Når alle oplysninger ligger ét sted, skal hackerne kun koncentrere sig om et enkelt angreb. Det viser det nylige angreb på PlayStation Network, skriver Shehzad Ahmad i denne klumme fra Computerworld.
Chefkonsulent Shehzad Ahmad, UNI•C, der leder det danske Computer Emergency Response Team (DK•CERT), skriver hver måned på Computerworld Online om aktuelle it-sikkerhedsspørgsmål. Kommentarerne bringes her, efterhånden som de udkommer.
70 millioner brugere. Så mange kan potentielt være berørt af et hackerangreb på Sonys PlayStation Network og tjenesten Quriocity.
Navn, adresse, mail-adresse, password og flere andre personlige oplysninger om brugerne kan være kommet i hackernes hænder.
Angrebet foregik mellem den 17. og den 19. april. Den 20. lukkede Sony ned for netværket. Den 26. oplyste firmaet, at hackere har fået adgang til brugernes informationer.
Vi ved ikke, hvor mange danskere, der er på PlayStation Network. Men der står knap 240.000 PlayStation 3 i danske hjem.
Der er flere interessante sikkerhedsvinkler på angrebet. Det er et af de første store hackerangreb på en cloud-tjeneste. Det rammer spilkonsoller. Og det demonstrerer svagheden ved delte passwords.
Angreb på cloud
Cloud-vinklen først: PlayStation Network og Quriocity er cloud-tjenester af typen SaaS (Software as a Service). De stiller nogle tjenester til rådighed for kunderne.
En af styrkerne ved cloud er skalerbarheden: Tjenesterne er bygget til at kunne håndtere millioner af brugere.
Men den styrke er også en sikkerhedsmæssig svaghed. Jeg kender ikke Sonys konkrete sikkerhedsarkitektur. Men ofte vil det være sådan, at hvis en hacker kan få adgang til ét sæt brugernavn og password, kan han få fat i dem alle sammen.
Angrebet demonstrerer, at udbydere af cloud-tjenester har en stor udfordring, når det gælder sikkerheden: På den ene side skal deres brugere have nem adgang. På den anden side skal de beskyttes mod misbrug.
Et oplagt sted at sætte ind er passwords: De bør aldrig opbevares i klar tekst. I stedet kan man gemme hash-værdier.
Spilkonsollen som mål
Gennem flere år har vi i DK•CERT advaret om, at hackere vil udvide deres repertoire til at angribe andet end traditionelle computere. Mobiltelefoner er allerede et angrebsmål, og med dette angreb er også spilkonsollerne kommet med.
Det betyder, at vi som brugere skal lære at opfatte en spilkonsol som en computer, der stiller samme krav til sikkerheden som pc'en. Vi kan ikke regne med, at der er styr på sikkerheden, bare fordi den er et mere lukket system.
Ganske vist er styresystemet ikke åbent for alle, men så snart spilkonsollen kommer på et netværk, er der mulighed for angreb.
Det fører mig til min tredje pointe: Passwordsikkerhed. Rigtig mange brugere har en uheldig vane med at genbruge passwords. Ofte er deres password det samme, uanset om det bruges til PlayStation Network, Hotmail eller Facebook.
Det er ikke godt.
For hvis hackere nu har fået adgang til brugernes passwords til PlayStation Network, kan de let gå i gang med at afprøve dem på andre tjenester.
Gør sådan her, hvis du spiller PlayStation
Som bruger af PlayStation Network kan man gemme sine kreditkortoplysninger. Så slipper man for at indtaste dem, når man næste gang vil købe noget.
Sony kan ikke udelukke, at også kreditkortoplysninger er kommet i hackernes hænder. Det skulle dog være sikkert, at de trecifrede sikkerhedskoder ikke er det.
Mine anbefalinger til brugere af PlayStation Network lyder:
Skift password på alle tjenester, hvor du har brugt samme password som til PlayStation Network. Benyt lejligheden til at vælge forskellige passwords til hver tjeneste.
Hold ekstra øje med dine kontoudtog, hvis du har gemt kreditkortoplysninger på PlayStation Network.
Når tjenesten bliver tilgængelig igen, anbefaler jeg, at du fjerner kreditkortoplysningerne fra den.
Vi ved som sagt endnu ikke, hvordan angrebet foregik. Det har medført en række spekulationer. I begyndelsen da netværket var nede, troede mange, at det var offer for et ude-af-drift-angreb. Det kunne være hævn for, at Sony har sagsøgt en person, der har fundet en metode til at jailbreake firmaets konsoller.
En anden teori går på, at et værktøj har givet modificerede udgaver af PlayStation adgang til en del af netværket, der er reserveret til udviklere.
Forhåbentlig vælger Sony at være mere åbne, når efterforskningen er afsluttet. Det vil være nyttigt for både brugere og andre udbydere af cloud-tjenester, hvis vi kan få at vide, hvordan hackerne fik adgang til oplysningerne.
Begræns data i skyen
Allerede nu kan man drage en lære af angrebet: Vi skal ikke regne med, at vores data er sikre, når de ligger ude på nettet. Derfor er det en god ide at begrænse mængden af følsomme data, vi lægger ud.
Oprindelig offentliggjort i avisen Computerworld den 6. maj 2011 og på Computerworld Online den 9. maj 2011