Sony hat Scheiße gebaut (updated)

Neben Dortmunds vorzeitiger Meisterschaft, Gaddafis getöteten Sohn und die Seeligsprechung eines alten Papstes findet das Thema Sony bzw. PSN im Moment nur recht geringe mediale Resonanz.

Das liegt wohl u. a. daran, dass die Journalisten deutlich zu wenig Ahnung vom Thema haben. Normalerweise schrickt das Politiker nicht ab, ihre Meinung zu sagen, aber sogar die sind verblüffend still. Deshalb soll an dieser Stelle einmal kurz das eine oder andere zum Thema gesagt werden:

Was bedeutet “Passwörter gestohlen”?

Jede noch so kleine Webseite speichert Passwörter im Normalfall gar nicht in Reihnform, sondern in einer so genannten Hashform. Ein solcher Hash ist nicht zurück rechenbar. D. h. Stimmungsgeber würde zu 5cc6 4e9b 0d65 af8f 0277 d190 e89b 8c98 6e35 a612 Aus dieser Zeichenkette lässt dich jedoch nichtmehr zurückrechnen, dass die Ausgangszeichenkette Stimmungsgeber gewesen ist. Auf diese Weise werden üblicherweise Passwörter gespeichert, da es dann nicht mehr klar ist, was der Benutzer bzw. Kunde eingegeben hat.

Beim Login wird dann nicht nach HansMeier und Stimmungsgeber in der Benutzerdatenbank gesucht, sondern nach HansMeier und der Hashform, die sofort gebildet wird. Hatte Hans einen Tippfehler und hat aus Versehen Stimmnugsgeber, wird daraus ein vollkommen anderer Hash:

792c 74b2 807d f69c aba0 6bcb c5a2 3b60 bf5a 2be1 – Stimmnugsgeber
5cc6 4e9b 0d65 af8f 0277 d190 e89b 8c98 6e35 a612Stimmungsgeber

Hans kann sich nicht anmelden und bekommt eine Fehlermeldung.

An sich also eine recht sichere und technisch sehr einfache Sache. Es wird aus den bisherigen Berichten nicht deutlich, ob Sony die Passwörter entsprechend geschützt hat oder tatsächlich im Klartext abgelegt hat… Sollte dies der Fall sein, kann ich nur hoffen, dass es bald internationale Regeln gibt, die das verbieten.

Übrigens ist das oben gezeigte immer noch nicht sicher genug. Es gibt bspw. viele Trivialpasswörter, wie Sommer oder Hundefutter. Ein Hacker muss schlicht jedes Wort des Dudens in Hash umrechnen. Dann sucht er in der Datenbank nach Treffern für 8759 8917 3db7 5d17 5602 80ff 65b6 629b 4477 3bc0 und weiß, dass der Kunde Urlaubsziel als Passwort nutzt.

Deshalb sollte es inzwischen Standard sein ein sogenanntes “gesalztes” Passwort abzulegen. Das Salz ist eine benutzerbezogen zufällig generierte Zeichenkette, die für die Hashbildung herangezogen wird. Bei der Registrierung eines Benutzers wird also bspw. zSL9t als Salz generiert. Das Passwort Fotografie wird nun nicht allein zur Hashberechnung genutzt (Resultat wäre: cca4 73a7 a175 c013 1ba6 7591 e028 3ca0 6f46 9ca0), sondern FotografiezSL9t (Resultat: 8580 33d2 6228 9b19 85e1 c279 dd69 4d33 9657 6e28).

Beim Login wird dann zuerst der Benutzername gesucht, dann das Salz an das eingetippte Passwort gehängt, daraus der Hash gebildet und dieser abgeglichen.

Für den Hacker ergibt sich das Problem, dass er zwar das Salz auch kennt (wenn er denn den gesamten Datensatz geklaut hat), er muss nun aber den Duden mit dem Salz für jeden Datensatz (in Sonys Fall um die 77 Mio.) in Hashs übersetzen, der Mehraufwand ist immens, im Vergleich zum einmaligen Übersetzen.

(Der Vollständigkeit halber sei hier erwähnt, dass für die oben genannten Bsp. der Hashalgorithmus SHA1 genutzt wurde, wobei es viele verschiedene gibt. MD5 ist der verbreitetste und sollte genau deshalb nicht genutzt werden, da hier die übersetzen Wörterbücher durch Hacker entsprechend gut “übersetzt” sind.)

Was heißt “Kreditkartendaten vielleicht entwendet”?

Für den Otto-Normal-Verbraucher mag es nicht klar sein, wie es sein kann dass sich Sony nicht sicher ist ob überhaupt diese Daten entwendet wurden. Hier sei angemerkt: Datendiebstahl ist kein physischer Diebstahl. D. h. die Originaldaten sind immer noch an Ort und Stelle, nur gibt es eine nicht-autorisierte Kopie dieser Daten.

Sony wird herausgefunden haben, wie lange die Hacker Zugriff auf die Datenbank hatten. Je nach Übertragungsgeschwindigkeit kann es eben sein oder nicht, dass diese Daten auch kopiert wurden. Natürlich haben Datenbanken Protokolle (im Fachjargon Logs), die die Aktivitäten, wie Datenbankabfragen protokollieren. Da aber Lesezugriffe selten problematisch sind, werden oft nur Schreiboperationen “geloggt”, d. h. Änderungen, Löschungen und Neuerstellungen.

Nun die Frage, wie die Kreditkartendaten abgelegt wurden. Ein Prinzip wie bei den Passwörtern ist nicht möglich, da die Nummern ohne erneute Eingabe des Kunden im System verfügbar sein müssen. Es gibt Standards, die hier für Regeln sorgen. Sony scheint sich hier an die Regeln gehalten zu haben.

Problematisch ist hier aber, dass Daten, die von Sony entschlüsselt werden können, auch von Hackern entschlüsselt werden können. Das ist wie bei Caeser-Verschlüsselung, wo man nur die Buchstaben-Verschiebe-Anzahl kennen muss. Natürlich sind die heutigen Algorithmen deutlich sicherer, aber eben nicht “unknackbar”.

Wieso konnte es zu diesem Datenverlust kommen?

Die meisten Datenbanken haben Schutzmechanismen gegen Angriffe wie diesen. Natürlich müssen diese zunächst vom Datenbanksystemanbieter gekauft und dann noch aktiviert werden. Ob Sony hier Geld sparen wollte oder nicht ist nicht klar. Entschuldbar ist es jedoch auf gar keinen Fall. Denn Schutz dagegen ist ganz einfach, hier eine kurze Erklärung:

Sony hat 77 Mio. Datensätze an die Hacker verloren. Als Zahl: 77.000.000 – Das ist wirklich viel. Jeder Computer im Internet hat eine eigene Adresse (in dieser Form: 255.255.255.255) Fragt nun eine Adresse, z. B. 123.123.123.123, 1.000 Datensätze ab, ist das viel. Fragt sie dann die nächsten 1.000 ab, ist das sehr viel. Kommt die 15. Anfrage, hat dieser Computer bereits 15.000 Datensätze geladen… Das ist kritisch! Kein Sony Mitarbeiter braucht diese Mengen an Daten auf einen Schlag (in der Buchhaltung sucht man nach einem säumigen Kunden, in der Marktforschung lässt man die Datenbank keine Datenzeilen zurückgeben, sondern Summen, z. B. Anzahl der Kunden aus Deutschland, etc.) Eine Datenbank darf schlicht nicht erlauben, dass mehr als X Datensätze binnen Y Minuten von einem Rechner geladen werden.

An dieser Stelle hat Sony absolut versagt und auch wenn die Passwörter geschützt waren, die Kreditkartendaten verschlüsselt, und sonst alles getan wurde, ist die Logik der Massenabfrage und der Schutz dagegen ein Säumnis, für das Sony zur Rechenschaft gezogen werden muss.

Persönlich bin ich nicht betroffen, hoffe aber für mich und 500 Mio. andere, dass Facebook sich besser schützt, dass iTunes seine 160 Mio. Kunden mit Kreditkartendaten nach allen Regeln der Kunst sichert und Amazon seine Daten hinter Chinesischen Mauern der Neuzeit speichert.

UPDATE:

Sony hat Klartextpasswörter abgelegt…

Erklärung, Mediales, Schlechte Stimmung, Technisches

Comments are closed.