Kiepski dzień dla hakujących PS3 - najpierw Sony obiecało im banowanie, a teraz pojawiła informacja, że ich karty kredytowe mogą być zagrożone.
PS3 łączy się z PSN przez zaszyfrowane połączenie - SSL. By do niego doszło, kryptograficzny podpis umieszczony na PSN musi zostać potwierdzony przez porównanie z certyfikatem przechowywanym na konsoli. Użytkownicy, którzy korzystają ze zmodyfikowanego oprogramowania są narażeni na niebezpieczeństwo - autor takiego firmware'u mógł dodać do zbioru certyfikatów swój oraz zmusić konsolę do połączenia się z konkretnym serwerem DNS. Który z kolei może skierować ją do podstawionego serwera - jego tożsamość zostaje potwierdzona przez dorzucony certyfikat.
Ten typ ataku nazywa się Man In The Middle i zakłada, że między dwa łączące się komputery (lub wymieniające zaszyfrowaną pocztę osoby) włączy się ktoś trzeci, mogący przechwycić interesujące go dane. Np. numer karty, którą zrobicie zakupy na takim lipnym PSN.
Nieprawdą okazała się za to plotka o przesyłaniu danych w otwartym tekście, która dziś obiegła internet, podana między innymi przez serwis ArsTechnica. Konsola zawsze szyfruje wymieniane z PSN informacje przy pomocy SSL i dopiero powyższe machinacje z certyfikatami mogą pozwolić na ich przechwycenie.
[via: Niebezpiecznik]
Paweł Kamiński
