PSN: ci hanno detto tutto?

"Se Sony sta monitorando questo canale, sappia che far girare una vecchia versione di Apache su un server RedHat con le sue note vulnerabilità non è una mossa saggia, specialmente visto che quella macchina mostra pubblicamente la sua versione e si tratta del server di autenticazione".

Questo che avete letto è un log di una chat su IRC che vede protagonisti degli hacker di PlayStation 3 che discutono le falle nella sicurezza di PSN, il che getta una nuova e sinistra luce sulla crisi di sicurezza di Sony. Il log, datato 16 febbraio e postato lo stesso giorno su diversi siti di hacking PS3, dev'essere preso con le pinze: facili da creare e da modificare, questi post possono avere origini estremamente dubbie.

Ad ogni modo, il contenuto è stato descritto da una nostra fonte sicura e ben informata come "piuttosto attendibile", e combacia con precedenti informazioni su come la PS3 comunichi con i server PSN. Ciò apre le porte su quella che si sta lentamente rivelando una delle più grandi violazioni di sicurezza dell'era internet.

Le conclusioni sono semplici: le vulnerabilità di PSN erano ben note e discusse in pubblico già diversi mesi fa, e Sony non ha agito tempestivamente. Tenendo in mente la colossale quantità di prove che la compagnia ha ricavato dai siti di hacking PS3 e che ha presentato durante il processo Geohot, è ovvio che la scusa di non conoscere queste discussioni non regge. Sony ovviamente presta molta attenzione alla "scena" hacking, e lo fa sin da quando apparve il primo PSJailbreak la scorsa estate.

Le informazioni rilasciate da Sony riguardo le implicazioni di questo hack sono già abbastanza allarmanti, ma ci sono segnali che indicano che questa storia è ben lontana dal concludersi. Molti credevano che PSN fosse down allo scopo di mettere una toppa alla falla nella sicurezza che consentiva ai possessori di custom firmware di autenticare i giochi pirata e scaricare DLC a scrocco. Sfortunatamente la verità era decisamente più scioccante.

La sicurezza di PSN è stata violata dal lato server, e tutte le informazioni affidate dagli utenti a Sony in fase di iscrizione al servizio sono state compromesse. Nomi, indirizzi, domande di sicurezza, password e dettagli di login sono stati trafugati, insieme alle carte di credito.

Il fatto che siano state rubate persino le password è incredibile. C'è un motivo per cui molti siti non possono dirvi quale sia la vostra password se la perdete, ma possono solo resettarla: è perché il server stesso non conserva affatto questo dato. La password scelta viene infatti criptata al primo invio e viene salvato solo il risultato. Quando si effettua il login, la password inserita viene criptata nuovamente e il risultato viene confrontato con quella che è sul sistema: se sono uguali, si può accedere.

In breve, non c'è nessunissimo motivo per cui la password debba essere salvata sul server. Le dichiarazioni di Sony fanno intendere che venivano conservate le informazioni sensibili degli utenti in semplice formato testuale, il che è semplicemente incredibile. L'unica altra spiegazione è che gli hacker abbiano avuto accesso agli inserimenti criptati e possano aver compromesso solo alcune di queste password utilizzando un sistema di decodifica. Ma da come Sony si è scusata con gli utenti, pare che non sia questo il caso.

Anche se Sony afferma che non ci siano prove di un accesso ai dati delle carte di credito, gli utenti PSN non devono illudersi di essere al sicuro. Se i dati delle e-mail e delle password sono disponibili, possono essere usati su altri siti come PayPal ed eBay, due dei possibili posti dove perpetrare danni su larga scala. Visto che tanta gente utilizza le stesse password in siti diversi, la falla di sicurezza da parte di Sony potrebbe poi avere ripercussioni su centinaia di altri siti.

Se gli hacker hanno accesso al vostro nome, indirizzo e data di nascita, queste informazioni da sole sono più che sufficienti a causare problemi, e sapere che anche le domande di sicurezza sono state compromesse aggiunge ulteriore gravità al potenziale danno. Informazioni come queste hanno un valore enorme per i ladri d'identità, ma già solo il nome e l'indirizzo potrebbero essere sufficienti per un truffatore esperto.