Názory k článku
Sony vyteklo

Obávám se, že pokud heslo skutečně zapomenu, tak mi ani gumová hadice nepomůže. Přál bych si, aby mi pomohla aspoň ta, ale nepomůže.

Cokoli řeknete, že se nedá překonat – tak je lež.

Nikdy nevíte, jestli za měsíc se nenajde technologie, nebo nový matematický způsob, kterým za minutu uděláte to, co tvrdíte, že na to potřebujete delší dobu, než existuje vesmír.

Podobných prohlášení, že něco nejde se lidstvo ve své pýše a umíněnosti, že už nic nového nemůže být objeveno, že současné poznání je konečné, stejně tak jako se nemohou výkony technologií změnit více, než o několik řádů – dopustilo tolikrát aby historie z toho prohlašovatele udělala směšného panáka.

Kromě toho, šifrování se snadněji, i bez pokroku, rozlouskne drobnými chybami mimo šifrování. Vše je silné tak jako nejslabší článek. Tedy algoritmem mimo vlastní šifrování, což zarputilého technika často nenapadne. Asi tak ve stylu jako když paranoický admin donutí lidi ke složitému heslu, tak si ho prostě lidé napíšou přímo na monitor, nebo na počítač, protože už je nezapamatovatelné. Kolikrát potřebujete stáří vesmíru abyste se v tomto případě dostal do počítače? :-)

Psal jsem, že to nejde. To je, pro připomenutí, přítomný čas. Neříká to nic o tom, jestli to nepůjde (budoucí čas).

Postranní kanály jsou samozřejmě dost nebezpečné, ALE nerelevantní: Jsme zhruba v pozici, kdy já tvrdím, že lodí se dá obeplout svět a vy se mi to snažíte vyvrátit s tvrzením, že když vám někdo do té lodi udělá díru, tak se loď potopí po prvním kilometru a tudíž obeplout svět v lodi možné není.

A ještě pár slov o růstu výkonu: Vemte si do ruky kalkulačku a počítejte. Enough said.

Omyl, vy rikate, ze obepluti sveta lodi je zaruceno, to je neco jineho. A reakce byla, ze lod obcas utrpi diru a jde ke dnu, takze na zadnou zaruku se spolehnout neda....

Nebo jeste jinak, rikate, ze existuje nepotopitelna lod. A ten pripad uz jsme tu taky meli, 1912, pokud se nepletu

thermorectal cryptanalysis
ruska alternativa
http://jeremyau.com/post/2303250364/decryption

терморектальный криптоанализ

S tím bytem je to svatá pravda. Tedy do doby než někoho napadne vyměnit zámek když bude byt zrovna prázdný

Ano, prázdný byt nemá smysl zabezpečovat. Sony ovšem neměla a nemohla mít prázdný byt - nějaká data uchovávat potřebovali. Firma selhala v tom, že všechny cennosti v bytě nechala volně povalovat, místo aby se je "pro jistotu" pokusila "rafinovaně poschovávat".

"Každá ochrana se dá překonat" je chabá výmluva neschopných administrátorů. Platí, že když se chce, tak lze každý systém zabezpečit tak, že jeho ochrana nepůjde prolomit. Viz. např. takový PayPal, zlatý důl pro hackery spravující čísla milionů kreditních karet, každý den od svého spuštění odolává mnoha pokusům o prolomení.

Nesmysl.
1. Ochrana systému je především jen natolik dobrá, kolik je do ní ochoten management investovat. Pokud chce administrátor lepší vybavení a manegement mu na něj nedá finance, není to problém administrátora.
2. Každý systém obsahuje hromadu chyb (stačí se jen podívat, kolik je vydáváno kritických záplat). Vždycky se může stát, že někdo nějakou takovou chybu objeví a zneužije dřív, než na ni bude záplata.

Management spousty firem si odmita uvedomit, ze casto i 99% hodnoty firmy jsou jeji data a jejich ztrata = likvidace firmy.

Ono totiz vychazi ponekud jinak pozadavek IT na HW+SW v hodnote 10M pokud "to prece nema zadnou cenu" a jinak, kdyz hodnota dat je v miliardach Kc.

Vetsina managoru to vidi tak, ze IT jen chce penize a nic nevydelava, tak proc by jim je meli davat. Managori CEZu uz pry dosli tak daleko, ze IT zrusili uplne a ted kdyz se nekomu rozbije klavesnice, ceka 14 dni na jeji vymenu (smlouva s externi firmou). To se jiste vyplati.

s tím čezem to můžu potvrdit, akorát lhůta není 14 dní ale 5, ale stejně, zkuste si týden nic nedělat, protože vám nejde pc.
Nejlepší je, jak si managoři ten nový systém vychvalují, že prý je málo negativní zpětné vazby - no bodet' ne, každej je tak nasr..., že tu zpětnou vazbu radši nenapíše žádnou než by se rozčiloval.

Tak ono asi zalezi jak na co (ta lhuta) docela bych chtel videt, jak rychle je smluvena rekneme oprava serveru ... jestli taky na 5 dnu, tak to potes.

Jinak bych to z pohledu zamestnance prijal s radosti - neni klavesnice = prekazka na strane zamestnavatele = nepracuju. Predpokladam ze managor zodpovedny za zamestnance si pekne vykazuje par usetrenych mega, a to ze stejna sluzba bude stat 10x vic se vykaze jako neinvesticni provozni naklady.

BTW: jak dlouho by cez moh platit ucetni v praglu za ty co sem zaslech cca 2G za ktery zbudoval novej bejvak v Ostrave a najal tam prodavacky? (az vam prijde blby vyuctovani, tak se nedivte, delaji to odbornici(e))

Co podle vás ty odbornice na tom vyúčtování dělají? Vždyť je generováno automaticky. Mimochodem ze začátku si ho snad dělal každý REAS zvlášť, později se to přesunulo do Plzně. Aktuální stav neznám.

Nemyslim. To je proste fakt, s kterym musi pocitat vsichni uzivatele a chovat se tak, aby minimalizovali pripadne ztraty, pokud k tomu dojde.

Přehlížíte drobnost. PayPal má pojistky proti hackování i ex post. Umí vrátit peníze i poté, co nastal problém.

Další věc je, že PayPal poskytuje určité záruky, takže se adminům jistě lépe argumentuje, proč by se na zabezpečování měly dát peníze.

Běžný administrátor prostě nedostane peníze, zatímco management si kupuje luxus – a pak z hovna bič neuplete.

Je folklórem, že „vymluvy“ se házejí vždy na nižší články lidí, zatímco strategičtí rozhodovatelé – management a majitel, kteří svou politikou ovlivňují nejvíce – jsou vždy z obliga.

Rekl bych, ze soucasti ochrany je i to, ze sony ma seznam dotcenych, uvedomuje je a oni maji moznost se zabezpecit. Mit cisla kreditek jeste neni vsechno. Pokud by ted zacalo nejake masivni zneuzivani, tak jak myslite, ze by to dopadlo pro utocniky? Prevody nejsou bankomat, muzou trvat nekolik dni....

Sony rozsila varovani vsem a ze nejspis uz k nejakemu zneuziti doslo dedukuji z toho, ze me na to upozornuje jeste i moje banka. Samo konzoli nemam, ale spis to vypada, ze po nekolika dnech tutlani se pruser uz neda zastavit, tak to radsi rozesleme vsude kde se da.

Prave ste vyhral prvni cenu "Plk roku"

Prolomeni libovolne ochrany je pouze a vyhradne otazkou vule(a pripadne penez a casu). Ostatne drtiva vetsina pruniku nema s prolamovanim ochran moc spolecneho - pokud s daty nekdo pracuje a nejde tudiz o nejaky "priklad zabezpeceni dat, ke kterym se opravu vubec nikdo nedostane", tak je totiz mnohem jednodussi se nechat v dane firme trebas zamestnat.

Proč by to banky měly dělat?

Je věcí jejich zákazníků, že dobrovolně prozradily všechny údaje, aby se jim daly vykrást peníze.

Když někomu dáte klíčky od svého auta a ten s ním nabourá, nevšiml jsem si, že by výrobce aut něco napravoval.

Zasadni omyl, zakaznik sveruje sve penize bance a ona mu dava kartu s tim, ze "toto je bezpecny zpusob jak nakladat s vasimi penezi". Je to tudiz banka kdo musi nest (a v civilizaci na zapad od nas i bez kecu nese) odpovednost za JAKEKOLI zneuziti karet. Nebo si vazne myslite, ze by se trebas v US platilo jak se plati, kdyby za to nezodpovidala banka? Uz jen podezreni ze byl nekdo okraden zkrze kartu a banka odmitla nedostatek zabezpeceni nahradit by vedlo ke krachu te banky.

BTW: I ten blby paypal bez kecu vrati platbu na vyzadani a prakticky obratem.

Pěkné zamyšlení, Vojto. Snad jen doplním jedno. Sony tvrdí, že zatím nemají informaci potvrzující, že unikly čísla karet. Na druhou stranu kdyby věděli že neunikly, asi to nebudou vůbec zveřejňovat. Takže asi unikly. Jisté to však není. No já doufám že ne :-)

Tak Sony už nově tvrdí, že data o kreditkách nejspíše unikla. Není to přímé potvrzení, ale jistý posun od "nemáme informaci" to je.

Už mi od banky přišlo varování, že se problém kolem Playstation řeší. Takže to beru jako jasné potvrzení, banky se do podobných výstrah nehrnou, evidentně tedy už něco vědí... Mě se to naštěstí netýká, PSP nemám, uživatelům ale nezávidím.

Link by nebyl?

Tohle zní jak pohádka - snad všechny kreditky už dnes mají nastavení PINu uživatelem, těžko si představit, že pokud si někdo nastaví 0123, tak že se bude karta chovat jinak než při 1234.
Klidně bych uvěřil na existenci bezpečnostní díry, ale to o vazbě na PIN s nulou moc důvěryhodně nevypadá. Pokud někomu vybrali účet s použitím PIN, tak bych se vsadil spíš na cílenou krádež ve stylu "okouknu PIN třeba při zadání v hypermarketu a pak rychle kapsář do akce"... Tohle se prý opravdu občas děje, je to jeden z důvodů, proč nejsem až tak moc odvázaný z nástupu čipových karet - ta údajně větší bezpečnost proti čistě magnetickým s podpisem má totiž v "reálném světě" značné mezery :-(

Čipové karty jsou proti okopírování magnetického proužku bezpečné pouze u nás. Tedy v českých bankomatech). Takže pokud se klon takto okopírované čipové karty použije v zahraničí, je čip na dvě věci.

To neni uplne pravda. Zalezi od banky jestli je povolene v pripade, ze zarizeni nepodporuje cip pouzit magneticky prouzek.

Muzete napsat, jakym zpusobem bylo vybrano to konto? Penize vzdy jdou na nejaky ucet.... nebo do bankomatu. Z toho by se dalo usoudit na zpusob. Me samotnemu - v prodejnach - porad funguje magneticky prouzek.

Přesně tak. Kolega přišel o kreditku a zjisti to až večer, když se přihlásil na majl a našel spoustu plateb. Zkrátka někdo na okopírovanou kartu s jeho údaji nakupoval v Brazílii v hypermarketu. Nikdo žádný pin po něm nechtěl. Kolega se pak s bankou hádal asi tři měsíce, než mu peníze vrátili. Pořád tvrdili, že někomu prozradil pin a proto za to neručí. Teprve, když si našel právníka, který jim pohrozil že to dá k soudu, tak mu ty peníze vrátili.

A dávala si pozor i v hypermarketu nebo jiném obchodě?

Ta uváděná bezpečnostní díra mi připadá jako urban legend, PIN začínající nulou se dá prolomit snáze tak maximálně při brute force, kdy začínáte od 0000. A proti brute force jsou karty docela dobře chráněné.

furt tadyctu nesmysl ...jak se ma chranit atd... Sony ano ... je autokracie... nikdo pokud neplati nema pristup .... k cd/flash pamet atd

ale co jsem chtel jakoby se optat ///

Vi vubec nekdo kde SONY mela chybu ve svym systemu a jak to lidi provedli ? bych rekl ze nekdo jenom se tu melou dokola nejaka pofiderni debata a pritom ten kamen urazu nikdo nevi kde byl .... takze diskuze vylozene o NICEM...

pokud si vzpominam pred 4-9mesici byla prolemena ochranu PS3 pri bootvani ale JENOM diky inside information ze nekdo vynesl na flashce sourcecode a ten se pak dal jednoduse upravit.... takze by me vubec neprekvapilo ze za utokem na PS network .... bude stat nejaky admin jez chtel dostat vice cashu ale mu rekli heleklid... tak se nasral rekl par kamosum jak to funguje a nakonec slovo dalo vetu a oni to udelali ...

takze z podstaty veci PS network je super vec ale kdyz mate krysy ve svych radach se s tim nic neda delat....

Mozna tu dochazi k nedorozumeni - pravda - moc konkretna tu neni -
psalo se tu, ze hesla byla pravdepodobne v citelnem formatu (ulozena na disku/ v pameti?).

Informace zevnitr muze byt uzitecna. ALE pokud je to plain text, tak to najde kdokoliv, kdo umi spustit svuj kod. Takze cely system je chranen pouze tim, ze na nem nejde spustit kod?

Zrusili mi heslo na sourceforge: protoze nekdo jim sahl na zakryptovany hesla v shadow. Vyreseno. Muze to ted mit jako studijni material. A pritom kazdy (nejen insider) vi, jak se na hesla dostat. O tom je ten clanek - lepsi open source a aktivni obrana, nez cekat az se neco provali.

Vubec nejde preci o to jak k tomu doslo, ze ze k tomu doslo.

Ukladat takove informace v otevrene podobe muze opravdu jenom magor. Vubec nevidim problem mit i udaje o kreditce ulozene sifrovane a desifrovat je jen v okamziku platby.

Pokud je system dobre navrzen, tak se k datum nedostane ani zamestnanec - respektive rozhodne se nedostane k nejakemu vetsimu objemu takovych informaci. Takovych systemu je ovsem velice malo. Ono to totiz neni zadarmo a samozrejme to ponekud komplikuje praci.

Hesla nebyly uložené v otevřené podobě.

„One other point to clarify is from this weekend’s press conference. While the passwords that were stored were not “encrypted,” they were transformed using a cryptographic hash function. There is a difference between these two types of security measures which is why we said the passwords had not been encrypted. But I want to be very clear that the passwords were not stored in our database in cleartext form.“

http://blog.us.playstation.com/2011/05/02/playstation-network-security-update/