iteam

Το hacking έγινε πάλι της μόδας…

Monday, June 6th, 2011

Όσοι παρακολουθούν τα τεχνολογικά νέα τον τελευταίο καιρό θα έχουν παρατηρήσει ότι σχεδόν κάθε βδομάδα κάποιο site της Sony πέφτει θύμα κάποιων hackers. Αυτό που προκαλεί ακόμη μεγαλύτερη απορία είναι πως μια εταιρία κολοσσός σαν την Sony την έχει “πατήσει” έτσι!

Η αρχή έγινε με το PlayStation Network, το οποίο είναι το on-line store για την παιχνιδομηχανή PlayStation, το οποίο οι hackers όχι απλά έβγαλαν εκτός λειτουργίας, αλλά κατάφεραν να υποκλέψουν τα προσωπικά στοιχεία εκατομμυρίων χρηστών ανά τον κόσμο. Προσωπικά στοιχεία που περιλαμβάνουν usernames,e-mails,passwords, credit card numbers κ.α.

Σειρά είχε το site της SonyBMG στην Ελλάδα, το site της Sony Ericsson στον Καναδά και ακόμη πιο πρόσφατα το site της SonyPictures στην Αμερική. Ειδικά από το τελευταίο λέγεται ότι έχουν διαρρεύσει τα πλήρη προσωπικά στοιχεία πάνω από 1.000.000 εκατομμυρίων χρηστών!

Το τραγικό της υπόθεσης είναι ότι σε σχεδόν όλες αυτές τις επιθέσεις δεν έγινε χρήση κάποιων πολύ εξελιγμένων και “περίεργων” τεχνικών για hacking. Τα περισσότερα ήταν ευάλωτα σε απλά SQL injections (1, 2)! Αυτό δείχνει ότι ο μόνος υπεύθυνος για αυτή την καταστροφή είναι η ίδια η Sony που έχει τα συστήματα της τόσο απροστάτευτα. Πόσο μάλλον αν συνυπολογίσουμε ότι σχεδον όλα τα δεδομένα τα οποία κλάπηκαν ήταν και unencrypted!

Η αλήθεια είναι ότι όποιος έχει έστω και κάποιες βασικές τεχνολογικές γνώσεις που αφορούν την ασφάλεια στα δίκτυα και τους Η/Υ, ξέρει ότι ποτέ κανένα σύστημα δεν μπορεί να είναι 100% ασφαλές από όλες τις απειλές που μπορεί να δεχτεί. Άλλα συστήματα είναι πιο ασφαλή από άλλα ενώ υπάρχουν πολλές τεχνικές για το πως μπορούν, τουλάχιστον τα κρίσιμα δεδομένα να παραμείνουν κρυφά έστω και αν πέσουν στα χέρια κάποιου επιτήδειου.

Σε κάθε περίπτωση η καλύτερη επιλογή που έχει κάθε εταιρία για να προστατεύσει την ίδια, αλλά και τους πελάτες της είναι η πρόληψη. Η θωράκιση των συστημάτων με όλους τους γνωστούς τρόπους ασφαλείας και η διακίνηση όλων των ευαίσθητων δεδομένων σε κρυπτογραφημένη μορφή θα πρέπει να θεωρούνται δεδομένα.

Γίνεται πλέον κατανοητό ότι η επένδυση στην ασφάλεια των δεδομένων δεν είναι αυτό που λέμε “πεταγμένα λεφτά”. Το αντίθετο μάλιστα. Το σωστό testing των συστημάτων, τόσο σε επίπεδο stress/functional testing όσο και σε security testing είναι κάτι που μπορεί να σώσει ζωές και θέσεις εργασίας…

Είναι πολύ σημαντικό λοιπόν να ελεγχθεί το σύστημα μας πως ανταποκρίνεται απέναντι στις πιο συνηθισμένες και γνωστές απειλές και να μελετηθεί εξ ολοκλήρου στην δομή του από ειδικά εργαλεία, που σκοπό έχουν να ανακαλύψουν “τρύπες” σε αυτό και να βοηθήσουν τους developers να τις “μπαλώσουν”.

Tags: functional testing, hacking, Playstation, security testing, Sony, stress test
Posted in DBA, IT Manager, Systems Administrator, Systems Integrator, Testers | No Comments »