PSN Outage: Aggiornamento 15 Maggio 2011 firmware 3.61 update

Roma, 15/5/2011

Questo è un brutto periodo per Sony, che con il passare dei giorni con il Playstation Network (PSN)  ancora offline rischia di subire ingenti perdite derivanti anche dal crescente disappunto di sviluppatori di terze parti che fondano il loro business sulla piattaforma online di Sony. Come riporta questo articolo  IndustryGamers.com è riuscita a trapela in rete il testo originale della lettera inviata da Rob Dyer, SVP di Publisher Relations della Sony a tutti gli sviluppatori. Questo il testo tradotto:

Gentili partner 
Come sapete, le informazioni di alcuni account dei servizi di PlayStation NetworkQriocity, e Sony Online Entertainment sono stati compromessi nel corso di un attacco criminale contro il nostro network.
Vorrei però assicuravi, in quanto partner PlayStation, che è la priorità di Sony ripristinare l’operatività del nostro network e fare in modo che il business torni ai livelli precedenti questa crisi nel minor tempo possibile.
Stiamo lavorando giorno e notte per ripristinare il servizio, ma questo avverrà solo quando potremo assicurare che il network è in grado di operare in modo sicuro e protetto.
Nel contempo vorremmo esprimere il nostro massimo apprezzamento per la pazienza, comprensione e benevolenza dimostrata.
In quanto importanti partner ci proponiamo di mantenere aperte le linee di comunicazione in modo che siate a conoscenza del nostro progresso.
Il nostro obiettivo è stato quello di rafforzare la sicurezza delle reti, proteggere i dati del cliente e ottenere i servizi di back on line il più rapidamente possibile.
Faremo del nostro meglio per rispondere a tutte le vostre richieste e faremo tutto il possibile per sostenervi.

Per quanto riguarda le notizia prettamente tecniche riguardo al proseguire della vicenda PSN gate oggi sembra essere una giornata particolarmente densa di soprese. Come si evince dalle ultime notizie l’attacco al Playstation Network sarebbe stato compiuto da un server appartenente al servizio EC2 di Amazon. In particolare mascherandosi dietro un finto pseudonimo i malintenzionati hanno difatti noleggiato uno dei server del gruppo, allestendolo al meglio per organizzare l’attacco da sferrare nei confronti del colosso giapponese. Per il momento però Amazon ha preferito non commentare la vicenda alimentando così la curiosità del misterioso attacco al PSN.

Vero scoop del giorno però è l’update del firmware Playstation 3 che ora risulta aggiornato alla versione 3.61. Infatti provando ad effettuare il login su PSN si viene reindirizzati al download del nuovo firmware, finalmente il PSN da qualche segno di vita. Forse ,stavolta veramente, potremo tornare a breve a giocare online.


PSN outage: Aggiornamento pomeridiano 9 Maggio

Roma, 9 Maggio 17:18

Come si apprende da poche ore sembra che la data limite del ripristino completo del PSN sia stata fissata per il 31 Maggio. Da come si può leggere in questo articolo dove un portavoce parlando a Bloomberg stima per quella data il ritorno online del network.

Inoltre sta circolando in rete un documento ufficiale degli Anonymous dove mostrano il disappunto nei confronti di Sony per le accuse ingiuste che sono state rivolte ingiustamente al gruppo.

PSN (Playstation Network) Outage , Aggiornamento 7 Maggio 2011

Nonostante dopo la lettera ufficiale di Howard Stringer alle autorità USA dove si afferma che in parte il PSN verrà rimesso online entro questo fino settimana sembra essere smentita dai fatti. Infatti come si può leggere da alcuni siti web  sembra che il ritardo sia dovuto alla scoperta di Sony di un gruppo di criminali informatici che, sempre secondo la notizia riportata, avrebbero pubblicato parte dei dati rubati dai server Sony. Ma ciò non sembra essere solo una voce di corridoio dato che la stessa notizia viene riportata da Reuters. Intanto il mistero si infittisce..

Dopo il ritrovamento del file Anonymous si server Sony con all’interno il motto “We are legion” Anonymous smentì l’attacco mentre ora , come si può leggere da un’intervista rilasciata al Financial Times , due veterani di Anonymous non negano che il gruppo sia stato responsabile dell’attacco anche se sembra che il furto delle carte di credito (ipotizzando ci sia effettivamente stato) non era inizialmente previsto nell’attacco.

Nel frattempo la vicenda relativa alla sicurezza dei dati e alla responsabilità di Sony per la riuscita dello stesso, un noto esperto di sicurezza Gene “Spaf” Spafford è che alla base del security breach nel PSN ci sia semplicemente una grande incompetenza nei vertici Sony a gestire la sicurezza a dispetto di quanto affermato dalla multinazionale che etichetta l’attacco come “sofisticato”. La tesi del professore è che

  • Sony non aveva adottato un firewall a protezione dei propri sistemi;
  • Il PlayStation Network era ospitato da web server Apache obsoleti;
  • La versione di Apache in uso non solo era datata, ma non era nemmeno mai stata aggiornata.
Insomma non il preludio di un sofisticato attacco ma più che altro un richiamo per tutti i criminali informatici, anche per i semplici wannabe , stavolta non hacker ma cracker. Sarà questa la verità?
Sempre dal medesimo articolo si può leggere che il Playstation Network verrà riavviato nelle prossime ore ma i pareri in merito a ciò sono parecchio discordanti pertanto non ci resta che aspettare le notizie ufficiali direttamente da Sony collegandoci al blog ufficiale europeo.  Voci di corridoio inoltre affermano che è in preparazione un terzo attacco a Sony solo che stavolta diretto al suo sito principale, questa una delle tante fonti della notizia.  Nel frattempo non mi resta che lasciarvi con il nuovo PSN Movie che sta spopolando in rete:

PSN Outage (aggiornamento 6 Maggio 2011)

Come ogni fiction che si rispetti ogni giorno esce una nuova puntata, ogni giorno un nuovo intrigo per tenerci sospesi in attesa del seguente ma soprattutto per comunicarci che non finirà mai. Proprio ciò sembra emergere giorno dopo giorno riguardo al PSN: un’inutile rincorrersi di voci di corridoio accompagnate da un nulla di fatto, il Playstation Network è ancora down e non da segni di vita.

Se in questi giorni state seguendo i miei post riguardo al PSN, che altro non sono che un riassunto di tutte o quasi le notizie che girano sul web riguardo il PSN sicuramente saprete che l’ultima news riguarda la scoperta da parte dei tecnici di Sony di un file chiamato Anonymous che contiene al suo interno le parole “We are legion”, moto della misteriosa quanto affascinante setta del gruppo di Anon-hacktivisti nota con il nome di “Anonymous”.

Questa scoperta per ora porta a due effetti: da una parte Sony accusa , giustamente o no, gli Anonymous dall’altra ciò appare come un lampante depistaggio e nasconde ben altro. Come sempre in questi casi più che di notizie certe in Rete spopola il gossip attorno al PSN-gate , gossip a cui però voglio dare pieno sfogo anche per “registrare” un cronistoria che magari in un futuro quando saranno note più cose ci potrebbe aiutare a capire meglio cos’è successo. Le ultime news in merito affermano la possibilità che l’opera dell’attacco non sia stata condotta da un gruppo come Anonymous ma , oserei dire come sempre in questi casi, dall’interno ad opera forse di qualcuno “dei 205 dipendenti licenziati a Marzo dalla stessa SOE” (link articolo).  Gli Anonymous rispondo all’accusa affermando che “se una legittima ed onesta investigazione sul furto delle carte di credito sarà condotto, gli Anonymous non saranno identificati come colpevoli” (link articolo) . Nel frattempo “Data Forte”, società statunitense, “affiancherà l’FBI per cercare di ripulire le reti Sony e catturare gli hacker” (link articolo). Ma rincuoriamoci, ciò che è successo al PSN e a SOE “non ha avuto alcun impatto sui piani di rilascio della console portatile NGP e dei table Sony S1 e S2″ (link articolo). Ora so che possiamo dormire Sonny tranquilli.

Stay tuned.

Got security?

EDIT 6 Maggio 2011 ore 9:30. 

Stamattina è comparsa sul Blog ufficiale Playstation la lettera di Howard String indirizzata ad ogni utente del Playstation Network. Il contenuto della lettera non aggiunge nulla a quanto già accaduto ma sicuramente riesce a dare un volto più “umano” alla vicenda del crack psn, anche se potrebbero farsi sentire le prime accuse di strumentalizzazione in quanto sono presenti espliciti riferimenti al terribile tsunami che ha sconvolto il Giappone e il mondo intero. Ad ogni modo la parte più importante è sicuramente la finale dove il CEO di SCEA afferma:

“Nei prossimi giorni, ripristineremo il servizio online e vi daremo il bentornato al divertimento. Volevo personalmente farvi sapere che siamo tutti impegnati a servirvi al meglio delle nostre abilità, proteggendo le vostre informazioni meglio che mai.”

Di seguito potete trovare la versione integrale della lettera di scuse del CEO Sony tradotta in italiano:

Cari amici,
so che questo è stato un periodo frustrante per tutti voi. Permettetemi di assicurarvi che tutte le risorse di questa azienda sono state interamente dedicate a indagare la vera natura e l’impatto dell’attacco cibernetico al quale siamo stati sottoposti e a risolvere i problemi che ne sono derivati. Siamo totalmente impegnati a ripristinare al più presto possibile un servizio completo e sicuro e a ricompensare adeguatamente la vostra pazienza. Non ci accontenteremo di niente di meno.

Ad oggi non c’è alcuna prova confermata del fatto che siano state sottratte in modo fraudolento informazioni personali o relative alle carte di credito, e continuiamo a monitorare attentamente la situazione. Stiamo anche procedendo nel progetto di proteggere i nostri clienti in tutto il mondo dai furti d’identità. Un programma per gli utenti statunitensi di PlayStation Network e Qriocity che prevede un milione di dollari di assicurazione contro il furto di identità è stato lanciato oggi e sono imminenti annunci per gli altri territori.

Come annunciato in precedenza, offriremo un pacchetto di “Bentornato” per i nostri clienti non appena PlayStation Network e i servizi Qriocity saranno nuovamente in linea. Questo includerà, tra l’altro, un mese gratuito di abbonamento PlayStation Plus per tutti i nostri clienti PSN e un’estensione dell’abbonamento per gli abbonati PlayStation Plus e Music Unlimited che permetta loro di recuperare il tempo perduto.

Mi scuso, personalmente e a nome dell’azienda, per tutti i disagi procurati agli utenti da questo attacco. Sotto la guida di Kazuo Hirai, abbiamo squadre di lavoro a tempo pieno in tutto il mondo per ripristinare l’accesso ai servizi con la massima rapidità e sicurezza possibili.

So che qualcuno si è chiesto se non avremmo dovuto avvertire prima i nostri clienti. E’ una domanda giusta. Non appena abbiamo scoperto le dimensioni dei potenziali danni causati dall’intrusione, abbiamo disattivato PlayStation Network e Qriocity e ingaggiato alcuni dei migliori esperti del settore per determinare con esattezza cosa fosse accaduto. Vorrei poter aver ottenuto prima le risposte a tali quesiti, ma l’analisi forense è un processo complesso e richiede tempo. Gli hacker, dopo tutto, fanno del loro meglio per coprire le loro tracce, e ci è voluto tempo per i nostri esperti per trovare tali tracce e capire se e quali dati erano stati sottratti.

Non appena abbiamo avuto dei risultati in merito vi abbiamo aggiornato tempestivamente. La nostra inchiesta è tuttora in corso e stiamo potenziando la sicurezza in modo da farci trovare ancora più preparati nel caso che tali attacchi dovessero ripetersi.

Negli ultimi mesi, Sony ha dovuto affrontare un terribile terremoto e lo tsunami in Giappone. Ora ci troviamo di fronte invece ad un evento imprevisto causato dall’uomo (un attacco criminale contro di noi – e contro di voi) e stiamo lavorando con l’FBI e le forze dell’ordine di tutto il mondo al fine di arrestare i responsabili.

Nei prossimi giorni, avrà luogo il ripristino dei servizio di rete e tutti potrete tornare nuovamente a divertirvi. Personalmente ho voluto farvi sapere che ci siamo impegnati al meglio delle nostre capacità per proteggere i vostri dati e consentirvi di tornare ad usufruire di quei servizi per cui vi siete registrati: tutti i giochi e la grande esperienza di intrattenimento che vi aspettate da Sony.

Con i migliori saluti,
Howard Stringer

PSN Outage (Aggiornamento 5 Maggio 2011)

Di giorno in giorno le notizie in merito al Tech-gate by Sony aumentano infittendo sempre di più di misteri e mezze verità la dark cloud che sembra ristagnare da ormai due settimane.

Pubblico in formato integrale la lettera ufficiale che Sony dopo esser stata accusata di non aver agito correttamente, soprattutto non avvisando in tempo gli utenti, lasciando passare 7 giorni con la firma di Kazuo Hirai ha inviato alle autorità statunitensi cioè a “U.S. House of Representatives Committee on Energy and Commerce “

In questa lettera Sony descrive ciò che è successo come un “attacco criminale attentamente pianificato e altamente sofisticato” e di aver trovato su uno dei server di Sony Online Entertainment un file chiamato “Anonymous” con le parole “We Are Legion”. Il grido d’assalto del gruppo hacker, per chi non lo conoscesse, è proprio “We are Anonymous. We are Legion. We do not forgive. We do not forget. Expect us”. Ora quindi per Sony pare esserci la prova definitiva che sia stato il gruppo di hacktivisti Anonymous anche se quel file trovato potrebbe essere stato messo lì proprio da chiunque. Siamo lungi dal conoscere la verità in merito al PSN-gate e soprattutto chi ha effettivamente svolto l’attacco.

Nel frattempo il portavoce di Anonymous Barrett Brown, ha ripetuto che “Anonymous non ha una storia nel furto di carte di credito e se lo avessimo fatto l’FBI ci avrebbe già preso”.
Secondo Brown la colpa è probabilmente di criminali professionisti, forse dell’Europa dell’Est, che avrebbe sfruttato la diatriba tra Anonymous e Sony per fugare eventuali sospetti. “Ogni ladro tanto abile sarebbe in grado di lasciare un documento che incolpa qualcun altro. Siamo tutti disorientati da questa vicenda. Tutti pensano che sia stato qualche gruppo criminale, ma non siamo stati noi”.

Continuano poi a seguito del down che ormai sembra essere perenne del Playstation Network ma soprattutto dei milioni di dati confidenziali rubati le richieste di risarcimento nei confronti di Sony. In Canada ad esempio l’associazione “McPhadden Samac Tuovi LLP” chiede un risarcimento danni pari a 1,04 miliardi di dollari. Cosa succederà? Rimanete sintonizzati su queste pagine. Vi lascio con una vignetta.

PSN Outage (Aggiornamento 4 Maggio 2011)

Dopo l’ultima novità ovvero l’aver scoperto che anche la piattaforma SOE (Sony Online Entertainment) è stata attaccata ora Sony si ritrova in un bel guaio. Si accendono le polemiche e gli aritcoli di fuoco come questo pubblicato da Business Insider che recita “Sony CEO Stringer’s Head Must Roll” ovvero che forse visto ciò che sta succedendo è il momento che il CEO se ne vada a casa.. Si legge inoltre che “Stringer è stato promosso CEO a giugno del 2005. Da allora, si è vista la Wii superare la PS3 nelle vendite, l’iPod di Apple sopraffare l’industria dei riproduttori musicali, la Xbox Live (l’omologa della PSN, ndR) vedere maggior qualità e sicurezza del servizio. Allo stesso tempo, Sony ha perso quote nel mercato TV HD, con nomi come Samsung, Vizio, LG e altri che hanno iniziato a farsi apprezzare. Non è tutta colpa di Stringer, ma molto del deterioramento della posizione sul mercato è avvenuto durante la sua guida”. (articolo originale)

Come se ciò non bastasse ora Sony Australia “viene accusata di rispettare poco le leggi locali sulla privacy poiché i dati raccolti dovrebbero essere distrutti in modo permanente, secondo la legge australiana” (link articolo)

Mentre intanto intere giornate passano come se niente fosse ,  il  Playstation Network risulta ad oggi completamente offline, sia in Giappone che nel resto del mondo.

Socialife: local based social network project. Versione pre-alpha 0.01

  1. E’ possibile realizzare un social network senza Internet?
  2. E’ possibile realizzare un soacial network che sfrutti la posizione ma senza il GPS?

Ad entrambi anche se può sembrare sconvolgente la risposta è affermativa , infatti in parte si tratta di un’illusione. Ma procediamo con calma.

L’idea di un Social Network che si basi sulla posizione e sia completamente gratuito in quanto indipendente da Internet non è mia ma ormai di pubblico dominio. Infatti Nokia con il suo Instant Community realizza proprio questo: un local based social network (senza internet). Vediamo come funziona.

Per quanto riguarda la non dipendenza da Internet la risposta è banale: si usano hotspot wifi pubblici. Se un gruppo di utenti, poniamo x y e z si collega allo stesso hot spot Wifi viene creata una Wlan ovvero una Lan wireless o più semplicemente una interconnessione mediata dal dispositivo di rete (un router wifi) tra i tre utenti. Quindi indipendentemente da Internet è possibile la comunicazione tra i tre utenti. E’ un pò come se a casa vi collegaste al router wifi e scollegaste temporaneamente il doppino telefonico: potete tranquillamente controllare remotamente gli altri pc presente nella vostra rete (se configurati  per questo :) ) .

Per quanto riguarda la posizione è più un gioco di magia che altro..Infatti non esistendo Internet le persone con le quali si può comunicare sono per forza di cose presenti nella stessa WLAN e a meno che non sia un mega hotspot capace di erogare il segnale per kilometri è ovvio che le persone con le quali si entra in contatto siano fisicamente vicine, in questo senso è dipendente dalla vostra posizione.

3. E’ possibile mantenere delle interconnessioni tra più hotspot? E’ possibile comunicare con un utente fisicamente collegato in un diverso hotspot?

A questa domanda per ora si risponde negativamente, ecco che entra in scena la mia idea: Socialife.

Il limite però è proprio ciò che fonda tale tipologia di Social Network: l’interconnessione tra gli utenti anche se esterni alla Wlan alla quale siamo collegati. Se x e y fanno parte della WLAN1 mentre z fa parte della WLAN2 non potranno mai entrare in contatto a meno che sia x che y che z si trovino in WLAN1 oppure WLAN2.

Grafico

Figura 1

Figura 2


Situazione:

X è collegato direttamente a y tramite un hotspot wifi ma vuole collegarsi indirettamente a y. Per fare ciò si agisce nel seguente modo.

  1. X recapita il messaggio che vuole mandare a z a y
  2. y quando incontrerà direttamente z recapiterà per conto di x il messaggio

Sicurezza —–> Il messaggio anche se viene memorizzato fisicamente in un altro dispositivo deve essere adeguatamente crittografato e andrebbero evitati problemi di spoofing tramite qualche metodo di validazione/autenticazione sicura.

Funzionalità aggiunte:

Nel dispositivo mobile parte della memoria riservata all’applicazione (da definire) sarà necessaria a:

  1. creare la mappa delle interconnessioni del dispostivo e un cronistoria dei dispositivi incontrati, mappa che si automodificherà in relazione ai movimenti e ai luoghi che l’utente visita (alle interconnessioni generate).
  2. la mappa creerà un indice di “known” devices con assegnato ad ognuna di essa uno score, un punteggio atto a identificare la popolarità di un device nella rete e soprattutto che indicherà quante possibilità ha un messaggio di essere recapitato da un certo device. Lo score sarà ottenuto da quanti device l’utente incontra (stabilendone un utile massimo) + messaggi recapitati con successo + connessioni create tra i dispositvi / tempo (che aumenta dal momento dell’installazione dell’applicazione e si resetta ogni tot, questo per evitare che un utente che comincia  ad usare l’applicativo solo dopo molto tempo venga penalizzato. )

Esisteranno due tipi di score:

  1. Score tecnico e privato del dispositivo che avrà naggiori probabilità di successo per recapitare il messaggio. Il mittente manderà un messaggio in broadcast per chiedere chi ha il punteggio più alto, il dispositivo risponde e memorizza il messaggio criptato per spedirlo.
  2. Score formale e pubblico che individua la “Popolarità” del dispositivo: quante connessioni definitive ha e quanto ha contribuito a far crescere il netowrk.

Maggiore è lo score tecnico maggiore è lo score formale, in molti casi saranno ugugali ma in altrettanti potrebbero essere diversi eccp perché l’esigenza di crearne due distinti.

Lo socre formale assolverà lo scopo di “incentivo” nell’usare il social network.

Peculiarità del social network sarà anche quella di creare delle “sotto reti” o rguppi locali che potranno in ogni momento essere creati e distrutti, sono lgi uteni a costruire le modalità di sviluppo del social network. Gli utenti e le loro connessioni/decisioni saranno l’SDK perenne di tutto il network.

Continua..

Nota: la comunicazione tra utenti appartenenti a divresi hotspot wifi è di tipo asincrono. Per una ti tipo sincrono sarebbe necessaria una qualche ibridazione con Internet.

Nota2: questo articolo è una bozza , un draft pertanto ci saranno parecchi errori anche concettuali..Invito tuti gli interessati a contattarmi su vogelsang.lorenzo@gmail.com oppure ptrac3@live.it per info, partecipazione al progetto o..per qualsiasi cosa vogliate voi!

PSN Outage [in aggiornamento]

Ormai come tutti sanno è da più di una settimana che il PSN (Playstation Network) è completamente offline.  Vediamo di fare una piccola analisi della situazione.. Questo un breve cronistoria

All’inizio della sospensione del servizio già si vociferava su un possibile attacco esterno al PSN, attacco che si diceva essere di tipo Ddos (Distributed Denial of Service). Un attacco di questo tipo prevede la saturazione delle risorse del bersaglio provocando così un Denial of service ovvero un’interruzione del servizio. Nel caso del Distributed denial of service (uno degli attacchi più cool del momento) il gruppo di attaccanti in prima istanza crea una botnet (una rete di computer infettati, controllati dall’attaccante) e in secondo luogo il “gestore” di tale botnet ordina ad esempio a  tutti i computer di chiedere tot volte al secondo la index di un determinato server web..Ora detto così potrà sembrare troppo banale ma nonostante le misure di sicurezza anti Ddos l’attacco riesce sempre: dipende dalla grandezza della botnet e poi ovviamente dal grado di comptenza degli attaccanti (ma basta poco per creare del traffico che il firewall non riesce a filtrare). Ad esempio all’inizio si vociferava si trattasse di un attacco perepretrato con il programma LOIC anche se poi la Sony stessa ha ammesso un’intrusione esterna e per definizione quindi non si tratta di un attacco di tipo Ddos.

Questo uno screenshot del suddetto LOIC dove si può notare la “lamerosità” nonchè semplicità d’uso dello stesso. Se si fosse trattato di un attacco di questo tipo mi sono detto entro poco il PSN ritornerà attivo ma infatti così non è stato..O perlomeno se c’è stato un attacco di questo tipo , sicuramente e ormai è conclamato è stato unito ad altro genere di attacchi..Ma procediamo con calma..

Successivamente l’idea di un Ddos è stata accantonata mentre le parole di Sony , “intrusione esterna” hanno preso il sopravvento generando trai blogger di tutto il mondo mille e una teorie su cosa effettivamente sia successo.. Per dovere di cronaca ufficialmente Sony, con la mail inviata a tutti gli utenti del PSN ha ufficialmente ammesso un’intrusione esterna nei propri sistemi e anche un possibile furto dei dati come username, password e forse carte di credito.. Ad oggi la situazione rimane grave e in più si incomincia a pensare che possa essere venduto nel blackmarket un database con 2.2 milioni di numeri di carte di credito . Qui sotto gli screenshot che hanno fatto girare queste voci.. A voi le conclusioni.


Il testo della mail arrivatami nella serata del 28 Aprile e dunque la posizione ufficiale di Sony è il seguente:

Stimato Cliente PlayStation Network/Qriocity:

Abbiamo scoperto che tra il 17 e il 19 Aprile 2011, alcune informazioni relative agli account di utenti di servizi PlayStation Network e Qriocity sono state compromesse in relazione a intrusioni illegali e non autorizzate nel nostro sistema. Di conseguenza a quanto riscontrato finora, abbiamo:

1) Temporaneamente disattivato i servizi PlayStation Network e Qriocity;

2) Ingaggiato una competente agenzia esterna per la sicurezza, per condurre una completa ed estesa indagine su quanto accaduto;

3) Tempestivamente preso misure per migliorare la sicurezza e rafforzare l'infrastruttura del nostro network, ricostruendo l'intero sistema per fornire una maggiore protezione dei vostri dati personali.

Apprezziamo la vostra pazienza e buona volontà mentre lavoriamo intensivamente per risolvere questi problemi.

Mentre indaghiamo sui dettagli di questo incidente, riteniamo che un soggetto non autorizzato abbia ottenuto le seguenti informazioni da voi fornite in precedenza: nome, indirizzo (città, stato/provincia, codice postale), nazione, indirizzo email, data di nascita, password, login e online ID di PSN/portatile. Inoltre è possibile che i dati del vostro profilo siano stati rilevati, inclusi la cronologia degli acquisti e l'indirizzo di addebito (città, stato/provincia, codice postale).  Se avete autorizzato un sub-account per un vostro familiare, vi informiamo che gli stessi dati relativi possono essere stati rilevati. Nonostante non ci sia prova che i dati della vostra carta di credito siano stati presi in questa circostanza, non possiamo escludere tale possibilita'. Se avete fornito i dati della vostra carta di credito tramite PlayStation Network o Qriocity,  per sicurezza vi informiamo che il numero della vostra carta di credito (escluso il codice di sicurezza) e la data di scadenza possono essere stati rilevati.

Per la vostra sicurezza, vi invitiamo a essere particolarmente vigili nei confronti di truffe via email, telefono, e posta cartacea che chiedano informazioni personali o dati sensibili. Sony non vi contatterà in nessun modo, incluso via email, chiedendovi il numero di carta di credito, numero di previdenza sociale, o altri simili dati o informazioni che siano personalmente identificabili con voi. Se vi vengono richieste tali informazioni, potete avere la certezza che non si tratta di Sony. Inoltre, se usate gli stessi nome utente e password per il vostro account dei servizi PlayStation Network o Qriocity e per altri servizi o account a essi non collegati, vi invitiamo fortemente a modificarli.  Quando i servizi PlayStation Network e Qriocity saranno nuovamente operativi del tutto, vi raccomandiamo inoltre ad accedervi per modificare le vostre password.

Per proteggervi contro possibili furti di dati personali o danni finanziari, vi incoraggiamo a rimanere vigili per controllare lo stato dei vostri account e monitorare i movimenti del vostro credito.

Vi ringraziamo della vostra pazienza mentre completiamo le indagini su questo incidente, e ci dispiace per ogni inconveniente causato. I nostri team stanno lavorando senza sosta a questo proposito, e ogni servizio tornerà disponibile il più presto possibile. Sony tratta la protezione delle informazioni molto seriamente e continuerà a lavorare per garantire che ulteriori misure vengano prese al fine di proteggere informazioni relative all'identificazione personale. Fornire servizi di intrattenimento di qualità e nella sicurezza dei nostri clienti è la nostra massima priorità. Siete pregati di contattarci presso it.playstation.com/psnoutage in caso abbiate ulteriori domande.

Cordialmente,
Sony Network Entertainment and Sony Computer Entertainment Teams

Sony Network Entertainment Europe Ltd (precedentemente conosciuta come PlayStation Network Europe Ltd) è una subsidiaria di Sony Computer Entertainment Ltd, controller dati per le informazioni personali di PlayStation Network/Qriocity

Varie sono le teorie riguardanti l’identità dei possibili attaccanti nonché le modalità d’attacco.

Per quanto riguarda la prima questione c’è chi sostiene, nonostante l’ufficiale smentita ( http://www.youtube.com/watch?v=ldtNivuSxoQ) che sia stato il gruppo di hacktivisti Anonymous divenuto famoso al grande pubblico quando ha preso ufficialmente le difese di George Hotz dichiarando una cyber-guerra alla Sony (http://www.hookedgamers.com/blogs/markbarley/2011/04/14/anonymous_not_satisfied_with_sony__george_hotz_out_of_court_settlement.html). Nonostante ciò l’attacco è stato smentito anche se rimane comunque possibile che singoli componenti di questa organizzazione abbiano per loro conto organizzato l’attacco. Che siano stati effettivamente gli Anonymous o qualche cracker russo in cerca di denaro la vera domanda è: com’è stato possibile tutto ciò?

Per quanto riguarda la tipologia d’attacco il velo di mistero e molto più fitto….
Per quanto riguarda il furto di dati e di credenziali c’è chi sostiene si tratti di un attacco di tipo SQL Injection (http://news.softpedia.com/news/ony-PS3-Site-Falls-Victim-to-Hacker-Attack-89100.shtml) oppure, ed ultimamente e una delle posizione più accreditate, di un custom firmware chiamato Rebug in grado non solo di accedere al PSN ma di accedervi in modalità sviluppatore avendo così una chance in più nel compiere un attacco del genere.. (http://www.youtube.com/watch?v=3ocA3FEhNWs)

Intanto le voci e i pensieri in rete si moltiplicano. George Hotz afferma , secondo me giustamente, che “Eseguire codice homebrew ed esplorare la sicurezza dei propri dispositivi è cool, entrare nei server di qualcun altro rubando i dati degli utenti non è cool. Mettete la comunità di hacker in cattiva luce, anche se l’attacco è verso degli imbecilli come Sony”. Inoltre afferma “Non diamo la colpa agli ingegneri Sony per questo, allo stesso modo in cui non l’ho data a chi ha progettato il rootkit BMG. Le colpe le hanno i dirigenti che hanno dichiarato guerra agli hacker, ridendo all’idea che le persone potessero penetrare nella fortezza che una volta era Sony, lamentandosi incessantemente della pirateria e assumendo avvocati quando avrebbero dovuto assumere buoni esperti in sicurezza. Alienare la comunità di hacker non è una buona idea. Sony deve accettare di non avere più il controllo su PS3 quando la vende. Notate che solo il PSN ha perso i dati personali, non Xbox Live quando Xbox 360 è stata violata, non iTunes quando è arrivato il jailbreak per iPhone, e nemmeno Gmail quando Android è stato bucato. Questo perché le altre società non sono pazze.”.
Altri invece ci ridono su e pubblicano la canzone ufficiale del PSN Outage the “Sony song”
oppure altri giustamente salutano con un “Fuck” la sony 

E noi che faremo?
Gia l’ADOC e altri enti nel mondo si danno da fare per possibili class action contro la Sony per non aver garantito la sicurezza e la privacy e soprattutto per aver comunicato il probabile furto di dati sensibili troppo tardivamente. (http://www.webmasterpoint.org/news/playstation-network-class-action-in-italia-con-adoc-e-nel-mondo-per-risarcimenti_p40565.html)

Fuck

ptrac3

PS: se trovate errori di qualsiasi tipo in questo articolo o imprecisione fatemelo sapere!

Aggiornamenti:

1 Maggio 2011

Oggi la Sony ha rilasciato la prima conferenza stampa riguardo al caso dell’hacking e del “down” del Playstation Network.  Questo ciò che si può leggere dal blog europeo di playstation (in inglese)

On 1 May 2011, Sony Computer Entertainment (SCE) and Sony Network Entertainment International (SNEI, the company) announced they will shortly begin a phased restoration by region of PlayStation Network and Qriocity services, beginning with gaming, music and video services to be turned on.

The company also announced both a series of immediate steps to enhance security across the network and a new customer appreciation programme to thank its customers for their patience and loyalty.

Following a criminal cyber attack on the company’s data centre located in San Diego, California, USA, SNEI quickly turned off PlayStation Network and Qriocity services, engaged multiple expert information security firms over the course of several days, and conducted an extensive audit of the system.

Since then, the company has implemented a variety of new security measures to provide greater protection of personal information. SNEI and its third party experts have conducted extensive tests to verify the security strength of PlayStation Network and Qriocity services.

With these measures in place, SCE and SNEI plan to start a phased roll-out by region of the services shortly. The initial phase of the roll-out will include, but is not limited to, the following:

  • Restoration of online gameplay across PlayStation 3 and PSP systems, including titles requiring online verification and downloaded games.
  • Access to Q Music Unlimited for PS3/PSP for existing subscribers.
  • Access to account management and password reset.
  • Access to download unexpired movie rentals on PS3, PSP and Media Go.
  • PlayStation Home.
  • Friends List.
  • Chat functionality.

Working closely with several outside security firms, the company has implemented significant security measures to further detect unauthorized activity and provide consumers with greater protection of their personal information.

The company is also creating the position of Chief Information Security Officer, directly reporting to Shinji Hasejima, Chief Information Officer of Sony Corporation, to add a new position of expertise in and accountability for customer data protection, and to supplement existing information security personnel.

The new security measures implemented include, but are not limited to, the following:

  • Added automated software monitoring and configuration management to help defend against new attacks.
  • Enhanced levels of data protection and encryption.
  • Enhanced ability to detect software intrusions within the network, unauthorized access and unusual activity patterns.
  • Implementation of additional firewalls.

The company also expedited an already planned move of the system to a new data centre in a different location that has been under construction and development for several months.

In addition, PS3 will have a forced system software update that will require all registered PlayStation Network users to change their account passwords before being able to sign into the service. As an added layer of security, that password can only be changed on the same PS3 in which that account was activated, or through validated email confirmation, a critical step to help further protect customer data.

The company is conducting a thorough and ongoing investigation and working with law enforcement to track down and prosecute those responsible for the illegal intrusion.

“This criminal act against our network had a significant impact not only on our consumers, but our entire industry,” said Kazuo Hirai, Executive Deputy President, Sony Corporation. “These illegal attacks obviously highlight the widespread problem with cyber security. We take the security of our consumers’ information very seriously and are committed to helping our consumers protect their personal data. In addition, the organization has worked around the clock to bring these services back online, and are doing so only after we had verified increased levels of security across our networks. Our global audience of PlayStation Network and Qriocity consumers was disrupted. We have learned lessons along the way about the valued relationship with our consumers, and to that end, we will be launching a customer appreciation programme for registered consumers as a way of expressing our gratitude for their loyalty during this network downtime, as we work even harder to restore and regain their trust in us and our services.”

Complimentary Offering and “Welcome Back” Appreciation Programme

While there is no evidence at this time that credit card data was taken, the company is committed to helping its customers protect their personal data and will provide a complimentary offering to assist users in enrolling in identity theft protection services and/or similar programmes. The implementation will be at a local level and further details will be made available shortly in each region.

The company will also roll out the PlayStation Network and Qriocity “Welcome Back” programme, to be offered worldwide, which will be tailored to specific markets to provide our consumers with a selection of service options and premium content as an expression of the company’s appreciation for their patience, support and continued loyalty.

Central components of the “Welcome Back” programme will include:

  • Each territory will be offering selected PlayStation entertainment content for free download. Specific details of this content will be announced in each region soon.
  • All existing PlayStation Network customers will be provided with 30 days free membership in the PlayStation Plus premium service. Current members of PlayStation Plus will receive 30 days free service.
  • Q Music Unlimited subscribers (in countries where the service is available) will receive 30 days free service.

Additional “Welcome Back” entertainment and service offerings will be rolled out over the coming weeks as the company returns the PlayStation Network and Qriocity services to the quality standard users have grown to enjoy and strive to exceed those exceptions.

SNEI will continue to reinforce and verify security for transactions before resuming the PlayStation Store and other Qriocity operations, scheduled for this month.

For more information about the PlayStation Network and Qriocity services intrusion and restoration, keep an eye on PlayStation.Blog at blog.eu.playstation.com,twitter.com/PlayStationEU and eu.playstation.com for the latest updates.

Riassumendo: la Sony afferma che a breve ma senza nessuna data ufficiale, inzierà una fase di “rool out” progressivo del Playstation Network che già dalla fase inziale riporterà operativoil multiplayer, chat, Playstation Home, accesso a Q Music Unlimited per PS3/Psp. Come si può leggere dalla nota Sony comunica agli utenti un “boost” significativo della sicurezza dei propri sistemi/network e un trasferimento fisico dell’attuale datacenter in un’altra struttura per migliorarne la sicurezza. Sony inoltre offrirà a tutti gli utenti del Playstation Network un “Welcome Back” per premiare la pazienza dei suoi consumatori.. Ciò includerà:Ogni territorio offrirà contenuti scaricabili gratuitamente dagli utenti a scelta.

  • Ogni territorio offrirà una selezione di contenuti scaricabili gratuitamente dal Playstation Network.
  • Tutti gli utenti del Playstation Network riceveranno un mese di iscrizione gratuita al Playstion Plus, gli iscritti precedentemente al Playstation Plus riceveranno un’estensione gratuita di 30 giorni del loro account Plus.
  • Tutti gli abbonati al servizio Q Music Unlimited avranno un estensione gratuita del servizio pari a 30 giorni.

3 Maggio 2011



Dopo la conferenza stampa in cui Sony affermava di riportare online il Playsttion Network entro questa settimana nuove ombre si abbattono sul colosso giapponese. E’ infatti ora noto che il ritorno online del Playstation Network giapponese è durato solo qualche ora..Il motivo? Sony ha trovato un’altra falla nel sistema o meglio si è resa conto di un altro attacco prepetrato ai suoi danni, stavolta non al Playstation Network ma a Sony Online Entertainment ovvero il network Sony dedicato ai giochi PC con multiplayer online come ad esempio DC Universe. Ora quindi tutto è nuovamente offline e si scopre ora che l’attacco perpetrato ai danni di SOE è addirittura antecedente a quello del PSN. Come riportato da PI infatti la data dell’attacco è tra il 16 e il 17 aprile, un giorno prima di quella del PSN. Come si può leggere dallo stesso articolo i dati rubati sono s”tavolta i nomi, gli indirizzi, le email, le date di nascita, i numeri di telefono e le altre informazioni condivise dagli utenti del circuito, nonché quelli contenuti in un database relativo a utenti risalenti a prima del 2007, 23.400 netizen austriaci, tedeschi, olandesi e spagnoli di cui Sony deteneva circa 10.700 ricevute di versamento.” Insomma un gran bel guaio per Sony ma soprattutto per noi consumatori. Nonostante ciò la Sony afferma che non si tratta di un secondo attaccco.

IMHO: Dov’è la verità? Aspetteremo con silenzio ma per quanto mi riguarda ancora per poco! Spero che Sony rimborsi noi utenti con soldi veri e non con dei “contentini” come un mese di Plus gratuito..

Questi i costi al mercato nero delle informazioni rubate: (indagine condotta dalla società G Data)


Come apprendo da pochi minuti leggendo in rete Sony smentisce che il PSN era stato riattivato in Giappone, quando i servizi ritorneranno online ci sarà un annuncio sul blog ufficiale..Morale: finché non vediamo l’annuncio mettiamoci l’anima in pace!

4 Maggio 2011

Dopo l’ultima novità ovvero l’aver scoperto che anche la piattaforma SOE (Sony Online Entertainment) è stata attaccata ora Sony si ritrova in un bel guaio. Si accendono le polemiche e gli aritcoli di fuoco come questo pubblicato da Business Insider che recita “Sony CEO Stringer’s Head Must Roll” ovvero che forse visto ciò che sta succedendo è il momento che il CEO se ne vada a casa.. Si legge inoltre che “Stringer è stato promosso CEO a giugno del 2005. Da allora, si è vista la Wii superare la PS3 nelle vendite, l’iPod di Apple sopraffare l’industria dei riproduttori musicali, la Xbox Live (l’omologa della PSN, ndR) vedere maggior qualità e sicurezza del servizio. Allo stesso tempo, Sony ha perso quote nel mercato TV HD, con nomi come Samsung, Vizio, LG e altri che hanno iniziato a farsi apprezzare. Non è tutta colpa di Stringer, ma molto del deterioramento della posizione sul mercato è avvenuto durante la sua guida”. (articolo originale)

Come se ciò non bastasse ora Sony Australia “viene accusata di rispettare poco le leggi locali sulla privacy poiché i dati raccolti dovrebbero essere distrutti in modo permanente, secondo la legge australiana” (link articolo)

Mentre intanto intere giornate passano come se niente fosse , il Playstation Network risulta ad oggi completamente offline, sia in Giappone che nel resto del mondo.