Nye oplysninger om dårlig sikkerhed hos Sony var falske

Sony brugte trods advarsler en ikke-opdateret version af Apache, lyder et falsk rygte, som florerer nu. Hold op med at grine ad Sony og se på din egen sikkerhed, lyder det fra sikkerhedsekspert.

I kølvandet på hvad der kaldes verdens største hackerangreb er der nu opstået falske rygter om et helt håbløst sikkerhedsniveau hos Sony.

Firmaet skulle have kørt en gammel version af Apache på serverne og ikke brugt en firewall, lød rygterne, der dukkede op i en IRC-chatkanal.

Samtidigt var Sony blevet advaret om at skifte til en nyere version, flere måneder før hackerangrebet, lød det. De forkerte oplysninger blev videregivet af it-medier og sågar af en professor i it-sikkerhed, som var indkaldt som ekspert ved en høring i Kongressen i USA.

Men oplysning er ikke korrekt, har andre fundet ud af med lidt research på nettet: Sony har i mange måneder kørt den nyeste version af Apache på serverne.

At en manglende opdatering til den nyeste Apache-version skulle give hackerne adgang, giver heller ikke meget mening, fortæller den svenske sikkerhedsekspert David Jacoby til Version2.

»Der er ikke nogle interessante sårbarheder i Apache, som er blevet lukket i den seneste version. Jeg har kun set én sårbarhed omtalt, men ifølge mine oplysninger kunne den ikke bruges imod Sonys servere. Ellers kunne det være en zero-day-sårbarhed, hackerne har brugt i Apache, men så ville det ikke hjælpe med den nyeste version,« siger David Jacoby, der er ansat i antivirusfirmaet Kaspersky og før det arbejde med penetrationstest i 15 år.

I det hele taget er det lige nu småt med information om, hvordan hackerangrebet mod Sony foregik, udover at Sony har nævnt, at hackerne brugte en kendt sårbarhed.

Læs også: Sony-angreb: Hackere brød ind gennem kendt sikkerhedsbrist i server

Så længe, der er så få, sikre detaljer om angrebet, er det for tidligt at mene noget om sikkerhedsniveauet hos Sony, mener David Jacoby.

»Den kan også være, at hackerne udnyttede en forkert konfiguration hos Sony, fordi det er normalt sådan, det sker. Men vi ved det ikke endnu. Kun Sony og dem, der hackede Sony, kan have sikre informationer,« siger han.

Har man i disse dage travlt med at tage sig til hovedet over Sonys sikkerhed, bør man derfor hellere bruge energien på at gå sine egne rutiner og systemer igennem en ekstra gang.

»Det er ubehøvlet og forkert at grine af Sony, så længe vi ikke ved, hvad der skete. De fleste kan blive ofre for sådanne hackerangreb. Det er ligesom at håne andre for at få bilen stjålet, fordi de glemte at låse den. Det kunne du også selv komme til,« siger David Jacoby.

Også store firmaer og firmaer der arbejder med it-sikkerhed bliver hacket, fortæller han og minder om historien om det amerikanske firma HBGary, der blev hængt til tørre af hackergruppen Anonymous. Senest er den største indiske betalingstjeneste CCAvenue blevet hacket ved hjælp af en simpel SQL injection.

Blandt rygterne om Sonys it-sikkerhed har også lydt, at der ingen firewall var. Det kan være opstået ved, at alle kritiske information var samlet i ét segment, for det er en typisk fejl eller svaghed i virksomheders it-systemer, fortæller sikkerhedseksperten.

I Sonys tilfælde var hele Playstation Network og alle brugeroplysninger sandsynligvis samlet i én zone, vurderer han, hvilket kan have været en hjælp for hackerne.

Men omvendt kan en masse interne firewalls også i sig selv give nye sikkerhedsproblemer, siger han og understreger, at han ikke kender til Sonys brug af firewalls og segmentering af netværket.

Hackerangreb på flere af Sonys onlinetjenester har ført til, at over 100 millioner kunder har fået stjålet data som login og password og muligvis kreditkortoplysninger.

Siden indbruddet blev opdaget har Sony haft lukket spilportalerne Playstation Network og Qriocity, samt alle Sony Online Entertainment-tjenester.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (1)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Log ind eller Opret konto for at kommentere