פורום השדים האדומים

כבר קרוב לשבוע שרשת הPSN - PLAY STATION NETWORK לא עובדת,ככל הנראה מפריצה של האקר בשם אנונימוס.
למי שלא מכיר -הרשת היא האינטרנט של משתמשי הפלייסטיישן3 ,דרכה משחקים אונליין,רואים סרטים סדרות משחקי כדורגל וכו'..
לפני שבוע נפלה להם הרשת,והם חושדים שההאקר שהצליח לפרוץ את הסוני והגיעו איתו להסדר ביית המשפט, עשה להם את זה שוב.
בינתיים הם לא מוצאים את עצמם ויש שמועות שהפריצה כל כך חמורה,שהם ממש צריכים לתכנת את הרשת הזאת מהתחלה.

יש כאן מתכנתים או אנשי סוני שיכולים לתת מידע ליוזרים שבינתיים מתייבשים?
מהמידע שהצלחתי לאסוף הם רק מתנצלים מדי יום ומעדכנים אחת ליום שאין להם מושג מתי זה ייגמר.

סוני אומרים שההאקר הגיע גם למידע אישי, אבל זה פוגע יותר באמריקאים שהכרטיס אשראי שלהם שם...

Anonymous זה לא האקר, זו חבורה מכל העולם שאחראית לכמה מהפריצות היותר מתוקשרות
http://en.wikipedia.org/wiki/Anonymous_(group)

הכרטיס הישן שלי היה שם,למזלי הוא כבר לא פעיל.

הנזק העיקרי הוא שההאקר נחשף לכל האינפורמציה שלך, כולל הסיסמה שאתה מתחבר איתה והכרטיס אשראי שקנית איתו דברים.
רע מאוד.

מזל שעוד לא נרשמתי לPSN הישראלי עם הכרטיס,הסיסמה זה כבר פחות קריטי,אפשר לשנות אותה.

הבעיה העיקרית למשתמש בנושא הסיסמא היא העובדה שרוב המשתמשים משתמשים באותה סיסמא לpsn ולgmail ולpaypal ולכל דבר אחר.

גם אצלי, אבל אני קצת משנה. בחלק זה 345678 ובחלק זה 345678jj

בגלל זה לא עובד לי אמא שלהם זונה תחזירו לי את האינטרנט בסוני אני לא יכול לראות פורנו !

אתה יודע שיש גם אינטרנט רגיל, כן?

אין לי דרייבר לכרטיס קול

זו פשוט בושה שחברות האשראי ביחד עם חברות כמו סוני לא מצאו עוד שיטה להצפין את כרטיסי האשראי באופן שלא יאפשר להאקרים לראות אותם גם אם פרצו לשרת המאחסן אותם (דבר שלא ניתן למנוע).
כיום כל ילד זב חוטם יכול לפרוץ לחברה כלשהי ודרך כל מיני SQL DUMPS לראות את פרטי האשראי שלנו.

יש שיטה כזו. יש חברות אשראי שנותנות לך מספר זמני לכל עסקה באינטרנט.

אבל איך זה מונע ממספר הכרטיס שלי להגיע לשרת החברה שממנה קניתי?

החברה שממנה קנית מקבלת את המספר הזמני ומחייבת אותו. ה"תרגום" למספר הכרטיס האמיתי שלך נעשה אצל חברת האשראי.

יש שיטה כזו, והיא לא כוללת כרטיסי אשראי מתכלים.

אני לא המומחה הכי גדול לזה, אבל אני כן מבין איך זה עובד-
כשאתה כותב את פרטי כ. האשראי שלך, זה לא מופיע אצל סוני בשום שלב בצורה לא מוצפנת (אפשרי בעזרת העלאת המפתח לזיכרון, המפתח נשמר באחד מהאלגוריתמים לשמירת סודות) , ועובר לחברת האשראי שמאשרת ומנפיקה מס' טרנזקציה שרק חברת סוני יכולה לחייב דרכו את הכרטיס הספציפי הזה. אם זה מעניין אותך ברמה אחרת אני יכול להפנות אותך לכמה דוגמאות נחמדות.

זה מצריך משהו שיישב בצד של הקליינט ויצפין את המספר שהוא שולח לסוני.
בפלייסטיישן אני מניח שזו לא בעיה, לגבי דפדפן רגיל אני לא יודע.

לפי איך שאני מבין את זה כל כרטיס אשראי שעולה עובר דרך השרת ונשמר בצורה כזו או אחרת במאגרי מידע (SQL) למיניהם.
ככה בדיוק חוששים בסוני שהאקר קיבל גישה לכרטיסי האשראי.
לפי מה שאתה טוען באמת אין שום סיכוי לגעת בפרטי האשראי שלנו אבל עובדתית זה לא המצב.
רק לפני כמה שנים נתפסו חבורה של אמריקאים שפשוט ישבו מחוץ לחנויות ענק בארה"ב ודרך רשת אלחוטית לא מאובטחת "הסניפו" מיליוני דולרים.
http://en.wikipedia.org/wiki/Albert_Gonzalez
חברות ענק בדר"כ לא מאמינות שמישהו יצליח להגיע לדבר רגיש כמו שרת SQL ולכן גם לא מאבטחות את הDB עצמו אלא בעיקר את הדרך שהוא עובר עד שהוא מגיע לשרת הזה.
אני לא מבין איך חברה כמו סוני יכולה בכלל להרשות לעצמה כזה אסון, אני מניח שהם ידרשו לספק הרבה תשובות.

כל התקשורת בין המכשיר לPSN עוברת HTTPS

ועומר, אני לא חושב שסוני שמרו את כרטיסי האשראי בצורה הפיכה איפשהו. מה שכן יכול להיות שהיה שרת אחר שעשה טרמינציה לSSL והם תפסו את התווך הלא מוצפן, או שמפתח ההצפנה לא הוטען לזיכרון בלבד פעם אחת (בהעלאת השרת) כמו שתיארתי.

בכל אופן אני תיארתי מימוש קלאסי ואני יודע בוודאות שהוא נפוץ בעולם.

עוד קצת על הדרך שבה כרטיסי האשראי לכאורה הועברו לSONY:
http://arstechnica.com/gaming/news/2011/02/report-psn-hacked-showing-stunning-lack-of-credit-card-security.ars

ספוילר: by clear text...

אתה טועה, ואיתך חצי מהאינטרנט טועה כי כולם בהיסטריה.
אין שום דיווח שכרטיסי אשראי נגנבו מסוני, והתיעוד של השיחה הזו לא מדבר על זה אלא על משהו אחר.

הם מדברים על הדרך שפרטי כרטיס האשראי נשלחים בHTTPS מהמכשיר לשרתים של סוני, ואולי נרשמים בטקסט גלוי במכשיר עצמו לתקופה קצרה - מה שמהווה סיכון אם פרצת את המכשיר. גם אם זה לא נשמר מקומית- ברגע שפרצת את המכשיר התוכנה שהעלאת יכולה להכניס Cert מזויף לTrusted root CA ולשנות את הכתובת של שרתי הקניה לשרתים שלהם.
בתוך הSSL המידע עובר בCleartext אבל זה נהוג ברוב המקומות (לצורך העניין, גם באתר של הבנק שלך).

בכל אופן לא מדובר שם על הפריצה לPSN עצמה, אלא על
א) המידע שסוני אוספת (יותר מידי- כמה זמן שיחקת בכל משחק, איזה טלויזיה מחוברת לך לסוני ועוד כל מיני)
ב) המידע שיכול להגיע לספאמרים
ג) המידע שיכול להאסף אם פרצת את המכשיר

אני בהיסטריה? אני מתמוגג.
כל פעם שחברה גדולה חוטפת בראש אני מחכך ידיים בהנאה.
אבל, אם מישהו שולט על השרת שאחראי על העידכונים הוא יכול להחדיר איזה CERT שהוא רוצה לTRUSTED LIST שלך ולגרום לכל משתמש לשלוח לו את פרטי האשראי שלו (בדיוק באותו הרגע שהוא שולח לSONY) ואם הבן אדם הוא תופס את הPACKET בזמן אז הוא קורא הכל.
זה שSONY פתאום נזכרה לערוך SECURITY AUDIT רק אחרי שהם קיבלו איומים על הרשת שלהם בעקבות התביעה של GEHOT לא אומר שמישהו לא שלט על השרת במשך השנה האחרונה ואסף מידע רב בדיוק באותה שיטה שסוני אוספת.

לא נראה לי שזה מה שקרה, וזו ספקולציה שאין לה יותר מידי קשר למה שכן קורה.

הכוונה שלהם פה היא שבפריצה של המכשיר (לא השרת, המכשיר, מה שכולם עושים כדי להריץ משחקים פרוצים) אתה מסתכן בכך שבגרסת התוכנה שטענת יש CERT של מישהו רע.

PSN חזרה
PSS תחזור עד סוף החודש

סוני מפצה את המשתמשים בשני משחקים להורדה בחינם מתוך רשימת משחקים:
לאמריקאים:
Dead Nation
inFAMOUS
LittleBigPlanet
Super Stardust HD
Wipeout HD + Fury

אירופאים:
LittleBigPlanet
Infamous
Wipeout HD/Fury
Ratchet and Clank: Quest for Booty
Dead Nation

ובנוסף 30 יום חינם לPSN+ שמקנה הנחות ברכישת משחקים.

יש לי משתמש אמריקאי,אירופאי וישראלי, האם אני אוכל לחגוג גם על האמריקאי וגם על הישראלי ולהוריד בכל אחד מהם שני משחקים?

הייתי מהמר שכן. פיצוי די בינוני.

http://www.eurogamer.net/articles/2011- ... age-hacked
סוני האלה כל כך פח.

נראה לי שהפורום הזה מאובטח יותר טוב מהPSN הזה, ושמוחות יותר טובים עובדים על האבטחה שלו (כן, ידוע לי שאף אחד לא עובד על הבטחת הפורום).

שמע, הם הולכים לספוג מכה קשה.
בתוך פחות משנה:
א) סגרו בעדכון תוכנה את האפשרות להתקין לינוקס כי פחדו שיפרצו את המכשיר משם והקימו עליהם את עולם ההאקרים שלא אוהבים שחוסמים להם דברים בדברים שהם קנו
ב) הPS3 נפרץ, מה שלא קרה למיקרוסופט אף פעם (למרות האפשרות להריץ משחקים צרובים, זה לא אותו הדבר)
ג) החנות של סוני (PS3, PSP ושירות המוסיקה שלהם) נפרצה ונגנב ממנה מידע, פעמיים. את הפריצה הם גילו בדיעבד
ד) נגנבו להם סיסמאות וכרטיסי אשראי
ה) הכריחו את כל המשתמשים לאפס סיסמא, בדף שנותן לכל העולם לאפס לך את הסיסמא ולקחת את כל הפרטים שלך (מייל, תאריך לידה, סיסמא)
ו) החנות היתה למטה חודש והמונה דופק
כל זה בחנות ששומרת את פרטי האשראי שלך ומחייבת אותך.

ברקע הם מפסידים בשני קרבות אסטרטגיים אחרים- כשהאייפוד היה באופנה לא היה להם מתחרה בגלל שSony Music לא נתנה להם להוציא משהו ש"יעודד פיראטיות", ופספסו את כל שוק הסמארטפונים, כשהם אחד השחקנים הוותיקים (מיקרוסופט שלטה, נוקיה שלטה, RIM שלטה, אפל שלטה ועכשיו גוגל שולטת) למרות שהם היו מהראשונים שהודיעו שיעברו לאנדרואיד, אין להם מכשיר מוביל אחד והמכשירים שלהם יוצאים תמיד באיחור של דור לשוק (תעשה השוואה בין הArc לGalaxy2).

אני לא אתפלא אם תוך זמן קצר החברה תפריד הפרדה מוחלטת בין החטיבות או תמכור אותן אחת-אחת.

והנזק העתידי למכירות הוא שאנשים יפחדו לשים כרטיס אשראי ויקנו רק כרטיסים נטענים מעכשיו