Kan du stole på Sony?

Kan du stole på Sony?

KOMMENTAR: I dag er det tre uker siden Playstation Network gikk ned som følge av tidenes største internettinnbrudd. Hva nå?

I dag er det tre uker siden Sonys Playstation Network (PSN) og Sony Online Entertainment Network ble tatt ned som følge av datainnbrudd. Ingen vet når det kommer opp igjen. Nettverket omfatter 77 millioner brukerkonti og 130 servere.

Det er på det rene at kredittkortinformasjon, brukernavn og passord er på avveie.

Og så lenge nettverket er nede kan ikke de 77 millionene brukerne bruke Playstation 3 normalt. De kan for eksempel ikke spille online-spill eller leie filmer.

Reuters har begynt å omtale dette som tidenes største internettinnbrudd.

Bestill nytt kredittkort!

Hvorvidt familiene var enige er en annen sak, men i alle fall var det mange Playstation-spillere som mente at Sony ødela påsken for dem, da Playstation-nettverket var nede hele påsken. Og mange er bekymret for om brukernavn, passord og kredittkort er på avveie.

Dersom du er blant dem som har oppgitt kredittkortdetaljer på Playstation Network er mitt råd at du bestiller nytt kort – for sikkerhets skyld.

At Sony har et sikkerhetsproblem, er hevet over enhver tvil. Men Sony har også et kommunikasjonsproblem og et gigantisk tillitsproblem. Det er nemlig ikke slik at det er første gang Sony har problemer som er relatert til sikkerhet.

Vi kommer aldri til å glemme rootkit-skandalen, og vi gir gjerne våre lesere en påminnelse: I 2005 installerte Sony BMG automatisk et rootkit på pc-en til brukere som startet en musikk-cd på sine pc-er, som skapte sårbarheter som annen skadelig kode kunne utnytte. Videre undersøkelser avslørte attpåtil at Sony hadde brutt lisensbetingelsene da de utviklet sin kopisperreprogramvare ved hjelp av kode fra VLC og LAME.

Hisset på seg hackere

Men i år har det virkelig tatt av. Det spekuleres i om nettangrepet er foranlediget av at Sony klarte å irritere på seg en hel hackerverden da de sperret PS3 for å benytte andre operativsystemer.

Historien begynner på hackerkonferansen Chaos Communication Congress (CCC) i Berlin i romjulen i fjor. En gruppe som kaller seg for FailOverflow kunngjør at de har lyktes med å ta seg gjennom sikkerhetsmekanismene i PS3, som gjør at usignert kode kan kjøres uten behov for en dongel. De beskriver hvordan Sony ikke har implementert krypteringsalgoritmene på riktig måte. Et siffer som skal være tilfeldig generert når den private nøkkelen skal skapes, er isteden statisk.

Konsekvens? Hvem som helst kan signere sine egne applikasjoner. Genererte nøkler er akkurat like gyldig som Sonys offisielle signatur. Dermed kan ikke PS3 lenger skille mellom ekte og piratkopiert programvare. Den 3. januar publiserte hackeren Geohot den private nøkkelen, slik at PS3 var åpen for alle.

Måtte stenge PS3 for Linux

For Sony blir denne giganttabben starten på et skred av ulykksalige hendelser. Det er nemlig ikke bare-bare å bytte nøkkel. Med alternativ firmware, kom det også oppskrifter på hvordan man kunne laste ned innhold fra Playstation Network (PSN) gratis, med kredittkortnumre som ikke var virkelige.

Sony så at de hadde én enkel mulighet for å stoppe folk fra å laste inn alternativ firmware og piratkopiere fritt, og det var å skru av hele muligheten for å kjøre andre operativsystemer. Med firmware-oppdatering v3.21 var det slutt på å velge «Other OS». Dermed fikk også Sony norske forbrukermyndigheter på nakken, for det er faktisk ikke alle som har kjøpt en PS3, bare for å benytte de spillene og tjenestene Sony har kontroll over. Mange har benyttet PS3 som mediesenter-pc, for eksempel. Eller til skikkelig tungregning, som norske Simula Research Laboratory.

Nå ryktes det at online-tjenestene var elendig sikret, og det er fremkommet påstander om manglende brannvegger og kryptering og ikke-patchet serverprogramvare. Blant annet i en kongresshøring om saken, som Sony nektet å møte opp til. Påstandene bør man foreløpig ta med en klype salt, for kildene er syltynne. Saken vil bli grundig etterforsket av FBI, så sannheten vil nok komme for en dag.

Hva nå, Sony?

Imens kan vi bare stille spørsmål: Er det en sammenheng? Er Sony inkompetente når det kommer til å sikre så vel nettjenester som PS3? Er det hackernes vrede som er årsak til at Playstation Network er nede? Er Sonys manglende evne til å holde kundene oppdatert med informasjon om hvordan skadeopprettingen går et tegn på at Sony ønsker minst mulig dialog, eller rett og slett et tegn på at de ikke skjønner hva som foregår?

Av Bjørn Unnersaker, redaktør
PC World, Smartworld & Macworld.

Hva mener du?

Flere synspunkter? Saken diskuteres heftig på PC Worlds Facebook-side .

Les om: