Sony ujawnia szczegóły włamania

Z informacji ujawnionych przez Sony na specjalnie zwołanej konferencji prasowej wynika, że włamania nie dokonał bawiący się dwunastolatek, ani też nie był to super-włamywacz zdolny pokonać wszelkie możliwe zabezpieczenia. Aby wykraść dane użytkowników usług PlayStation Network i Qriocity, wystarczyły zupełnie przeciętne umiejętności.

Sony ujawnia szczegóły włamania
marcindmjqtx
SKOMENTUJ

W ramach prezentacji ujawniona została wewnętrzna architektura serwisu PlayStation Network. To dość typowa konstrukcja nazywana w branży architekturą trójwarstwową, od ilość grup serwerów ("warstw") aplikacji z którą łączą się użytkownicy. Pierwsza, najbardziej zewnętrzna warstwa to serwery obsługujące komunikację WWW (połączenia protokołem HTTP). Te serwery odwołują się do serwerów drugiej warstwy, zajmujących się obróbką danych. Jeśli trzeba wysłać do użytkownika stronę zawierającą personalizowane informacje, czy przeprowadzić transakcję zakupu gry w PSN Store, zajmują się tym serwery drugiej warstwy, wykorzystujące oprogramowanie ramowe do budowania i uruchamiania serwerowych aplikacji internetowych.

Serwery drugiej warstwy to nie koniec. Zachodzi w nich przetwarzanie danych, ale same dane (informacje o kontach, usługi i oferty sklepu PSN Store itd.), są zapisane w bazach danych, uruchamianych na jeszcze jednej, wydzielonej grupie serwerów, serwerach trzeciej warstwy.

Włamywaczowi udało się wykorzystać znaną lukę w oprogramowaniu serwera warstwy drugiej. Ponieważ część zadań takiego serwera jest stała, istnieją gotowe, darmowe i płatne pakiety oprogramowania ramowego (frameworki), wykorzystywane następnie do pisania konkretnych usług i serwisów. Lukę w takim gotowym pakiecie - niestety nie wiadomo, którym - wykorzystał włamywacz. Przedstawiciele Sony przyznali, że była to luka znana publicznie - informacje tego typu są publikowane aby zmotywować producentów oprogramowania do wydania łatających aktualizacji.

Włamanie do PSN było jak fachowo przeprowadzona kradzież samochodu - ktoś wiedział jak cicho wybić szybkę i spiąć na krótko stacyjkę. Przejechał się po mieście, a na koniec zabrał z bagażnika teczkę z dokumentami.

Prawdopodobnie, administratorzy Sony nie zainstalowali odpowiednich aktualizacji oprogramowania serwerów warstwy drugiej. Powodów może być kilka: konieczność przeprowadzenia planowego zatrzymania usługi (znienawidzona przez użytkowników i zarządy firmy), machnięcie ręką ze strony kierownictwa "szkoda czasu, przecież i tak się nikt nam nie włamie", czy też konieczność przeprowadzenia kosztownych testów współdziałania aplikacji z nową wersją frameworku.

Jakikolwiek ten powód był, oprogramowanie serwerów warstwy drugiej nie zostało "załatane" i w istniejącą lukę tajemniczy włamywacz wstrzelił odpowiednio przygotowane zapytanie o adres strony generowanej przez aplikację, które uruchomiło złośliwy kod, dający mu kontrolę nad serwerem.

Dalej to już było proste - mając kontrolę nad serwerem aplikacji włamywacz miał dostęp do wszystkiego do czego ma dostęp aplikacja. A aplikacja ma też uprawnienia do czytania danych z bazy danych, w której są też dane klientów, łącznie z adresami, hasłami i kartami kredytowymi. Z faktu, że przedstawiciele Sony podkreślają, że nie wiadomo, czy dane kart wyciekły, wynika,  że nie było żadnego mechanizmu rejestracji dostępu do danych osobowych użytkowników (takie mechanizmy są wymagane przez polską Ustawę o ochronie danych osobowych, ale nie przez amerykańskie prawodawstwo) i ich kart kredytowych. To też nie dziwi, takie mechanizmy dodatkowo komplikują architekturę systemów i tworzy się je tylko wtedy, jeśli są wymagane przez prawo (przy ochronie danych osobowych, albo informacji niejawnych).

Z przejętego serwera aplikacji włamywacz wysłał do bazy zapytanie o dane klientów, które następnie pobrał z przejętego serwera. Tym samym, jego misja zakończyła się sukcesem.

Przedstawiciele Sony podkreślają, że włamywacz miał dużą wiedzę. Można się zastanowić na ile stwierdzenie to ma wesprzeć tezę, że firma nie mogła nic zrobić. Na pewno włamywacz nie był dwunastolatkiem z gotowym "wytrychem" - typem nazywanym w branży bezpieczeństwa script kiddie - taki wandal nie poradziłby sobie z rozpoznaniem przejętego środowiska po włamaniu i wykradzeniem danych. Ale też nie ma tu śladów elitarnej wiedzy technicznej porównywalnej z tą, wykorzystaną do napisania robaka Stuxnet - nie zostały wykorzystane wcześniej nieznane luki na specjalistyczną architekturę. Architektura trójwarstwowa to w tej chwili standard przemysłowy w aplikacjach czysto internetowych, a ataki na nią są przeprowadzane przy rutynowych penetracyjnych testach bezpieczeństwa. Każda dostępna z internetu aplikacja powinna być odporna na próby wykorzystania znanych luk.

Porównując to co zrobił włamywacz do przestępczości w świecie fizycznym, to nie był wyrafinowany napad na bank w stylu tego pokazanego w "Vabanku". Nie był to też chamski numer "na wyrwę", gdy przestępca z zaskoczenia wyrywa przechodzącej kobiecie torebkę i ucieka, co nie wymaga żadnej wiedzy. Włamanie do PSN to była fachowo przeprowadzona kradzież samochodu - ktoś wiedział jak cicho wybić szybkę i spiąć na krótko stacyjkę, przejechał się po mieście, a na koniec zabrał z bagażnika teczkę z dokumentami.

Ale nie trzeba do tego być filmowym Kwintą.

Obraz

Wybrane dla Ciebie

Rebel Wolves potwierdza. Dawnwalker to ich debiutancka gra
Rebel Wolves potwierdza. Dawnwalker to ich debiutancka gra
Assassin's Creed Red to potężna inwestycja Ubisoftu. Jest przeciek
Assassin's Creed Red to potężna inwestycja Ubisoftu. Jest przeciek
DualSense V2 wycieka. Czyżby mocniejsza bateria?
DualSense V2 wycieka. Czyżby mocniejsza bateria?
Horizon Forbidden West na PC coraz bliżej. Nvidia wkracza do akcji
Horizon Forbidden West na PC coraz bliżej. Nvidia wkracza do akcji
Imponująca sprzedaż Cyberpunk 2077: Phantom Liberty. Liczby mówią wszystko
Imponująca sprzedaż Cyberpunk 2077: Phantom Liberty. Liczby mówią wszystko
Xbox Game Pass z mocnymi grami w styczniu. Potężne otwarcie roku
Xbox Game Pass z mocnymi grami w styczniu. Potężne otwarcie roku
Star Wars Outlaws: wycieka termin premiery. Ubisoft dementuje
Star Wars Outlaws: wycieka termin premiery. Ubisoft dementuje
PS5 rozbija bank. Imponujące wyniki sprzedaży
PS5 rozbija bank. Imponujące wyniki sprzedaży
The Day Before za niespełna tysiąc złotych. Nie, to nie żart
The Day Before za niespełna tysiąc złotych. Nie, to nie żart
Hakerzy ujawnili plany Insomniac Games. Sześć gier na liście
Hakerzy ujawnili plany Insomniac Games. Sześć gier na liście
PS5 Pro z własnym DLSS. Nieoficjalne doniesienia o planach Sony
PS5 Pro z własnym DLSS. Nieoficjalne doniesienia o planach Sony
Nie będzie The Last of Us Multiplayer. To już pewne
Nie będzie The Last of Us Multiplayer. To już pewne