Sony estaba usando software antiguo y sin firewall en sus servidores

Archivado
Indignante, no se me ocurre otra palabra:

Siguiendo con la telenovela que ha protagonizado Sony en las últimas semanas, llega una nueva información que hará que los pocos usuarios de PSN que no estaban enojados con la empresa ahora lo estén.

El doctor en Ciencias de la Computación de la Universidad de Purdue, Gene Spafford, declaró hoy en una investigación que realiza una comisión del Congreso en Estados Unidos, que Sony estaba usando software desactualizado en sus servidores, y que sabía que eso era así meses antes de que ocurriera el hackeo.

Spafford explicó que existen foros donde expertos en seguridad independientes a la compañía monitorean los sistemas de Sony e informan a la empresa respecto de posibles problemas en sus sistemas.

Según Spafford, los expertos informaron a Sony sobre grandes (muy grandes) problemas en los servidores tres meses antes del hackeo. Sony estaba corriendo la PSN sobre un servidor que tenía una versión no actualizada de Apache. Además no había un Firewall instalado. Esto significaba que cualquier vulnerabilidad conocida para esa versión de Apache (que había sido parchada en las versiones posteriores) podía ser explotada fácilmente. Sin un Firewall, la tarea se hacía todavía más simple.

Si los dichos de Spafford son correctos, esto implica una negligencia de parte de Sony, por correr software desactualizado en servidores donde había información confidencial y protegida. Peor aún resulta el que la compañía estuviese informada de la situación y que no hiciera nada para remediarlo. Así, las cosas no están pintando nada bien para la compañía.


Visto en http://www.meneame.net/story/sony-estab ... servidores
Blackwater está baneado por "clon de usuario baneado"
Lo siguiente es enterarnos de que el SO era Windows ME.
Si la gente que tuviese metidos los datos de las tarjetas denunciase. Otro gallo cantaria pra la proxima vez...
sebem escribió:Si la gente que tuviese metidos los datos de las tarjetas denunciase. Otro gallo cantaria pra la proxima vez...

Si todos denuncian no creo que haya otra vez, porque Sony llegaría a estar cerca de la ruina...
Windows 3.11 para trabajo en grupo.
O una peanut linux XD
Ya se que se refieren al apache.. pero molaria XD
mojino360 escribió:
sebem escribió:Si la gente que tuviese metidos los datos de las tarjetas denunciase. Otro gallo cantaria pra la proxima vez...

Si todos denuncian no creo que haya otra vez, porque Sony llegaría a estar cerca de la ruina...

Pues mejor asi toman nota el resto. Cuando sony denuncio a Geohot no se ando con chiquitas.
De hecho el gestor de base de datos que usaba Sony era el señor Pancracio y su escalera con la que accedía a las estanterías más altas.

Para mostrar sus usuarios, escribían en un papelito SELECT nombre, apellido FROM usuarios, se lo daban a Pancracio y ya sabía en qué estantería buscar.
Tukaram está baneado del subforo por "flames continuados"
pues deverian hacerlo TODOS

vergonzoso que no se preocupen de proteger dicha informacion como es devida desde luego en esta gen Sony lo ha echo DE PUTISIMA PENA y acaban de clavar su propio ataud porque en cuanto se corra la voz toda la confianza de sus clientes a tomar por culo por listos

joder es como si te enteras que han robado en tu banco el cual por la noche abre la caja fuerte para que se ventilen los billetes

en fin de verguenza y encima avisados de antemano

deverian de meterles un puro o mejor 10


PD: aver cuanto tardan en culpar a Anonymus de que sus servidores estuviesen sin firewall y desactualizados
Se sube el telón.
Se ven los servidores de Sony funcionando con normalidad.
Se baja el telón.
¿Como se llama el sistema de seguridad de Sony?

Respuesta: el telón

Imagen
Poner en jaque esta cantidad inmensa de datos de inocentes usuarios no debe quedar impune, pero aun así resulta sorprendente como en cada hilo siempre hay gente que parecen accionistas de Sony. Ya hablando de la noticia en si, el otro día estos impresentables mentirosos dijeron que los "hackers" (crackers, recordemos que en Sony no tienen muchas nociones de informática y menos aun de su seguridad) habían usado técnicas avanzadas y resulta que al final era más simple que hacer un niño. Lamentable, vergonzoso y vomitivo... :-|

Un saludo.
Si tuviera dinero, solo por joder los denunciaba.
Sin firewall? Imagen

Cómo se puede permitir semejante falta de seguridad una empresa tan grande como Sony? A ver si les denuncian y aprenden.


Saludos!
El-verdadero escribió:Si tuviera dinero, solo por joder los denunciaba.


No necesitas dinero para poner una reclamacion en la agencia de proteccion de datos.

Yo no tengo la ps3 si no pondría la reclamación.

Una empresa que ha puesto todo el empeño en la seguridad de su maquina pero ha dejado a sus usuarios con el culo la aire se merece las denuncias de cada uno de sus usuarios.
Y pensar que todo ésto es la consecuencia de haber retirado OtherOS por miedo a que les piratearan la consola ..... ¡pues toma! en todos los morros.

Moraleja: no jodas ni criminalices a tus clientes, no los cabrees, tendrás todas las papeletas para que te salga el tiro por la culata :p

Microsoft lo sabe muy bien:


Imagen



hilo_maneras-diferentes-de-lidiar-con-los-hackers-sony-y-microso_1559677
Sony la ha cagado de manera espectacular y debería tener consecuencias, pero joder, tampoco hace falta inventarse las noticias xD

Lo que realmente ha dicho Eugene H. Spafford:
Testimony before the House Energy and Commerce Subcommittee on Commerce, Manufacturing, and Trade (PDF)
Hearing on “The Threat of Data Theft to American Consumers”
May 5, 2011
Statement of Eugene H. Spafford

"In the Sony case, the majority of the victims are likely young people whose sense of risk, privacy and consequence are not yet fully developed, and thus they may also not understand the full ramifications of what has happened. Presumably, both companies are large enough that they could have afforded to spend an appropriate amount on security and privacy protections of their data; I have no information about what protections they had in place, although some news reports indicate that Sony was running software that was badly out of date, and had been warned about that risk."

En ningún momento dice nada sobre la versión de Apache, foros de expertos en seguridad, "problemas grandes (muy grandes) en los servidores", firewalls ni nada por el estilo.

Sobre la versión de Apache:
Wrongly Jailed Security Whistleblower Caught Up in PlayStation Hacker Hunt

"McDanel admits he doesn’t know that Sony’s web servers were vulnerable to attack. The authentication server he mentioned in the chats was running Apache 2.2.15, which was superseded in June 2010, but has no remote-access vulnerabilities listed on Apache’s website."


Sobre los firewalls:
Sony Apologizes, Details PlayStation Network Attack

"The attack was launched from an application server that sits behind a web server and two firewalls on Sony's network, said Shinji Hasejima, Sony's chief information officer.

"It was a very sophisticated technique that was used to access our system," said Hasejima.

The initial attack was disguised as a purchase, so wasn't flagged by network security systems. It exploited a known vulnerability in the application server to plant software that was used to access the database server that sat behind the third firewall, said Hasejima.

Management at Sony Network Entertainment International, the company that manages the network platform for the two services, wasn't aware of the vulnerability, said Hasejima. "

Imagen
Cuanto mas grande es una empresa,mas sensacion de supermercado de barrio da desde dentro.
Beat Kakashi escribió:Sobre los firewalls:
Sony Apologizes, Details PlayStation Network Attack

"The attack was launched from an application server that sits behind a web server and two firewalls on Sony's network, said Shinji Hasejima, Sony's chief information officer.

"It was a very sophisticated technique that was used to access our system," said Hasejima.

The initial attack was disguised as a purchase, so wasn't flagged by network security systems. It exploited a known vulnerability in the application server to plant software that was used to access the database server that sat behind the third firewall, said Hasejima.

Management at Sony Network Entertainment International, the company that manages the network platform for the two services, wasn't aware of the vulnerability, said Hasejima. "

Imagen

una inyección sql?, no me jodas
Calma chavales que van a dar un mes gratis de Plus y aquí no ha pasado nada [fies]
Lo peor es que seguramente se vayan de rositas o con una multa minúscula. Si la gente denunciara...
Melmoth escribió:Calma chavales que van a dar un mes gratis de Plus y aquí no ha pasado nada [fies]


Que en realidad no es más que una artimaña de marketing como hace Xbox con el mes gratis de Live Gold, pero aqui lo sangrante es que hagan pasar por retrasados al personal haciendoles creer que es una indemnización generosa, pero lo peor es que algunos aplauden y agradecen, así que objetivo conseguido... si quisieran indemnizar de verdad darían 1 año gratis como muestra de buena fe :-|
Beat Kakashi puedes darme links de donde has sacado las declaraciones y la imagen? En los que pones no lo encuentro y me interesa el tema.

Muchas gracias!


ElChabaldelPc escribió:una inyección sql?, no me jodas

Hombre sería bastante impresionante, habida cuenta que según el esquema la inyección se hizo en el servidor de aplicación, no en la BD...

O en otras palabras, Injection, no significa SQL injection..


Y esto no va por ti ElChabaldelPc, pero es increible la de expertos de seguridad que te puedes encontrar ante un ataque de estas características. El problema es que todo el mundo se ha hecho eco de esta noticia falseada, y quedará la historia de que PSN usaba una versión antigua de Apache (dando a entender que había problemas de seguridad, algo que no es así) y que no tenía firewalls. Solo hay que ver el hilo de menéame, la tira de sinergiasincontrol, y mil mas para ver a un montón de gente hablar sin tener ni idea (para variar)
zheo escribió:
ElChabaldelPc escribió:una inyección sql?, no me jodas

Hombre sería bastante impresionante, habida cuenta que según el esquema la inyección se hizo en el servidor de aplicación, no en la BD...

O en otras palabras, Injection, no significa SQL injection..



Hombre, si esta mal programado (o ya siendo catastrofistas y pensando que en sony programan fatal, si hace las llamadas a la base de datos con los parámetros que le metas tal cual) si que puede hacerse

he visto cada cosa que....
PakomeT escribió:Se sube el telón.
Se ven los servidores de Sony funcionando con normalidad.
Se baja el telón.
¿Como se llama el sistema de seguridad de Sony?

Respuesta: el telón

Imagen



Cortina rasgada [qmparto]
El-verdadero escribió:Si tuviera dinero, solo por joder los denunciaba.

Pues yo si tuviera dinero de verdad compraba sony XD
Estos de sony se estan coronando.
Brutal.... [bad]

Saludos!
ElChabaldelPc escribió:Hombre, si esta mal programado (o ya siendo catastrofistas y pensando que en sony programan fatal, si hace las llamadas a la base de datos con los parámetros que le metas tal cual) si que puede hacerse

he visto cada cosa que....

Por eso lo digo. No usaron injeccion sql, accedieron con un exploit en el sistema de transaciones, para meter codigo que permitiera llegar a la bd al parecer...
Blackwater está baneado por "clon de usuario baneado"
Os comento que le he enviado un mensaje a los de la AEPD para ver si van a actuar de oficio. En caso contrario la semana que viene iré a poner la denuncia.
Melmoth escribió:Calma chavales que van a dar un mes gratis de Plus y aquí no ha pasado nada [fies]

y los que ya tenian plus? le dan un mes mas y aparte el tiempo que no han podido acceder a el o como?
¡Qué pena, Sony!
JuanJe797 escribió:
Melmoth escribió:Calma chavales que van a dar un mes gratis de Plus y aquí no ha pasado nada [fies]

y los que ya tenian plus? le dan un mes mas y aparte el tiempo que no han podido acceder a el o como?


Si ya tenías PS+ se añade un mes a tu suscripción más un día por cada día que ha estado PSN tirado.

Es decir, cuando vuelva PSN tendrás los mismos días de suscripción que tenías antes de que se cayera + 1mes.

[bye]
31 respuestas
Archivado
Volver a Miscelánea