Call Of Privacy: Modern Spyware By Psn


charlo.charli
 Share

Messages recommandés

Salut a tous

Un article sur le site de PS3Hax à été publié sur le net au sujet de la sécurité du PSN.

C'est un groupe qui se ferait appeler The Anonymous Data Protection Officers qui est à l'origine de l'article. Cet article contient des informations importantes concernant la sécurité du PSN.

Voici l'article:

Prologue

Due our objective research of the SONY PlayStation Network, we decrypted nearly 100% of the traffic transferred over proxies, http and https to and from the PSN. Just out of curiosity, not to harm anyone or anything and not like SONY may want people to see it. As SONY calls the scene hackers “evil”, we surely do not address pirates and skiddies, we wondered how SONY is treating

the users’ privacy and rights (remember the Music CD/DVD and USB stick rootkits). After we noticed a few badass functions they have built into the PSN/PS3 functionality, we just call it the “Call of Privacy: Modern Spyware” case.

Below we list and explain a few of the shady PSN functions and data mining stuff. And remember: EVERYONE has a right to know about YOUR OWN PRIVATE data being transferred over the networks !

Sensitive data

Even if a connection is SSL encrypted, companies are aware of the big risk behind custom CA files and it’s possibilities. SONY seems not to care about those known vulnerabilities. It is a big company and a HUGE network. With huge we mean a magnitude of hundreds and even thousands: the PSN utilizes thousands of servers, handled by a very small group of administrators and quality assurance people. (Copied from PS3Hax.net) The IP ranges and domains of these servers are retrievable by anyone, cause this is how the Internet works ! It is all public data and information ! An example is the credit card information and the login authentification itself.

Take a look at the traffic:

creditCard.paymentMethodId=CC_COMPANY&

creditCard.holderName=EXAMPLENAME&

creditCard.cardNumber=1234567890123456&

creditCard.expireYear=2012&creditCard.expireMonth=2&

creditCard.securityCode=123&

creditCard.address.address1=EXAMPLESTREET%2024%20&creditCard.address.city=EXAMPLECITY%20&

creditCard.address.province=EXAMPLEREGION%20&

creditCard.address.postalCode=12345%20

The credit card information should ALWAYS be encrypted. In ANY case. At least the security code. SONY is only relying on it’s https connection. With all those CFWs spreading around, this is not secure anymore. Same goes for the user details:

serviceid=IV0001-NPXS01001_00&

loginid=example@mail.com&

password=examplepassword&

first=true&

consoleid=EXAMPLEID123

Such sensitive data can now be captured by anyone who builds his own custom firmware with custom certificates. There are enough n00b-friendly tools by now. Means, little scriptkiddies can spread their little CFWs and phish user data. As many of these people are using a third party DNS, they are a potential victim of phishing. At the beginning of the PS3 launch, this user data was even transferred over http ! That being said, we continue with…

Information gathering

The PlayStation Network agreement states that SONY is allowed to collect nearly any data that is connected with your privacy.It is clear, that SONY won’t tell you WHAT they are collecting in the TOS etc., as many people would never accept that TOS. A few month ago we noticed the TOS silently beeing updated without a new user agreement request. It was about that you have the right to contact a “Data Protection Offier” at SCEE, who can can give you details about what data is collected. So we phoned SCEE. Beeing forwarded to many people, it turned out that there is no so called “Data Protection Officer”. Funny right? Shortly after this call, the clause was removed from the TOS. SONY itself told us, that they do not know, what we are talking about regarding this Officer.(Copied from PS3Hax.net) They told us, that there was never such a position inside SONY, neither a phone number. Even the address was non existing ! Still it is an impudence what huge amounts of data they are collecting. One example is an information list which is transfered everytime you login the PSN as well as at some random time.

A few short quotes:

TFT-TV

This is a string sent to SONY which includes your TV model. The list is long and contains a lot more like information about

attached USB devices, your home network, your playtime behaviour, installed games, apps, homebrews or their so called

“circumvention devices” and so on. Details about your Home network, statistics etc.

Modern user tracking we guess They try to make every PSN user transparent like a glass figurine. It seems that not only

the governments are going for such plans.

The BANHammer

Now SONY is swinging the “mighty” banhammer. Some users are banned, some are only warned. But who warns SONY? Their semi-legal tactics against the enduser are a joke. We again remember their rootkits on Audio Media and USB Sticks.

Just for your interest, we quote a guy from SONY:

Thomas Hesse, President of Sony’s Global Digital Business, literally says: “Most people, I think, don’t even know what a rootkit is, so why should they care about it?”

This is not an urban legend -> http://www.techdirt.com/articles/20051108/0117239_F.shtml

So we could take this for an example and say: “Most people inside SONY don’t even know what security is, so why should they care about it?”

If SONY cares about their customers, why are they treating them like totally douchebags ? Of course the quote does not reflect the view of the company itself, but HELL, this was not from a Jon Doe inside SONY, it was from a Department’s President !

The PSN is a core feature of the PlayStation3, like OtherOS was. So why do they ban the PSN of users who LEGALLY run homebrew (not backups!) on their consoles? Just because they do not like it? It is a fact that reversing a system is legal in most countries all over the world, and if someone who really only wants to run his own code (no, not backups!), which he legally signed and coded without any SONY libraries or documentation, would sue SONY, they would may lose.

Reverse engineering is also allowed for analysing purposes. E.g. is a software/hardware implementing/running, rootkits, spyware, malicious code, security flaws, transferring privacy data and so on. Imagine if this wouldn’t be legal, any antivirus software would brake the law ! The companies of antivurus software are reverse engineering virus code, that is NOT copyrighted by them !

So why are those companies allowed to RE and even PUBLISH their findings to the public but not people like fail0verflow

etc. ? By studying the PSN since it’s launch we know it’s vulnerabilities pretty good right now and unbanning consoles might be as easy as banning consoles. It is an infinite circle of “who-is-better”. Sony just can not, or just don’t want to, make a clear distinction between pirates&skiddies and hackers, who only want to OWN and UTILISE what they OWN and PAID for. Hackers are responsible for creating stuff like the PC, Unix, Windows, Macs, the Internet, the WWW, AAA games etc. Guess what IBM is calling their Cell/Hypervisor docs ? Make an educated guess: Hackers Guide.

Research Hypervisor Hackers Guide:

This document is intended for programmers who wish to discuss the code of the Research Hypervisor Project. It also attempts to introduce the hopes and dreams of the maintainers of the code that, hopefully, will make those dreams a reality.

http://www.research.ibm.com/hypervisor/HackersGuide.shtml

Pour les anglophobes je vais résumer:

-Pas loin de la totalité des données qui transite depuis et vers le PSN ont été décrypté par ce groupe (via proxies, http et https).

-N'importe qui pourrait collecter vos informations personnelles sur le réseau PSN.

-Les informations de carte de crédit ne sont pas cryptés, SONY les fait transité tout simplement via le protocole HTTPS. Avec tout les CFW dans la nature, le HTTPS n'est plus sécurisé.

-Les informations personnelles peuvent être obtenu par n'importe quelle personne créant son propre CFW avec ses propres certs. Ouvrant la porte au phising etc... Le protocole utilisé pour ces information est HTTP, non sécurisé.

-Le HTTP a toujours été utilisé pour les données personnelles, et ce depuis le lancement du PSN.

-Le président de Sony Global's Digital Business a dit : "La plus part des gens, je pense, ne savent ce qu'est un rootkit, pourquoi ils devraient s'en soucier?"

-En étudiant le PSN depuis sa sortie, ils connaissent ses vulnérabilités sur le bout des doigts, et débannir une console serait aussi facile que de bannir une console...

Ce qui est troublant, c'est que cet article date du 17/02/2011. Soit 2 mois avant l'attaque du PSN. Sony n'en aurait-il pas tenu rigueur? Vu la rapidité de leur action face a l'exploit OtherOs communiqué par GeoHot, on est amené a se poser la question.

@+

Lien vers le commentaire
Partager sur d'autres sites

Ce qui est troublant, c'est que cet article date du 17/02/2011. Soit 2 mois avant l'attaque du PSN. Sony n'en aurait-il pas tenu rigueur? Vu la rapidité de leur action face a l'exploit OtherOs communiqué par GeoHot, on est amené a se poser la question.

Je crois même que les informations circulaient à ce niveau depuis bien plus longtemps encore, dès la mise à jour 3.21 refusée par de nombreux utilisateurs et l'utilisation de proxy pour la contourner et se connecter au PSN en particulier. Soit, plus d'un an. Le communiqué est un rappel de ces problèmes, distribués car l'abondance de CFW d'origines douteuses et de certificats SSL forgés rendaient la menace encore plus sérieuse (car touchant beaucoup de personnes inexpérimentées à ces problématiques, avec des sources à la confiance de plus en plus douteuse).

Quant à la réaction de Sony vis-à-vis de OtherOS, on a vu depuis pas mal de temps qu'il ne s'agissait absolument pas d'une décision de sécurité, mais bien de stratégie commerciale (article sur GX). L'arrivée de Geohot a été une simple opportunité pour les décideurs chez Sony désireux de faire porter le chapeau à quelqu'un d'autre, et vu combien lui aime se mettre en avant, il était naturel qu'on se repose sur lui. Politiquement, le degré d'urgence du retrait de OtherOS n'était pas le même que simplement s'apercevoir que le PSN n'était que partiellement sécurisé (pourrait-on parler d'une négligence caractérisée ? Très probablement, oui) et ignorer le problème (même raisonnement que la présence des rootkits sur CD ou clés USB Sony : "L'utilisateur n'a pas à comprendre ce que c'est, donc ça ne présente aucune importance").

Rappelons au passage que Sony est jusque là la seule société à supprimer totalement une fonction logicielle vendue suite au prétexte d'une faille de sécurité : j'attends encore de voir Microsoft supprimer Internet Explorer dans une mise à jour de Windows, Mozilla annoncer arrêter le développement de Firefox parce qu'un bug a été trouvé, ou une banque fermer tout ses TPE parce qu'un jour un type est arrivé avec une yescard.

Lien vers le commentaire
Partager sur d'autres sites

Invité Tonio1987

Miles Prower +1

Pour sécuriser la console rapidement Sony a vite supprimer l'other os

Pour sécuriser nos donnés Sony n'as tout simplement rien fait sick

Et je parle pas du fait qu'ils bosse déjà sur une nouvelle ps3 mieux protégé contre le hack...

Au lieux de s'occuper comme sa de leurs console ils aurait mieux fait de nous faire un vrai psn sécurisé...

Lien vers le commentaire
Partager sur d'autres sites

Pour "sécuriser" la console rapidement Sony a vite supprimer l'other os

Il faut mettre sécuriser entre guillemets, parce-que c'est une grosse magouille pour ne plus avoir a s'occuper de l'otheros. Par soucis d'économie, et non pour la sécurité... Je l'ai pas mis dans l'article, parce-qu'il fallait que je sois objectif, mais on le sait tous.

Lien vers le commentaire
Partager sur d'autres sites

It has emerged that part of Sony’s PSN terms and conditions claim that the company is not liable for any loss of user data!

“We exclude all liability for loss of data or unauthorised access to your data, Sony Online Network account or Sony Online Network wallet and for damage caused to your software or hardware as a result of using or accessing Sony Online Network,” the terms state.

However, speaking to Edge, the Information Commissioners Office (ICO) claims that Sony is accountable to stipulations outlined in the UK Data Protection Act which says that companies are obligated to keep users’ details secure.

“While we are unable to say where the data is being stored at present, if it was in the UK, this clause would not free them from their obligations under the UK Data Protection Act,” ICO stated.

“If we found a breach, one of the actions we could take would be to issue an undertaking, which is an agreement between the ICO and the company that if they are handling personal information they have to bring about set improvements in order for them to be compliant with the act.

“If the company is not compliant with the act within a certain time limit, further action would be taken and we might consider an enforcement notice or issue a monetary penalty.

“For serious breaches of the act, we can issue a monetary penalty up to £500,000.”

Vu sur PS3HAX

Lien vers le commentaire
Partager sur d'autres sites

Après avoir cherché des crosses aux hackers, c'est eux qui vont manger sévère maintenant.

En plus des class actions aux États Unis...

Il se dit que le psn ne reviendrai que le 4 mai au plus tôt...

Modifié par blackmantis
Lien vers le commentaire
Partager sur d'autres sites

si il y a de l'argent à se faire je veux bien aussi les attaquer ... :whistling:

Par chance, en Europe ça ne fonctionne pas comme ça, ici on va en justice pour obtenir justice, pas pour faire fortune. <_<

Modifié par tikilou
Lien vers le commentaire
Partager sur d'autres sites

pour clarifier,si je suis en cfw et donc non connecte au PSN au moment de l attaque (17-19avril),je ne risque rien? ou bien c est un racourci ultra simpliste...je vis au japon et ma femme me traduit les news sur ce sujet,ca la fait un peu flipper sur nos comptes bancaires.....

Lien vers le commentaire
Partager sur d'autres sites

Créer un compte ou se connecter pour commenter

Vous devez être membre afin de pouvoir déposer un commentaire

Créer un compte

Créez un compte sur notre communauté. C’est facile !

Créer un nouveau compte

Se connecter

Vous avez déjà un compte ? Connectez-vous ici.

Connectez-vous maintenant
 Share