Wednesday, February 29, 2012

Nakolik je problém Sony s prolomením Playstation Network nešťastnou náhodou a nakolik jde o nevyhnutelný vývoj, ke kterému muselo dojít?


Na úplném začátku příběhu o prolomení PSN stojí uvedení nové generace herních konzolí. Firma Sony, po velice úspěšných projektech herních konzolí Playstation a Playstation 2, uvedla na scénu novou generaci a nástupce těchto konzolí s názvem Playstation 3. Očekávání byla obrovská, stejně tak jako sliby společnosti Sony, které ještě zvyšovaly hráčská očekávání. Speciální procesor Cell vyrobený firmou IBM měl dodat této konzoli teoreticky obrovský výpočetní výkon a stal se také jedním z největších marketingových lákadel, kdy teoretický výpočetní výkon tohoto procesoru byly uváděny jako revoluce na poli herních zařízení. Stejně tak zde byl použit nový formát optických médií pro ukládání dat s názvem Blu-ray, za kterým stojí také firma Sony a který nakonec vyhrál v souboji s konkurencí, jíž bylo HD-DVD. Celá architektura PS3 byla navržena relativně dosti odlišně oproti běžnému PC, což mělo do jisté míry vyvolat pocit exkluzivity. Stejně tak byla architektura navržena tak, aby bylo možné zabránit pirátství což je jeden z problémů, které celou herní scénu dlouhodobě oslabuje a je to také jeden z důvodů, proč jsou hry na PC, kde je pirátství zdaleka největší problém, často pouze nekvalitní konverze z konzolí, nebo na PC nevyjdou vůbec. Spolu s tím také byla oznámena síť Playstation Network, která slouží jako online platforma pro hraní her ve více hráčích online, pro stahování a nákup her, nebo pro chat mezi hráči. 

Takto navržená konzole PS3 měla být tedy konzolové zjevení a samotní představitelé firmy Sony se nijak nevyhýbali velmi sebevědomým prohlášením:

"We do not care."
– Kaz Hirai, current Representative Corporate Executive Officer and Executive Deputy President of Sony Corporation, regarding competition from Microsoft and Nintendo.

Ať už byla tato prohlášení myšlena vážně či nikoli, zdá se, že v Sony opravdu na konkurenci nekladli žádný důraz (v době PS1 a PS2 Sony v podstatě konkurenci neměla) což se promítlo v konečných prodejích. Ke konci roku 2011 se Sony podařilo prodat 60 milionů konzolí celosvětově, čímž se zařadila na třetí místo za Nintendo Wii a Xbox 360 od MS. 


Obrázek 1 Prodeje jednotlivých konzolí ke 26.2.2012  (http://www.vgchartz.com/#Global%20Totals)
Navíc si některá studia vyvíjející videohry začala stěžovat na architekturu PS3, která pro ně byla příliš komplikovaná a lišila se od architektury PC nebo Xboxu 360, což znamenalo delší vývoj pro PS3 a tím pádem i větší náklady pro vývojáře. Na druhou stranu zde ovšem byla neprolomená ochrana proti kopírování, což byl jeden z velkých úspěchů firmy Sony, protože díky tomu bylo pirátství na PS3 v podstatě nulové.
V roce 2010 se ovšem George Hotz, který je také znám pod přezdívkou "Geohot" pustil do pokusu o prolomení ochrany PS3 a to za účelem provozování vlastních aplikací na této konzoli. Zpočátku se setkával s částečným úspěchem, kdy byly ovšem jeho pokusy vždy eliminovány updatem firmware na PS3. Na počátku roku ovšem "Geohot" na svých stránkách zdarma zveřejnil přístupové klíče, které umožňovali uživatelům provozovat na PS3 jejich vlastní SW. Firma Sony to chápala jako porušení zákona a umožnění uživatelům hrát pirátské hry. To stačilo k tomu, aby George zažalovala a celý průběh sporu a tvrdý postup firmy Sony dosti rozlítil další hackerské skupiny, které vyjadřovaly podporu Georgi Hotzovi.

Právě spor mezi firmou Sony a "Geohotem" je jedním z hlavních důvodů, které se uvádí do spojitosti s prolomením Playstation Network. Ať je to pravda nebo ne, prolomení PSN bylo pro Sony jedním z nejhorších problémů, který musela její zábavní divize řešit a který vrhal velmi špatné světlo na celou firmu Sony.

K prolomení PSN došlo mezi 17-19 Dubnem 2011 a znamenal pro firmu obrovské finanční ztráty, stejně jako ztráty na dobrém jméně v očích zákazníků. Samotné prolomení měli sice na svědomí počítačoví hackeři, ale následné reakce a kroky firmy Sony byly dle mého názoru velice špatné a většina zákazníků musela být přímo zděšena. Zpočátku to totiž bylo prezentováno jen jako výpadek PSN, který by se měl co nejrychleji vyřešit, ale opak byl pravdou. Po několika dnech se začali objevovat spekulace o prolomení PSN hackery, které se také později potvrdili přímo firmou Sony. Trvalo to ale ještě další týden, než firma oznámila veřejnosti, že současně s tímto útokem byly odcizeny osobní údaje uživatelů PSN včetně údajů o platebních kartách. Takhle pozdní informování považuji za velmi nebezpečné jak pro zákazníky, tak pro firmu Sony. Vzhledem k možnému zneužití kreditních karet některých zákazníků je taková reakce opravdu špatná. Samotné uživatelské údaje jako jména, adresy či hesla nebyly dokonce ani zašifrované. Zašifrované byly pouze údaje o kreditních kartách. S tím souvisí i následky, jaké z toho pro firmu Sony vyplynuly. Kdyby se totiž jednalo o prolomení, se kterým by souvisela dokonce i krádež dat, nikdo by nemohl nic namítat, pokud by firma Sony použila dostatečné zabezpečení a informovala zákazníky neprodleně po zjištění, že jsou jejich data a informace o kreditních kartách v ohrožení. Bylo tomu bohužel přesně naopak a Sony nejenže nezajistila dostatečné zabezpečení, ale především neinformovala zákazníky o tom, že síť PSN byla napadena hackery a čekala s vysvětlením a informacemi několik dní, než přiznala, že PSN je mimo provoz kvůli prolomení a trvalo to ještě více než týden, než bylo oznámeno, že jsou v ohrožení kreditní karty uživatelů PSN. Tímto si Sony zařídila místo ve všech zprávách po světě a z prolomení PSN se stala aféra velkých rozměrů, kterou řešil dokonce i kongres USA. To, že Sony neměl svoji síť dostatečně zabezpečenou a že informovala zákazníky s velkým zpožděním, bylo samozřejmě zmiňováno při každé příležitosti a všichni moji známí kteří vlastní PS3 a používali pro placení v rámci PSN kreditní kartu, si museli svoji kartu neprodleně vyměnit což je určitě velká nepříjemnost. 

Nakonec naštěstí nedošlo k žádnému zneužití kreditních karet, ale i přesto byla tato situace špatným příkladem jak řešit online služby a s tím i jakým způsobem provozovat cloud služby. Nakonec mohla tato situace posloužit jako ponaučení pro ostatní firmy, které po tomto incidentu jistě investovaly do lepšího zabezpečení svých online služeb a dalších cloud služeb. 

Osobně se nedomnívám, že bylo prolomení PSN jen otázkou času v tom smyslu, že by firma Sony jako jediná firma podcenila možnosti zabezpečení svých služeb. Určitě k tomu přispěla napjatá situace, kterou Sony vyvolala při svém přístupu vůči hackerům. Na druhou stranu firma Sony neudělala nic nelegálního a pouze se snažila bránit svůj majetek a svůj profit, což ji tedy nakonec stálo téměř tři miliardy korun a dost dramaticky jí to poškodilo reputaci. Myslím si, že v současné době zvyšování penetrace internetu a počítačů spolu s rozšiřováním cloud služeb není vůbec nic zvláštního na tom, že se zpočátku tyto služby zneužívají. Časem se ale určitě zabezpečení začnou stále zlepšovat, ačkoliv je známo, že počítačoví hackeři se stále snaží být o krok napřed.  Tohle riziko platíme jednoduše za to, že můžeme služby tohoto typu využívat a je jasné, že se tyhle služby začínají více líbit jak poskytovatelům, tak uživatelům, protože výhody tohoto typu poskytování SW i HW je jednodušší distribuce k cílovým zákazníkům, a je snazší zabránit nelegálnímu využívání SW, stejně jako je možné poskytovat různé typy modelů jako je třeba předplatné jen na omezenou dobu, či pro omezený počet uživatelů. Firma Sony si tedy vybrala onoho pomyslného černého Petra, ale nedomnívám se, že by byla vina za zneužití PSN vyloženě na straně Sony. Na druhou stranu bylo ale řešení této situace vyloženě špatné a předně opačné tomu, jak by se tyto situace neměly řešit. Firma Sony se ovšem z tohoto incidentu příliš rychle nepoučila, protože koncem května napadli hackeři servery Sony Pictures odkud se jim podařilo odcizit data uživatelů, která byla uložená v plaintextu, bez jakéhokoliv šifrování. Tady už lze mluvit o tom, že viníkem je především Sony, protože při provozování online služeb je přeci jen nutné dodržovat alespoň základní pravidla informační bezpečnosti v případě, že uživatelé v rámci této služby používají soukromá data, jako jsou hesla, nebo adresy.

Nicméně po těchto peripetiích se zdá, že se v Sony poučili a v některých rozhovorech dokonce uvádějí, že v současné době patří zabezpečení PSN mezi nejlepší na světě.

Případ prolomení PSN tak alespoň posloužil k tomu, aby společnosti provozující online služby založené na cloud technologiích začali zlepšovat svoje zabezpečení vůči zneužití citlivých dat uživatelů hackery. Přechod na cloud, který je v posledních letech stále častěji zmiňován, totiž jednoznačně přispěje k tomu, že data budou moci být zneužitelná hackery ve velkém měřítku, což je jeden z několika zmiňovaných záporů cloud technologií. Bohužel nezůstalo pouze u Sony a hackeři se snaží zneužít i další známé online služby.
V listopadu 2011 hackeři zaútočili na službu Steam, kterou využívají miliony PC hráčů po celém světě k nákupu her v digitální podobě. Tohle jen dokazuje, že firma Sony nebyla ani první ani poslední společností, která by se měla obávat útoku hackerů. V tomto případě ovšem ve společnosti Valve, které Steam patří, na nic nečekali a okamžitě ohlásili, že došlo k útoku na Steam a byla zcizena data některých uživatelů včetně kreditních karet. Vzhledem k tomu, že hry koupené na Steamu se přímo vážou k účtu, na kterém mohou být i údaje o kreditní kartě, mohlo by vést zneužití takové služby k obrovský škodám pro všechny zákazníky Steamu. Naštěstí nedošlo k oznámení žádného zneužití kreditních karet ani účtů uživatelů. Možná i díky zabezpečení jaká společnost Valve zavedla a i díky tomu, že se snaží zabezpečení svojí služby stále zlepšovat.

Podobný systém používá i společnost Blizzard u své online služby Battle.net, která se používá jak pro online hraní, tak pro nákup her od společnosti Blizzard. V nedávné době dokonce Blizzard spustil online peněženku, na kterou si budou moci hráči převést skutečné peníze, za které bude možné nakupovat jak hry prostřednictvím služby Battle.net, tak ogame předměty prostřednictvím některých her (Diablo 3), které budou umožňovat používání reálných peněz pro obchodování přímo ve hře. O to více je nutné používat u takových služeb dostatečné zabezpečení. Není tedy od věci používat věci jako je třeba bezpečnostní klíč, který společnost Blizzard nabízí. Jedná se o automaticky generovaný klíč, buď ve formě fyzického tokenu, nebo jako aplikace dostupná pro mobilní telefony. Toto zabezpečení poté nabízí dvoustupňovou ochranu uživatelským heslem a zároveň automaticky generovaným klíčem, který se v minutových intervalech mění.
Domnívám se tedy, že se ještě dočkáme spousty pokusů (úspěšných/neúspěšných) o prolomení některé online služby, aby hackeři prokázali svoje zkušenosti, nebo proto, aby se finančně obohatili. Nejedná se tedy podle mne o vývoj týkající se jen firmy Sony, ale o problém, který se týká všech společností.




Zdroje:
http://en.wikipedia.org/wiki/PlayStation_Network_outagehttp://www.gamepark.cz/vypadek_playstation_network_uz_trva_vice_nez_den_563818.htm
http://zpravy.e15.cz/byznys/technologie-a-media/sony-opet-tercem-hackeru-jen-kratce-po-znovuspusteni-site-playstation-636263
http://www.sony-playstation.cz/index.php/clanky/1-novinky/2570-vypadek-psn-muze-trvat-az-do-konce-tydne
http://www.sony-playstation.cz/index.php/clanky/1-novinky/2557-za-vypadek-psn-muzou-hackeri
http://www.zive.cz/bleskovky/hackeri-nedaji-sony-pokoj-nabourali-dalsi-web-a-korist-dali-na-torrent/sc-4-a-157373/default.aspx
http://www.eurogamer.cz/articles/sony-bezpecnost-psn-je-nejlepsi-na-svete
http://en.wikipedia.org/wiki/PlayStation_Network_outage
http://www.vgchartz.com/analysis/platform_totals/
http://www.lupa.cz/zpravicky/steam-hacknut-utocnici-ziskali-data-ohrozeny-jsou-hesla-i-cisla-platebnich-karet/
http://tech.ihned.cz/c1-53614090-herni-sit-steam-napadli-hackeri-ziskali-uzivatelske-udaje-desitek-milionu-lidi
http://www.forbes.com/sites/danielnyegriffiths/2011/11/10/steam-hacked-newell-watch-your-credit-card/

Snahy Microsoftu o diverzifikaci

V jakých oblastech se Microsoft uplatňuje nebo snaží uplatnit a autorův názor na úspěšnost takového počínání se můžete dozvědět v přiložené prezentaci.