano per 1 mese è un loro servizio quindi ci guadagnano pure in pubblicità che si fanno!), oltre che a cercare di recuperare la fiducia degli utenti e di far dimenticare loro quanto è appena successo; sta cercando di comprarci. Non ci sono interpretazioni possibili, è così e basta.

Il 15 maggio il PSN ha iniziato a tornare online (anche se gradualmente, non con tutte le funzioni) e Sony dichiara che nuove misure di sicurezza e nuove figure professionali esperte del settore sono entrate a far parte del loro organico.
La speranza è che abbia imparato dai suoi errori e che atti del genere non possano più accadere.

Annunci

3 Risposte to “PSN, un hack senza precedenti!”

  1. Sanzo Says:

    Ringrazio l’ospite per la segnalazione.
    Un exploit è una cosa molto familiare alla sony perché gli stanno bucando tutto quello che producono principalmente grazie alla loro scoperta.
    Non mi permetto di dare loro dei deficienti poiché nessun sistema esce mai perfetto, anche in linux si sono scoperte falle importanti ed è considerato uno dei sistemi più sicuri al giorno d’oggi.
    Certo che è una pessima notizia e forse i nuovi addetti alla sicurezza di sony dovevano lavorare un pò meglio.

    EDIT: mi sento troppo un fanboy della sony con questo commento; per favore siate impietosi voi per me, è violentemente il caso!

  2. MasterPJ Says:

    Parlano di problemi o di possibili nuovi attacchi. Come in precedenza, Sony non è capace di dare notizie chiare. Vediamo nelle prossime ore… e speriamo.

  3. guest Says:

    Tanto per precisare, ultime notizie: PSNetwork violato per l’ennesima volta sfruttando un bug nella pagina di cambio password:
    Fonti: Google;
    Prove: PSN nuovamente off-line!!!!
    Se questa non è deficenza non so!!!!


Rispondi

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...

%d blogger hanno fatto clic su Mi Piace per questo: