Playstation Network: Url exploit hack

Roma 19 Maggio 2011, 10:16

Come riportato da Kotaku e da numerose altre testate anche la giornata di ieri per Sony è stata una giornata non positiva.

Nonostante Sony affermi che

Contrary to some reports, there was no hack involved. In the process of resetting of passwords there was a URL exploit that we have subsequently fixed.

Contrariamente da quanto emerge, non è stato compiuto nessun hack. Nel processo di reset della password era presente un URL exploit che però è stato prontamente corretto.

sul blog Playstation ufficiale, ieri il Playstation Network si è scoperto di nuovo “vittima” di un’altra falla nella sicurezza. Questa volta si tratta di un URL exploit ovvero di un tipo di attacco che sfrutta la predicibilità di un URL per compiere delle azioni non previste, in questo caso udite udite il reset della password. Si Sony, sei veramente in gamba.

Nel dettaglio tecnico (sempre come riportato da Kotaku) vediamo come ciò era possibile.

  1. Andate su https://store.playstation.com/accounts/reset/resetPassword.action?token (normalmente via mail riceverte un URL del tipo https://store.playstation.com/accounts/reset/resetPassword.action?token=YYYYYYYYYYYYYYYYYYYYYYYY )
  2. aprite un’altra scheda e andate su it.playstation.com (o di un’altra nazionalità) e cliccate Login
  3. Successivamente su Recupera password
  4. Inserite l’email della vittima e la data di nascita
  5. Cliccate su continua e poi nella pagina di conferma cliccate su “Resetta usando l’email”
  6. Ritornate sulla tab iniziale e continaute la procedura di convalida
  7. Cambiate password

La procedura è chiara fino al punto 5 dopodiché diventa interpretabile. Da quello che ho potuto capire , come e riporta anche Theregister una volta chiesto di effettuare il reset della password via mail Sony invia al nostro browser un cookie che fa pensare a https://store.playstation.com/accounts/reset/resetPassword.action?token di aver già ricevuto per email il nostro codice. Sony ha già annunciato che il bug è stato prontamente fixato ma la pitafforma che gestisce i login via pc risulta ancora offline.

Inoltre Sony annuncia un programma di protezione dal furto d’identità come “cautela” a noi consumatori nel malaugurato caso che i nostri dati vengano utilizzati per scopi non nobili. Maggiori info sul Blog ufficiale.

Ultimo rumor in materia PSN- Gate proveniente dalla rivista tedesca Computer Bild che afferma

In alcuni casi le versioni del software usate avevano bug che erano state documentate su internet da anni, ad esempio, il servizio OpenSSH 4.4 per crittografare la comunicazione dei dati. L’attuale versione è la 5.7, mentre la versione utilizzata da Sony ha bug già noti da ben cinque anni.

PSN Outage Aggiornamento 16 maggio 2011: Playstation Network di nuovo offline

Roma 16/05/2011 ore 00:01

Dalle 20:oo del 15 Maggio 2011 il PSN è ritornato online  anche in Italia e ciò è durato circa per 3 ore ma udite udite ora è di nuovo offline!!!!!  Incredibile è dir poco dato che non non sembra essere solo l’Italia ad accusare il problema ma sembrerebbe essere qualcosa di più “generale” dato che , interessa anche gli USA. Nuovo attacco cr(h)acker o problema temporaneo dell rollout del PSN? Insomma un altro motivo per rendere i possessori di una PS3 sempre più scontenti e sempre più convinti che ci sia qualcosa che non va in tutto questo, non si può aspettare quasi un mese per riattivare un servizio per poi rimetterlo offline subito. Vergogna Sony!

Update ore 00:12: a quanto pare il network sembra essere a tratti raggiungibile e a tratti no, onde evitare inutili post per dire che il PSN ora è offline mentre ora no vi rimando al blog di Sony per le comunicazioni ufficiali nonché alla home del mio sito per ulteriori sviluppi rilevanti della faccenda. L’utilità di questo  post  forse è solo quella di semplice sfogo di un utente Sony, neanche troppo incallito a dir la verità, che si sente preso in giro anche considerando il fatto che una appena riattivato il PSN già sorgono i primi problemi e ciò per me non è accettabile. Deve rimanere nella memoria di Internet che anche l’avvio del PSN è stato (ma spero che non continui ad essere) difficoltoso, sintomo forse di un azienda vecchia, lenta, e forse con una dirigenza tutta da cambiare. Scusate per lo sfogo, non è un atteggiamento giornalistico, ma forse un blog personale serve anche a questo :) Ad ora comunque il PSN risulta funzionante (in linea con il parziale ripristino annunciato da Sony).

Ore 18:40 Ora il PSN sembra essere stabile e dovrebbe essere arrivata a tutti gli utenti Playstation Network una mail che informa gli utenti della riattivazione del servizio, email nella quale Sony afferma un ripristino entro i prossimi giorni dello Store nonché il pacchetto di bentornato.

PSN Outage: aggiornamento 15 Maggio 2011 Playstation network italiano Online

Roma 15/05/2011 ore 21:00

Finalmente dopo gli annunci, dopo la messa online di USA e a seguire alcuni stati dell’Europa ecco che ora anche qui in Italia il servizio Playstation Netowk ritorna online con un parziale ripristino delle funzionalità che lo ricordiamo sono essenzialmente:

  • Trofei e lista amici, chat
  • Multyplayer Online
  • Qriocity e Music Unlimited
  • Playstation Home
Appena effettuato il login vi verrà chiesto di cambiare la password del vostro account, fatto ciò il PSN sarà (parzialmente) vostro! Sony afferma che entro la fine di Maggio saranno operative tutte le funzionalità del network tra cui Playstation Store, affitto e vendita di film e quant’altro avevamo prima che ora però risulta non funzionante. :) Happy PSN’ing ! Ce l’hanno fatta!!
Per informazioni più dettagliate visitate http://it.playstation.com/psn/

PSN Outage: aggiornamento 15 Maggio ore 11, Playstation Network in riavvio

Roma 15/05/2011 ore 11:00

Ormai è ufficiale: come si può leggere dal blog ufficiale Playstation +

Sony Computer Entertainment (SCE) e Sony Network Entertainment International (SNEI, l’azienda) inizieranno oggi la prima fase del ripristino per regione dei servizi di PlayStation Network e Qriocity. Il ripristino per fasi avverrà per Paese a partire dalle Americhe e da Europa, Australia, Nuova Zelanda e Medio Oriente.

La prima fase del ripristino dei servizi per il Nord America e l’Europa includerà:

  • Accesso ai servizi di PlayStation Network e Qriocity, inclusa la reimpostazione delle password.
  • Ripristino del gioco online su PlayStation 3 e PSP.
  • Riproduzione dei video noleggiati dalla sezione Video su PlayStation Store, se all’interno del periodo di noleggio, su PS3, PSP e Media Go.
  • Q Music Unlimited, per gli abbonati attuali, su PS3 e PC.
  • Accesso ai servizi di terzi, come VidZone e MUBI.
  • Categoria Amici su PS3, inclusi elenco Amici, funzionalità chat, confronta trofei, ecc.
  • PlayStation Home
Dunque entro oggi dovremo poter tornare a giocare online.

Come era ovvio annunciate nuove misure di sicurezza tra cui una crittografia più efficacia, degli avanzati IDS (Intrusion Detection System) nonché migliorati firewall.

Anche a livello del personale Sony ci sono state delle modifiche.

Fumiaki Sakai, presidente di Sony Global Solutions Inc. (SGS), è stato nominato Chief Information Security Officer di SNEI. Oltre al suo ruolo attuale all’interno di SGS, presso SNEI Fumiaki Sakai si occuperà del rafforzamento generale della sicurezza delle informazioni all’interno dell’infrastruttura di rete dell’azienda.

Fumiaki Sakai guiderà il processo di reclutamento di un CISO permanente per SNEI. In qualità di CISO, Fumiaki Sakai riporterà a Tim Schaaff, presidente di SNEI, e a Shinji Hasejima, CIO di Sony Corporation.

Confermato anche il pacchetto bentornato che offrirà a noi pazienti utenti delle “laute” ricompense per la pazienza dimostrata fino adesso.. Per leggere l’articolo completo sul blog Playstation Italia clicca qui

Nota:

eu.playstation.com risulta raggiungibile a fasi alterne, prova del lavoro di riavvio dei tecnici Sony.

PSN Outage: Aggiornamento 15 Maggio 2011 firmware 3.61 update

Roma, 15/5/2011

Questo è un brutto periodo per Sony, che con il passare dei giorni con il Playstation Network (PSN)  ancora offline rischia di subire ingenti perdite derivanti anche dal crescente disappunto di sviluppatori di terze parti che fondano il loro business sulla piattaforma online di Sony. Come riporta questo articolo  IndustryGamers.com è riuscita a trapela in rete il testo originale della lettera inviata da Rob Dyer, SVP di Publisher Relations della Sony a tutti gli sviluppatori. Questo il testo tradotto:

Gentili partner 
Come sapete, le informazioni di alcuni account dei servizi di PlayStation NetworkQriocity, e Sony Online Entertainment sono stati compromessi nel corso di un attacco criminale contro il nostro network.
Vorrei però assicuravi, in quanto partner PlayStation, che è la priorità di Sony ripristinare l’operatività del nostro network e fare in modo che il business torni ai livelli precedenti questa crisi nel minor tempo possibile.
Stiamo lavorando giorno e notte per ripristinare il servizio, ma questo avverrà solo quando potremo assicurare che il network è in grado di operare in modo sicuro e protetto.
Nel contempo vorremmo esprimere il nostro massimo apprezzamento per la pazienza, comprensione e benevolenza dimostrata.
In quanto importanti partner ci proponiamo di mantenere aperte le linee di comunicazione in modo che siate a conoscenza del nostro progresso.
Il nostro obiettivo è stato quello di rafforzare la sicurezza delle reti, proteggere i dati del cliente e ottenere i servizi di back on line il più rapidamente possibile.
Faremo del nostro meglio per rispondere a tutte le vostre richieste e faremo tutto il possibile per sostenervi.

Per quanto riguarda le notizia prettamente tecniche riguardo al proseguire della vicenda PSN gate oggi sembra essere una giornata particolarmente densa di soprese. Come si evince dalle ultime notizie l’attacco al Playstation Network sarebbe stato compiuto da un server appartenente al servizio EC2 di Amazon. In particolare mascherandosi dietro un finto pseudonimo i malintenzionati hanno difatti noleggiato uno dei server del gruppo, allestendolo al meglio per organizzare l’attacco da sferrare nei confronti del colosso giapponese. Per il momento però Amazon ha preferito non commentare la vicenda alimentando così la curiosità del misterioso attacco al PSN.

Vero scoop del giorno però è l’update del firmware Playstation 3 che ora risulta aggiornato alla versione 3.61. Infatti provando ad effettuare il login su PSN si viene reindirizzati al download del nuovo firmware, finalmente il PSN da qualche segno di vita. Forse ,stavolta veramente, potremo tornare a breve a giocare online.


PSN Outage : Aggiornamento 13 Maggio 2011

Roma 13/05/2011

Il PSN sembra irrimediabilmente rimanere ancora offline, ma nuove voci scorrono lungo i caotici bit di Internet.

Sembra essere corrispondente al vero che una parte dell’utenza stia passando alla console avversaria Xbox 360 ma per Sony i guai non finiscono qua. Christian Svensson di Capcom esprime tutto il disappunto per l’attuale situazione e anche la software house Pixeljunk non sembra essere da meno affermando attraverso le parole di Dylan Cuthbert  che

“Non ho idea di cosa Sony abbia intenzione di fare per aiutare i team di sviluppo come il nostro, ma credo che qualcosa faranno. L’alternativa sarebbe perderci, e senz’altro andrebbe a loro svantaggio”

Di tutt’altro avviso sembra essere Ubisoft che afferma senza esitazione che

“L’impatto del down di PSN sui nostri affari al momento è stato minimo, perché i nostri interessi sulla piattaforma sono relativamente pochi”

Nonostante ciò, continua Yves Guillemot CEO di Ubisoft che

“E’ importante che riportino in funzione il sistema e in fretta, anche perché un sacco di nostri prodotti sono in multiplayer e abbiamo bisogno di giocatori”

Ad aggiungere tensione sono anche gli sviluppatori di Q Games che per voce di Dylan Cuthbert affermano che non hanno

ancora idea su cosa intenderà fare Sony per aiutare gli sviluppatori come noi, ma spero davvero che stiano pensando di fare qualcosa in merito, poiché la perdita di sviluppatori per la propria piattaforma è davvero una cosa terribile

Una notizia dell’ultima ora affermerebbe che la rete interna del PSN dedicata ai soli sviluppatori sia ritornata parzialmente online, il che per per alcuni potrebbe esser interpretato come un ritorno online a breve del Playstation Network. Tra poche ore? Tra un giorno, tra qualche giorno, tra una settimana? A noi utenti non è dato sapere ma solo aspettare e allora sediamoci e aspettiamo.

PSN: senatore americano soddisfatto della risposta di Sony

Roma, 11 Maggio 2011

Mentre il Playstation Network rimane offline Richard Blumenthal, senatore democratico, afferma che Sony “potrebbe servire da modello per altre aziende simili di fronte a situazioni di hacking”.

In controtendenza alla rabbia e al disappnto generale sviluppatosi intorno alla vicenda dopo la risposta di Sony alla lettera ufficiale del senatore Blumenthal come intitola nel suo blog afferma di aver apprezzato questo “primo forte passo” da parte di Sony. Aggiunge che

Il crimine perpetrato su Sony e gli utenti PlayStation Network fa parte di una più ampia tendenza preoccupante della criminalità informatica, e ci ricorda che le nostre leggi e le risorse per la sicurezza dei dati devono tenere il passo con l’avanzare della tecnologia.

Sicuramente questa vicenda, si spera, servirà d’aiuto non solo a Sony stessa ma a tutte quelle compagnie che si potreebbero trovare in in una situazione del genere in futuro. Speriamo per il meglio.

PS:in questo precedente post potete trovare la risposta ufficiale di Sony al senatore mentre questo è il testo della lettera spedita da Blumenthal

Dear Mr. Tretton:

I am writing regarding a recent data breach of Sony’s PlayStation Network service. I am troubled by the failure of Sony to immediately notify affected customers of the breach and to extend adequate financial data security protections.

It has been reported that on April 20, 2011, Sony’s PlayStation Network suffered an “external intrusion” and was subsequently disabled. News reports estimate that 50 million to 75 million consumers – many of them children – access the PlayStation Network for video and entertainment. I understand that the PlayStation Network allows users to store credit card information online to facilitate the purchasing of content such as games and movies through the PlayStation Network. A breach of such a widely used service immediately raises concerns of data privacy, identity theft, and other misuse of sensitive personal and financial data, such as names, email addresses, and credit and debit card information.

When a data breach occurs, it is essential that customers be immediately notified about whether and to what extent their personal and financial information has been compromised. Additionally, PlayStation Network users should be provided with financial data security services, including free access to credit reporting services, for two years, the costs of which should be borne by Sony. Affected individuals should also be provided with sufficient insurance to protect them from the possible financial consequences of identity theft.

I am concerned that PlayStation Network users’ personal and financial information may have been inappropriately accessed by a third party. Compounding this concern is the troubling lack of notification from Sony about the nature of the data breach. Although the breach occurred nearly a week ago, Sony has not notified customers of the intrusion, or provided information that is vital to allowing individuals to protect themselves from identity theft, such as informing users whether their personal or financial information may have been compromised. Nor has Sony specified how it intends to protect these consumers.

PlayStation Network users deserve more complete information on the data breach, as well as the assurance that their personal and financial information will be securely maintained. I appreciate your prompt response on this important issue.

Sincerely,

/s/

Richard Blumenthal
United States Senate

PSN Outage Aggiornamento 11 Maggio 2011 : AnonOps hacked

Non sono molte le news riguardo al Playstation Network putrpoppo, Nick Caplin di Sony afferma

So che tutti voi volete sapere esattamente quando i servizi verranno ripristinati. Al momento, non posso fornirvi una data precisa, anche se probabilmente ci vorrà ancora qualche giorno. Siamo terribilmente spiacenti per l’inconveniente e apprezziamo la vostra pazienza mentre continuiamo a lavorare per raggiungere l’obiettivo.

Dalle indiscrezioni che popolano la rete si ipotizza un ripristino parziale dei servizi Sony (cioè del multplayer online ad esempio) ben prima della data limite del 31 Maggio ma queste sono mere speculazioni , al riguardo Sony non indica nessuna data ufficiale.

Come effetto collaterale della situazione del PSN e l’inquadramento degli Anonymous come principali sospetti del’attacco al PSN, un singolo o un gruppo di hacker/cracker che non approva il loro, supposto, operatoa attacca la rete Anonymous e i siti relativi.

Come si può leggere da uno dei siti che Anonymous usa per diffondere messaggi vi è il resconto dell’attacco,:

We regret to inform you today that our network has been compromised by a former IRC-operator and fellow helper named “Ryan”. He decided that he didn’t like the leaderless command structure that AnonOps Network Admins use. So he organised a coup d’etat, with his “friends” at skidsr.us . Using the networks service bot “Zalgo” he scavenged the IP’s and passwords of all the network servers (including the hub) and then systematically aimed denial of service attacks at them (which is why the network has been unstable for the past week). Unfortunately he has control of the domain names AnonOps.ru (and possibly AnonOps.net, we don’t know at this stage) so we are unable to continue using them. We however still have control over AnonOps.in, and will continue to publish news there.

Sul sito italiano di AnonOps invece è possibile trovare un file con centinaia di username e password Facebook che sembrerebbero essere vere a detta di Anonymous. Il cyber-intrigo si fa sempre più pesante, una cyber guerra che ora diventa interna e con username e password Facebook disponibili per il grande pubblico la tensione sale alle stelle. Vi lascio con questa vignetta e soprattutto con il mio Disclaimer :)

la vignetta è tratta da https://sites.google.com/site/lolanonopsdead/

DISCLAIMER REMINDER

Tutte le informazioni e/o i contenuti multimediali presenti hanno le seguenti caratteristiche:

  1. Le tecniche, i video esplicativi o in generale ogni informazione, che concorra anche implicitamente nella violazione di un sistema o di  un network informatico, è presente in questo blog soltanto con scopo divulgativo e/o didattico. Questo blog adotta come propria filosofia l’ethical hacking.
  2. Tutte le informazioni e i contenuti multimediali proposti nel Blog rispettano le attuali norme riguardo al Copyright. In particolare ,salvo dove non espressamente indicato, ogni contenuto multimediale e informativo inclusi gli articoli da me pubblicati sono da ritenersi in licenza Creative Commons Attribution-NonCommercial-ShareAlike 3.0 Unported License. In particolare le immagini ospitate fisicamente su questo blog sono tutte sotto licenza Creative Commons Attribution 2.5.

PSN outage: Aggiornamento pomeridiano 9 Maggio

Roma, 9 Maggio 17:18

Come si apprende da poche ore sembra che la data limite del ripristino completo del PSN sia stata fissata per il 31 Maggio. Da come si può leggere in questo articolo dove un portavoce parlando a Bloomberg stima per quella data il ritorno online del network.

Inoltre sta circolando in rete un documento ufficiale degli Anonymous dove mostrano il disappunto nei confronti di Sony per le accuse ingiuste che sono state rivolte ingiustamente al gruppo.

Playstation Network (PSN) Outage , aggiornamento 9 Maggio 2011. Sony ipotizza una taglia sui cracker

Il blackout del PSN , che ormai dura da più di 20 giorni, continua senza nessuna data ufficiale sull’effettivo ripristino del servizio. Nonostante l’avviso di Sony del restart del PSN entro la settimana ormai passata il Playstation Network rimane ancora offline e comincia a emergere l’amara possibilità che il PSN ritorni online entro la fine di Maggio. :O Sembra un film comico di fantascienza, eppure non lo è.

Come abbiamo letto Gene Spafford aveva teorizzato che l’attacco era stato possibile grazie alle piattaforme non aggiornate di Sony. Sony ora risponde che “Le precedenti reti di Sony Network Entertainment International e Sony Online Entertainment usavano serverche erano stati patchati e aggiornati recentemente, e avevano diverse misure di sicurezza attive, inclusi i firewall” come afferma Patrick Seybold responsabile per le comunicazioni Sony. Come si legge dall’articolo nella rete Sony composta da 130 server e 50software diversi , il giorno dell’attacco il 19 Aprile sono stati messi offline quattro server per capire cosa stesse succedendo. Successivamente il giorno dopo hanno capito che erano stati attaccati anche altri sei server, purtroppo poi il resto è noto..

Nonostante la promessa del ripristino del PSN nella ormai scorsa settimana Sony afferma

“Abbiamo iniziato il processo di ripristino del servizio testando internamente il nuovo sistema. Stiamo ancora lavorando per confermare la sicurezza dell’infrastruttura di rete, e lavorando con diverse aziende esterne per testare con loro la tenuta del sistema. Verificare questo aspetto è vitale per il processo di ripristino. Sono necessari ancora dei controlli aggiuntivi dell’intera infrastruttura e dobbiamo completare questo processo prima di riportare i sistemi online”.

“Come abbiamo dichiarato, le nostre priorità principali sono la sicurezza della rete e quella dei vostri dati. Non ripristineremo i servizi fino a quando non potremo testare la forza del sistema su questi aspetti“.

“Quando abbiamo tenuto la conferenza stampa in Giappone la scorsa settimana, basandoci su quanto sapevamo, ci aspettavamo di riportare i servizi online entro una settimana. Eravamo ignari della portata dell’attacco ai server di Sony Online Entertainment e abbiamo preso questa opportunità per condurre ulteriori test su un sistema incredibilmente complesso”.

Inoltre nella bufera del PSN gate Sony sta prendendo in considerazione la possibilità di piazzare una taglia sui cyber criminali offrendo una ricompensa a coloro che forniranno informazioni utili all’arresto dei cracker che l’hanno attaccata.

Sony per cercare di calmare le acque afferma nel blog ufficiale italiano

Negli Stati Uniti stiamo offrendo a tutti gli utenti PSN un anno di accesso gratuito a un programma di protezione dell’identità. Posso assicurarvi che nei territori SCEE, stiamo lavorando duramente per offrirvi qualcosa di molto simile. Come capita spesso qui, visto che la nostra regione comprende così tante nazioni, si tratta di un obiettivo difficile da conseguire, ma siamo prossimi a raggiungerlo. Vi preghiamo di tenere d’occhio il blog dato che speriamo di essere in grado di annunciare qualcosa in merito a breve

Come si può leggere  qui è previsto negli USA un programma di protezione dell’identità, in particolare

Un anno di assicurazione gratuita con un massimale pari a un milione di euro, questo è quanto promesso da Sony a seguito dell’attacco hacker che è riuscito a rubare le identità. La polizza servirà per coprire eventuali spese legali, costi di tutela della propria identità, e danni diretti subiti da potenziali

Rimanete sintonizzati su queste pagine per ulteriori aggiornamenti.