Artikel top billede

Dette kan du lære af hackerangrebet på PlayStation

Klumme: Når alle oplysninger ligger ét sted, skal hackerne kun koncentrere sig om et enkelt angreb. Det viser det nylige angreb på PlayStation Network.

70 millioner brugere. Så mange kan potentielt være berørt af et hackerangreb på Sonys PlayStation Network og tjenesten Quriocity.

Navn, adresse, mail-adresse, password og flere andre personlige oplysninger om brugerne kan være kommet i hackernes hænder.

Angrebet foregik mellem den 17. og den 19. april. Den 20. lukkede Sony ned for netværket. Den 26. oplyste firmaet, at hackere har fået adgang til brugernes informationer.

Vi ved ikke, hvor mange danskere, der er på PlayStation Network. Men der står knap 240.000 PlayStation 3 i danske hjem.

Der er flere interessante sikkerhedsvinkler på angrebet. Det er et af de første store hackerangreb på en cloud-tjeneste. Det rammer spilkonsoller. Og det demonstrerer svagheden ved delte
passwords.

Angreb på cloud

Cloud-vinklen først: PlayStation Network og Quriocity er cloud-tjenester af typen SaaS (Software as a Service). De stiller nogle tjenester til rådighed for kunderne.

En af styrkerne ved cloud er skalerbarheden: Tjenesterne er bygget til at kunne håndtere millioner af brugere.

Men den styrke er også en sikkerhedsmæssig svaghed. Jeg kender ikke Sonys konkrete sikkerhedsarkitektur.

Men ofte vil det være sådan, at hvis en hacker kan få adgang til ét sæt brugernavn og password, kan han få fat i dem alle sammen.

Angrebet demonstrerer, at udbydere af cloud-tjenester har en stor udfordring, når det gælder sikkerheden:

På den ene side skal deres brugere have nem adgang. På den anden side skal de beskyttes mod misbrug.

Et oplagt sted at sætte ind er passwords: De bør aldrig opbevares i klar tekst. I stedet kan man gemme hash-værdier.

Spilkonsollen som mål

Gennem flere år har vi i DK-CERT advaret om, at hackere vil udvide deres repertoire til at angribe andet end traditionelle computere.

Mobiltelefoner er allerede et angrebsmål, og med dette angreb er også spilkonsollerne kommet med.

Det betyder, at vi som brugere skal lære at opfatte en spilkonsol som en computer, der stiller samme krav til sikkerheden som pc'en.

Vi kan ikke regne med, at der er styr på sikkerheden, bare fordi den er et mere lukket system.

Ganske vist er styresystemet ikke åbent for alle, men så snart spilkonsollen kommer på et netværk, er der mulighed for angreb.
Det fører mig til min tredje pointe: Passwordsikkerhed.

Rigtig mange brugere har en uheldig vane med at genbruge passwords.

Ofte er deres password det samme, uanset om det bruges til PlayStation Network, Hotmail eller Facebook.

Det er ikke godt. For hvis hackere nu har fået adgang til brugernes passwords til PlayStation Network, kan de let gå i gang med at afprøve dem på andre tjenester. 

Læs også:

Hackernetværk får skylden for Playstation-kaos

PlayStation-spillere nedlagt af network-hackere

Sony indrømmer: Hackere kan have dit kreditkort

Hackernetværk får skylden for Playstation-kaos.

Sony mister millioner af kundedata - igen

Sony: Sådan foregik gigantisk PlayStation-angreb

Gør sådan her, hvis du spiller PlayStation

Som bruger af PlayStation Network kan man gemme sine kreditkortoplysninger. Så slipper man for at indtaste dem, når man næste gang vil købe noget.

Sony kan ikke udelukke, at også kreditkortoplysninger er kommet i hackernes hænder.

Det skulle dog være sikkert, at de trecifrede sikkerhedskoder ikke er det.

Mine anbefalinger til brugere af PlayStation Network lyder:

Skift password på alle tjenester, hvor du har brugt samme password som til PlayStation Network.

Benyt lejligheden til at vælge forskellige passwords til hver tjeneste.

Hold ekstra øje med dine kontoudtog, hvis du har gemt kreditkortoplysninger på PlayStation Network.

Når tjenesten bliver tilgængelig igen, anbefaler jeg, at du fjerner kreditkortoplysningerne fra den.

Vi ved som sagt endnu ikke, hvordan angrebet foregik. Det har medført en række spekulationer.

I begyndelsen, da netværket var nede, troede mange, at de var ofre for et ude-af-drift-angreb.

Det kunne være hævn for, at Sony har sagsøgt en person, der har fundet en metode til at jailbreake firmaets konsoller.

En anden teori går på, at et værktøj har givet modificerede udgaver af PlayStation adgang til en del af netværket, der er reserveret til udviklere.

Forhåbentlig vælger Sony at være mere åben, når efterforskningen er afsluttet.

Det vil være nyttigt for både brugere og andre udbydere af cloud-tjenester, hvis vi kan få at vide, hvordan hackerne fik adgang til oplysningerne.

Allerede nu kan man drage en lære af angrebet: Vi skal ikke regne med, at vore data er sikre, når de ligger ude på nettet. Derfor er det en god idé at begrænse mængden af følsomme data, vi lægger ud.

DK-CERT (www.cert.dk) er det danske Computer Emergency Response Team. I samarbejde med tilsvarende CERT'er over hele verden indsamler DK-CERT information om internetsikkerhed.

DK-CERT udsender advarsler og tager imod anmeldelser af sikkerhedsrelaterede hændelser på internettet.

DK-CERT er en tjeneste fra UNI-C, en styrelse under Undervisningsministeriet.
Shehzad Ahmad opdaterer en gang om måneden Computerworlds læsere med de seneste tendenser inden for it-sikkerhed.




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Alfapeople Nordic A/S
Rådgivning, implementering, udvikling og support af software og it-løsninger indenfor CRM og ERP.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Compliance og strategisk it-sikkerhed efter DORA

Finansielle koncerner har i snit 85 sikkerhedsløsninger i drift – men er i snit op til 100 dage om at opdage et igangværende cyberangreb. Ydermere viser øvelser, at det typisk tager 4-6 uger at rense og genetablere sikker drift af centrale systemer efter et stort angreb. Fokus for dagen vil derfor være på henholdsvis governance samt om, hvordan du som it-leder i den finansielle sektor skal kunne håndtere fremtidens cybertrusler og arbejde effektivt med sikkerhed på et strategisk niveau.

04. april 2024 | Læs mere


EA Excellence Day

Hvad er det, der gør it-arkitektens rolle så vigtig? Og hvad er det for udfordringer inden for områder som cloud, netværk og datacentre, som fylder hos nogle af landets bedste it-arkitekter lige nu? Det kan du her høre mere om og blive inspireret af på denne konference, hvor du også får lejlighed til at drøfte dette med ligesindede.

16. april 2024 | Læs mere


IAM - din genvej til højere sikkerhed uden uautoriseret adgang og datatab

På denne dag udforsker vi de nyeste strategier, værktøjer og bedste praksis inden for IAM, med det formål at styrke virksomheders sikkerhedsposition og effektiviteten af deres adgangsstyringssystemer og dermed minimere risikoen for uautoriseret adgang og datatab. Og hvordan man kommer fra at overbevise ledelsen til rent faktisk at implementere IAM?

18. april 2024 | Læs mere