{"id":6305,"date":"2011-06-15T20:14:27","date_gmt":"2011-06-15T18:14:27","guid":{"rendered":"http:\/\/www.glorf.it\/blog\/?p=6305"},"modified":"2011-06-17T12:21:07","modified_gmt":"2011-06-17T10:21:07","slug":"die-hacks-gegen-sony-sql-injection-uberwiegt","status":"publish","type":"post","link":"http:\/\/www.glorf.it\/blog\/2011\/06\/15\/sql-talk\/die-hacks-gegen-sony-sql-injection-uberwiegt","title":{"rendered":"Die Hacks gegen Sony &#8211; SQL-Injection &#252;berwiegt"},"content":{"rendered":"<p>Nachdem es etwas ruhiger um Sony wurde, lohnt sich der R&#252;ckblick. Mich interessierte wie es sein kann, dass ein gro&#223;er Konzern wochenlang immer wieder mit Sicherheitsl&#252;cken zu k&#228;mpfen hatte und ob mich das als Datenb&#228;nker irgendwie tangiert. Der Titel sagt es ja schon: ja, es hat sehr viel mit SQL zu tun.<br \/>\nVermutungen &#252;ber Hintergr&#252;nde <a href=\"http:\/\/www.glorf.it\/blog\/?p=6284\">&#228;u&#223;erte ich bereits an anderer Stelle<\/a>. Daher hier erst mal das Ergebnis meiner Recherchen:<\/p>\n<ul>\n<li>Anonymous <a href=\"http:\/\/anonnews.org\/?p=press&#038;a=item&#038;i=787\">k&#252;ndigt Aktionen gegen Sony<\/a> an:<br \/>\nAb dem 4.4.2011 beginnen <strong>DoS<\/strong>-Attacken gegen Sony-Webseiten durch das Anonymous-Kollektiv (<a href=\"http:\/\/www.dailytech.com\/Anonymous+Engages+in+Sony+DDoS+Attacks+Over+GeoHot+PS3+Lawsuit\/article21282.htm\">Details<\/a>). Weil das die Spieler aber massiv st&#246;rt, h&#246;ren sie am 7.4. wieder damit auf und entschuldigen sich bei den Spielern. <\/li>\n<li>16.4.2011: Die Daten von Sony Online Entertainment (SOE) werden geknackt: erbeutet werden 24,6 Millionen Kundendaten (inkl. Kreditkartendaten bzw. Konteninfos). Entdeckt wurde das aber erst nach intensiven Untersuchungen rund um den PSN-Hack am 2.5.2011. Details siehe <a href=\"http:\/\/gaming.justnetwork.eu\/2011\/05\/06\/psn-hack-timeline-die-ganze-geschichte\/\">Heise.de<\/a>. Zu diesem <strong>Hack<\/strong> hat sich meines Wissens noch niemand bekannt, dass f&#252;hrt zu einer Vermutung:<\/li>\n<li>19.4.2011: Offenbar wurden durch die Aktionen auch echte Hacker\/Cracker auf die L&#252;cken bei Sony aufmerksam. Sie hacken sich in deren Spieler-Netz PSN, erbeuteten Millionen von Kredikarteninfos und bieten sie angeblich zum Kauf an. Der Einbruch gelingt, weil Sony Software mit <a href=\"http:\/\/www.thehackernews.com\/2011\/05\/anonymous-leaks-psn-ssh-logs-sony-is.html\">5 Jahre lang <strong>bekannten Sicherheitsl&#252;cken<\/strong><\/a> nicht aktualisierte. Wie peinlich.<br \/>\n<a href=\"http:\/\/www.spiegel.de\/netzwelt\/gadgets\/0,1518,759161,00.html\">Spiegel.de<\/a> berichtete: &quot;Hacker haben Daten von Millionen Nutzern der Online-Dienste des Konzerns erbeutet. Es geht um Adressen, Passw&#246;rter und m&#246;glicherweise auch um Kreditkartennummern, warnte Sony. Mehr als 75 Millionen Nutzer des Playstation Network (PSN) und des Video- und Musikservices Qriocity weltweit sind betroffen.&quot;<br \/>\nEine ganz ausf&#252;hrliche Beschreibung findet man im Artikel <a href=\"http:\/\/gaming.justnetwork.eu\/2011\/05\/06\/psn-hack-timeline-die-ganze-geschichte\/\">PSN-Hack Timeline \u2013 Die ganze Geschichte!<\/a>.<\/li>\n<li>7.5.2011: Veraltete Kundendaten von einem eigentlich inaktiven Sony-Webserver k&#246;nnen ganz leicht via Google eingesehen werden: sie schlummerten seit 2001 als <strong>Excel-Datei<\/strong> nur ungen&#252;gend gesch&#252;tzt auf einem Webserver. Details siehe <a href=\"http:\/\/www.thehackernews.com\/2011\/05\/thn-hacker-news-exclusive-report-on.html\">thehackernews.com<\/a> und <a href=\"http:\/\/nakedsecurity.sophos.com\/2011\/05\/07\/sony-succumbs-to-another-hack-leaking-2500-old-records\/\">Sophos.com<\/a>. Wie peinlich ist das denn?<\/li>\n<li>17.5.2011: 2 Tage nach dem Neustart des PSN meldet die Spiele-Webseite <a href=\"http:\/\/sony.nyleveia.com\/2011\/05\/17\/warning-all-psn-users-your-accounts-are-still-not-safe\/\">Nylevia<\/a> ernsthafte Probleme. Man kann leicht die Passw&#246;rter fremder Accounts &#228;ndern.<br \/>\nDetails bei <a href=\"http:\/\/www.heise.de\/newsticker\/meldung\/Unsicherheiten-bei-der-Passwort-Ruecksetzung-des-Playstation-Network-3-Update-1245433.html\">Heise.de<\/a>: &quot;Dazu musste der Angreifer lediglich die E-Mail-Adresse und das Geburtsdatum des PSN-Mitglieds kennen. Diese Informationen geh&#246;ren zu den pers&#246;nlichen Daten, die die Datendiebe bei ihrem Einbruch in das PSN Mitte April erbeuten konnten.&quot;<\/li>\n<li>20.5.2011: auf der Webseite von Sony-Thailand wurde injizierter <strong>Phishing-Code<\/strong> entdeckt, der Kreditkartendaten abgegriffen hat. Details siehe <a href=\"http:\/\/www.f-secure.com\/weblog\/archives\/00002160.html\">F-Secure.com<\/a>.<\/li>\n<li>21.5.2011: Der Internet-Provider SO-NET, der zu Sony geh&#246;rt, wurde gehackt. Laut <a href=\"http:\/\/www.heise.de\/security\/meldung\/Weitere-Angriffe-auf-Sony-Server-1247345.html\">Heise-Online<\/a> werden<br \/>\naus dem Kunden-Bonus-System nur ein paar Punkte erbeutet.<\/li>\n<li>21.5.2011: Die Webseite von Sony-Music in Indonesien wird <a href=\"http:\/\/www.thehackernews.com\/2011\/05\/anonymous-leaks-psn-ssh-logs-sony-is.html\">von einem Hacker<\/a> geknackt und ver&#228;ndert. So etwas nennt man <a href=\"http:\/\/de.wikipedia.org\/wiki\/Defacement\">Defacement<\/a>.<\/li>\n<li>21.5.2001: Schlechter Tag f&#252;r Sony, denn auch Sony-Music in Griechenland wurde gehackt und die Inhalte ge&#228;ndert. Das passierte laut <a href=\"http:\/\/www.thehackernews.com\/2011\/05\/sony-bgm-greece-hack-complete-details.html\">thehackernews.com<\/a> mittels einfacher <strong>SQL-Injection<\/strong>.<\/li>\n<li>23.5.2011: Gleich zwei neue <strong>SQL-Injection<\/strong>-L&#252;cken werden auf Sony-Music Japan von<a href=\"http:\/\/lulzsecurity.com\/releases\/sonymusic.co.jp_database.txt\"> LulzSec<\/a> ver&#246;ffentlicht. Diese L&#252;cke erfordert wenig Kenntnisse. Sp&#228;testens jetzt ist Sony in der Fachwelt blamiert. Die Art der dabei zug&#228;nglichen Informationen sind <a href=\"http:\/\/lulzsecurity.com\/releases\/sonymusic.co.jp_database.txt\">hier einzusehen<\/a>.<\/li>\n<li>24.5.2011: Die Webseite von Sony-Ericsson in Kanada wird durch den Hacker Idahc gehackt. Dabei kommen Kundendaten zu Tage (Mail, Name, Passwort-Hash, &#8230;), als Beweis werden 2000 Beispiele ver&#246;ffentlicht. Wer wei&#223; wie viele Daten von b&#246;sen Buben schon entwendet wurden. Der <a href=\"http:\/\/www.thehackernews.com\/2011\/05\/sony-erricson-got-hacked-by-idahca.html\">Screenshot zeigt<\/a>: auch hierbei handelt es sich im Prinzip um eine <strong>SQL-Injection<\/strong>.<\/li>\n<li>27.5.2010: Diesmal wird blo&#223; eine <a href=\"http:\/\/www.thehackernews.com\/2011\/05\/xss-vulnerability-found-on-sony.html\"><strong>XSS-Verwundbarkeit<\/strong> im Sony Playstation Store<\/a> ver&#246;ffentlicht. Schon fast ein kleiner Fisch&#8230;<\/li>\n<li>Am 2.6.2011 wird SonyPictures.com von LulzSec wieder mittels einfacher <strong>SQL-Injection<\/strong> geknackt. Am gleichen Tag werden 8 Datenbanken gehackt: Dort finden sie eine lange Liste von sensiblen Daten in verschiedenen Tabellen frei zug&#228;nglich: Benutzerdaten, teilweise inkl. Geburtstag und Klartext-Passwort. <a href=\"http:\/\/lulzsecurity.com\/releases\/sownage_FILE%20CONTENTS.txt\">Details &#252;ber die acht Hacks<\/a>.<\/li>\n<li>Am 3.6.2011 wird dann die <a href=\"http:\/\/nakedsecurity.sophos.com\/2011\/06\/04\/sony-europe-hacked-by-lebanese-hacker-again\/\">Webseite von Sony Europa <\/a> durch den Hacker Idahc gehackt. Wieder mittels <strong>SQL-Injection<\/strong>, diesmal werden wieder Klartext-Passw&#246;rter und sonstige pers&#246;nliche Daten erbeutet&#8230; <\/li>\n<li>Am 5.6.2011 ist dann die <a href=\"http:\/\/news.softpedia.com\/news\/Sony-Pictures-Russian-Website-Compromised-204563.shtml\">russische Webseite von Sony-Pictures dran<\/a>: <strong>SQL-Injection<\/strong> was sonst. Die &#252;blichen Inhalte&#8230;<\/li>\n<li>Ebenso am 5.6.2011 ist die <a href=\"http:\/\/www.thehackernews.com\/2011\/06\/sony-music-brazil-gets-defaced.html\">Webseite von Sony-Music Brasilien<\/a> mit <a href=\"http:\/\/de.wikipedia.org\/wiki\/Defacement\">Defacement<\/a> dran: Die Inhalte wurden durch eine &quot;Owned&quot;-Meldung ersetzt, die &#252;ber 12 Stunden online war.<\/li>\n<li>Am 6.6.2011 gelingt es LulzSec das <a href=\"http:\/\/www.pcgameshardware.de\/aid,828137\/LulzSec-hackt-Sony-Developer-Network-und-veroeffentlicht-Quellcode\/Konsolen\/News\/\">Developer-Network von Sony<\/a> zu hacken und ver&#246;ffentlicht als Beweis dort erbeutete Quelltexte. <\/li>\n<li>Am 6.6.2011 ver&#246;ffentlicht <a href=\"http:\/\/lulzsecurity.com\/releases\">LulzSec<\/a> interne Pl&#228;ne &#252;ber das Netzwerk bei Sony BMG, deren Infos wertvole Informationen f&#252;r weitere Angriffe geben. Es ist unklar wo die herkommen. Offenbar sind sie auch dort eingedrungen.<\/li>\n<li>Am 8.6.2011 wird die <a href=\"http:\/\/nakedsecurity.sophos.com\/2011\/06\/09\/sony-portugal-latest-to-fall-to-hackers\/\">Webseite von Sony-Musik-Webseite in Portugal<\/a> (SonyMusic.pt) wieder von Adahc gehackt. Diesmal gleich auf drei verschiedene Arten: <strong>SQL-Injection<\/strong>, <strong>XSS <\/strong>(cross-site scripting) und <strong>iFrame-Injection<\/strong>. Und was kam zutage? Das &#252;bliche&#8230; <\/li>\n<li>Ebenfalls am 8.6.2011 <a href=\"http:\/\/translate.google.com\/translate?hl=en&#038;sl=ja&#038;tl=de&#038;u=http%3A%2F%2Fwww.sony.jp%2Finfo%2F20110609.html\">best&#228;tigt Sony-Japan<\/a>, dass es einem Hacker gelang durch <a href=\"http:\/\/de.wikipedia.org\/wiki\/Spoofing\"><strong>Spoofing<\/strong><\/a> Punkte im My-Sony-Club zu erbeuten. Dieser Club scheint also auch nicht sicher zu sein.<\/li>\n<\/ul>\n<p>Und was lernen wir daraus? Die Webseiten von Sony konnten mit ganz alten und einfachen Tricks penetriert werden. Sony lernte nicht aus den Fehlern, Sony aktualisierte die Software nicht und h&#228;tte mal besser etwas mehr Geld f&#252;r Sicherheitsfachleute investiert&#8230;<\/p>\n<p><strong>Was geht mich das als DB-Entwickler an?<\/strong><\/p>\n<p>Als Res&#252;mee aus der obigen Liste fallen mir drei Dinge ins Auge:<\/p>\n<p>1. Wenn man die Liste durchgeht, dann &#252;berwiegen die <strong>SQL-Injection-Angriffe<\/strong>. Sie sind auch die Angriffe mit den schlimmsten Datenlecks. Ein Defacement ist ja noch harmlos, aber das Auslesen von Kundendaten ist kein Spa&#223;. In einem Artikel verweist Sophos resigniert auf deren Artikel &quot;<a href=\"http:\/\/www.sophos.com\/en-us\/why-sophos\/our-people\/technical-papers\/securing-websites.aspx\">Securing Websites<\/a>&quot;. <\/p>\n<p>2. Wenn ich mir die exponierten Daten so ansehe, dann kommt die Frage auf: Warum werden Passw&#246;rter im Klartext gespeichert? Wenn ein Hash gespeichert wird, ist er dann wenigstens gesalzen?<\/p>\n<p>3. Wegen der vielen heterogenen Systeme wurden die gleichen Fehler immer und immer wieder gemacht. Offenbar hinderte die Organisationsstruktur die Sony-Admins und -Entwickler daran schnell und effizient Erfahrungen auszutauschen. Anders ist es nicht zu erkl&#228;ren, warum auch nach Wochen der ersten SQL-Injection-Angriffe immer noch weitere Webseiten dagegen verwundbar waren.<\/p>\n<p>Diese drei Punkte gehen DB-Entwickler schon etwas an&#8230; \ud83d\ude09<\/p>\n<p>PS: Als ich fast fertig war, entdeckte ich eine sehr gute und knappe <a href=\"http:\/\/attrition.org\/security\/rants\/sony_aka_sownage.html\">englische Liste der Hacks<\/a>&#8230; Pech. Die ist auch deswegen interessant, weil darin auch alte Hacks enthalten sind.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Nachdem es etwas ruhiger um Sony wurde, lohnt sich der R&#252;ckblick. Mich interessierte wie es sein kann, dass ein gro&#223;er Konzern wochenlang immer wieder mit Sicherheitsl&#252;cken zu k&#228;mpfen hatte und ob mich das als Datenb&#228;nker irgendwie tangiert. Der Titel sagt es ja schon: ja, es hat sehr viel mit SQL zu tun. Vermutungen &#252;ber Hintergr&#252;nde [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":[],"categories":[19,3],"tags":[851],"_links":{"self":[{"href":"http:\/\/www.glorf.it\/blog\/wp-json\/wp\/v2\/posts\/6305"}],"collection":[{"href":"http:\/\/www.glorf.it\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"http:\/\/www.glorf.it\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"http:\/\/www.glorf.it\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"http:\/\/www.glorf.it\/blog\/wp-json\/wp\/v2\/comments?post=6305"}],"version-history":[{"count":20,"href":"http:\/\/www.glorf.it\/blog\/wp-json\/wp\/v2\/posts\/6305\/revisions"}],"predecessor-version":[{"id":6334,"href":"http:\/\/www.glorf.it\/blog\/wp-json\/wp\/v2\/posts\/6305\/revisions\/6334"}],"wp:attachment":[{"href":"http:\/\/www.glorf.it\/blog\/wp-json\/wp\/v2\/media?parent=6305"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"http:\/\/www.glorf.it\/blog\/wp-json\/wp\/v2\/categories?post=6305"},{"taxonomy":"post_tag","embeddable":true,"href":"http:\/\/www.glorf.it\/blog\/wp-json\/wp\/v2\/tags?post=6305"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}