Je práve niekoľko minút po odštartovaní jedenástej prednášky z predmetu „Autentizácia a riadenie prístupu“ a ja premýšľam, ako ten svoj článok vlastne začať. Mám sa hneď na začiatku vysmiať Sony, že si nevedeli postrážiť databázu obsahujúcu citlivé dáta všetkých používateľov služby PlayStation Network? Alebo radšej na doposiaľ neznámych útočníkov zosielať potomkov samotného pekla? Či snáď úplne nejako inak? Úprimne, stále sa nemôžem k tomu pravému začiatku prepracovať a tak nakoniec volím celkom núdzové riešenie – skúsim si len tak v hlave zrekapitulovať všetky tie udalosti tohto roka, zapísať si ich a trebárs mi vznikne niečo, čo bude použiteľné pre vydanie. Aspoň v jednej veci mám šťastie, lepšiu kulisu som si pre svoje písanie vybrať nemohol. Ironické …

Ale späť k spoločnosti Sony, PSN, databáze používateľov a vlastne aj ku skupine Anonymous alebo hackerovi GeoHotovi a jeho prelomení ochrany PlayStation 3. Čudujete sa, prečo až tak ďaleko? Prečo sa vracať k záležitostiam, ktoré s prelomením PSN takmer nijako nesúvisia? Viete, podľa mňa súvisia, či už priamo alebo nepriamo. Samozrejme nemôžem dokázať, že prípadný útočník alebo útočníci sa k svojmu činu odhodlali až po udalostiach z tohtoročného januára, na druhú stranu však zastávam názor, že bez aspoň kratučkej zmienky o samotnom prelomení PlayStation 3 by môj príbeh nebol nejakým spôsobom kompletný. Navyše pre čitateľov, ktorí naše spravodajstvo nesledujú až zas tak podrobne, to môže byť užitočná rekapitulácia. Aj keď pochybujem, že by sa medzi vami našiel niekto úplne neznalý tohto prípadu.

Kedy že to teda vôbec začalo? Veď ja som to vlastne už spomínal, hneď v prvých dňoch nového roka 2011 sa na internet dostala správa o finálnom prelomení konzoly PlayStation 3. Zverejnil ju americký hacker George „geohot“ Hotz, ktorému sa po približne pol roka práce podarilo dešifrovať základný kľúč tohto zariadenia a obratom ju na svojom blogu zverejnil. Okrem toho sa jednej hackerskej skupine „fail0verflow“ podarilo zrekonštruovať autorizačné nástroje Sony, pomocou ktorých bolo možné i k neoficiálnym súborom priradiť oficiálnu autorizačnú pečiatku a tak si na inak neupravenej konzole zahrať aj nelegálne kópie hier. Ku Geohotovi sa sluší ešte poznamenať, že na prelomenie PS3 pracoval už od konca roka 2009 a do tej doby sa mu podarilo vydať niekoľko svojich vlastných firmwarov simulujúcich prácu tých oficiálnych.

Vľavo hacker George „geohot“ Hotz, vpravo zástupcovia skupiny fail0verflow

Spoločnosť Sony až do tej chvíle reagovala pomerne konzervatívne a na rôzne GeoHotove úspechy sa vždy snažila odpovedať vydaním novej verzie firmvéru opravujúc nájdené bezpečnostné diery. V januári 2011 však manažérom očividne došla trpezlivosť a tak iba deväť dní od uverejnenia vyššie uvedených hackerských úspechov podala na Geohota a členov skupiny fail0verflow žalobu. Ďaleko úspešnejší boli pochopiteľne pri súde s Geohotom, predsa len, ako by ste chceli k súdu dostať niekoho, o kom ani neviete, kto sa presne na hacku podieľal. Každopádne, súd s Geohotom trval necelé tri mesiace a nakoniec sa všetko uzavrelo mimosúdnu dohodou. Tá mladému Američanovi jednoducho zakazuje akokoľvek zasahovať do všetkých budúcich zariadení Sony pod hrozbou vysokej pokuty (až 250 tisíc dolárov, čo sú približne štyri milióny korún).

Vráťme sa však ešte na chvíľu späť do prebiehajúceho súdneho pojednávania a všimnime si jednej požiadavky, kvôli ktorej do hry vstúpili Anonymous. Niekoho zo Sony totiž pri záchvate „niečoho“ napadlo, že by nemuselo byť zlé súd požiadať o sprístupnenie zoznamu ľudí, ktorí kedy navštívili GeoHotov web, zhliadli jeho video na YouTube alebo mu na súdne trovy prispeli pomocou služby PayPal. Ani teraz s odstupom niekoľkých týždňov nedokážem pochopiť, kto na túto absolútnu hlúposť prišiel a vlastne to ani nedokážem okomentovať. Každý si predsa môže vo svojej podstate robiť, čo chce, alebo nie? A ak niekto niekomu pošle peniaze len preto, že mu trebárs fandia alebo mu chce nejakým spôsobom pomôcť, je to snáď jeho vec! Navyše, čo ak sa nájde človek, ktorý sa na video pozrel len preto, lebo ho to zaujímalo a o nejaké prelomenie vlastného PS3 mu vôbec nešlo? Hm?

No nič, radšej poďme ďalej. Po oznámení vyššie uvedených požiadaviek sa do celej situácie zamotala aj hackerská skupina Anonymous, ktorá Sony dokonca vyhlásila regulárnu vojnu. Hneď nasledujúci deň začali prvé útoky, na niekoľko hodín vypadli servery webe PlayStation.com, PC Store a PSN (v tomto prípade však ešte nešlo o spomínaný útok s odcudzením databázy používateľov, Anonymous sa za svojou akciu proti PSN hráčom ospravedlnili). Anonymous sa však neštítili použiť aj podlejšie spôsoby útokov a tak sa na internet dostali osobné údaje zamestnancov Sony, informácie o rodinných príslušníkoch, boli zasielané pohľadnice informujúce o bývalom partnerovi infikovanom AIDS alebo pridávanie telefónnych čísiel na erotické linky. „Všimli sme si, že ste sa rozhodli zasiahnuť do slobody informácií a to nedovolíme,“ odôvodnili svoju prácu.

Logo hackerskej skupiny Anonymous

Doterajším vyvrcholením akcií proti tejto japonskej spoločnosti mal byť oficiálny protest a blokáda všetkých obchodov Sony vrátane protestov pred oficiálnymi kamennými obchodmi. Anonymous sa však pri „Operation Sony“ museli spoliehať na účasť aj úplne obyčajných ľudí a sprvu všetko vyzeralo pomerne nádejne, Facebookovú stránku čoskoro podporilo niekoľko tisícoviek ľudí. Lenže v daný deň, kedy malo k protestom konečne dôjsť, ako keby sa niečo zaseklo, ľudia akoby rýchlo zmenili názor. Akcie totiž podľa môjho názoru dopadli obrovským fiaskom, pred niektorými obchodmi sa síce zhromaždil určitý počet účastníkov, ale vo väčšine prípadov neprišiel protestovať vôbec nikto. Rýchlo sa tak ukázalo, že väčšina ľudí síce Anonymous pokojne podporí, ale kým ich to nič nestojí alebo pre to nemusia nič urobiť (okrem jednoduchého kliknutia). Od tej doby sme o žiadnych ďalších akciách proti Sony nepočuli, Anonymous len sľúbili, že „to z ich strany nie je všetko“. Obávam sa, že je.

Po krátkej rekapitulácii (no, ono päť dlhých odsekov označení „krátka rekapitulácia“ moc nevystihuje, ale čo sa dá robiť) sa tak konečne dostávame k tomu najdôležitejšiemu – samotnému hacku PlayStation Network. Nikto bohužiaľ nedokáže presne povedať, kedy k tomuto aktu vlastne došlo (uverejnené bolo iba približne „17. až 19. apríl“), pretože Sony mlčí a jej správanie v posledných dňoch až nápadne pripomína správanie sovietskych orgánov po havárii v Černobyle. Ako ironické, že k tomu došlo v rovnakej dobe, len o dvadsaťpäť rokov neskôr. Avšak, prvé informácie o problémoch PSN Sony zverejňuje až dvadsiateho apríla, kedy na svojom oficiálnom PS Blogu informuje o „výpadku niekoľkých funkcií PSN“ a o „prebiehajúcej údržbe“.

Zákazníci môžu byť až do tej chvíle pomerne pokojní, veď koho by napadlo, že by mohlo ísť o niečo vážnejšie, veď takéto podobné údržby nie sú vlastne až zas tak nič neobvyklého (pozri trebárs údržba serverov World of Warcraft). Druhý deň sa situácia opakuje, Sony vraj celú záležitosť rieši a PSN by malo byť nahodené priebehu jedného až dvoch dní, technici zároveň hráča prosia o zhovievavosť. Potom až nasledujúci deň Sony prvýkrát oficiálne priznáva, že za výpadkom PSN stojí niekto cudzí a zároveň zverejňuje pravdepodobný dátum útoku. Stále však nič nenasvedčuje žiadnej katastrofe, pre platiacich zákazníkov to znamená len to, že si ešte niekoľko dní nezahrajú cez internet. K ich smole síce práve tú dobu vychádza Portal 2 a Mortal Kombat, lenže čo sa dá robiť …

Pravda prvýkrát vypláva na povrch až dvadsiateho šiesteho apríla, teda minimálne týždeň po útoku (!), Kedy Sony vôbec prvýkrát priznáva možnú komprimáciu databázy s uloženými osobnými údajmi všetkých užívateľov služby PlayStation Network (približne 77 miliónov záznamov). Situácia je o to závažnejšia, že okrem „klasických osobných informácií“ akými sú meno alebo adresa dosť možno došlo tiež ku kompromitovaniu údajov o kreditných kartách zákazníkov. Hoci to možno znie celkom hlúpo, o osobné informácie by až zase tak nešlo, veď človek by ich ľahko získal už na takom Facebooku, kde sú ľudia o sebe ochotní zverejniť veľa vecí, ale tie kreditky, to je prúser ako mraky. Zvlášť keď Sony s týmto varovaním tak dlho otáľal, ľudia zatiaľ mohli urobiť nejaké protiopatrenia.

Reakcia verejnosti po uverejnení tohto možného úniku bola pomerne rozsiahla, do celej záležitosti sa okrem amerického kongresu vložili aj dve ďalšie anglicky hovoriace krajiny – Veľká Británia a Kanada. Obe nezávisle na sebe rozbehli svoje vlastné vyšetrovanie s cieľom zistiť, či Sony vo svojom postupe nespravila chybu a či svojím konaním neohrozila svojich zákazníkov. Pobočka v Anglicku momentálne čelí obvineniu z porušenia Data Protection Act (v preklade Dohovor o ochrane údajov), za čo jej hrozí pokuta až pol milióna libier (trinásť a pol milióna korún). „Očividne ide o jeden z najväčších únikov osobných údajov jednotlivcov v histórii,“ vyjadril sa k prípadu Graham Cluley, starší technologický poradca firmy Sophos, zameriavajúca sa na tvorbu ochranného softvéru a hardvéru.

Mimochodom, týmto útokom náš príbeh bohužiaľ nekončí, Sony počas včerajšieho dňa zverejnilo informácie o ďalšom útoku, ktorý sa podľa informácií udial niekedy počas 16. alebo 17. apríla, teda spoločne alebo ešte pred prelomením PSN. Cieľom sa tentokrát stala služba Sony Online Entertainment (SOE) a útok mieril na osobné informácie a kreditné karty európskych užívateľov. Ohrozené sú vraj účty takmer dvadsaťpäť miliónov ľudí, predovšetkým z Rakúska, Nemecka, Španielska alebo Holandsko. Útočníci podľa hovorkyne SOE Michele Sturdivantové použili pre prístup k dátam a zakrytie stôp veľmi „sofistikovaných metód“, čo si pod tým má obyčajný človek predstaviť však Sturdivantová neuviedla. Okrem toho sa hackeri prepracovali taktiež k staršej databázu kreditných kariet z roku 2007, kde bolo uložené približne dvanásť tisíc záznamov a podľa všetkého boli na rozdiel od novšie verzie úspešní. „Nemáme žiadne dôkazy o kompromitovaniu našej súčasnej databázy. Tá je od tej z roku 2007 kompletne separovaná a chránená, „povedala.

Za zmienku tiež určite stojí odsudzujúce reakcie oboch postáv zo začiatku nášho príbehu – hackera Geohota a skupiny Anonymous. Anonymous boli pomerne strohí a v jednom zo svojich informačných videí uviedli, že s útokom na PSN nemajú nič spoločného. Geohot bol predsa len zhovorčivejší a dokonca uviedol, že takýto typ útoku je „hovadina“. „V histórii som sa tiež stal obeťou podobnej krádeže osobných údajov, takže so všetkými poškodenými súcitím. A ak si niekto myslí, že v tom mám tiež prsty, tak sa pletie. Nie som blázon a tiež nechcem, aby mi v budúcnosti na dvere Zaklopali agenti FBI, „napísal na svojom blogu.

Kto teda za týmito útokmi vlastne stojí? Samozrejme, na túto otázku sa momentálne snaží odpovedať Sony v spolupráci s FBI a Ministerstvom vnútornej bezpečnosti Spojených štátov amerických, ale skúsme si len tak ľahko zašpekulovať. Kto by mohol byť tým tajomným páchateľom, ktorému sa zatiaľ darí pomerne solídne ničiť jednu nadnárodnú spoločnosť, mohol byť? Pomstychtivý bývalý zamestnanec? Nejaká vládna organizácia? Náhodný hackerský začiatočník? Samotné Sony? Alebo snáď niekto z dvojice Anonymous, Geohot, ktorí sa svojimi výrokmi len snažia od seba odvrátiť pozornosť? Na to snáď čoskoro nájdeme odpoveď.

Záverom by som tak už len rád vyjadril svoj vlastný názor k celej záležitosti. Ako som už povedal v úvode, neviem, či tieto útoky na PSN a novo aj na SOE nejakým spôsobom súvisia s prípadom Geohot versus Sony alebo s akciami Anonymous, ale poviem vám jednu vec. Na daného útočníka mám veľmi jasný názor – u mňa je to nula. Áno, dokázal sa síce nabúrať do serverov poháňajúcich databázu PSN, kým ja by som mal problém už pri lámaní hesla niekoho mailu, ale s jeho činmi zásadne nesúhlasím. Keby išlo o hackera, ktorý sa nabúra do nejakého systému, niečo odcudzí (alebo zmení, poopraví, atď) a následne o tom dá danej firme vedieť, aby ich nejakým spôsobom upozornil na bezpečnostnú chybu v ich systéme, tak s tým nemám najmenší problém . Samozrejme záleží na reakcii takej firmy, ale poznám prípady, kedy sa ľudia na najvyšších miestach zachovali rozumne a daného človeka zamestnali alebo nejakým spôsobom odmenili.

Lenže nehnevajte sa na mňa, človek, ktorý získa databázu ľudí a chce ju využiť len pre svoj vlastný prospech (v tomto prípade pre svoje obohatenie ukradnutými číslami kreditných kariet), ten je v mojom rebríčku na úrovni obyčajných zlodejov, ktorí kradnú v obchodoch alebo na benzínkách, len miesto ponožky na ksicht používa pre svoje krytie počítač. Snáď bude čoskoro dolapený a náležite potrestaný. Zároveň tiež dúfam, že niektoré pasáže nevyzerali ako keby som niektorým zo zainteresovaných strán nadržiaval alebo dokonca fandil, to mojím cieľom naozaj nebolo. Snažil som sa vás len podrobnejšie zoznámiť s kauzou, ktorá momentálne hýbe svetom počítačových hier. Dúfam, že sa mi to podarilo aspoň čiastočne.

Aký na celú záležitosť máte názor vy? Súhlasíte so mnou, alebo je naopak pre vás daný útočník hrdina?

Autor JiriSzabo dňa 2011-05-03

zdroj:Czechgamer.com