SONY - Wieder unfassbare Sicherheitslücke

[Batze]

SONY - Wieder unfassbare Sicherheitslücke

Da kann man wirklich nur den Kopf schütteln.
Was für eine Sau Firma.
Wieder stehen wohl Millionen von Benutzer Daten offen. Und wieder weiß diese Firma Wochen vorher schon bescheid und macht, genau, gar nichts.

Eine Schwachstelle in der SQL-Datenbank erlaubt Hackern den Zugriff auf Daten des PlayStation Networks
Über eine SQL-Injection lässt sich auf PlayStation.com möglicherweise auf Kundendaten von Konsolenspielern zugreifen. Das Unternehmen wurde bereits vor zwei Wochen durch den Sicherheitsexperten Aria Akhavan über die bestehende Sicherheitslücke informiert, reagiert hat Sony bislang noch nicht.
Dabei ist der Zugriff selbst für Laien möglich: Wird die URL der Support-Webseite durch das Anhängen eines Parameters verändert, lässt sich der SQL-Datenbank Code unterschieben, der wiederum den Zugriff auf die dort gespeicherten Daten ermöglicht.
Warum Sony die Lücke noch nicht geschlossen hat, bleibt unklar. Der Hersteller müsste eigentlich besonders wachsam sein, denn erst 2011 konnten Hacker bis zu 77 Millionen Zugangsdaten aus dem PSN stehlen.
Bei SQL-Injection-Angriffen werden der Datenbank eines Servers Codeschnipsel untergejubelt, die im Normalfall geprüft und ausgefiltert werden. Bei besonders großen Datenbanken lassen sich auf diese Weise automatisiert große Mengen an Informationen abgreifen. Quelle: PC Welt

 

[Herbboy]

Versteh ich jetzt nicht - worum geht es da? Wenn man einen Link in einem Support-Thread verändert, dann kann man die Anmeldedaten der sich dort unterhaltenden User sehen - oder wie?

 

[Batze]

So in etwa, hat mit Programmierung der SQL Datenbank zu tun.
Bei Datenbank Abfragen kann man da Parameter anhängen, um es mal kurz zu formulieren, dann hast du Zugriff auf Sachen wo du im normal Fall nicht rankommst.

 

[Stuffcheck]

Ich finde es einfach eine absolute Sauerei, sie sollten schon fast reinschreiben, Daten werden an dritte weitergegeben. Solche Sicherheitslücken offen zulassen.. Gerade wie dort erwähnt, nach 2011, immer noch so locker mit allem umzugehen!?

 

[Chemenu]

Vielleicht werden die Server von Tepco gehostet?

 

[Batze]

Vielleicht werden die Server von Tepco gehostet?

Ich weiß zwar jetzt nicht wer Tepco ist.
Aber das ist auch egal wer da was wo und wie hostet.
Denn für den Inhalt der Server ist immer noch der Auftraggeber zuständig, also in diesem Fall Sony.

Ich finde es einfach eine absolute Sauerei, sie sollten schon fast reinschreiben, Daten werden an dritte weitergegeben. Solche Sicherheitslücken offen zulassen.. Gerade wie dort erwähnt, nach 2011, immer noch so locker mit allem umzugehen!?

Das schlimme ist ja nicht der Fehler. Kann ja passieren. Das schlimme ist das Sony davon seit über 2 Wochen weiß und es passiert nichts. Und das ist ja mal ein Fehler der sich leicht beheben lässt. Das ist die eigentliche Sauerei.

 

[Mothman]

Also jeder Web-Entwickler weiß sich eigentlich gegen SQL-Injections zu schützen. Und gerade bei einer solchen Firma, würde ich kompetente Programmierer erwarten.
Klar: Fehler passieren und jeder - auch der Beste - hat mal nen miesen Tag. Aber das so ein Fehler nicht entdeckt wird und dann, wenn er entdeckt wird, nicht sogleich beseitigt wird, ist schon frappierend.

 

[Herbboy]

Ich versteh es immer noch nicht so ganz: was genau könnte man denn sehen? Die KOMPLETTE Datenbank aller User? Und welche Daten wären dann sichtbar? Und was für Paramater muss man da verwenden, bzw. anders gefragt: ist es THEORETISCH per Paramater abfragbar, aber man müsste da zig mal rumprobieren, um reinzukommen - oder sind es bekannte/einfache Paramater? Scheinbar gibt es ja eine technische Lücke, aber ausgenutzt wurde die nicht, oder?

 

[Mothman]

Ganz grob gesagt:
Du kannst quasi - wenn es nicht vor dem Absenden an die Datenbank geprüft wird - an eine SQL-Anweisung via URL-Parameter weitere SQL-Anweisungen "ranhängen". Wenn es schlecht programmiert ist, wird einfach ohne zu Fragen alles an die Datenbank geschickt. Da kannst du dann im Prinzip fast alles machen, was mit SQL-Queries so möglich ist. Auch mal die ganze Datenbank löschen. Oder sich Datenfelder ausgeben und damit wieder andere Queries schreiben, die man wiederum injiziert.

 

[Herbboy]

Ganz grob gesagt:
Du kannst quasi - wenn es nicht vor dem Absenden an die Datenbank geprüft wird - an eine SQL-Anweisung via URL-Parameter weitere SQL-Anweisungen "ranhängen". Wenn es schlecht programmiert ist, wird einfach ohne zu Fragen alles an die Datenbank geschickt. Da kannst du dann im Prinzip fast alles machen, was mit SQL-Queries so möglich ist. Auch mal die ganze Datenbank löschen. Oder sich Datenfelder ausgeben und damit wieder andere Queries schreiben, die man wiederum injiziert.

also, man könnte da was löschen usw., aber nicht lesen? Oder wie?

 

[Mothman]

also, man könnte da was löschen usw., aber nicht lesen? Oder wie?

Kommt auf die Programmierung der Software und die Konfiguration der Datenbanken an. Aber im schlimmsten Fall, kann der Angreifer die komplette Kontrolle über die Datenbanken übernehmen und auch alles auslesen.

EDIT:
Also jemand, der "einfach mal" ne dynamische Website auf Basis von Tutorials und ne SQL-Datenbank aufsetzt und sich mit dem Thema Sicherheit nicht beschäftigt, ist sehr wahrscheinlich total offen für Angriffe dieser Art. Nur sind halt die meisten Webseiten nicht interessant genug für einen Angriff.

 

[Batze]

also, man könnte da was löschen usw., aber nicht lesen? Oder wie?

Um es kurz und bündig zu sagen, du könntest alles machen. Lesen, löschen, ändern, u.s.w.

Also Beispiel nehmen wir mal dieses schöne Forum hier.

Durch eine sql injection setze ich mich als Admin rauf, mit allen Rechten.

Haha, dann geht der Spass Los.
Dir nehme ich erstmal all deine 56860 Spampostings weg. Und natürlich setz ich dich als Nebie ein, nix da mehr mit Community Offi.
Anschließend kick ich alle die mir nicht gefallen.
Dann saug ich mir noch ein komplettes Datenbank update (geht mit solch einer Foren Software recht locker , da muss ich noch nicht mal auf die eigentliche sql datenbank zugreifen) runter und les mir genüsslich erstmal so einige interne Kommentare der privaten nachrichten der Chefs hier durch.
Natürlich ändere ich die Passwörter gewisser eingeschriebener anderer Admins, damit die mich nicht schnell wieder kicken können.
U.S.W. und so weiter.
Also die Möglichkeiten sind erschreckend. Und glaube mir, wer Ahnung von SQL Injection und Datenbank Programmierung hat, der weiß auch damit umzugehen das alles zu nutzen.

 

[Herbboy]

Und warum hat dann noch niemand bei Sony was geklaut/verändert, wenn es so scheinbar einfach ist? ^^

 

[Batze]

Und warum hat dann noch niemand bei Sony was geklaut/verändert, wenn es so scheinbar einfach ist? ^^

Kann man doch gar nicht wissen. Nicht immer geben Leute ihre Erfolge sofort Preis.

Noch mal andere Zitate.

heise Security konnte die Lücke nachvollziehen.

Diese Erfahrung hat offenbar auch stern.de gemacht: Die Anfrage des Magazins liegt über zwei Wochen zurück, eine klare Antwort ist Sony bis heute schuldig geblieben.

 

[AC3]

Da kann man wirklich nur den Kopf schütteln.
Was für eine Sau Firma.
Wieder stehen wohl Millionen von Benutzer Daten offen. Und wieder weiß diese Firma Wochen vorher schon bescheid und macht, genau, gar nichts.

SQL Sicherheitslücken gibt es wie Sand am Meer und das betrifft nicht nur Sony.

 

[MichaelG]

Aber Sony ist wieder mal ein dankbares Opfer. Man muß ja MS irgendwie supporten, wenns schon normal nicht so richtig laufen will. Das Thema SQL Schwachstelle ist weit verbreitet und betrifft viel mehr als wir vielleicht denken oder davon wissen.

 

[Batze]

Eventuell ist MS da ein wenig Sicherer als so manche denken.
Bei Sony ist es ja nicht das erste Mal.

Komisch ist nur, also das ist ja keine Lappalie, für Gamer also doch Interessant, das weder PcGames noch Game Star davon mal berichten.
Bei GS habe ich sogar einen Hinweis an die Redaktion geschrieben.
Kommt mir vor als ob da eine Maulsperre besteht, wehe wenn ihr was schreibt, dann bekommt ihr von uns nichts mehr.