9 Commenti

La sicurezza non è un gioco

Non comprerò PlayStation 4

di

thumbnail

14

gen

2015

Una storia di poca sicurezza e rispetto per la privacy dell’utente e un presente di hacker che affondano le mani nell’azienda.

Ho acquistato la prima PlayStation in versione Yaroze; ho avuto due PlayStation 2 (una con Linux e una slim) e tre PlayStation 3 (causa guasti). Questa è ancora una dei componenti principali del mio home theater.

Da un po’ consideravo PlayStation 4 dato che, dopo un annetto e una serie di aggiornamenti di firmware, è diventata davvero un’ottima piattaforma. Ma non entrerà in casa mia, e, anche se stento a crederlo, sono quasi certo che comprerò una Xbox One.

Il problema non è tecnico, è una questione di principio. Non condivido per nulla la politica di Sony riguardo il rapporto con i propri clienti, ai quali ha portato guai e seccature a più riprese. Il tutto perché l’azienda ha pensato solo a proteggere i propri interessi e non i propri clienti.

In principio fu il Minidisc

Chi ne ha avuto uno (ho sempre avuto un gran naso per le tecnologie buone ma commercialmente fallimentari), sa che era una piattaforma splendida, un supporto ad accesso casuale registrabile, con una qualità eccellente (la compressione ATRAC faceva un baffo a MP3). Era contemporaneamente l’erede perfetto della cassetta come supporto audio e del floppy come supporto informatico. Difatti Sony ne annunciò una versione SCSI per PC che però non mise mai sul mercato. Un’occasione persa, giustificata ufficialmente da timore per la pirateria, per imporre uno standard che sarebbe durato anni e che avrebbe permesso di vendere molti album su Minidisc.

Seconda imbecillata fu il rootkit di Sony. Segnalato per la prima volta da Mark Russinovich, fu un duro colpo per tutti, Sony e clienti. Il rootkit fu inserito in ben 22 milioni di CD Audio prodotti da Sony e infettava le macchine con Windows interferendo con i programmi di masterizzazione. Fu un mezzo disastro. Russinovich dimostrò non solo che il rootkit infastidiva i programmi di masterizzazione, ma che inoltre trasmetteva a Sony informazioni su tutto quello che veniva ascoltato e copiato dagli utilizzatori. Inoltre mostrò come il rootkit contenesse diversi buchi di sicurezza e fossero già disponibili malware che ne sfruttavano le vulnerabilità per conquistare le macchine infette. Sony corse ai ripari distribuendo un apposito programma per “rimuovere” il rootkit. In realtà il programma correggeva solo le vulnerabiltà ma lo lasciava attivo. Un secondo autogoal.

Crash causa rootkit

Il rootkit Sony metteva a rischio anche la stabilità dei sistemi Windows.

Terza, quarta e quinta idiozia si ebbero con la Playstation 3. In primis PS3 fu venduta con la possibilità di montare Linux in dual boot. Molti comprarono la console, compreso il sottoscritto, per questa funzione. Peccato che uno dei pochi hack funzionanti sulla PS3 per bypassare i DRM sfruttasse proprio il sistema Linux caricato a fianco di quello della PS3. Sony risolse con un firmware che blindava la PS3 e bloccava Linux, in barba ai propri clienti. Successivamente, se ne uscì con un firmware che di fatto rese inutili decine di modelli di joypad compatibili (si vede che quelli originali non vendevano abbastanza). Io ne buttai ben quattro. Oltre a questo tutti sanno quanto il lettore Blu-ray della PS3 fosse dannatamente fragile. Purtroppo il lettore e la scheda madre contenevano entrambi un chip crittografico che cifrava i dati sul flat cable di comunicazione tra il lettore e il controller in scheda madre. Quindi se ti si rompeva il lettore, nella maggior parte dei casi buttavi la console perché non lo potevi sostituire, pena il fatto che non venisse più riconosciuto dalla console. Io ne ho buttate due.

Uno dei più grandi hack

Poi si arrivò al 2011. Uno dei più grandi hack della storia, con Playstation Network bucata e 77 milioni di carte di credito rubate. Sony non si accorse di nulla e gli esperti parlarono di server LAMP configurati a **** (riempite con gli epiteti volgari che più vi aggradano), sonde IDS inesistenti, firewall con configurazioni ridicole, e procedure di rientro del problema inesistenti. Molti dovettero cambiare la propria carta di credito in fretta e in furia. Questo l’avvertimento di Anonymous a Sony per l’occasione:

Le vostre corrotte pratiche di business sono indicative di una filosofia aziendale che intende negare ai consumatori il diritto di usare prodotti che hanno pagato e possiedono legittimamente […] Forse sarebbe il caso di avvertire i consumatori che stanno solo noleggiando i vostri prodotti? […] Anoymous vi informa allora che state solo “noleggiando” i vostri dominî web.

Nel 2014 di nuovo sono entrati in Sony come un coltello nel burro, portandosi via terabyte di dati, dimostrando di nuovo come Sony se ne freghi bellamente della sicurezza dei propri utenti, tenendo tanto di password in chiaro sulle share dei propri server. 38 milioni di documenti riservati estratti dalla rete aziendale e pubblicati in rete, compresa corrispondenza imbarazzante, dati economici e produzioni inedite.

È chiaro che Sony capisca nulla di sicurezza, freghi nulla dei dati dei propri clienti, li consideri tutti potenziali pirati e guardi unicamente al profitto, al punto di non investire in sicurezza neppure per salvaguardare la propria immagine.

E quindi, anche considerando che per giocare online con la PS4 sia obbligatorio un abbonamento a Playstation Network, dico a Sony che la sua PS4 se la può proprio tenere.




Andrea Ghirardini (@darkpila) è uno dei precursori della Digital Forensics in Italia. Sistemista multipiattaforma – anche se con una netta preferenza per Unix – con una robusta esperienza in materia di sicurezza informatica, si occupa in particolare di progettare sistemi informativi di classe enterprise. È Chief Technical Officer in BE.iT SA, società svizzera facente parte del gruppo BIG, specializzata nella gestione discreta e sicura di sistemi informativi aziendali. Per Apogeo è autore di Digital Forensics edito nella collana Guida completa.

Letto 7.233 volte | Tag: , , , , , , , , , , , , , ,

9 commenti

  1. Giorgio

    basterebbe non inserire il codice della propria carta di credito o se proprio non puoi evitare acquisti online dalla ps4, usare delle carte virtuali one shoot… se invece è un discorso di principio… beh comprare una one e andare verso Microsoft non credo mi farebbe sentire più apposto con la coscienza :P

  2. Ante

    Per quanto possa condividere quanto scrivi mi sembra eccessivo e totalitario, privo dell’apertura mentale necessaria a chi approccia a certe a certi dispositivi. Intanto bisogna capire chi compra una console:
    un GAMER.
    Se sei un Gamer allora non puoi non acquistarla, ci sono titoli dedicati che vanno giocati, se puoi vuoi smanettare sulla console a tuo piacimento allora la PS4 non fa per te, ti consiglio un bel pc e ci fai quello che vuoi.
    Sinceramente manca anche a me il poter creare un server multimediale e far play a qualsiasi tipo di file dalla PS4 (cosa che potevo fare sulla PS3) ma sinceramente…….
    Prova ad abbinare alla PS4 un sony Bravia 4K.. di quelli nuovi..
    puoi leggere anche i Sassi di quello che metti nella tua intranet casalinga, e con il telecomando touch comandi sia la play che la TV.
    Non entro nel dettaglio tecnico, che apprezzo e comprendo (per me fu un duro colpo scoprire che nemmeno un CD musicale potevo riprodurre sulla PS4 appena uscita)
    ma parliamo di una console che serve a Giocare, e dopo una giornata di lavoro il 99% delle persone pensa a farsi quell’oretta di gaming rilassata e non ad installare linux. Forse la Sony ha scelto un target diverso e quell’1% l’ha lasciato a casa.
    con Affetto e rispetto del tuo pensiero,
    Ante.

  3. Loriano Maccagnan

    Non ho mai sentito cosi tante idiozie in un articolo….non vuoi comprarla fai a meno …riguardo agli attacchi hack…dei hai un minimo di conoscenza credo proprio che se vogliono farebbero quantomeno danni a qualunque sistema e non parlo solo di console …ti ricordo che l’attacco di natale a colpito anche MS ….Dammi poi i nomi di chi ha cambiato carte di credito

  4. Loriano Maccagnan

    Scusa dimenticavo…l’architettura interna ps3 se non ricordo male era talmente complessa da renderne difficile il crakkonaggio…l’x box appena uscita potevi acquistarla con modifica per i giochi nn originali…a distanza di tempo è proprio la modifica tramite linux che ne ha permesso il crakkonaggio….risultato ??tolto linux…anche ha me piacerebbe non spendere 70 euro per un gioco però …..

  5. kaio

    Condivido in parte l’articolo ma per quanto possano essere state giuste o sbagliate le scelte di sony trovo che una console debba essere acquistata per uno scopo preciso: giocarci…Questo articolo lo trovo forse un po’ fuori luogo e si…decisamente privo dell’apertura mentale necessaria a chi approccia a certi dispositivi….poi ci sono anche tante mezze verità…

  6. Andrea Ghirardini

    Non ho nulla da arguire rispetto al fatto che PS4 sia una buona macchina, né tantomeno che ci siano titoli spettacolari.
    E certo posso fare una Postepay o simili e usarla per pagare allo store di Sony e per l’abbonamento a Playstation Network.
    Ma il discorso è perché? Perché devo accollarmi io costi maggiori, sbattimenti e altro al posto di Sony che invece non investe un cent in sicurezza e mostra di non rispettarmi come cliente?
    Perché devo cambiare due console perché Sony ha deciso di cifrare i dati all’interno della console e pur sapendo che è un difetto di fabbricazione non mi passa la sostituzione del drive in garanzia? Idem per avere una macchina che non fa quello che mi aveva promesso o 4 joystick inusabili per arbitraria decisione di Sony?
    Chi sono io la cassa contanti di Sony?
    Per quanto poi riguarda Microsoft. Io non sono un Microsoft fan ma apprezzo gli sforzi che ha fatto nel corso degli ultimi anni per migliorare (a proprie spese non di quelle dei clienti). E comunque può pure essere antipatica ma non ha mai subito quello che ha subito sony.

  7. Dario S.

    Ciao Ante,
    perdonami, ma un gamer non spende 5mila euro per un 4k da attaccare a una console che non regge nemmeno il full hd (non è che ce l’ho con sony… la nuova xbox è pure peggio).
    Se spendo quei soldi non ho molti dubbi: un pc ben pompato e steam, così me li godo davvero i giochi in UHD. E magari pure in 3d.

    Dario

  8. Andrea Ghirardini

    @Kaio: L’apertura mentale è anche usare la tecnologia in modo diverso non biecamente. La PS3 con Linux, prima dell’avvento delle schede con CUDAe OpenCL era un’ottimo sistema da calcolo scientifico (Questa è gente chiusa mentalmente se vuoi avere qualche info in più http://en.wikipedia.org/wiki/PlayStation_3_cluster). E se Sony sulla scatola mi dice che è una macchina che posso usare con Linux e poi mi toglie quella feature a me da consumatore girano.
    Non mi pare che la cosa sia strana.

  9. Hacking Team: hacked | Apogeonline

    [...] Non si tratta di milioni di carte di credito o contratti con i principali attori e cantanti, come è successo a Sony. Qui sono coinvolti servizi di intelligence, grandi multinazionali, governi e chissà [...]

Lascia il tuo commento