2011年4月20日SONY的Play Station Network服務遭駭客入侵,7700萬的用戶資料外洩,大家一直不清楚受害的程度有多少,到了5月1日Sony才招開記者會說明,詳請可以參考
這個事件也告訴我們像PS3這種半封閉系統並不會比較安全,而且製造商容易在安全性上鬆懈,主要的理由為
1.PS3並不像PC一樣普遍 ,因此製造商會覺得不易成為駭客目標
2.系統為半封閉式(embedded),用戶無法隨意安裝軟體,製造商會覺得要破解與Server端的封包有難度
3.連回PSN會用Hardware ID辨識去限定PS3 only,一般PC無法直接連到PSN,製造商會認為這樣就已經降低不少風險。
但去年底卻發生了第一個警訊,PS3韌體招破解,可以用jailbreak方式可以玩硬碟上非授權的遊戲軟體
http://www.ps3jailbreaking.com/index.php
既然韌體遭破解,我想要抓取與PSN間的傳輸資料也不難了。
依Sony 5/1日的說明,我推斷PSN只有佈建一層防火牆,且沒有IPS/IDS系統監控,駭客應該透過入侵web server取得資料庫帳號,再直接進入資料庫將資料全部傳走,Sony應該是發現大筆資料被複製走才發現事情大條,進而馬上關閉PSN服務。
以下是我猜測駭客的攻擊方式:
1. 資料庫隱碼攻擊
模擬封包對PSN server進行隱碼攻擊,取得用戶相關table欄位資料。一般初級工程失常犯的錯,由於一般市售教學書籍範例大都是錯的,照著範例兜出SQL語法容易鑄成大錯
防範方式:
1.不用程式兜字串方式寫出SQL語法,改用參數化方式或Stored Procedure建立SQL 語法,並嚴謹的設定參數型別及長度。
2. 運用SQL injection scanner 軟體預先測試系統漏洞
參考資料 :
2.Web server安全漏洞
利用PSN web server漏洞,入侵web server,再利用web server帳號登入Database將DB全都Dump走。 這類問題通常發生在系統未定時做安全性更新且沒有IDS系統監控入侵指令,web server在公開的環境是最容易被攻擊的,一旦被取得web server的account,很容易變成跳板入侵資料庫。
防範方式:
1.web server連資料庫的connection string 加密,web server與Database間要有firewall,執行的帳號要設好權限
2.安裝IDS/IPS系統監控非法攻擊
3. 建立商業邏輯層於Database與Web server中間,並多架一層更嚴謹的防火牆。
如果不幸上面方式都失敗,資料還是被盜走了,還有一個方式可以把損害降到最低,就是資料加密。
用戶密碼、信用卡等重要資料都應該加密,依Sony公佈的資料,他們信用卡資料有加密,但卻沒有公佈用哪一種加密方式,目前常見的有MD5、DES、RSA,其中DES及MD5都有破解工具,RSA雖然比較嚴謹,但還是有被破解的可能,Sony說用戶密碼是用雜湊的方式保護,應該是用MD5方式儲存,因此建議用戶在重新登入PSN時更改密碼。其實加密資料對於執行效率一定有影響,但卻可以在資料被盜取後最最後一關的保護,如果對系統安全沒有把握,還是不要儲存這些重要資料比較好。
最近已有人傳出被盜刷,會擔心的人還是電洽信用卡服務中心換卡吧。
沒有留言:
張貼留言