skip to main | skip to sidebar
22 commenti

Oltre a Sony, anche Nintendo (ma poco)

Nintendo "bucata"; anche Sony, ma ormai non fa più notizia


L'articolo è stato aggiornato dopo la pubblicazione iniziale.

Lulz Security ha violato la sicurezza di un server statunitense della Nintendo alcune settimane fa, senza però sottrarre dati dei clienti o dell'azienda, secondo quanto riferito da Lulz, dalla BBC e da AFP, perché la Nintendo sta loro simpatica.

Intanto prosegue la serie di incursioni effettuate o annunciate dallo stesso gruppo di esperti di sicurezza (o giullari dell'hacking) nei siti della Sony, che si stanno dimostrando dei totali colabrodo privi delle più basilari soluzioni di sicurezza: Sony Pictures Russia (con dimostrazione), Sony Europe (NakedSecurity), SonyPictures.com (con 1 milione di dati personali sottratti) (PCMag). Anche la Sony Music Brazil è stata "bucata", ma Lulz dice di esserne estranea.

Il riassunto cronologico della situazione, che per ora è un bel 12-0 15-0 contro Sony, è su Attrition.org, dal quale cito e traduco: “gli attacchi contro Sony non sono né coordinati né sofisticati. Sony ha dimostrato di non aver implementato quelli che qualunque amministratore o professionista della sicurezza considererebbe i fondamentali assoluti [della sicurezza]. Custodire dati e password di milioni di clienti senza usare alcuna forma di cifratura è incosciente e ridicolo".

Incosciente e ridicolo, perché la tecnica d'incursione è sempre la stessa: una banale SQL injection. Intanto Lulz punzecchia anche una società di sicurezza, la Unveillance, e un'organizzazione affiliata all'FBI (la filiale di Atlanta della Infragard), dimostrando un'altra vulnerabilità patetica: la stessa password riutilizzata per più di un sito.

La battuta che gira per Internet riassume perfettamente il tutto: It's better to be safe than Sony. Voglio la T-shirt, taglia L. Perché queste figuracce vanno ricordate e fatte ricordare.

Aggiornamento (16:00). Siamo a quota 16 "bucate" di Sony: del codice sorgente del Computer Entertainment Developer Network è presso http://www.mediafire.com/?ev1zo010c020764, secondo @LulzSec.

Aggiornamento (2011/06/07): Diciassette.
Invia un commento
I commenti non appaiono subito, devono essere tutti approvati da un moderatore. Lo so, è scomodo, ma è necessario per tenere lontani scocciatori, spammer, troll e stupidi: siate civili e verrete pubblicati qualunque sia la vostra opinione; gli incivili di qualsiasi orientamento non verranno pubblicati, se non per mostrare il loro squallore.
Inviando un commento date il vostro consenso alla sua pubblicazione, qui o altrove.
Maggiori informazioni riguardanti regole e utilizzo dei commenti sono reperibili nella sezione apposita.
NOTA BENE. L'area sottostante per l'invio dei commenti non è contenuta in questa pagina ma è un iframe, cioè una finestra su una pagina di Blogger esterna a questo blog. Ciò significa che dovete assicurarvi che non venga bloccata da estensioni del vostro browser (tipo quelle che eliminano le pubblicità) e/o da altri programmi di protezione antimalware (tipo Kaspersky). Inoltre è necessario che sia permesso accettare i cookie da terze parti (informativa sulla privacy a riguardo).
Commenti
Commenti (22)
Terribile... ma chissa' quante altre corporation sono nella stessa situazione e non e' ancora emerso.

PS: hai ricevuto la "Chicca!" che t'inviai la scorsa settimana? :)
PS: hai ricevuto la "Chicca!" che t'inviai la scorsa settimana? :)

Forse. Ho una coda immensa di posta da smaltire. :-(
Sono basito, un attacco di tipo "SQL injection" è tra i più banali che esistano.

Posso aspettarmi un mancato controllo da parte di un sito amatoriale, ma per un mostro come la Sony ogni insulto sarebbe riduttivo.
Passoword in chiaro! Oh mio dio! Ma persino gli imbecilli memorizzano le password con "hashate" con SHA-1 (che ad oggi non è più sicuro, ma è comunque utile).

Mamma mia, ma dove hanno studiato gli amministratori di sistema? Da Gianni e Pinotto????

P.S. In ogni caso mi è venuto in mente che non cambiavo una password da un po', appena fatto.
Errorino: daello stesso gruppo.
Di realtà simili a quella di Sony ce ne sono davvero tantissime in giro e un buon modo per individuarle e diffidare fin da subito dei loro servizi è quello di chiedere un password recovery immediatamente dopo essersi registrati; se la password ti viene re-inviata in chiaro anziché dartene una nuova, allora stai pur certo che oltre a non crittare le password, non adottano nemmeno metodi di sicurezza seri e quindi è opportuno non usare la propria carta di credito con questi servizi.

Quasi tutte le banche Italiane e parte di quelle Europee, fino a qualche anno fa, erano solite usare password in chiaro per i conti correnti online (e anche oggi ce ne è ancora qualche d'una) ; se le banche, che dovrebbero avere un livello paranoico di sicurezza, sono vittima di tali inefficienze, non c'è poi tanto da meravigliarsi se lo stesso scenario è parecchio diffuso nel mondo IT.

Il vero problema è che nel settore IT scarseggiano le persone veramente competenti, mentre abbondano i ciarlatani.

cat /dev/urandom | aplay -
Ciao Paolo.
Io sono uno zotico del pc... nel senso che il mio massimo di programmazione fu fare un programma in BASIC per i bioritmi sul mio C 64.
Orrore vero?
Non uso FB ed ho ho stessa pw da anni per i miei due account su g mail.
La mia banca mi ha provvisto di un codice di sicurezza che cambia ogni 60 secondi, piu' la mia pw che devo cambiare ogni mese. Considerati i 3 euro che tengo sul conto non credo di essere a rischio... dati sensibili sul pc non li tengo... credi sia meglio variare comunque le pw a regolarmente? Grazie

comunque piu' son grossi piu' rumore fanno quando cadono...

Pace e lunga vita...
Su wikipedia c'è scritto che Sony dice che le password NON erano "in chiaro".

http://en.wikipedia.org/wiki/PlayStation_Network_outage#Unencrypted_personal_details

Che a sua volta cita:

http://blog.us.playstation.com/2011/05/02/playstation-network-security-update//

Voi che dite?
Stamomessibbène.
Unaa compagnia per cui lavoravo in passato - una di medie dimensioni che fa retail online - ha investito una significativa quantita' di tempo per implementare la PCI Compliance, un sistema in base al quale (al livello a cui e' stato implementato) non soltanto le informazioni sensibili dei clienti sono criptate, ma le chiavi di cifratura stesse sono custodite in un database separato.

E si trattava di una compagnia con un totale di 5-6 sviluppatori - non di una multinazionale globale come la Sony.
Capisco che i costi per implementare standard di sicurezza elevati sarebbero enormi nel caso di Sony, ma cadere per un semplice SQL Injection e' veramente da niubbi.
Secondo me hanno problemi di rientro dei costi dei servizi che propongono e, quindi cercano di spendere poco, troppo poco. Si sa che, a furia di sgrattare si raggiunge il fondo, e quando si raggiunge il fondo... si scava!
Nintendo non ha database dei propri utenti (se intendiamo le console e non i siti), le console si connettono si ad internet ma non vengono rilasciati dati "sensibili" o carte di credito (i cui dati vengono chiesti di volta in volta).
Non si può rubare nulla (o quasi)....
newsletter da me ricevuta il 29/05/2011:

Caro XXXXXX,
ti abbiamo recentemente informato del fatto che per mantenere attivo il tuo account Club Nintendo presso il nostro sito, dovrai accettare i nostri nuovi Termini e condizioni e la nostra nuova Direttiva sulla privacy.

Vorremmo ricordarti un'ultima volta che devi completare questo semplice processo entro il 31 maggio 2011. Se non avrai accettato i nuovi Termini e condizioni e la nuova Direttiva sulla privacy entro il 31 maggio, il tuo account Club Nintendo sarà disattivato e di conseguenza non potrai più usare le tue Stelle nello Star Catalogo.

Per accettare i nuovi Termini e condizioni e la nuova Direttiva sulla privacy, accedi al tuo account Club Nintendo.

L'accettazione delle nuove direttive è necessaria a causa di alcuni cambiamenti apportati al sito di Nintendo. Nintendo non raccoglie o memorizza dati sensibili relativi ai membri del Club Nintendo. Ti ringraziamo per la tua collaborazione mentre implementiamo questi indispensabili cambiamenti.


ora non so se c'è un nesso, ma mi pare una comica coincidenza....
domanda: voi come gestite le vostre password?

- tutte uguali
- tutte diverse, imparate a memoria in una settimana e salvate su un file crittato o magari scritte su un pezzo di carta tenuto in cassetta di sicurezza :)
- 3-4 differenti password per i diversi livelli di importanza
- altre idee?
Tutte diverse, generate a caso, crittate con una master password anch'essa random e imparata a memoria.
Tutte diverse anche se non generate a caso ma abbastanza forti lo stesso. Ad esempio una password del tipo "insalata.548.pomodori" ritengo che sia forte, facile da ricordare e consente di tenerla a memoria senza l'uso di altri file criptati.
da dipendente di una banca online posso dire che la sicurezza è molto difficile da tutelare in quei casi.
i token ring si rompono o si consumano o si perdono, i codici pin si scordano. i clienti si lamentano che è troppo difficile
accedere al sito, che si sono scordati i codici.su 100 clienti con conto corrente online 70 sanno usare u pc poco e male, 15-20 sono utenti informatici smaliziati (cambiano spesso i codici di accesso, usano antivitus firewall controllano che l'accesso al sito sia cifrato etc) ed una quota piccola ma inquetante non sa usare un pc e si appoggia ad amici e parenti capaci per gestire il conto online.

quanto alle password,,ne ho tre diverse

a) password forte. parola priva di senso compiuto più lunga di 8 caratteri non esistente in dizionari e che restituisce zero risultati nei motori di ricerca.usata per tutti i servizi finanziari (paypal e simili) che accettano password non solo numeriche e per file cifrati con cifratura simmetrica
b) password media.password alfanumerica con parola di senso compiuto non banale e da 2 o più numeri.usata per email lavorativa ed account "sensibili"
c) password base. parola di senso compiuto non banale di 8 lettere senza numeri. usata per proteggere contenuti non sensibili, account non "nominali"

la a rimane la stessa da anni, la b e c vengono cambiate ogni 6 mesi
i contenuti sensibili non sono fisicamente sul pc collegato a internet.
e seguo la vecchia sempre valida regola per le comunicazioni email (mai scrivere in una mail qualcosa che non scriveresti su una cartolina).

a parte questo, su internet la mia carta di credito la fornisco solo per servizi a prova di bomba (come paypal amazon e simili) altrimenti vado tranquillo con le carte ricaricabili.

paolo vista questa storia di sony non sarebbe il caso di ripubblicare il tuo dodecalogo della sicurezza informatica , magari riveduto e corretto?
L'altra notizia è che il gruppo Lulz ha guadagnato dalle donazioni più di 7000 dollari.
E' stata usata la nuova moneta "Bitcoin" per poter ricevere questa somma.
Questo non sarebbe stato possibile con un qualunque sistema come ad esempio Paypal ( tracciabile )
Questo commento è stato eliminato dall'autore.
LOL, a questo punto arriviamo a diciotto intrusioni, così può partire lo sketch.
Se la Sony incominciasse a vendere preservativi ricordatemi di controllare le statistiche sugli incrementi demografici. E di affidarmi ad altre ditte di preservativi, chiaro.
[quote-"Paolo Attivissimo"-"http://attivissimo.blogspot.com/2011/06/oltre-sony-anche-nintendo.html#c8253724078838405517"]
PS: hai ricevuto la "Chicca!" che t'inviai la scorsa settimana? :)

Forse. Ho una coda immensa di posta da smaltire. :-(
[/quote]

Attendo con fiducia, perche' la chicca merita :)