26 mayo 2011

Recopilación de los ataques a Sony

Tras más de un mes esperando al momento adecuado para hablar sobre todo lo que estaba ocurriendo, en vez de un post, deberíamos haber dedicado una wiki única y exclusivamente a todos los problemas de seguridad a los que se está enfrentando Sony, y todo lo que le rodea, durante este último mes.

Podríamos decir que hemos llegado a unos 10 incidentes a fecha del 25 de Mayo, y viendo la tendencia de intrusión/deface/fuga de información diaria, es hora de parar, recopilar, diferenciar y concluir. Esto se está convirtiendo en una especie de MOSB (Month Of Sony Bugs), iniciativas tan de moda en los últimos años. Todos sabemos como comenzó todo (más o menos), pero quizás estos incidentes contra Sony ahora están teniendo tanta repercusión mediática debido a la gran incidencia ocurrida en su PlayStation Network.

Dejamos por tanto un listado de los incidentes, incluyendo fechas por orden cronológico (no de la propia intrusión, si no de publicación de las primeras informaciones acerca del hecho en sí), en qué ha consistido, autoría de la intrusión y algunos comentarios al respecto. Veréis que la lista contiene 11 puntos, y todo el mundo contempla 10 (¿no os suena a resultado deportivo de Malta y España?) pero ahora entenderéis el por qué he decidido añadir un punto más:

(1) Intrusión en Sony PlayStation Network

[2 de Mayo de 2011] Aún sabiendo que la intrusión se pudo realizar a mediados de Abril, y tras profundas investigaciones (se ha determinado incluso que el ataque fue realizado utilizando los servicios de Amazon EC2), se notifica el compromiso de la red de PlayStation Network, con más de 77 millones de cuentas de usuarios que podrían haber sido obtenidas. 

La noticia da la vuelta al mundo, Sony está en el candelero, comienzan las teorías sobre la información incluida en dichas cuentas (datos de tarjetas de crédito, etc), a quién se atribuye el ataque (como no, Anonymous queda en el punto de mira inmediatamente), posibles logs de IRC comentando la jugada... Lo que está claro es que todo esto fue posible por no tener servidores y servicios actualizados a sus últimas versiones.

(2) Intrusión en Sony Online Entertainment



[2 de Mayo de 2011] Seguidamente se informa de la obtención de 25 millones más de cuentas de usuarios por una intrusión en otra comunidad online de jugadores, Sony Online Entertainment. Aunque se atribuía como ataque a raíz de la primera intrusión a la PlayStation Network, se aclara que ambos servicios se encuentran en ámbitos diferentes, por lo tanto, deben tratarse como hechos aislados técnicamente.

Además de los millones de usuarios, se confirma que se tendría acceso a más de 12,000 datos de tarjetas de crédito de los usuarios. Los titulares en la prensa cambian el mensaje, y ahora ya se habla de la fuga total de 100 millones de usuarios, uniendo ambos incidentes. La bola ya es gigante, toda la comunidad está cabreada, bajan las acciones de Sony (que luego reflotan debido a las ruedas de prensa que ofrece la compañía a raíz de los ataques) y ya es imposible pensar que puede ocurrir algo más...Pero sí, comienza una oleada que comparte objetivo (SONY) pero difiere en muchos otros aspectos que veréis a continuación.

(3) Deface a Sony BMG Greece

[5 de Mayo de 2011] Tímidamente, se publica en el portal Zone-H, en la sección Archive encargada de recopilar defaces a webs, un ataque deface a Sony BMG Greece cuya direción es sonyMusic.gr. Un usuario llamado b4d_vipera es el autor. Y digo tímidamente, ya que esta incidencia tiene poco eco, sobretodo con la bola que ya había formada por la grandísima fuga de información y la necesidad de recuperar el servicio cuanto antes. 

No trasciende más allá de la modificación de la página, por lo que dicha notificación se pierde entre los ataques masivos que recopila Zone-h diariamente.

(4) Ficheros con información sensible en products.sel.sony.com

[5 de Mayo de 2011] El portal de seguridad The Hacker News, recibe en exclusiva un correo electrónico de un usuario, en el que se dan varios enlaces directos a ficheros albergados dentro del subdominio de Sony products.sel.sony.com, que contienen información sensible de usuarios. Mediante unas búsquedas típicas de documentos ofimáticos en Google (site:products.sel.sony.com filetype:xls), es posible ver dicha información directamente como resultados de Google. ¿Robots.txt? ¿Para qué?

Sony reacciona publicando una nota de prensa en la que se informa de la eliminación de dichos ficheros del servidor. No es un hack como tal, ya que la información era perfectamente pública en sus propios servidores, pero aún así Sony se refiere a la información como "datos robados por hackers" (no comments...). Aprovechan la nota de prensa para comentar que se retrasa la restauración del servicio PlayStation Network.

(5) Robo de cuentas mediante sistema de recuperación de cuentas de PlayStation Network recién restaurado

[17 de Mayo de 2011] Tras todo tipo de informaciones acerca de la intrusión en la red PlayStation Network, estudios, infografías, análisis de varias empresas, etc, por fin parece que se restablece el servicio. El mensaje de Sony fue claro desde el principio: "Es conveniente que todos los usuarios cambien sus contraseñas de acceso al servicio". Por lo tanto, se puso en línea un formulario para la restauración de las cuentas. 

Duró unas horas, ya que se evidenciaron fallos de diseño de la aplicación de recuperación de contraseñas que permitirán el robo de sesiones de usuarios por otros. Sony se vió obligada a cerrar dicho servicio online, avisando a sus usuarios que tendrían que realizar el proceso mediante sus consolas PS3, hasta que se restaurase el servicio.

(6) Phishing en Sony Tailandia

[19 de Mayo de 2011] La compañía de seguridad F-Secure informa en su blog de que habían encontrado una página de phishing alojada en el servidor de la página de Sony Tailandia, con dominio sony.co.th. La página de phishing emulaba la web de una compañía italiana de tarjetas de crédito llamada CartaSi. Tras informar a Sony, esta bloqueo el acceso a la url. Otro dolor de cabeza, a saber como habría llegado esa página ahí, cuanto tiempo llevaba, alcance del ataque...

(7) Acceso a cuentas de So-Net Entertainment y robo de dinero virtual

[20 de Mayo de 2011] Una de las compañías subsidiarias de Sony en Japón, So-Net Entertainment, es comprometida. El ataque da lugar al robo de puntos utilizados para el canjeo de productos (denominados so-net points) de 128 usuarios y acceso a casi la mayoría de sus cuentas de correo electrónico. En dicho servicio existe la posibilidad de contar con dinero virtual. 

Se informó que además de a las cuentas, y el acceso a los correos electrónicos de la mayoría de ellas, se consiguió obtener más de 1200 dólares en dinero virtual. Un portavoz de So-Net confirma que este incidente no tiene nada que ver con lo ocurrido anteriormente, pero claro...ahora el punto en común es que, de nuevo, el nombre/marca de Sony se volvía a citar, así que un palito más.

(8) Deface a Sony Music Indonesia

[21 de Mayo de 2011] Volvemos a los defaces, esta vez viajamos a Sony Music Indonesia (www.sonymusic.co.id ), cuya página fue modificada por k4L0ng666. Al parecer es un simple deface, que quizás hace un año hubiera pasado bastante desapercibido como la cantidad de defaces que se reportan y archivan en Zone-H...pero estábamos hablando de una nueva vuelta de tuerca a algo relacionado con la marca Sony, otra vez.

Todo vale ya: red de usuarios, proveedor de servicio, portal musical, comunidad online de jugadores...Ya eran casi 4 días consecutivos de incidencias de seguridad en algo que llevaba la palabra "sony" como parte de un dominio, y se empezaba a convertir en una rutina diaria. Obviamente estos ataques no tienen la misma importancia que los iniciales, en el que los usuarios afectados alcanzan las 8 cifras, pero la imagen queda por los suelos y la mofa es generalizada.

(9) Publicación de información del hack a Sony BMG Greece

[22 de Mayo de 2011] ¿Recordáis el deface a Sony BMG Greece del punto (3)? Al parecer no fué solo un deface. Tras semanas, y con la consiguiente publicación de información acerca del ataque en un texto subido a pastebin, se determina que hubo una intrusión en toda regla, con la obtención mediante inyección SQL de más de 8000 usuarios registrados en el portal. 

De nuevo, se supo de la existencia de estos datos en el servidor de pastebin debido a que el autor del deface, b4d_vipera, contactó directamente con el portal The Hacker News.


(10) Inyección SQL en Sony Music Japan

[23 de Mayo de 2011] El grupo de hacking de moda, Lulzsec (los mismos que mencionamos en los enlaces de la SECmana 71 por publicar información de Fox.com y de los candidatos al X Factor de Estados Unidos) publica datos de otro portal de Sony, Sony Music Japan - sonymusic.co.jp, anunciando el volcado de información en pastebin mediante su cuenta de twitter.

No ofrecen datos concretos de usuarios como en otras ocasiones, únicamente tablas y columnas, además de las páginas vulnerables mediante inyección SQL y parámetros afectados, para obtener todo el contenido de base de datos. En bandeja, para el disfrute del personal.

(11) Inyección SQL en eShop de Sony Ericcson Canada

[24 de Mayo de 2011] La última de la que se tiene constancia en el momento de escribir este post, la tienda electrónica de Canadá de la linea de productos Sony Ericcson de Sony (aplicación alojada en ca.eshop.sonyericcson.com), fue comprometida por un usuario llamado Idahc, y con ello, cuentas de usuario registrados en la tienda. El propio autor confirmó que podría haber obtenido información más valiosa, como datos de tarjetas de crédito, pero que no se considera un hacker malo.

De nuevo, una inyección SQL muy simple que permite la obtención de cualquier dato de la base de datos. El propio Idahc publica en pastebin (información ya retirada) una pequeña muestra de los datos obtenidos, incluyendo hashes de contraseñas de los clientes, e-mails y sus nombres completos.

------

Sacad vuestras propias conclusiones, pero es que parece como si se estuviera jugando al Risk con Sony, y diferentes grupos o individuos con nicks que alternan letras y números, conquistando sus países día tras día. Muchos piensan que el establecer a Sony como un objetivo comenzó con la publicación del grupo fail0verflow de la grave vulnerabilidad en el sistema de seguridad de la PlayStation 3 en la pasada 27C3, o la posterior persecución a George Hotz "GeoHot".

Lo que está claro es que Sony debería hacer una recopilación de todo sitio web que tenga su marca en internet, sea portal musical, productora, club de fans o tienda de golosinas, y comenzar u ordenar diferentes revisiones de seguridad. Es algo imposible, pero debido a colocarse ya en el punto de mira tanto de medios de comunicación como de hackers/crackers/defacers, además de técnicamente, el daño que se le está haciendo es ya a nivel de marca, y seguro que eso a ellos les está doliendo mucho más.

El atacar cualquier página relacionada con Sony ya se ve como una manera de obtener fama por parte de pequeños grupos, así que quizás podamos esperar más pequeños ataques durante los próximos días.

7 comments :

evilteq 2 dijo...

La explicación de overfl0w sobre cómo consiguieron saltarse la protección de la PS3, gracias a que Sony usaba un número fijo donde se debería usar un aleatorio, deja muy mal a los encargados de seguridad de Sony.
Viendo toda esta lista, no mejora...

Uno que llega dijo...

Aparte de la parte tecnica, me falta saber una cosa.. ¿por qué a Sony? 

José A. Guasch dijo...

Sony siempre se ha caracterizado por ir contra los usuarios (¿recuerdas lo del rootkit?) y hackers (como comento en el párrafo de "Muchos piensan que el establecer a Sony como un objetivo comenzó con lapublicación del grupo fail0verflow de la grave vulnerabilidad en el sistema de seguridad de la PlayStation 3 en la pasada 27C3, o la posterior persecución a George Hotz "GeoHot")No se trata de ir contra la marca por tener las televisiones 200 euros más caras que el resto, si no que la crispación general comienza con lo que ha estado ocurriendo con los abogados de Sony contra GeoHot y fail0verflow (el caso ya llamado SonyGate). Tienen que ir por ahí los tiros.

Ignacio Agulló Sousa dijo...

Muy completo.  Por cierto que este sistema de comentarios 2.0, Disqus, funciona bien pero se lleva mal con NoScript (una extensión de Firefox que todos usamos, ¿verdad?).  Los comentarios no se ven a menos que hagas "Permitir temporalmente toda la página"... y después lo vuelvas a hacer una segunda vez.

Madrikeka dijo...

La verdad que a Sony le debería costar lavarse mucho mas la cara de lo que le va a costar, ya que muchos usuarios están super contentos con que les regalan 3 juegos.

Espero que las denuncias a Sony sigan adelante y les peguen sablazos en cada país.

si, soy mala XD, pero es así, ya que se las dan de profesionales y parece ser que se han dejado muchas cosas en el tintero.

Invitado dijo...

Siempre muy interesantes los artículos que publican.
Thanks

pd: Agradecería mucho si pudieran habilitar un tema para móviles...

AAAAAAAAAAAAA dijo...

Seguro que los ataques a Sony están patrocinados y financiados por los cochinos, sucios, apestosos e inútiles de M$. Es lo único que saben hacer bien: Malas artes y juego sucio, pq de sus productos lo único que se puede decir es que son una mala copia de los verdaderos innovadores.

Muerte a M$ y sus apestosas artimañas no-comerciales (por que precisamente es lo que hacen, restringir la innovación y el verdadero limpio y saludable comercio).

¿Por qué ese grupo no se ceba con M$?. Está claro, porque no darían abasto con la cantidad de vulnerabilidades que encontrarían.