Názory k článku Sony vyteklo
-
MW (neregistrovaný)
Hesla nebyly uložené v otevřené podobě.
„One other point to clarify is from this weekend’s press conference. While the passwords that were stored were not “encrypted,” they were transformed using a cryptographic hash function. There is a difference between these two types of security measures which is why we said the passwords had not been encrypted. But I want to be very clear that the passwords were not stored in our database in cleartext form.“
http://blog.us.playstation.com/2011/05/02/playstation-network-security-update/
-
Mard (neregistrovaný)
Přesně tak. Kolega přišel o kreditku a zjisti to až večer, když se přihlásil na majl a našel spoustu plateb. Zkrátka někdo na okopírovanou kartu s jeho údaji nakupoval v Brazílii v hypermarketu. Nikdo žádný pin po něm nechtěl. Kolega se pak s bankou hádal asi tři měsíce, než mu peníze vrátili. Pořád tvrdili, že někomu prozradil pin a proto za to neručí. Teprve, když si našel právníka, který jim pohrozil že to dá k soudu, tak mu ty peníze vrátili.
-
x (neregistrovaný)
Tak ono asi zalezi jak na co (ta lhuta) docela bych chtel videt, jak rychle je smluvena rekneme oprava serveru ... jestli taky na 5 dnu, tak to potes.
Jinak bych to z pohledu zamestnance prijal s radosti - neni klavesnice = prekazka na strane zamestnavatele = nepracuju. Predpokladam ze managor zodpovedny za zamestnance si pekne vykazuje par usetrenych mega, a to ze stejna sluzba bude stat 10x vic se vykaze jako neinvesticni provozni naklady.
BTW: jak dlouho by cez moh platit ucetni v praglu za ty co sem zaslech cca 2G za ktery zbudoval novej bejvak v Ostrave a najal tam prodavacky? (az vam prijde blby vyuctovani, tak se nedivte, delaji to odbornici(e))
-
jojo (neregistrovaný)
s tím čezem to můžu potvrdit, akorát lhůta není 14 dní ale 5, ale stejně, zkuste si týden nic nedělat, protože vám nejde pc.
Nejlepší je, jak si managoři ten nový systém vychvalují, že prý je málo negativní zpětné vazby - no bodet' ne, každej je tak nasr..., že tu zpětnou vazbu radši nenapíše žádnou než by se rozčiloval. -
x (neregistrovaný)
Vubec nejde preci o to jak k tomu doslo, ze ze k tomu doslo.
Ukladat takove informace v otevrene podobe muze opravdu jenom magor. Vubec nevidim problem mit i udaje o kreditce ulozene sifrovane a desifrovat je jen v okamziku platby.
Pokud je system dobre navrzen, tak se k datum nedostane ani zamestnanec - respektive rozhodne se nedostane k nejakemu vetsimu objemu takovych informaci. Takovych systemu je ovsem velice malo. Ono to totiz neni zadarmo a samozrejme to ponekud komplikuje praci.
-
x (neregistrovaný)
Zasadni omyl, zakaznik sveruje sve penize bance a ona mu dava kartu s tim, ze "toto je bezpecny zpusob jak nakladat s vasimi penezi". Je to tudiz banka kdo musi nest (a v civilizaci na zapad od nas i bez kecu nese) odpovednost za JAKEKOLI zneuziti karet. Nebo si vazne myslite, ze by se trebas v US platilo jak se plati, kdyby za to nezodpovidala banka? Uz jen podezreni ze byl nekdo okraden zkrze kartu a banka odmitla nedostatek zabezpeceni nahradit by vedlo ke krachu te banky.
BTW: I ten blby paypal bez kecu vrati platbu na vyzadani a prakticky obratem.
-
x (neregistrovaný)
Management spousty firem si odmita uvedomit, ze casto i 99% hodnoty firmy jsou jeji data a jejich ztrata = likvidace firmy.
Ono totiz vychazi ponekud jinak pozadavek IT na HW+SW v hodnote 10M pokud "to prece nema zadnou cenu" a jinak, kdyz hodnota dat je v miliardach Kc.
Vetsina managoru to vidi tak, ze IT jen chce penize a nic nevydelava, tak proc by jim je meli davat. Managori CEZu uz pry dosli tak daleko, ze IT zrusili uplne a ted kdyz se nekomu rozbije klavesnice, ceka 14 dni na jeji vymenu (smlouva s externi firmou). To se jiste vyplati.
-
x (neregistrovaný)
Prave ste vyhral prvni cenu "Plk roku"
Prolomeni libovolne ochrany je pouze a vyhradne otazkou vule(a pripadne penez a casu). Ostatne drtiva vetsina pruniku nema s prolamovanim ochran moc spolecneho - pokud s daty nekdo pracuje a nejde tudiz o nejaky "priklad zabezpeceni dat, ke kterym se opravu vubec nikdo nedostane", tak je totiz mnohem jednodussi se nechat v dane firme trebas zamestnat.
-
Mozna tu dochazi k nedorozumeni - pravda - moc konkretna tu neni -
psalo se tu, ze hesla byla pravdepodobne v citelnem formatu (ulozena na disku/ v pameti?).Informace zevnitr muze byt uzitecna. ALE pokud je to plain text, tak to najde kdokoliv, kdo umi spustit svuj kod. Takze cely system je chranen pouze tim, ze na nem nejde spustit kod?
Zrusili mi heslo na sourceforge: protoze nekdo jim sahl na zakryptovany hesla v shadow. Vyreseno. Muze to ted mit jako studijni material. A pritom kazdy (nejen insider) vi, jak se na hesla dostat. O tom je ten clanek - lepsi open source a aktivni obrana, nez cekat az se neco provali.
-
Rekl bych, ze soucasti ochrany je i to, ze sony ma seznam dotcenych, uvedomuje je a oni maji moznost se zabezpecit. Mit cisla kreditek jeste neni vsechno. Pokud by ted zacalo nejake masivni zneuzivani, tak jak myslite, ze by to dopadlo pro utocniky? Prevody nejsou bankomat, muzou trvat nekolik dni....
-
_pepak (neregistrovaný)
Psal jsem, že to nejde. To je, pro připomenutí, přítomný čas. Neříká to nic o tom, jestli to nepůjde (budoucí čas).
Postranní kanály jsou samozřejmě dost nebezpečné, ALE nerelevantní: Jsme zhruba v pozici, kdy já tvrdím, že lodí se dá obeplout svět a vy se mi to snažíte vyvrátit s tvrzením, že když vám někdo do té lodi udělá díru, tak se loď potopí po prvním kilometru a tudíž obeplout svět v lodi možné není.
A ještě pár slov o růstu výkonu: Vemte si do ruky kalkulačku a počítejte. Enough said.
-
ultraSparta (neregistrovaný)
furt tadyctu nesmysl ...jak se ma chranit atd... Sony ano ... je autokracie... nikdo pokud neplati nema pristup .... k cd/flash pamet atd
ale co jsem chtel jakoby se optat ///
Vi vubec nekdo kde SONY mela chybu ve svym systemu a jak to lidi provedli ? bych rekl ze nekdo jenom se tu melou dokola nejaka pofiderni debata a pritom ten kamen urazu nikdo nevi kde byl .... takze diskuze vylozene o NICEM...
pokud si vzpominam pred 4-9mesici byla prolemena ochranu PS3 pri bootvani ale JENOM diky inside information ze nekdo vynesl na flashce sourcecode a ten se pak dal jednoduse upravit.... takze by me vubec neprekvapilo ze za utokem na PS network .... bude stat nejaky admin jez chtel dostat vice cashu ale mu rekli heleklid... tak se nasral rekl par kamosum jak to funguje a nakonec slovo dalo vetu a oni to udelali ...
takze z podstaty veci PS network je super vec ale kdyz mate krysy ve svych radach se s tim nic neda delat....
-
Přehlížíte drobnost. PayPal má pojistky proti hackování i ex post. Umí vrátit peníze i poté, co nastal problém.
Další věc je, že PayPal poskytuje určité záruky, takže se adminům jistě lépe argumentuje, proč by se na zabezpečování měly dát peníze.
Běžný administrátor prostě nedostane peníze, zatímco management si kupuje luxus – a pak z hovna bič neuplete.
Je folklórem, že „vymluvy“ se házejí vždy na nižší články lidí, zatímco strategičtí rozhodovatelé – management a majitel, kteří svou politikou ovlivňují nejvíce – jsou vždy z obliga.
-
Cokoli řeknete, že se nedá překonat – tak je lež.
Nikdy nevíte, jestli za měsíc se nenajde technologie, nebo nový matematický způsob, kterým za minutu uděláte to, co tvrdíte, že na to potřebujete delší dobu, než existuje vesmír.
Podobných prohlášení, že něco nejde se lidstvo ve své pýše a umíněnosti, že už nic nového nemůže být objeveno, že současné poznání je konečné, stejně tak jako se nemohou výkony technologií změnit více, než o několik řádů – dopustilo tolikrát aby historie z toho prohlašovatele udělala směšného panáka.
Kromě toho, šifrování se snadněji, i bez pokroku, rozlouskne drobnými chybami mimo šifrování. Vše je silné tak jako nejslabší článek. Tedy algoritmem mimo vlastní šifrování, což zarputilého technika často nenapadne. Asi tak ve stylu jako když paranoický admin donutí lidi ke složitému heslu, tak si ho prostě lidé napíšou přímo na monitor, nebo na počítač, protože už je nezapamatovatelné. Kolikrát potřebujete stáří vesmíru abyste se v tomto případě dostal do počítače? :-)
-
Ondřej Bouda (neregistrovaný)
Nesmysl.
1. Ochrana systému je především jen natolik dobrá, kolik je do ní ochoten management investovat. Pokud chce administrátor lepší vybavení a manegement mu na něj nedá finance, není to problém administrátora.
2. Každý systém obsahuje hromadu chyb (stačí se jen podívat, kolik je vydáváno kritických záplat). Vždycky se může stát, že někdo nějakou takovou chybu objeví a zneužije dřív, než na ni bude záplata. -
Honza (neregistrovaný)
"Každá ochrana se dá překonat" je chabá výmluva neschopných administrátorů. Platí, že když se chce, tak lze každý systém zabezpečit tak, že jeho ochrana nepůjde prolomit. Viz. např. takový PayPal, zlatý důl pro hackery spravující čísla milionů kreditních karet, každý den od svého spuštění odolává mnoha pokusům o prolomení.
-
delokut (neregistrovaný)
thermorectal cryptanalysis
ruska alternativa
http://jeremyau.com/post/2303250364/decryption -
Tohle zní jak pohádka - snad všechny kreditky už dnes mají nastavení PINu uživatelem, těžko si představit, že pokud si někdo nastaví 0123, tak že se bude karta chovat jinak než při 1234.
Klidně bych uvěřil na existenci bezpečnostní díry, ale to o vazbě na PIN s nulou moc důvěryhodně nevypadá. Pokud někomu vybrali účet s použitím PIN, tak bych se vsadil spíš na cílenou krádež ve stylu "okouknu PIN třeba při zadání v hypermarketu a pak rychle kapsář do akce"... Tohle se prý opravdu občas děje, je to jeden z důvodů, proč nejsem až tak moc odvázaný z nástupu čipových karet - ta údajně větší bezpečnost proti čistě magnetickým s podpisem má totiž v "reálném světě" značné mezery :-( -
Lweek (neregistrovaný)
A to ještě málokdo ví, že existuje bezpečnostní díra v kreditních kartách. Nemám to jako ověřenou informaci, ale zažil sem následovný. V Praze přítelkyni ukradli kreditku a do půl hodiny měla komplet vybraný účet. Přitom v peněžence ani nikde rozhodně neměla napsaný PIN a při vybírání peněz si dávala sakra pozor. Trochu sem pátral a zjistil jsem, že karty jejichž PIN začíná nulou se nechá snadno prolomit a že to je snad dobře utajovaný bug se kterým se ni nedělá. Krádež se nám nepovedlo reklamovat i když byla karta pojištěná proti zneužití. Jediná obrana (snad) je kartu uzamykat pokud to vaše banka umožňuje.
-
Existují i rychlejší způsoby překonání moderního šifrování…
http://en.wikipedia.org/wiki/Rubber-hose_cryptanalysis
http://en.wikipedia.org/wiki/Black-bag_cryptanalysis:-)
-
Ondřej Bouda (neregistrovaný)
Proprietární technologie se nevylučuje s dodržováním bezpečnostních standardů. Rozdíl mezi otevřeným a uzavřeným řešením je pouze v tom, že máte možnost si ověřit, jestli deklarovaná úroveň bezpečnosti je skutečně implementována.
Mimochodem, v tomto případě očekávám, že banky svým klientům vymění karty, uhradí všechna zneužití karet a podají hromadnou žalobu na Sony, aby jim firma zaplatila všechny vzniklé náklady a "přiměřené" odškodnění. Pokud se to stane, tak management (i mnoha dalších firem) pochopí, že investice do bezpečnosti jsou vlastně velmi levné - a na tom záleží víc než na otevřenosti/uzavřenosti toho kterého řešení :)
-
_pepak (neregistrovaný)
1) Zdaleka ne každá ochrana se dá překonat. Tedy pokud uvažujeme o překonání v době, kdy na tom záleží (moderní šifrování se také dají překonat, stačí na to "dostatek času", ale trochu to kazí skutečnost, že ta doba je mnohonásobně delší než doba života vesmíru.
2) Když necháte v bytě otevřené dveře a nic tam nebude, tak se to možná nikdo nepokusí vykrást, ale zcela určitě se najde spousta lidí, kteří se pokusí ten byt aspoň zničit.
