O escândalo da segurança.
www.dcuobr.blogspot.com :: Central :: QG :: Universe
Página 1 de 1
O escândalo da segurança.
TASBR Qui Abr 28, 2011 3:56 pm
"UMA DAS MAIORES QUEBRAS DE SEGURANÇA DA ERA DA INTERNET"
"Se a Sony estiver a ver este canal eles devem saber que correr uma versão mais velha do Apache num servidor Red Hat com as conhecidas vulnerabilidades, não é aconselhável, especialmente quando esse servidor livremente relata a sua versão e o seu servidor de autenticação."
O ressurgir de um historial de conversa IRC apresentando hackers PlayStation 3 a discutir as falhas de segurança da PSN apresenta uma nova, indesejada perspetiva sobre a crise de segurança na Sony. O log, com data de 16 de Fevereiro e colocado no mesmo dia nos sites de hacking PS3, deve obviamente ser levado com cautela: facilmente forjado e facilmente editável, a origem destas fontes é manhosa na melhor das hipóteses.
No entanto, o conteúdo foi-me descrito por uma fonte informada intima com a PlayStation 3 como "parecendo correto", e alia-se a informação previamente estabelecida sobre como a PS3 fala com os servidores PSN. Isto abre um novo leque de problemas sobre o que rapidamente se está a transformar numa das maiores quebras de segurança da era da Internet.
A interferência é simples: as vulnerabilidades PSN eram bem conhecidas e estão a ser discutidas a público desde há meses, e a Sony não agiu cedo o suficiente. Tendo em conta a colossal quantidade de evidências que a Sony levantou de sites de hacking PS3 e apresentou durante o caso legal Geohot, é claro que a ignorância destas aclamações não tem fundamento. A Sony está claramente atenta à "cena" hacking e tem estado desde que o PSJailbreak originalmente apareceu no Verão passado.
A informação que a Sony disponibilizou sobre a natureza do hack é alarmante que chegue, mas existem sugestões de a história estar longe de terminar. Muitos acreditaram que a PSN estava em baixo para atualizar um buraco na segurança que permitia a utilizadores de firmware personalizado explorar servidores de teste para autenticar jogos piratas e transferências de DLC. Infelizmente a verdade foi muito mais chocante.
A segurança da PSN foi quebrada pelos servidores e toda a informação que o utilizador confia à Sony ao inscrever-se no serviço foi comprometida. Nomes, moradas, dados de entrada, questões de segurança foram roubadas – e apesar da Sony não ter certeza a 100 por cento de os detalhes dos cartões de crédito terem sido roubados, não descarta a possibilidade.
Toda a noção de os detalhes das passwords terem sido levados custa a acreditar. Existe uma razão de a maioria dos sites na Internet não te poderem dizer qual é a tua própria password e apenas a poderem anular – é porque o servidor em si não as guarda sequer. A tua palavra passe escolhida é hashed quando é transmitida pela primeira vez, e apenas esta checksum é guardada. Quando introduzes o teu login, a palavra passe é novamente hashed e comparada com o que está no sistema – se tens algo igual, tens acesso.
Resumindo, não existe nenhuma real necessidade sequer de a tua palavra passe estar guardada num servidor secundário. O comunicado da Sony sugere que estava na verdade a guardar informação sensível em formato de texto simples, o que custa a acreditar. A outra única explicação é que os hackers apenas tiveram acesso às hashes e podem ter comprometido uma pequena minoria das palavras passe ao correr estes dados por algo parecido com uma pesquisa de dicionário. No entanto, pelo tom de desculpa da Sony este não parece ser o caso.
Apesar da Sony dizer que não existem evidências de os detalhes dos cartões de crédito terem sido acedidos, utilizadores PSN não devem ter ilusões que estão a salvo. Se moradas de email e palavras passe estão disponíveis, podem ser testadas em outros sites tais como PayPal e eBay – apenas duas potenciais moradas para fraude de grande escala. Com tantas pessoas a reutilizar palavras passe em múltiplos sites, a falha de segurança na Sony pode ter severas repercussões em centenas de outros sites.
Se os hackers têm acesso ao teu nome, morada e data de nascimento, essa informação por si só é mais do que suficiente para causar problema, e a noção de as questões de segurança terem sido comprometidas também apenas adiciona à severidade dos danos que podem ser causados. Informação deste tipo é de imenso valor para fraudes de ID, mas apenas o teu nome e morada pode ser suficiente para um vigário habilidoso – como sei a meu custo.
Se os hackers têm acesso ao teu nome, morada e data de nascimento, essa informação por si só é mais do que suficiente para causar problema, e a noção de as questões de segurança terem sido comprometidas também apenas adiciona à severidade dos danos que podem ser causados. Informação deste tipo é de imenso valor para fraudes de ID, mas apenas o teu nome e morada pode ser suficiente para um vigário habilidoso – como sei a meu custo.
Há dois anos, fui alvo de roubo de identidade: alguém contactou o meu banco, mudou a minha morada e conseguiu ter um novo cartão de crédito enviado para um local do qual nunca ouvi falar. Tive sorte de ou o fraudulento ou o banco terem feito um erro na nova morada e o cartão foi entregue a um bom samaritano que o entregou no seu banco local. Daqui, o alarme foi aumentado.
Isto é um feito bem impressionante por parte dos fraudulentos, presumivelmente a operarem com a informação mais básica derivada de um voto eleitoral. O cartão comprometido estava basicamente adormecido e apenas tinha sido usado para zero por cento da prostituição do cartão. O facto de eu nem sequer estar no país há meses durante esse período tornou o feito ainda mais inacreditável. Engenharia social, baseado na minha morada no Reino Unido, foi eventualmente culpada pelo banco quando pressionei por respostas.
Resumindo, coisas más podem acontecer usando apenas bocados do tipo de informação roubada dos servidores PSN. A questão agora é: o quanto sabe a Sony sobre nós para além do que já foi revelado? Terão estes dados também sido comprometidos? Na ressaca desta "intrusão externa", o quanto devemos nós confiar em qualquer dona de uma consola com qualquer tipo de informação pessoal?
É provável que a Sony sabe muito mais sobre nós do que deixa saber. Tem sido uma espécie de segredo aberto há meses que todas as vezes que entras na PlayStation Network ou até mesmo acedes à Internet, a consola "transfere para casa" uma quantidade de informação baseado nas tuas interações com ela. Apesar desta informação não ser nem de longe tão sensível quanto os detalhes de entrada na PSN, a Sony realmente tem que ser sincera sobre a quantidade de dados pessoais que está a obter de nós, especialmente se houver qualquer pista de esta informação ter sido comprometida.
Os Logs intercetados da PS3 revelam que os jogos que jogas e quanto tempo os jogastes são parte da informação que está a ser enviada, mas estes hackers sugerem que muito mais dados estão a ser extraídos da tua consola: as identidades digitais de qualquer aparelho USB ou HDMI que usem, apenas para começar. Mas com acesso completamente livre, que mais gostaria a Sony de saber? Uma lista dos DVDs e Blu-rays que viste no sistema talvez?
A informação da constituição do teu disco duro PS3 quase de certeza foi enviado para a sede Sony. A presença de dados piratas foi uma das técnicas de detenção da Sony usada na onda de expulsões sobre os jailbreakers PS3 no início do ano. É difícil ter problemas com atos como este que procuram tornar a rede segura, mas a questão lógica a perguntar na ressaca disto diz respeito à natureza da leitura ao disco duro e ao que a Sony fez com os dados. Tendo lido os exaustivos termos de serviço da PlayStation Network, não é feita nenhuma menção deste tipo de informação ser transmitido para a Sony sequer. Os consumidores ficam às escuras.
Nos interesses do equilíbrio, existe evidência que a Microsoft opera com os mesmos princípios, pelo menos até certo grau. Por exemplo, de que outra forma poderia a Epic ser capaz de comentar sobre quantos utilizadores Xbox 360 estavam ainda a usar televisões de definição normal a não ser que tenha derivado de dados adquiridos através do uso do Xbox Live?
A conclusão é esta: qualquer informação que a Sony tenha ligado às tuas contas pessoas – não importa o quão insignificantes – deveria ser divulgado se existe mesmo que seja a mais remota suspeição de ter sido comprometida. Qualquer tipo de ligação entre os diferentes conjuntos de dados que podem ter sido atacados deve também ser revelados: se os padrões de uso estão ligados a uma identidade de consola específica, e se contas PSN estão ligadas a essa mesma identidade de consola, nós merecemos saber.
Na ressaca desta quebra de segurança, toda a relação entre criadores de consolas e que informação retiram de nós sem o nosso conhecimento precisa de ser questionada. Paralelos devem ser estabelecidos a sistemas operativos de computadores, nos quais haveria fúria dos consumidores e ações legais à espera caso a Microsoft ou a Apple continuadamente mandasse para casa informação sobre como estás a interagir com os seus produtos. Se estes dados têm valor comercial ou promocional, eles podem-nos pagar por isso.
Na ressaca deste fiasco, a confiança precisa de ser reconstruida entre a Sony e o consumidor – mas de uma perspetiva pessoal, toda a confiança foi agora perdida. Toda a informação pessoal vai ser retirada das minhas contas PSN e XBL (tecnicamente colocando-me em quebra com os seus termos de serviço), e vou usar apenas cartões pré-pagos.
Fonte: eurogammer.pt
"Se a Sony estiver a ver este canal eles devem saber que correr uma versão mais velha do Apache num servidor Red Hat com as conhecidas vulnerabilidades, não é aconselhável, especialmente quando esse servidor livremente relata a sua versão e o seu servidor de autenticação."
O ressurgir de um historial de conversa IRC apresentando hackers PlayStation 3 a discutir as falhas de segurança da PSN apresenta uma nova, indesejada perspetiva sobre a crise de segurança na Sony. O log, com data de 16 de Fevereiro e colocado no mesmo dia nos sites de hacking PS3, deve obviamente ser levado com cautela: facilmente forjado e facilmente editável, a origem destas fontes é manhosa na melhor das hipóteses.
No entanto, o conteúdo foi-me descrito por uma fonte informada intima com a PlayStation 3 como "parecendo correto", e alia-se a informação previamente estabelecida sobre como a PS3 fala com os servidores PSN. Isto abre um novo leque de problemas sobre o que rapidamente se está a transformar numa das maiores quebras de segurança da era da Internet.
A interferência é simples: as vulnerabilidades PSN eram bem conhecidas e estão a ser discutidas a público desde há meses, e a Sony não agiu cedo o suficiente. Tendo em conta a colossal quantidade de evidências que a Sony levantou de sites de hacking PS3 e apresentou durante o caso legal Geohot, é claro que a ignorância destas aclamações não tem fundamento. A Sony está claramente atenta à "cena" hacking e tem estado desde que o PSJailbreak originalmente apareceu no Verão passado.
A informação que a Sony disponibilizou sobre a natureza do hack é alarmante que chegue, mas existem sugestões de a história estar longe de terminar. Muitos acreditaram que a PSN estava em baixo para atualizar um buraco na segurança que permitia a utilizadores de firmware personalizado explorar servidores de teste para autenticar jogos piratas e transferências de DLC. Infelizmente a verdade foi muito mais chocante.
A segurança da PSN foi quebrada pelos servidores e toda a informação que o utilizador confia à Sony ao inscrever-se no serviço foi comprometida. Nomes, moradas, dados de entrada, questões de segurança foram roubadas – e apesar da Sony não ter certeza a 100 por cento de os detalhes dos cartões de crédito terem sido roubados, não descarta a possibilidade.
Toda a noção de os detalhes das passwords terem sido levados custa a acreditar. Existe uma razão de a maioria dos sites na Internet não te poderem dizer qual é a tua própria password e apenas a poderem anular – é porque o servidor em si não as guarda sequer. A tua palavra passe escolhida é hashed quando é transmitida pela primeira vez, e apenas esta checksum é guardada. Quando introduzes o teu login, a palavra passe é novamente hashed e comparada com o que está no sistema – se tens algo igual, tens acesso.
Resumindo, não existe nenhuma real necessidade sequer de a tua palavra passe estar guardada num servidor secundário. O comunicado da Sony sugere que estava na verdade a guardar informação sensível em formato de texto simples, o que custa a acreditar. A outra única explicação é que os hackers apenas tiveram acesso às hashes e podem ter comprometido uma pequena minoria das palavras passe ao correr estes dados por algo parecido com uma pesquisa de dicionário. No entanto, pelo tom de desculpa da Sony este não parece ser o caso.
Apesar da Sony dizer que não existem evidências de os detalhes dos cartões de crédito terem sido acedidos, utilizadores PSN não devem ter ilusões que estão a salvo. Se moradas de email e palavras passe estão disponíveis, podem ser testadas em outros sites tais como PayPal e eBay – apenas duas potenciais moradas para fraude de grande escala. Com tantas pessoas a reutilizar palavras passe em múltiplos sites, a falha de segurança na Sony pode ter severas repercussões em centenas de outros sites.
Se os hackers têm acesso ao teu nome, morada e data de nascimento, essa informação por si só é mais do que suficiente para causar problema, e a noção de as questões de segurança terem sido comprometidas também apenas adiciona à severidade dos danos que podem ser causados. Informação deste tipo é de imenso valor para fraudes de ID, mas apenas o teu nome e morada pode ser suficiente para um vigário habilidoso – como sei a meu custo.
Se os hackers têm acesso ao teu nome, morada e data de nascimento, essa informação por si só é mais do que suficiente para causar problema, e a noção de as questões de segurança terem sido comprometidas também apenas adiciona à severidade dos danos que podem ser causados. Informação deste tipo é de imenso valor para fraudes de ID, mas apenas o teu nome e morada pode ser suficiente para um vigário habilidoso – como sei a meu custo.
Há dois anos, fui alvo de roubo de identidade: alguém contactou o meu banco, mudou a minha morada e conseguiu ter um novo cartão de crédito enviado para um local do qual nunca ouvi falar. Tive sorte de ou o fraudulento ou o banco terem feito um erro na nova morada e o cartão foi entregue a um bom samaritano que o entregou no seu banco local. Daqui, o alarme foi aumentado.
Isto é um feito bem impressionante por parte dos fraudulentos, presumivelmente a operarem com a informação mais básica derivada de um voto eleitoral. O cartão comprometido estava basicamente adormecido e apenas tinha sido usado para zero por cento da prostituição do cartão. O facto de eu nem sequer estar no país há meses durante esse período tornou o feito ainda mais inacreditável. Engenharia social, baseado na minha morada no Reino Unido, foi eventualmente culpada pelo banco quando pressionei por respostas.
Resumindo, coisas más podem acontecer usando apenas bocados do tipo de informação roubada dos servidores PSN. A questão agora é: o quanto sabe a Sony sobre nós para além do que já foi revelado? Terão estes dados também sido comprometidos? Na ressaca desta "intrusão externa", o quanto devemos nós confiar em qualquer dona de uma consola com qualquer tipo de informação pessoal?
É provável que a Sony sabe muito mais sobre nós do que deixa saber. Tem sido uma espécie de segredo aberto há meses que todas as vezes que entras na PlayStation Network ou até mesmo acedes à Internet, a consola "transfere para casa" uma quantidade de informação baseado nas tuas interações com ela. Apesar desta informação não ser nem de longe tão sensível quanto os detalhes de entrada na PSN, a Sony realmente tem que ser sincera sobre a quantidade de dados pessoais que está a obter de nós, especialmente se houver qualquer pista de esta informação ter sido comprometida.
Os Logs intercetados da PS3 revelam que os jogos que jogas e quanto tempo os jogastes são parte da informação que está a ser enviada, mas estes hackers sugerem que muito mais dados estão a ser extraídos da tua consola: as identidades digitais de qualquer aparelho USB ou HDMI que usem, apenas para começar. Mas com acesso completamente livre, que mais gostaria a Sony de saber? Uma lista dos DVDs e Blu-rays que viste no sistema talvez?
A informação da constituição do teu disco duro PS3 quase de certeza foi enviado para a sede Sony. A presença de dados piratas foi uma das técnicas de detenção da Sony usada na onda de expulsões sobre os jailbreakers PS3 no início do ano. É difícil ter problemas com atos como este que procuram tornar a rede segura, mas a questão lógica a perguntar na ressaca disto diz respeito à natureza da leitura ao disco duro e ao que a Sony fez com os dados. Tendo lido os exaustivos termos de serviço da PlayStation Network, não é feita nenhuma menção deste tipo de informação ser transmitido para a Sony sequer. Os consumidores ficam às escuras.
Nos interesses do equilíbrio, existe evidência que a Microsoft opera com os mesmos princípios, pelo menos até certo grau. Por exemplo, de que outra forma poderia a Epic ser capaz de comentar sobre quantos utilizadores Xbox 360 estavam ainda a usar televisões de definição normal a não ser que tenha derivado de dados adquiridos através do uso do Xbox Live?
A conclusão é esta: qualquer informação que a Sony tenha ligado às tuas contas pessoas – não importa o quão insignificantes – deveria ser divulgado se existe mesmo que seja a mais remota suspeição de ter sido comprometida. Qualquer tipo de ligação entre os diferentes conjuntos de dados que podem ter sido atacados deve também ser revelados: se os padrões de uso estão ligados a uma identidade de consola específica, e se contas PSN estão ligadas a essa mesma identidade de consola, nós merecemos saber.
Na ressaca desta quebra de segurança, toda a relação entre criadores de consolas e que informação retiram de nós sem o nosso conhecimento precisa de ser questionada. Paralelos devem ser estabelecidos a sistemas operativos de computadores, nos quais haveria fúria dos consumidores e ações legais à espera caso a Microsoft ou a Apple continuadamente mandasse para casa informação sobre como estás a interagir com os seus produtos. Se estes dados têm valor comercial ou promocional, eles podem-nos pagar por isso.
Na ressaca deste fiasco, a confiança precisa de ser reconstruida entre a Sony e o consumidor – mas de uma perspetiva pessoal, toda a confiança foi agora perdida. Toda a informação pessoal vai ser retirada das minhas contas PSN e XBL (tecnicamente colocando-me em quebra com os seus termos de serviço), e vou usar apenas cartões pré-pagos.
Fonte: eurogammer.pt
TASBR- Poderes em ascenção
- Mensagens : 241
Nick : SularaPremo - H
League : UNLIMITED JUSTICE
Servidor : PS3 - Lag's Server PvP ^^
PSN : TASBR
www.dcuobr.blogspot.com :: Central :: QG :: Universe
Página 1 de 1
Permissões neste sub-fórum
Não podes responder a tópicos|
|
|