Previous Entry Share Next Entry
对最近接二连三SONY被黑事件个人思考
为每一件你做的事情负责到底。
houge_langley

近来我们不难发现SONY公司网络遭受多次黑客攻击,首先我们先来回顾一下这一事件的前因后果



  1. 首先是在今年早先时候神奇小子发布了,破解PS3的工具后,如何破解PS3的视频。随后,SONY公司宣布要起诉神奇小子,这就是整个事件的起因。

  2. 在今年的柏林举行的Chaos俱乐部通信会议上,名叫Fail0verflow的黑客团队透露,他们已经计算出用于PS3软件签名的私钥,这意味着任何人可以为PS3游戏机生成签名软件。Fail0verflow还声称发现了一种新的越狱方法,无需借助目前流行的加密狗。如果他们的声明是真的,将为自制固件和自制软件敞开大门。如果索尼不采用过激的方法让密钥失效,PS3越狱将变得切实可行。

  3. 大约是今年2月24日前后,一位参与PS3破解的黑客Graf_chokolo的家遭到了警方的突袭,没收所有破解PS3相关的东西。他曾经许诺,如果遭到什么意外将会公开他的所有研究。现在他兑现了诺言,公布了名为Hypervisor Bible的文件,其中包含了一系列PS3 Hypervisor和Hypervisor进程的工具。这些工具将能帮助其他开发者逆向工程PS3 Hypervisor。

  4. 今年2月28日前后,MAKE杂志的一篇文章综述了索尼在过去十年对制造商、黑客和发明家的诉讼历史,例如:索尼向发现Sony BMG rootkit漏洞的普林斯顿大学研究生发送DMCA信函试图阻止其公开;爱好者创造软件能让Aibo机器狗跳舞,索尼再次发送DMCA,威胁起诉;开发商创造了PS游戏模拟器,允许在PC上玩PS游戏,索尼发送DMCA威胁起诉;索尼移除PS3的OtherOS功能,移除Linux支持,招致了黑客们的反击。

  5. 今年3月18日前后,法官同意了索尼申请的一个传票,让该公司有权接触PS3黑客George Hotz(GeoHot)的PayPal帐号,日本主机制造巨头可以取得geohot@gmail.com帐号在2009年1月1日到2011年2月1日之间的资金来源信息。索尼索取帐号信息是为了确定应该在GeoHot的家乡新泽西州起诉还是在旧金山起诉。索尼认为,如果GeoHot的PayPal帐号中有来自北加州居民的捐款,那么旧金山是一个合适的起诉地点。GeoHot否认接受捐钱,虽然他此前确实请求过。

  6. 第一次攻击,发生在今年4月19日前后,SONY因黑客攻击,关闭了PSN,玩家们都大为沮丧,现在他们有理由担忧了:索尼宣布无限期关闭PSN,并声称用户个人信息可能泄漏。为了确保网络的完整性,索尼正在重建PSN。PSN是连接超过7500万PlayStation玩家的在线服务,玩家可以在上面联网对战和聊天。索尼表示,尽管没人重新上线的时间表,但他们正努力尽可能快的恢复服务。索尼还表示,它正在调查外部入侵事件,调查用户的个人信息如信用卡号码,是否遭到泄露。

  7. 在第一次攻击以后,黑客首次宣布对此负责。PSX-Scene.com论坛的一位版主透露,PSN下线的原因与最近发布的自制固件有关。被称为Rebug的自制固件于3/31发布,它本质上是把零售的主机变成开发主机,从而允许用户从开发者网络访问PSN网络,索尼对开发者网络管理不严,因此用户可以提供虚假信息,合乎逻辑的下一步是盗版PSN内容。这就是索尼关闭PSN网络并重建系统的真正原因,它正设法阻止自制固件用户匿名访问PSN网络。这位版主承认他没有确凿证据,而是基于Rebug流行及用户发现盗版PSN内容方法的时间进行推测的。

  8. 于是,黑客一不做二不休,安全研究人员表示,黑客正在地下论坛出售多达220万PSN用户信用卡资料。研究人员称,黑客的留言显示其掌握了PSN的数据库,其中包含了客户姓名、地址、用户名、密码,以及220万信用卡号码。索尼黑客希望以超过10万美元的价格出售信用卡列表。据称黑客曾试图将数据出售给索尼,但没有从该公司得到回应。目前无法验证黑客所拥有数据库的真实性。索尼声称信用卡数据库被加密了,但黑客通过主数据库获得了所有资料。知名的PS3黑客Geohot否认他卷入了PSN网络攻击,称他没那么疯

  9. 于今年5月3日前后,SONY再次遭到攻击,用户信息或再次泄漏。索尼当时宣布将部分恢复PSN网络功能,负责PlayStation的高官还在新闻发布会上鞠九十度大躬致歉谢罪。然而索尼还没有松下一口气,它的收费网络游戏服务器Sony Online Entertainment因攻击而下线。索尼表示,他们正在调查黑客入侵SOE系统事件,怀疑黑客获取了客户信息,泄漏的信息可能包括:姓名,地址(城市、州、国家和邮编),电子邮件、性别,出生日期,电话号码,登录用户名,哈希密码。索尼还宣布,一个包括旧信用卡号码和失效日期的旧数据库可能也被黑客窃取,其中有12,700名非美国客户的信用卡或借记卡号码。

  10. 另外,根据美国众议院商务委员会的听证会上声称,索尼的服务器运行着一个过期的Apache Web server软件,没有打上补丁,也没有安装防火墙。而索尼早在几个月前已经知悉此事,因为问题早已在论坛上报告给它。索尼董事会主席平井一夫致函美国国会的信中表示,该公司正在加强安全防御,同时指责匿名组织要对攻击负有间接责任。匿名组织已经发表了回应,否认参与了破坏,以及参与信用卡窃取

  11. 于今年5月11日前后,索尼官方博客表示需要更长时间才能让PSN网络重新上线,希望玩家耐心等待。自4月20日起,PSN已下线了20天。第三方游戏发行商也因此次攻击而损失惨重,Valve的PS3版《Portal 2》宣传落空,Capcom高级副总裁Christian Svensson说,黑客成功惩罚了索尼,但也同时惩罚了无辜的消费者和企业。索尼还证实,2460万名美国网游用户的姓名、地址、电话号码等个人信息遭到泄露。加上PSN的7700万玩家,有超过1亿的用户信息遭到泄漏。

  12. 在今年5月16日前后,PSN在下线26天重新上线,索尼发布了PS3 3.61固件,用户安装这个强制性安全补丁后,将要求修改密码,此后他们将能再次联机游戏。在PSN下线26天后,索尼逐步恢复了联网服务。根据企业通讯和社交媒体高级主管Patrick Seybold的Twitter留言,期间由于重置密码请求流量太大而关闭服务30分钟以清理密码查询。为恢复PSN消费者信心,索尼计划了Welcome Back包,其中包括一个月的免费PlayStation Plus服务,以及部分免费下载内容。索尼网络游戏《DC Universe Online》和《Everquest》的玩家,将获得一个月的免费游戏时间。

  13. 第二次被黑,于今年5月18日前后,索尼PSN刚刚上线,旋即又再次下线。令人怀疑索尼到底从长达26天的下线事故中学到什么?是否认真对待安全,或者只是把这次事件当成意外?PSN重置密码的方式只是简单的输入帐号的电子邮件地址和出生日期。换句话说,已窃取用户信息的黑客,可以通过输入窃取的信息而重置任何用户的帐号。索尼接到安全警告后,再次关闭了PSN。

  14. 第三次被黑,于今年6月3日前后,SONY再次遭到黑客入侵。现在已经数不清索尼旗下网站遭到了多少次黑客入侵。几天前入侵PBS网站的黑客组织Lulz Security 宣布,它利用SQL注入攻击获得了sonypictures.com, sonybmg.nl和sonybmg.be的数据库。数据库包含了超过100万索尼美国、荷兰和比利时客户的个人信息,包括密码、电子邮件、家庭地址、邮编、出生日期。而最令人吃惊的是,数据库中的密码是明文的。这将是一场灾难,因为很多人会在不同网站使用相同密码。Lulz Security在海盗湾上发布了数据库的下载地址


这一系列的事件,让很多玩家对SONY已经开始产生了非常严重的信任危机,虽然我不是PS3玩家,但是如果你的游戏帐号被多次黑掉,而且,没有任何隐秘,就连最敏感的密码SONY居然用的是明文,这是非常不负责任的。而且如此重要的PSN如果确实在使用没有补丁的Apache,我们不能想象,SONY是不是真的为自己和用户在考虑。其实最关键的就是黑客如此轻易且多次破解SQL和PSN,对于一个如此大型的公司来说简直不能想象,SONY的服务器难道是天朝的小霸王,想破解就破解,想黑就黑,从某种角度来说SONY有重要责任,不知道出于什么角度他们不能做好安全防范后再将相关服务器上线。


但是,责任并不是SONY一个的,其实SONY的问题早就存在,只是这次被一班骇客给引出来了。我想说的是骇客的攻击令人感到遗憾,首先,他们把对SONY公司的个人情绪最终转移给了用户,最终受害的是用户,用户虽然集体诉讼SONY,虽然也采取了行动,但是损失如此巨大的私人信息,令人感到震惊;其次、作为黑客,那些前后入侵SONY的黑客团队已经远离了他们作为黑客的伦理,黑客伦理是令人尊敬的,作为黑客是值得所有人膜拜的,他们的已经不是黑客,而是一群窝藏在角落中,见不得阳光的骇客(请注意骇客和黑客有本质区别)。最后、我觉得令我感到一丝欣慰的是神奇小子,在他的Blog里,他并没有参与到这些骇客行动中,并且表达了自己对入侵行为的不负责任和指责,最后他还是强调了大家应该抵制SONY产品。


抵制SONY,我并不是出自什么爱国行为。因为抵制日货本来就是扯淡,全球经济一体化,最后受苦的还不是天朝人民,尤其是现在,我国已经毫无悬念的成为了世界加工厂。言归正传,SONY已经遭受了多次骇客入侵,如果继续下去,继续把用户的私人信息当作儿戏,用明码,不给Apache打补丁,仓促将PSN上线,下一步直接影响到的是SONY公司本身,大家都知道全球除了SONY的PS系列,还有微软的X-BOX,其他的我不是很了解,如果SONY不能解决这次危机,处理好和用户之间的关系,导致大量用户流失,SONY将会从游戏界的老大位置斩落马下。


作为Geek的我将继续关注此事发展,希望SONY能够学到些东西,另外应该谴责这一系列的骇客行径。最后引用《黑客伦理》一书的一句话作为结尾


Free and open source software is the descendant of the hacker ethics that Levy described. The hackers who hold true to this hacker ethics—especially the Hands-On Imperative—are usually supporters of free software and/or open source software.
Tags:

?

Log in

No account? Create an account