28. 4. 2011

Sony versus hackeři

Je neuvěřitelné, co se děje kolem hacknutí PSN. Veřejná média mají svou týdenní senzaci, mezi uživateli se šíří strach, panika a dezinformace. Sony haters z toho mají radost a přilévají olej do ohně. Všichni se zlobí na Sony a ze všeho ji obviňují. Ať to má reálný základ nebo nikoli.

Rád bych zde nabídnul poněkud reálnější pohled na celou situaci.
1) V kostce co se stalo a co se děje

a) Hacker George Hotz prolomil antipirátskou ochranu PS3. Zneužil k tomu funkci "other os", ktré mu umožňovala přímí přístup k hardware, za jehož pomoci byla ochrana implementována. Toto prolomení bylo nepřenosné na jiné konzole, týkalo se jen té, kterou vlastnil George Hotz.

b) Sony v reakci na to z nových firmware PS3 odstranila funkci "other os", aby zajistila bezpečnost PS3.

Vysvětlivka: Funkce "other os" umožňovala na PS3 instalovat jiný operační systém, třeba linux a tak používat PS3 i k jiným účelům, než hraní her. Používala se například k distribuovaným výpočtům ve výpočetních farmách, jako levná a výkonná výpočetní jednotka. Instalovat nový firmware nebylo povinné, PS3 fungovala dál i se starým. Se starým firmware se ale nedalo přistupovat k PSN a hrát nejnovější hry. Konzole používané k provozu Linuxu tak tímto opatřením nebyly dotčené a hráči zase funkci "other os" nepotřebovali. Vzhledem k omezenému hardware PS3 (jen 256 MB ram) se PS3 nehodila ani k provozování desktopového Linuxu. Tedy někdy na hraní a někdy jako počítač. Fakticky proto tímto opatřením bylo dotčeno minimum majitelů PS3. Nechat hacknutou konzoli přistupovat k PSN, kde se točí velké peníze a uživatelé tam operují se svými platebními kartami je pošetilé. Proto toto opatření Sony bylo oprávněné a správné. Nutno podotknout, že funkce "other os" se týkala pouze starých PS3, v nové slim verzi uvolněné dávno před hackem už tato funkce ani nebyla.

c) Reakce veřejnosti přesto nebyla příznivá. Protesty se neozývaly ani tak ze strany majitelů PS3, jako spíš ze strany linuxové komunity, která nelibě nese jakékoli zásahy proti linuxu a ze strany fanoušků konkurenčních produktů, kteří rádi využijí cokoli k negativní propagandě a očernění PS3.

Poznámka: Je to paradoxní, Sony jako jediná společnost na svém uzavřeném zařízení umožnila používat Linux. Tento vstřícný krok byl zneužit k hacknutí tohoto zařízení. A místo aby se hněv alespoň linuxové komunity obrátil proti hackerovi, který toho zneužil, tak se obrátil proti Sony, která se tomu bránila. Microsoft, Nintendo, Apple a další, kteří na svých uzavřených platformách Linux provozovat neumožňili, mají klid. Tomu se říká pro dobrotu na žebrotu. Linuxová komunita také projevila nesmírnou hloupost, protože pro tohle jejich chování si každý výrobce dvakrát rozmyslí její podporu, pokud není jeho primární cílovou skupinou.

d) Hackerská skupina fail0ver (!!! ověřit název) pravděpodobně ve spolupráci s George Hotzem prolomila ochranu PS3 skrze vývojářský USB klíč, jenž odemyká PS3 pro provoz neautorizovaného software (rozuměj pirátské hry). Oficiálně je ovšem uváděno, že cílem je provoz homebrew, tedy vlastního sice neautorizovaného, ale legálního software. Provoz takového software ale porušuje licenci PS3. K hacknutí je potřeba onen USB klíč, který se začíná prodávat za zhruba 3000 Kč. Později se ale objevují emulátory např. za pomoci Android telefonu. Veřejnost fandí hackerům, kteří bojují proti zlé Sony, jenž odstranila nezajímavou funkci "other os".

e) Sony reaguje několikanásobnou aktualizací firmware, a hackeři hacknutím tohoto firmware. Toto končí vydáním firmware 3.60, který se hackerům prolomit nepodařilo. Se starším firmware nelze přistupovat k PSN a hrát nové hry, ty starší už jsou v rukách pirátů. Jsou to jisté ztráty, ale bezpečnost do budoucna je zajištěna.

d) Hacker George Hotz v reakci na to zveřejnil privátní šifrovací klíče na PS3, čímž umožnil na PS3 hackerům a pirátům autorizovat jakýkoli software. Vzhledem k tomu, že tyto klíče jsou implementovány na úrovni hardware a nejde je snadno změnit, je to pro Sony velká a těžko napravitelná rána. Veřejnost fandí Georgovi, který bojuje proti zlé Sony, jenž odstranila nezajímavou funkci "other os".

e) Sony reaguje žalobou na George Hotze. Během soudního procesu získává informace k paypal účtu George Hotze, aby mohla prokázat že ze své činnosti měl finanční prospěch. George Hotz také chtěl přesunout soud do jiného státu, Sony proto získává povolení získat informace, kdo všechno chodil na webové stránky George Hotze a sledoval jeho návodná videa, aby prokázala, že se případ týká i státu, kde proti Georgovi Hotzovi podala žalobu.

Tato záležitost je odpůrci Sony zneužita a veřejnosti prezentována tak, že Sony se zmocnila nelegálně (co na tom, že to bylo na příkaz soudu) osobních údajů uživatelů. Je vyvoláván strach, že každý kdo se díval na Hotzovi stránky teď za to bude pykat, že Sony po něm půjde. Veřejnost podléhá tomuto strachu a veřejný obraz společnosti Sony nabývá podoby těch zlých co odstranili funkci "other os" a nelegálně šmírují uživatele a narušují jejich soukromi.

f) Toho využívá známá teroristická hackerská skupina Anonymous a vyhlašuje Sony válku.

g) Soudní případ Sony vs. George Hotz překvapivě končí soudní dohodou. George Hotz má zakázáno hackovat zařízení Sony a někomu v této činnosti napomáhat. George Hotz veřejně prohlašuje, že nikdy nechtěl na PS3 umožnit pirátství, soukromě vyzývá k bojkotu produktů Sony.

h) Anonymous útočí na PSN formou DDOS útoku. To jest přetěžují servery Sony spoustou zbytečných požadavků, takže přestávají stíhat obsluhovat hráče.

i) Veřejnost sice nemá ráda Sony, ale to že nemohou na PSN hrát jim vadí ještě víc a začíná nadávat na hackery.

j) Anonymous berou zpátečku, omluvají se hráčům s tím, že bojují za hráče a nechtějí je omezovat. Se Sony ale nekončí, vyhrožují, že se pomstí jinak.

k) Je vyhlášena protestní akce proti prodejnám Sony. Tato selhala, skoro nikdo se nedostavil, zas až tak nikdo Sony nemá rád, aby se kvůli tomu obtěžoval.

l) Došlo k napadení serverů Sony, na internetu jsou zveřejněny osobní informace zaměstnanců Sony včetně jejich rodin.

m) V síti PSN se začínají objevovat problémy, za dva dny je odstavena zcela a odstávka trvá už sedm dní. Z počátku nikdo neví co se děje, Sony informace pouští postupně. Nejprve bez podrobností uvádí, že PSN byla napadena hackery. Za viníky jsou považováni Anonymous, ale ty tvrdí, že v tom nemají prsty, že na ně Sony svádí (Sony přitom nikdy Anonymous za vyníky neoznačila) svou vlastní neschopnost udržet PSN v chodu.

Po týdnu konečně Sony informuje veřejnost co se děje. Upozorňuje veřejnost, že síť PSN byla napadena, hackeři pronikli dovnitř a byly zcizeny osobní informace registrovaných uživatelů, adresy, hesla, nákupní historie. Nelze vyloučit ale ani potvrdit, že byly ukradeny informace o platebních kartách. Bezpečností kód k platebním kartám Sony na svých serverech neukládá.

Na toto prohlášení se strhl velký veřejný poprask. Sony je vše dáváno za vinu, mohou za to, že byli napadeni, že měli slabé zabezpečení i že veřejnost informovali pozdě. V novinách se objevují informace, že byly zcizeny informace ze 70 000 000 milionů účtů. Šíří se panika, strach a rozhořčení. Média mají své žně. Sony haters se radují. Zákazníci Sony kteří na PSN platili kartou se bojí. Různé organizace a politici vydávají prohlášení. Všichni se zlobí na Sony, které klesají akcie.

Je to pochopitelné, ale není to správné. Zkusme si to vysvětlit.

2) Může Sony za to, že ji napadli hackeři?

Zdánlivě ano. Kdyby se nechala poslušně okrádat hackery a piráty a nebránila se, mohla mít relativní klid. Ale nebylo by to správné. Stejně tak můžeme obvinit zmlácenou ženu, kdyby se nechat znásilnit, dopadla by lépe, může si za to sama, neměla se bránit. Každý máme právo se bránít. V právním státě právními prostředky. Jejich využití není zločin a Sony není vinna tím, že se bránila. Za to by ji veřejnost ve svém vlastním zájmu neměla obviňovat.

Ukazuje se, že hackeři a piráti fungují podobně jako mafie. Nechají vás žít, ale musíte se nechat okrádat. Pokud se jim postavíte, následují výhružky a trest vedený zničující silou. Ani velká nadnárodní společnost jako Sony proti nim nic nezmůže. Alespoň legálně. Měla by snazší a levnější, kdyby si třeba objednala u Yakuzy vraždu George Hotze. Řešit to v právním státě právní cestou se jí moc nevyplatilo a to je spíše chyba státu. Stát by se měl k tomuto postavit čelem a zajistit Sony ochranu. Je to v jeho vlastním zájmu. S jídlem roste chuť a pokud hackeři zjistí, že jsou beztrestní, jen je to povzbudí.

Osobně tohle považuji na celé kauze za to nejdůležitější. Dokáže stát ochránit své obyvatele a firmy, kteří mu platí daně, aby se nestali jen hříčkou v rukou hackerů? Nebo je jeho soudní a exekutivní moc slabá a jeho historická role pomíjí? Pokud se tento případ nepodaří vyřešit a viníky potrestat, bude to pro stát velká rána. Bude se muset nad sebou zamyslet a zjistit jak a proč ztrácí moc. A zjednat nápravná opatření. A to bude mít pravděpodobně silné dopady do zákonodárství, regulace internetu i do mezinárodního práva. Tedy těch svobod a jevů, kterých hackeři zneužívají a které je kryjí. A pokud ani na to stát nebude mít dost sil, je s ním ámen. Protože v takovém případě když hackeři budou chtít, odstaví i stát.

Situace kdy jedinec nebo skupinka jedinců může bez obav zlikvidovat nebo silně poškodit sebevětší firmu (ztráty Sony z důvodu hacku PSN se odhaduji na 24 miliard $, to může vést k odstavení celé herní divize, protože se může ukázat, že tuto ztrátu nedokáže ufinancovat a levnější bude činnost ukončit) není dlouhodobě udržitelná.

3) Může Sony za to, že hackeři prolomili PS3 a PSN?

Nemyslím si, u PS3 ochrana oddolávala velmi dlouho, na žádné jiné konzoli tak dlouho nevydržela. Určitě tedy nebyla špatná. Ale z principu, tak jako nejde například stoprocentně zabezpečit auto proti krádeži nebo váš byt proti vykradení, nejde zabezpečit stoprocentně ani žádné zařízení. Každá ochrana jde při dostatečném úsilí prolomit. To je jev s kterým je nutno počítat. A s kterým se také počítá. Nikdo vám neřekne, že je vaše vina, že vám vykradli byt. Mohou vám říct, že je to vaše blbost, že jste si ho nezamknul, ale není to vaše vina. Vina je na straně zloděje.

A stejně tak není vina Sony, že ji hackeři vykradli PSN. Odsoudit je možno nízké zabezpečení a tedy nedbalost. A to je také mnohými odsuzováno, aniž by kdokoli věděl, jaké to zabezpečení PSN vlastně bylo. Možná Sony příliš spoléhala na bezpečnost PS3 a její prolomení učinilo PSN snadno zranitelnou. A možná také ne. Žádná ochrana není neprolomitelná a z toho že PSN byla prolomena nelze odvodit, jak dobře byla chráněna. Takové odsouzení proto není spravedlivé.

4) Provinila se Sony tím, že veřejnost informovala pozdě?

Stejně jako v předchozím případě to lze jen těžko posoudit. Hackeři nejsou hloupí. Zametají za sebou stopy, mažou logy, vyrovnávací paměti a tak dále, aby se na ně nepřišlo. Je těžké zjistit, co se stalo.PSN navíc není jeden počítač, ani deset, to jsou stovky počítačů v různých koutech Země na kterých běží desítky různých služeb. U takového kolosu je vůbec těžké i jen zjistit, že tam někdo pronikl.

Všechno začalo tak, že PSN začala vykazovat chyby. Mohla to být klidně technická závada. U nás v práci když začaly vypadávat síťové disky (pro několik tisíc klientů) tak trvalo týden, než se přišlo na příčinu a byla zjednána náprava a museli na to být povoláni odborníci z Novellu. Admini Sony zajisté začali pátrat, co se děje, proč některým uživatelům PSN blbne. Měla v této chvíli Sony vyhlásit, pozor, máme nějaké technické problémy, nevíme proč, ale radši si zablokujte platební karty? Asi ne.

Nevíme co přesně a jak se dělo. Víme že Sony pozvala na řešení tohoto problému experty. Nevíme jestli po tom, co zjistila zda došlo k průniku nebo až potom. Zdá se, že o tom že byla PSN zevnitř napadena hackery se sony dozvěděla po dvou dnech, kdy PSN kompletně odstavila. Zřejmě někdy v tu dobu si najala experty, protože řešit takovou situaci je mimo schopnosti běžných adminů, na to je potřeba houf bezpečnostních expertů. Ale i tomu chvíli trvá, než se zorientuje. Musí pochopit architekturu PSN, tedy vztahy mezi stovkami počítačů, jak jsou navzájem propojeny, jaká data kudy tečou, jaké služby kam sahají a podobně. Potom musí sebrat všechny střípky informací, které po sobě hackeři nechtěně zanechali, támhle zapoměli vymazat keš, tady si nevšimli nějakého logu, tady sice něco vymazali, ale povedlo se to obnovit. Je to detektivní piplačka a ohromné množství práce na spoustě počítačů.

Vyhlásit veřejně, že byla ukradena osobní data našich uživatelů není legrace. Firmu to velmi silně postihne. Bezbečnostní experti tvrdí, že naprostá většina těchto případů je ututlána. Sony si zaslouží dík už za to, že se k tomu přiznala. Ale oni stejně neměli jinou možnost. U nich je vysoká pravděpodobnost, že se je někdo snaží zdiskreditovat, tudíž to na veřejnost vypluje tak jako tak a tajením takové informace by si jen uškodili. Jistě, nejvyššímu vedení chvíli trvá, než všechno zváží a rozhodne se něco takového zveřejnit. Ale pořád to zabere méně času, než zjistit co vlastně se přesně stalo. Proto nevěřím, že by Sony nějak dlouho tajila, co se při vyšetřování dozvěděla. Představa, že Sony to týden ví a teprve pak to zveřejní je podle mého naivní.

5) A stalo se vlastně něco hrozného?

Co se vlastně stalo? To vlastně nikdo pořádně neví. Média uvádí, že bylo vykradeno 77 milionů uživatelských účtů (celkový počet prodaných konzolí ze celou historii nedávno překonal počet 50 milionů). Ale je to tak? Sony nic takového netvrdila. V diskuzích se uvádí, že byly vykradeny kompletně databáze Sony a že nebyli zašifrované. Ale je to tak? Odkud to vzali? Všechno to jsou jen dohady. Pro hackera nebude problém se dostat ani k zašifrovaným údajům, pokd má pod kontrolou služby, které tyto informace používají.

Co se zatím ví je, že došlo v neznámém rozsahu ke zcizení osobních údajů jméno a adresa, adresa registračního mailu, hesla a možná i některé údaje o platební kartě, nikoli však bezpečnostní kód, který Sony nikde neukládá. Co to znamená?

Odcizené jméno a adresa

Co se týče jména a adresy, nevidím v tom problém. Většina lidí zadává falešné a já, který zadávám pravé jsem je zadal už na tolika webech, že je považuji za veřejné. Moje jméno a adresa je dokonce i ve veřejném telefonním seznamu. Tuto informaci prostě nepovažuji za citlivou. A jediné co by na tom mohlo někoho trápit je spojení jeho jména a adresy s jeho PSN ID, což je neveřejná informace. Toto by Sony mohla řešit možností změny PSN ID na vyžádání. Je to dlouho žádaná funkce a Sony by k ní teď mohlo být vstřícnější, pokud se objeví dostatečný uživatelský tlak.

Odcizené heslo

To už je horší záležitost. Pokud někdo používá stejné heslo na více webech s citlivými informacemi, je to jeho problém a rizikové chování, z toho nemůže obviňovat Sony.  Sony lze obvinit z toho, že pracuje s otevřenou formou hesla místo s jeho hashem. To je opravdu rizikové chování na straně Sony. Už po zadání do PS3 by Sony měla heslo zahasovat a po internetu přenášet zahashované heslo. Pak by nikdy nemohlo dojít k jejich zcizení. Takto to lze dnes řešit i u webového přístupu i když by to znamenalo závislost na JavaScriptu. Dnes to nevadí, dřív by to bylo proti pravidlům webové přístupnosti a Sony by za to zajisté slízla kritiku, ale bylo by to lepší, než jakou kritiku lízá teď.

Nicméně odcizení hesla také může vést k odcizení PSN účtu. A protože někteří z nás mají nakoupeny na svém PSN účtu obsah za desítky tisíc korun,nešlo by to jen tak přejít mávnutím ruky. Jsem přesvědčen, že Sony by uměla tuto situaci řešit a vrátit ho původnímu majiteli, ale bylo by to nepříjemné. Zvláště kdyby Sony pravost účtu chtěla ověřovat na základě adresy, kterou většina lidí zadává falešnou.

Také by mohlo dojít k nežádoucímu sdílení účtu s nějakým zlodějem. Hodně z nás má v PSN peněžence nějaké peníze, které by mohly být zneužity k nákupu nechtěného obsahu. Navíc obsah zakoupený na PSN jde nainstalovat   maximálně na 5 zařízení a mohl by dojít k nežádoucímu vyčerpání této rezervy. I to by Sony uměla nepochybně řešit, ale blbě by se to prokazovalo. Sony by s tím mohla mít dlouhodobé problémy. A mohla by být vystavena i podvodům typu, že by si uživatel koupil nějaký obsah a pak by to reklamoval, že to nebyl on, ať mu Sony vrátí peníze. Z toho důvodu by měla Sony přinutit všechny uživatele ke změně hesla při prvním přístupu do PSN. Tím si udělá čistý stůl a reklamace tohoto typu akceptovat jen pro období od hacku PSN do změny hesla.

Odcizené informace o platební kartě

Toto vzbuzuje největší strach. Přitom není jisté, zda i tyto informace byly zcizeny, Sony jen uvedla, že to nemůže vyloučit a že jsou na rozdíl od osobních informací ukládány šifrovaně. Také uvedla, že nikde neukládá bezpečnostní kód nutný k provedení platby. Ale neznamená to, že by ho hackeři nemohli zachytit během provozu PSN, když byla napadena a ještě v provozu.

Sony nicméně vybízí k sledování pohybu na účtu a hlásit bankám podezřelé transakce. Bankovní sektor by se uměl vypořádat s tímto zneužíváním platebních karet, takže neočekávám, že by došlo k nějakému hromadnému zneužívání. Ono by to i napomohlo k odhalení hackerů. Nicméně přesto je to pro majitele ohrožených platebních karet nepříjemné pomyšlení a řada z nich pro jistotu žádá banku o jejich výměnu. To je spojeno s jistými náklady a bylo by od Sony prozíravé, kdyby uživatelům tyto náklady kompenzovala, například navýšením obsahu jejich PSN peněženky.

Nutno podotknout, že placení kartou na internetu je vždy riziková záležitost, protože prostě žádný systém není bezpečný. A kdo dává svou kartu všanc internetu, musí s tímto rizikem počítat a minimalizovat riziko. Tedy používat limity přiměřené své ekonomické situaci, pokud možno používat oddělený úžet, který neumožňuje záporné výběry, sledovat pohyby na účtu a podobně. Já osobně toto riziko řeším tak, že kartou na internetu zásadně neplatím.

Na PSN s tím není žádný problém, protože Sony umožňuje platit i pomocí kupónů, kterými se dobíjí účet podobně jako je to u mobilů. Dokonce je to ekonomicky výhodnější, protože kupon na 1000 Kč se dá koupit už za 850 Kč, takže hru za 1000 Kč takto koupím ve skutečnosti za 850 Kč. Při placení kartou bych zaplatil plných 1000 Kč. Používání kuponů je tak ekonomicky výhodnější i bezpečnější, pro karty hovoří pouze vyšší pohodlí. A to už je na každém z nás, jestli mu ta trocha pohodlí za to riziko při placení kartou na internetu stojí. Na PSN rozhodně máte volbu.

Žádné komentáře: