Dette indlæg er alene udtryk for skribentens egen holdning.

Sonys deroute...

3. maj 2011 kl. 11:3345
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Det er nærmest tåkrummende pinligt at følge udviklingen i Sonys PSN deroute, en slow-motion katastrofe der bare ingen ende vil tage.

Der er absolut ingen tvivl om at Sony organisationen er pilråden rent etisk, deres plade-selskab(er) har altid været berygtede på det punkt og deres elektronikproduktion har ikke ligefrem nogen flot track-record heller.

Sony er et selskab der handler om at tjene penge og det kommer først og det har det altid gjort.

Men med stor markedsandel følger stort ansvar.

Artiklen fortsætter efter annoncen

F.eks er det en rent ud sagt skræmmende tanke, hvis kriminelle fik adgang til blot nogle få timers kontrol med 50 mio maskiner af den styrke.

Til sammenligning ligger der kun ca. 10.000 processorer i verdens største (officielle) computer-cluster.

Eller sagt på en anden måde:

Overvej hvad kriminelle kan gøre med 2^35 computere.

Overvej så om du opfatter Sonys ledelse som kriminelle for tiden.

phk

45 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
1
3. maj 2011 kl. 12:32

Plejer du ikke at sige noget med:

"Don't subscribe to malice what can addequitly be explained by incompetence"

:-)

16
4. maj 2011 kl. 12:54

Så vidt jeg husker tog det kun 1 dags tid at force en MD5 med 100 PS3'er

Ny er MD5 så heller ikke ligefrem associeret med moderne sikkerhed, til dette skal du vel oppe i noget SHA-2 eller endda SHA-3.

19
4. maj 2011 kl. 15:43

Når jeg logger på min netbank (Nordea) vha. NemID ser det ud til den bruger MD5 til "meddelsesgodkendelse". Når jeg så først er logget ind siger den at den bruger SHA1 til det.

Det er når jeg bruger Google Chrome.

Men omvendt ser det ud til der bruges SHA1 under login på www.borger.dk og så MD5 når jeg først er logget ind.

Er det frit op til hjemmesiden hvilken kryptering der skal bruges til NemID login?

PS. Skal nævnes at min viden omkring kryptering er lille. Var bare hvad jeg lagde mærke til.

20
4. maj 2011 kl. 15:56

Det er da ikke givet?

Download af opdateringer forudsætter f.eks. ikke PSN.

Men alligevel bliver jeg da lidt nervøs for om mine SingStar anstrengelser havner på nettet næste gang jeg skråler med ungerne - for verdens skyld. ;-)

17
4. maj 2011 kl. 15:18

Normen inden for moderne sikkerhed er stadig SHA-1. Der er da svjv. heller ikke nogen offentliggjorte angreb, der gør et skift til SHA-2 nødvendigt... endnu.

SHA-3 eksister endnu ikke. NIST udpeger efter planen en i 2012.

21
4. maj 2011 kl. 15:56

Schneider skrev da om SHA-1's kollisionsvaghed tilbage i 2005 [http://goo.gl/VQ3D3].

SHA-3 eksisterer endnu ikke som standard, men som kategori og har haft talrige kandidaters specifikationer og reference implementationer offentligt tilgængelig på nettet i årevis.

Pointen er, man behøver ikke 100 PS3'er for at knække MD5, ligesom moderne PC'er iøvrigt vil gå i samme retning som PS3 men blot kalde Cell's SPU for GPU, PSU og hvad de eller kommer på af sjove navne. Og modsat PS3, har Windows PC'er riiiiigtig mange attack vectors og ingen central killswitch.

22
5. maj 2011 kl. 02:19

Det er hvad jeg tror. Efter at have plaget brugerne med DRM på PS3 hvor de nedgraderede softwaren så den for eksempel ikke længere kunne installere Linux som den før havde kunnet, hackede en ejermand til en PS3 sin egen maskine. Han lagde den hackede software ud på nettet til download. Dette har fået en frådende Sony-ulv til at gå amok og lægge sag an imod manden for at hacke sin egen maskine! Et uhørt angreb på ejermandsrettigheden. Derudover er det en nervøs ung mand de forfølger! I har allerede gættet at det drejer sig om "Geohot" "Geohot" er en øjesten i brugerkredse fordi han har gjort det muligt at jailbreake iPhone as well. Han har mange venner..

23
5. maj 2011 kl. 08:28

Et uhørt angreb på ejermandsrettigheden.

Det er det vel ikke, hvis det manden har gjort er i strid med loven. Altså i strid med den aftale han selv har indgået med Sony ved køb af en PS3.

Derudover er det en nervøs ung mand de forfølger!
I har allerede gættet at det drejer sig om "Geohot"
"Geohot" er en øjesten i brugerkredse fordi han har gjort det muligt at jailbreake iPhone as well.
Han har mange venner..

At han er respekteret i hackerkredse mv. gør ikke hans hacking af PS3 lovlig.

30
5. maj 2011 kl. 10:25

Man indgår ingen aftale ved køb af en gulvskrubbe eller en PS3. Man bliver ejer ved køb og kan råde over sin ejendom som man lyster. Men det viser at folk er så hjernevaskede med EULA'er ved softwarekøb at de begynder at svække deres egen ejendomsret! Det er rystende!

Man spreder jo ben for den tanke at man ikke bliver rigtig ejer af noget man køber, men kun "bruger" som bestandig må følge anvisninger fra sælgeren efter købet!

Det er en meget farlig udvikling som jeg vil opfordre alle til at modarbejde med allle de kræfter de har!

Konsekvenserne er i den grad uhyggelige hvis den tanke vinder frem!: Koste der kun må feje i køkkenet! Biler der konfiskeres hvis de ikke får service. Selve det at sælger ikke slipper ejendomsretten over det solgte er grundlovsstridigt! Men der er åbenbart følgagtige EULA-hjernevaskede unge mænd der er med på den udvikling!? Uhyggeligt!

Grundloven: "Sælger må ikke begrense købers ret over det købte!" De har ikke bestilt andet de sidste 20 år!

31
5. maj 2011 kl. 10:42

Hej Jens,

Man indgår ingen aftale ved køb af en gulvskrubbe eller en PS3.
Man bliver ejer ved køb og kan råde over sin ejendom som man lyster.
Men det viser at folk er så hjernevaskede med EULA'er ved softwarekøb at de begynder at svække deres egen ejendomsret! Det er rystende!

Jeg ved ikke hvad din udtalelese om hjernevask omhandler, men ved al slags køb indgås der aftaler, bla. om fortrydelse mm. Ved det som du forstår ved softwaresalg er varen der sælges ikke softwaren men brugsretten til softwaren. Når PS3 hackes, går jeg ud fra at det er softwaren i PS3 der modificeres. Den har man ikke en ejendomsret over, men en brugsret til. Softwaren i PS3 er Sonys ejendom. Derfor kan det hævdes at det er ulovligt at ændrer den, hvis altså det er den indgåede aftale i licensen.

At du kan have dine holdninger til at du synes det er forkert er helt fint. Jeg tager ikke stilling, men prøver at oplyse om hvordan virkeligheden forholder sig.

Grundloven:
"Sælger må ikke begrense købers ret over det købte!"
De har ikke bestilt andet de sidste 20 år!

Kan du ikke lige sende et link til dette i grundloven, jeg har nemlig meget svært ved at finde det på http://www.grundloven.dk/

46
6. maj 2011 kl. 14:36

prøv at se på §71, §72, §73

gennemgående ord ukrænkelig.

34
5. maj 2011 kl. 13:23

Når PS3 hackes, går jeg ud fra at det er softwaren i PS3 der modificeres. Den har man ikke en ejendomsret over, men en brugsret til. Softwaren i PS3 er Sonys ejendom.

Det argument kunne du bruge hvis Geohot havde distribueret modificerede kopier af den software som kører på en PS3 og som Sony har ophavsretten til.

Men det som Geohot og Graf Chokolo ville var at køre Linux på deres PS3, som de i øvrigt var blevet lovet af Sony (men det er sådan set ligegyldigt: Asus har aldrig lovet mig at jeg kan køre Linux på min Eee, men derfor kan man godt gøre det alligevel, ligesom jeg kan bruge den som fodbold hvis jeg ønsker det).

Vi kan sikkert godt blive enige om at Sony ikke har ophavsretten til Linux?

Hvis du vil se hvad Geohot har offentliggjort, kan du kigge på http://geohot.tinychan.org/ som er et mirror af geohot.com før Sony's advokater gik i gang med deres hærværk.

Jeg ser ikke andet end en signing key som er nødvendig for at få PS3 til at boote det OS som du ønsker. Det vil jeg betegne som oplysninger der er nødvendige for interoperatibilitet, ikke andet.

35
5. maj 2011 kl. 13:41

Sony påstår nu at de er ofre for et nøje planlagt, meget professionelt og højt sofistikeret kriminelt cyber-angreb af ingen ringere end Anonymous:

http://www.reuters.com/article/2011/05/04/sony-idUSN0422224820110504

Hvilket mildt sagt virker usandsynligt, eftersom Anonymous' mere eller mindre tilfældige angreb aldrig er økonomisk motiverede, men derimod ideologisk motiverede.

Men det ville være en nem udvej for Sony, hvis de kunne bruge Anonymous til at bortlede opmærksomheden fra deres egen inkompetence (kriminel eller ej).

36
5. maj 2011 kl. 13:52

Hvilket mildt sagt virker usandsynligt, eftersom Anonymous' mere eller mindre tilfældige angreb aldrig er økonomisk motiverede, men derimod ideologisk motiverede.

Du glemmer Sony's ud-over-enhver-tvivl bevismateriale: en fil som er efterladt på deres kompromitterede servere..

32
5. maj 2011 kl. 11:49

Hjernevasken er foregået ved at softwarefirmaerne postulerer at en retsgyldig EULA eksisterer. Da man køber en pakke software som et hvilken somhelst andet køb er der ikke indgået nogen lejeaftale ifølge en dom i Tyskland.

Når loven(ikke grund-loven) siger at :"Sælger ikke må begrense købers ejendomsret over det købte"

Hvor er så de domsafsigelser der siger det modsatte? Kan du komme med en eneste retsafgørelse til fordel for dit synspunkt om at en PS3 ejer ikke må ændre på sin PS3?

37
5. maj 2011 kl. 13:55

Da man køber en pakke software som et hvilken somhelst andet køb er der ikke indgået nogen lejeaftale ifølge en dom i Tyskland.

Nu er det ikke Tyskland vi taler om (med mindre ham der Geohot er bor Tyskland).

Hvor er så de domsafsigelser der siger det modsatte? Kan du komme med en eneste retsafgørelse til fordel for dit synspunkt om at en PS3 ejer ikke må ændre på sin PS3?

Jeg har ikke dette synspunkt at man ikke må ændre på sin PS3. Det har Sony. Jeg forsøger blot at forklare, at grunden til de bliver harme over hacking af PS3, nok er som jeg beskriver at softwaren modificeres. Det vil nok i hvert fald tolkes som derivative work og kunne tolkes som et brud på copyrighten (IANAL).

Det som du beskriver er nok mere et opgør med copyright, som også gælder for bøger, film, musik osv. Hvad har du imod den. Skal man ikke have ekslusiv ret til ens eget værk?

40
6. maj 2011 kl. 11:23

"En dom i Tyskland er en dom i EU" og altså foreløbig retningspil for afgørelser angående vores egen vurdering.

Om man ikke skal have eksklusiv ret til ens eget værk? Angler du håbefuldt efter.;-)

Du sammenligner med en bog. Og så har jeg dig i fælden!;-) For når jeg køber en bog, må jeg gøre med den hvad jeg vil! Jeg må skrive kommentarer i den. Jeg må strege kapitler ud og skrive en ny slutning og jeg må offentliggøre min nye slutning. Jeg må ikke lade den gå i trykkenn og sælge et oplag af den. Så først krænker jeg dem der har udgivet den. Det er imidlertid ikke en kriminel handling, men et privat søgsmål

Men hvis jeg nu omskriver den, så kan jeg omskrive den i så høje kunstneriske lag at den:"Får værkshøjde!"

Får den værkshøjde er den et nyt værk og jeg kan udgive den som min egen bog.

43
6. maj 2011 kl. 14:23

Hej Jens,

Lovgivningen i Tyskland og i Danmark er forskellig. Georg Hotz er amerikaner og han skal svare for sig i USA.

Angående bøger og software, så er det fint du beskriver hvad du må og ikke må med bøger. Men her er det software vi diskuterer. Bøger var ment som en generel henvisning til ophavsretslovens gyldighed. Ikke en direkte sammenligning

Det jeg mener man ikke må med software er, at udgive delvist kopieret software. Derudover kan der (fordi dette er sket i USA) være patentrelaterede issues også.

I denne sag var det netop et privat søgsmål. Sony sagsøgte Georg. Hvis det skal behandles kriminelt, skulle Sony have politianmeldt Georg for brud på loven om ophavsret.

Nu blev sagen aldrig afprøvet og det er ærgeligt, for jeg kunne da også godt tænke mig at vide hvad det var Georg havde gjort med PS3, som var ulovligt.

39
5. maj 2011 kl. 19:13

Softwaren er IKKE modificeret som du antyder, men derimod sat ud af spillet. Anden software er derefter installeret. Man kunne evt. se det som at køber forærer Sony penge for software der ikke bruges.

Og det lyder da dumt, omend ikke direkte kriminelt - medmindre vi selvfølgelig vælger at betragte Sony som kriminel - og det er sådan set det der er artiklens pointe.

41
6. maj 2011 kl. 14:09

Anden software er derefter installeret.

Og den anden software er så vidt jeg kan læse beskrivelse lavet ved at have reverse engineered den originale firmware. Det er vist ikke helt lovligt andre steder end i Tyskland (og vist kun noget med kompatibilitet - som begrænses til interoberabilitet).

Jeg kan godt se at der er tale om en USB CFW, men den CFW er vel lavet på baggrund af noget. Det noget, er vel det Sony hævder han ikke må have gjort det ved han har.

Men det er rent gætværk, i hvert fald makkede han ret, hvilket jo kan tyde på at han må have erkendt at han nok havde begået en eller anden form for aftale- eller lovbrud.

42
6. maj 2011 kl. 14:19

Men det er rent gætværk, i hvert fald makkede han ret, hvilket jo kan tyde på at han må have erkendt at han nok havde begået en eller anden form for aftale- eller lovbrud.

Men det er jo rent gætværk...

45
6. maj 2011 kl. 14:28

Men det er jo rent gætværk...

Lige præcis, det er sådan set hvad denne linje siger

...hvilket jo kan tyde på...

:-)

27
5. maj 2011 kl. 09:12

Det er det vel ikke, hvis det manden har gjort er i strid med loven. Altså i strid med den aftale han selv har indgået med Sony ved køb af en PS3.

Altså dem der har købt en PS3 for at ville benytte OtherOS, og så Sony fjerner denne feature, så ville jeg også være seriøst pissed.

Iøvrigt er Geohot's arbejde taget op af andre, og jeg forbeholder mig ret til at smide whatever software på mit eget hardware jeg har købt og betalt for:http://ps3.dashhacks.com/2011/05/04/otheros-makes-its-return-dual-boot-gameoslinux-cfw

Det er vel ikke stort anderledes end at smide en custom ROM på sin Android, Linux på sin laptop mv.

28
5. maj 2011 kl. 09:18

Det er vel ikke stort anderledes end at smide en custom ROM på sin Android, Linux på sin laptop mv.

Det kommer an på hvilken aftale du har indgået ved købet af den dims du vil modificere?

29
5. maj 2011 kl. 09:55

Sony er et selskab der handler om at tjene penge og det kommer først og det har det altid gjort.

hmmm... Jeg synes da ellers at cpu'en i lige netop PS3 maskinen er et bevis på, at Sony gerne opfinder nye ting uden, at kunne være sikre på profit. Eller tager jeg fejl?

24
5. maj 2011 kl. 08:31

Hej PHK,

Jeg forsøger at finde ud af hvad du mener med følgende:

...elektronikproduktion har ikke ligefrem nogen flot track-record heller.

Kan du ikke lige uddybe hvad du mener her. Er det etisk du mener deres elektronikproduktion er skidt, eller er det f.eks. teknisk at du mener de er nogle klovne? Hvis det er etisk, hvad er det så du mener elektronikproduktionen har gjort af uetiske handlinger?

Mvh Nikolaj

25
5. maj 2011 kl. 08:43

Sony har historisk haft utroligt svært ved at indrømme fejl i deres produkter, som det helt klart burde være deres ansvar at udbedre.

Poul-Henning

5
3. maj 2011 kl. 13:06

Man bliver jo ikke frikendt bare fordi man ikke har en anelse. Hvis de havde en anelse, så gav de nok hr. Hotz, Anonymous eller andre en stabel penge for at redde deres eRøv hurtigst muligt. Eller i det mindste forsøge.

~ 50 millioner CPUer... Den slags burde nok være under våbenloven.

10
3. maj 2011 kl. 18:29

~ 50 millioner CPUer... Den slags burde nok være under våbenloven.

De "kriminelle" kunne også bruge regnekraften på et projekt som folding@home og finde en kur til kræft.

6
3. maj 2011 kl. 13:57

PHK, tror du ikke at du mente 2^25 eller 2^26 i stedet for 2^35? Det passer bedre med 50 mill.

7
3. maj 2011 kl. 15:25

Ups jo. 2^25 er mere rigtigt, men stadig et meget stort tal.

Så vidt jeg husker tog det kun 1 dags tid at force en MD5 med 100 PS3'er...

Poul-Henning

12
4. maj 2011 kl. 07:36

Hey PHK

Du tænker nok på hacket med ca. 200 PS3'er - men 100/200 same same når vi her snakker MANGE:http://hackaday.com/2008/12/30/25c3-hackers-completely-break-ssl-using-200-ps3s/

A team of security researchers and academics has broken a core piece of internet technology. They made their work public at the 25th Chaos Communication Congress in Berlin today. The team was able to create a rogue certificate authority and use it to issue valid SSL certificates for any site they want. The user would have no indication that their HTTPS connection was being monitored/modified.
...
Having selected their target, the team needed to generate their rogue certificate to transfer the signature to. They employed the processing power of 200 Playstation 3s to get the job done. For this task, it’s the equivalent of 8000 standard CPU cores or $20K of Amazon EC2 time. The task takes ~1-2 days to calculate. The tricky part was knowing the content of the certificate that would be issued by RapidSSL. They needed to predict two variables: the serial number and the timestamp.

13
4. maj 2011 kl. 11:37

SONYs ledelse var allerede kriminelle, da de installerede rootkits på deres kunders computere i 2005.

  • som de iøvrigt havde piratkopieret.
2
3. maj 2011 kl. 12:42

"Never ascribe to malice that which is adequately explained by incompetence" tilskrives Napoleon Bonaparte, men det er vist ikke bekræftet af samtidige kilder. Den beslægtede "Never attribute to malice that which is adequately explained by stupidity" kaldes "Hanlon's razor" og er af nyere dato.

14
4. maj 2011 kl. 11:39

Ang. Hanlons razor.

Ja - men Greys lov siger også:

"Sufficiently advanced incompetence is indistinguishable from malice."

18
4. maj 2011 kl. 15:42

Jeg forstår det ikke. Kan nogen forklare mig hvad det er Sony har gjort der er ulovligt?

Jeg er måske inkompentent på det her område, men hvori er der noget ulovligt i at blive hacket? Er det ikke indbrudstyven der er forbryderen?

33
5. maj 2011 kl. 13:19

@Nikolaj Brinch Jørgensen: Hvis man ejer skydevåben, skal man opbevare dem i et aflåst våbenskab. Det kan man få bøde for at undlade. Jeg tror ikke, Sony krænker nogen nuværende lov, men PHK's pointe er vist, at det Sony gør er sammenligneligt.

38
5. maj 2011 kl. 14:28

@Palle,

OK - havde ikke fanget den som et forsøg på en analogi :-)

3
3. maj 2011 kl. 12:57

Jo, der er ingen tvivl om at der er mange i Sony der er inkompetente.

Men hvis man ikke passer ordentligt på verdens største cluster-computer, nærmer det sig så ikke kriminel inkompetance ?

Poul-Henning

4
3. maj 2011 kl. 13:02

Jeg tror blot der er meget mere fokus på profit end god IT og IT sikkerhed i Sony.

Misæren her ser ud til at koste Sony kassen, så mon ikke fokus flytter sig til do i nærmeste fremtid?