Ihr habt’s gehört, ihr habt’s gelesen, ihr seid womöglich selbst betroffen: aus Sony’s Playstation Network wurden womöglich Informationen in der potentiellen Größenordnung von 77 Millionen Datensätzen kopiert. Informationen sind rar gesät und diese ganze Räuberpistole ist von ein paar großen Fragezeichen umgeben. Bekannt sei folgendes:
Mitte letzter Woche wurden PSN und Qriocity (ich verwende PSN ab jetzt mal synonym für beide Services) abgeschaltet. Als Begründung wurde eine “external intrusion” angegeben und dass man sich jetzt erstmal um ein paar Untersuchungen (“thorough investigation”) kümmern müsste. Weil ich kein PS3-Besitzer bin, habe ich diese Mitteilung erst jetzt gelesen, aber rückwärts betrachtet war das im Grunde schon ein ziemlich deutliches Warnzeichen.
Dieses “Eindringen” wurde irgendwie bemerkt und daraufhin hat Sony erstmal entschieden, einen ihrer wichtigsten wertschöpfenden Geschäftskanäle abzuschalten, um “thorough investigation” zu starten. Genau, wertschöpfend. Das Ding bringt Umsatz. Bevor ein Unternehmen entscheidet, so etwas freiwillig, ungeplant und für einen unbekannten Zeitraum abzuschalten – und sich effektiv um diesen Umsatz bringt – muss schon einiges passieren. Ein Computernetzwerk für so einen Service wie PSN ist eine ziemlich komplexe Sache, überall sind Bits und Bytes unterwegs, deren Zustände sich im Grunde ständig ändern, die aber irgendwie interpretiert werden müssen, um eine Aussage über Soll, Ist und Historie treffen zu können. Jetzt fängt natürlich meine Spekulation an, aber was meines Erachtens durch dieses Abschalten erzielt werden sollte, war ein “Einfrieren” der Systeme, um forensische – also detaillierte technische – Untersuchungen durchführen zu können. So heisst es dann auch: “in a nutshell, PSN was shut down after the intrusion on April 19th, and the company needed to work with outside experts to “understand the scope of the breach” before posting the full lowdown earlier today”. Da kann man ja nur hoffen, dass es sich bei diesen “outside experts” nicht um die Leute von HBGary handelt…
Wie ist das aber eigentlich, wenn jemand Datensätze klaut? Das ist ja nicht so wie bei einem physikalischen Diebstahl. Wenn ich abends nach Hause komme und jemand hat meinen Fernseher entwendet, dann befindet sich da Luft, wo vorher Elektronik stand. Wenn jemand meine mp3-Dateien stiehlt, dann liegen die weiterhin auf meiner Festplatte, sie wurden nur kopiert. Daher kommen so ungelenkte Formulierungen wie die vom “illegal access” oder “data compromise”. Wie wurde diese Kopie dann überhaupt bemerkt? Irgendwas muss ja die Entscheidung zum Abschalten ihres Netzwerkes ausgelöst haben. Als Unternehmen, welches Kreditkarten-Transaktionen abwickelt, muss sich Sony dem PCI DSS unterwerfen, einem Standardregelwerk, welches die Verlässlichkeit dieser Transaktionen sicherstellen soll. Eine der Anforderungen von PCI ist “Track and monitor all access to network resources and cardholder data”; Kurzform: umfangreiches Logging und die Auswertung dessen. Entweder hat Sony also Protokolle zur Verfügung, deren Analyse auf einen wie auch immer gearteten unregelmässigen Zugriff (im Nachhinein!) aufmerksam gemacht haben. Oder der unbekannte Angreifer hat Sony mit einem authentischen Sample der entwendeten Daten konfrontiert. Das ist der Öffentlichkeit Stand heute eigentlich unbekannt, lässt sich aber vielleicht herleiten.
Wenn Sony PCI DSS ernst nimmt, dann müssen sie auch die Forderung “Protect stored cardholder data” beachten. Ob es tatsächlich Zugriff auf die Kreditkarteninformationen gab, wissen sie scheinbar selbst nicht so genau. Hier wird das Bild unscharf. Die offizielle Pressemitteilung erwähnt ausschließlich identitätsbezogene Daten, auf die die Angreifer definitiv Zugriff gehabt haben sollen. Ob darunter Kreditkartennummer, Ablaufdatum (aber nicht die dreistellige Sicherheitsnummer) sind, ist Sony selbst nicht bekannt. Vernünftigerweise(!) gehen sie aber vom Schlimmsten aus und geben ihren Kunden die üblichen Empfehlungen für diesen Fall an die Hand: “While there is no evidence at this time that credit card data was taken, we cannot rule out the possibility.” Vernünftig ist dieses Vorgehen, weil das “Geschäftsprinzip” der Angreifer vermutlich darin besteht, gültige geklaute Kreditkarteninformationen weiterzuverkaufen. Die kann man z.B. auch ohne Sicherheitsnummer auf Blankokarten schieben und für Offline-Käufe nutzen. Daher kann die Strategie von Sony nur Offenlegung sein, damit den Angreifern diese Geschäftsgrundlage zumindest verkleinert oder erschwert wird – zumindest, wenn die Kreditkarteninhaber ihre Karte auf eigene Kosten tauschen. Aber warum genau ist Sony diese Situation nicht bekannt? Wenn der Angreifer in meinem “Sample”-Szenario Daten eingeschickt hätte, dann wären mit einiger Sicherheit auch solche mit Kartendetails darunter gewesen; somit wäre die Lage für Sony klar. Da sie es aber nicht ist, muss ich mich mit meiner Spekulation also weiter auf das Logging konzentrieren. Diese Logfiles scheinen aber auch nicht aussagekräftig genug zu sein. “There is no evidence”.
Jetzt wäre es interessant zu wissen, wo die einzelnen Daten lagen und ob und wie sie verschlüsselt waren. In vielen ersten Kommentaren wurde geäussert, dass Passwörter doch bitte nicht im Klartext in Datenbanken gespeichert werden sollen. Aber was ist mit den KK-Informationen? Die sollen doch “protected” sein, also zum Beispiel durch Verschlüsselung. Wenn Sony jetzt keinen Beweis für oder wider einen unregelmässigen Zugriff auf die KK-Daten hat, diese aber geschützt werden müssen… hat Sony diesen Schutz dann nicht (keine Verschlüsselung) und verstößt so gegen PCI DSS? Oder hat Sony diesen Schutz, die Verschlüsselung ist aber schlecht implementiert – z.B. so, dass das komplette kryptografische Material für den Angreifer zugreif- und nutzbar gewesen wäre. Ähnlich, als ob man den Schlüssel zur Haustür unter der Fußmatte ablegt. Oder hatte der Angreifer womöglich ein zum Zugriff auf diese Daten berechtigtes Benutzerkonto unter Kontrolle? So etwas ist zum Beispiel beim RSA Hack vor ein paar Wochen passiert. Vielleicht sind auch gar nicht alle, sondern nur jene Kreditkarten gefährdet, die zur “Laufzeit” des Angriffs zu Transaktionen verwendet und eben zwischengespeichert wurden? Ohnehin hatte ja nur ein Teil der PSN-Mitglieder auch gültige Karteninformationen hinterlegt, dieser Teil des Angriffs betrifft also gar nicht alle 70 Millionen Datensätze. Die Frage nach der Sicherung dieser Daten stellt sich natürlich trotzdem. IT-Systeme sind heute hochkomplex und der Teufel steckt immer im Detail. Man darf gespannt sein, ob im Lauf der Zeit weitere Informationen an die Öffentlichkeit gelangen werden.
Was bedeutet dieser Angriff aber im Endeffekt? Zum Einen hat Sony natürlich einen nur schwer meßbaren Image-Schaden davongetragen. Zum Anderen weist diese Affäre deutlich auf die Risiken von Kredikartentransaktionen vor allem im Internet hin; die Datenschutz/Datensparsamkeitsdebatte ist da nur ein Nebenkriegsschauplatz. Sollte der ganz große Diebstahl eingetreten sein, steht die Kreditkarten- und Bankenindustrie vor dem großen Spaß einer Kundenbasis von zig Millionen Karten, die alle im Verdacht stehen, potentiell kompromitterte Transaktionen auslösen zu können. Von Vertrauen in das Kreditkartensystem kann man da wohl nicht mehr so richtig sprechen. Auch hier steht ein großes Fragezeichen, wie die Reaktion der Industrie aussehen wird. Vermutlich schiebt sie das Risiko auf den Kunden und erträgt stumm, dass viele Karten nach und nach gesperrt werden. So es denn auffällt. Eure Karten quasi prophylaktisch zu sperren, kann Geld kosten. Da seid ihr von der Kulanz eurer Institute abhängig. Womöglich lohnt sich für die private Kosten / Risiko-Abschätzung ein Blick auf die Restlaufzeit eurer Karte.
Was bedeutet das sonst noch für den Kunden, also für euch? Checkt eure Konten und Kreditkartenabrechungen und wechselt die Passwörter für PSN. Vor allem, wenn ihr identische Accounts und PWs für mehrere Internetservices gebraucht (PSN, Steam, Mail, Facebook, etcpp.) Der oben verlinkte Heise-Artikel ist da eine sehr gute Informationsquelle, aber auch Jan von Konsolendealz hat das Thema freundlicherweise schon gut zusammengefasst.
10 Kommentare
Mein erster Gedanke als ich davon hörte war ja “Haa Haa! Ich habe keine PS3!”. Aber das ist natürlich völliger Quatsch, da das Gleiche auch bei MS passieren könnte. Ich habe XBL zwar keine relevanten Daten gegeben, geschweige meine Kreditkartennummer, aber da bin ich wohl nicht repräsentativ.
Im Grunde sollten jetzt einige Leute ins Grübeln kommen, speziell betroffene PS3-User, ob die so oft als zaghaft belächelte Onlinepolitik von Nintendo nicht vielleicht doch ein paar Vorteile hat…
Ich glaube kaum, dass das die Leute genügend aufschreckt, dass sie Nintendo-Online gut finden. N-Online ist ja auch schwer [i]gut[/i] zu finden, wobei ich stets betone, dass es zumindest was das bloße Spielen angeht recht ebenbürtig ist und dazu auch kostenneutral.
Laut Golem ist ja auch [url=http://www.golem.de/1104/83065.html]XBL unter Beschuss[/url], wobei es sich noch harmlos anhört, wenn man es mit dem PSN-Gate (yay) vergleicht.
Soviel besser ist Nintendo nicht. Okay, durch das Friendscode-Geraffel haben die keine personenbeziehbaren Daten. Aber auch da kann ich Kreditkarteninfos eingeben, um Punkte zu kaufen. Die werden wohl irgendwo gespeichert. Bei Entertainment-Hard und Software kannst du IMMER davon ausgehen, dass Usability und Kostenvermeidung wesentlich größer geschrieben werden als Sicherheit.
@Missigno: das sind jetzt aber zwei Paar Schuhe. Bei Sony wurde zentrale Infrastruktur angegriffen. Bei der XBL-Geschichte ist die Rede von einem einzigen Spiel. In Anbetracht der Tatsache, dass das gleiche Spiel auch auf der anderen Plattform Ärger hatte, reden wir hier wohl eher von einer Schwachstelle in Modern Warfare. Ich meine, Phishing beim Onlinespielen… bitte. Da haben sie wohl ihre Matchmakingsoftware verkackt.
(Multiplayer-)Spiele mit Softwareschwachstellen, die einem Angreifer gewisse Möglichkeiten geben, über’s Netz “böse Dinge” zu tun, gibt’s übrigens häufiger.
[quote]Aber auch da kann ich Kreditkarteninfos eingeben, um Punkte zu kaufen.[/quote]
Musst du aber jedes Mal tun, weil sie eben [u]nicht[/u] gespeichert werden. ;)
Ich sag ja nicht, dass es das selbe ist.
Es ist aber ein Krampf, Kreditkarteninformationen von seinem XBL-Konto zu entfernen. Über die Konsole habe ich keine Möglichkeit gefunden, über die Webseite geht es. Aber beim nächsten Einkauf werden die wieder dauerhaft gespeichert, ob man will oder nicht.
Echt? Jedes Mal? Okay, dann… Hab bei N noch nie mit KK bezahlt. ;)
Bei MS hab ich auch keine Infos hinterlegt. Weniger wegen Diebstahl-Paranoia (ich bezahl ja auch sonst schon mal im Internet mit Kredikarte), sondern vielmehr, weil ich vorher von dem Geraffel mit der nicht funktionierenden Entfernung der Daten gelesen hatte.
Update bei [url=http://www.heise.de/newsticker/meldung/Sony-plant-Neustart-des-Playstation-Network-1234099.html]Heise[/url]: PSN kommt wieder hoch und zwingt die Benutzer zur Passwortänderung (sinnvoll!), ausserdem waren die Kreditkarteninfos verschlüsselt, die privaten Daten dagegen nicht und in Kalifornien gibt’s die erste Sammelklage u.a. wegen Verstoß gegen PCI DSS. Na, wo habt ihr von PCI zum ersten Mal gelesen? ;D
quote: Na, wo habt ihr von PCI zum ersten Mal gelesen?
hmmm… bei meinem arbeitgeber? *g*
Für mich bedeutet das ganze in Zukunft:
– Plausible Fake-Daten eintragen (Fake-Name, Fake-Adresse, nur die Email Adresse sollte echt sein, aber das ist ja kein Problem)
– Nur noch PSN-Karten nutzen, um im PSN-Store einzukaufen
Auf die Art hat Sony weder meine persönlichen Daten noch meine Kreditkarten- oder Konto-Daten.
@Dajm: Damit kannst du aber Probleme bekommen. In den AGBs (oder ähnlichen Dingen die man “akzeptiert”) steht mit Sicherheit sowas wie “Du darfst keine Falschinfos angeben”.
Mir wurde das mal zum Verhängnis bei einem Pokeranbieter. Ich dachte mir auch, bin ich schlau, geb ich dem sowenig Realinfos wie möglich. Irgendwann haben sie dann geschnallt, dass ich Falschangaben gemacht hab (wahrscheinlich über meine Kreditkarte) und der Account wurde gebannt. Forever.
Nun ist die Frage, ob man dieses Risiko im PSN eingehen will. Ich will ja keine bezahlten Inhalte verlieren. Oft kann man auch die Falschangaben nicht 100&#xti;g korrigieren, wenn man meint: Okay, ich vertraue jetzt dem Service und geb denen doch meine Realdaten. Manche Dinge wie Geburtsdatum lassen sich nicht in allen Diensten wieder ändern.
Update: [url=http://www.heise.de/security/meldung/US-Professor-wirft-Sony-Mitschuld-am-PSN-Hack-vor-1238676.html]US-Professor wirft Sony Mitschuld am PSN-Hack vor[/url]
[quote]Sony habe völlig veraltete Versionen des Apache-Web-Servers verwendet…[/quote]
[quote]…dass der Angreifer über ein bekanntes Sicherheitsloch des Web-Servers in das PSN eingedrungen war…[/quote]
Keine Überraschung. So läuft das halt. Eine Softwareschwachstelle wird ausgenutzt und schwupps, biste drin. Da hilft nur ein ordentliches Patch/Vulnerbility-Management.
Lustig auch:
[quote]Laut Spafford seien die Schwarzmarktpreise für Kreditkartennummern auf ein Fünftel bis ein Zehntel eingebrochen.[/quote]
Damit sind die KK-Infos bei anderen Anbietern für einen kurzen Zeitraum etwas sicherer, weil sich niemand für sie interessiert. ;D