'PSN-hack uitgevoerd via gehuurde Amazon-cloudserver'
Volgens een 'betrouwbare bron' van nieuwssite Bloomberg hebben de hackers van Sony's PlayStation Network gebruikgemaakt van een gehuurde Amazon-cloudserver. De hackers huurden de server onder een valse bedrijfsnaam.
De aanval op het PlayStation Network van Sony verliep via servers van Amazon, stelt 'een bron met kennis van de zaak' tegenover Bloomberg. De hackers maakten gebruik van het Elastic Compute Cloud-programma (EC2) van Amazon, stelt de bron. De hackers braken niet in op de servers van Amazon; maar huurden onder een valse bedrijfsnaam een cloudserver en draaiden daarop de software waarmee de aanval is uitgevoerd. De gebruikte account is inmiddels verwijderd. Het EC2-programma stelt bedrijven in staat om schaalbare webservers te huren bij Amazon. De bedrijven kunnen daarbij kiezen uit servers die draaien op een groot aantal besturingssystemen en configuraties. De goedkoopste server kost slechts 10 dollar per maand.
Via de Amazon-server voerden de hackers in april een aanval uit op de servers van Sony's PlayStation Network, waarbij ze de gegevens buitmaakten van 77 miljoen leden van het PSN, waaronder ook creditcardgegevens van ruim 10 miljoen leden. Sony wist het PlayStation Network pas op 15 mei weer online te krijgen, waarbij alle PSN-leden een patch moesten downloaden en hun wachtwoord moesten veranderen.
Amazon heeft nog niet gereageerd op de uitlatingen van de bron van Bloomberg. De site vroeg ook het commentaar van beveiligingsexpert E.J. Hilbert. Die denkt dat Amazon een dagvaarding kan verwachten van de FBI. Via logs van Amazon zal de FBI proberen te achterhalen wie gebruik heeft gemaakt van de ip-adressen van de gehuurde server, denkt Hilbert.
Reacties (92)
Toch wel benieuwd hoe Amazon op een eventuele dagvaarding zal reageren... Ze heeft twee opties: goed in het nieuws komen dat ze meewerken met de FBI om de hackers te pakken of goed in het nieuws komen dat ze de privacy van hun gebruikers respecteren 
. Het kan ook slecht uitpakken zo natuurlijk.
. Het kan ook slecht uitpakken zo natuurlijk.
Privacy van de gebruikers? Als het via de officiële kanalen van justitie gaat zal elke provider meewerken.
Dacht ik ook al, zeker als ze kunnen aantonen dat het een "dummy coorporation" is. Je wilt toch ook niet bedrogen worden.
Zou Amazon zijn centen wel gekregen hebben voor deze "dienst"?
Zou Amazon zijn centen wel gekregen hebben voor deze "dienst"?
betaald via cc ;-)
Natuurlijk, wat denk jij dan? Eerst servers gaan verhuren en aan het eind van de dienst pas vragen of je klanten even willen betalen? Welkom op het web; emailtjes sturen met aanmaningen werken hier niet...
Om die servers te huren moet je eerst je bankgegevens (creditcard) laten zien, daarna geven ze je pas een server.
Overigens hadden ze ook een andere dienst kunnen gebruiken, willekeurig welke online host die niet al te goed checkt wie jij bent zou goed zijn. Als ze die niet zouden kunnen vinden hadden ze altijd nog een server/account kunnen kraken.
Om die servers te huren moet je eerst je bankgegevens (creditcard) laten zien, daarna geven ze je pas een server.
Overigens hadden ze ook een andere dienst kunnen gebruiken, willekeurig welke online host die niet al te goed checkt wie jij bent zou goed zijn. Als ze die niet zouden kunnen vinden hadden ze altijd nog een server/account kunnen kraken.
Volgens mij hebben ze niets betaald.
bron:
bron:
Free Tier*
As part of AWS’s Free Usage Tier, new AWS customers can get started with Amazon EC2 for free. Upon sign-up, new AWS customers receive the following EC2 services each month for one year:
750 hours of EC2 running Linux/Unix Micro instance usage
750 hours of Elastic Load Balancing plus 15 GB data processing
10 GB of Amazon Elastic Block Storage (EBS) plus 1 million IOs, 1 GB snapshot storage, 10,000 snapshot Get Requests and 1,000 snapshot Put Requests
15 GB of bandwidth in and 15 GB of bandwidth out aggregated across all AWS services
Het kan zijn dat ze niets betaald hebben, maar je moet toch je cc gegevens invoeren.
Ik gebruik S3 en daar is ook een Free Usage Tier en ook al gebruik je alleen dat, dan moet je nog je cc gegevens invoeren. Zonder cc geen account.
Ik gebruik S3 en daar is ook een Free Usage Tier en ook al gebruik je alleen dat, dan moet je nog je cc gegevens invoeren. Zonder cc geen account.
Je kunt er vanuit gaan dat grote Amerikaanse bedrijven gewoon klakkeloos doen wat de Amerikaanse overheid hen beveelt. Ik denk dat deze hackers dat ook wel weten. Ze zullen niet met hun eigen ip op die Amazon server hebben gezeten maar gebruik hebben gemaakt van een combinatie van VPN's en TOR.
Nederlandse bedrijven werken ook gewoon mee met de "overheid" als ze een justitieel bevel krijgen.
Niet zozeer als ze een justitieel bevel krijgen. Wel als ze een gerechtelijk bevel krijgen. Pas als een rechter goedkeuring geeft, moet meegewerkt worden om de gevraagde informatie te verkrijgen, maar alleen als degene die daaraan meewerkt daarmee zichzelf niet benadeeld.Nederlandse bedrijven werken ook gewoon mee met de "overheid" als ze een justitieel bevel krijgen.
[Reactie gewijzigd door The Zep Man op 16 mei 2011 10:15]
die servers die brein een paar weken geleden bij een provider meenam was anders gewoon zonder gerechterlijk bevel hoor.
Als je dat een beetje gevolgd had zou je weten dat het bij Brein regelmatig onrechtmatig gebeurd dat ze dat doen, als je doelt op de servers die ik vermoed dan was dat hier ook het geval...
Verder is er natuurlijk nog een verschil tussen het Nederlandse en Amerikaanse rechtssysteem, maar als er enig bewijs op onrechtmatige wijze verkregen word is het ontoelaatbaar in een rechtzaak en daarmee waardeloos...
Verder is er natuurlijk nog een verschil tussen het Nederlandse en Amerikaanse rechtssysteem, maar als er enig bewijs op onrechtmatige wijze verkregen word is het ontoelaatbaar in een rechtzaak en daarmee waardeloos...
Heb niet in de voorwaarden van amazon gekeken maar normaal staat er bij iedere provider in dat je de server niet mag gebruiken om te hacken.
Diegene die de server huurde heeft dat duidelijk wel gedaan en dus hebben ze zich niet aan de voorwaarden gehouden. Amazon zal dan zeker ook gewoon meewerken met de fbi. Niets spectaculairs dus.
Diegene die de server huurde heeft dat duidelijk wel gedaan en dus hebben ze zich niet aan de voorwaarden gehouden. Amazon zal dan zeker ook gewoon meewerken met de fbi. Niets spectaculairs dus.
Lijkt me sterk dat je niet mag hacken op een server die jezelf huurt.
Natuurlijk mag dat niet. Of je die server huurt of niet maakt niet uit. Sterker nog Amazon verbiedt het uitdrukkelijk in hun Acceptable Use Policy:
Take your pick. Er staat toch echt meerdere malen dat dit soort gedrag niet is toegestaan.Prohibited activities or content include:
[...]
* Harmful Content. Content or other computer technology that may damage, interfere with, surreptitiously intercept, or expropriate any system, program, or data, including viruses, Trojan horses, worms, time bombs, or cancelbots.
[...]
You may not use the Services to violate the security or integrity of any network, computer or communications system, software application, or network or computing device (each, a “System”). Prohibited activities include:
* Unauthorized Access. Accessing or using any System without permission, including attempting to probe, scan, or test the vulnerability of a System or to breach any security or authentication measures used by a System.
[...]
You may not make network connections to any users, hosts, or networks unless you have permission to communicate with them. Prohibited activities include:
[...]
* Denial of Service (DoS). Inundating a target with communications requests so the target either cannot respond to legitimate traffic or responds so slowly that it becomes ineffective.
* Intentional Interference. Interfering with the proper functioning of any System, including any deliberate attempt to overload a system by mail bombing, news bombing, broadcast attacks, or flooding techniques.
oei, het staat in de voorwaarden, dus dan gaan de hackers zich daar zeker aan houden 
Ja dus laten we maar vooral geen regels opstellen
oei, In het wetboek staat dat je niet mag stelen, dus gaan dieven zich daar zeker aan houden 
Beter lezen slimmerik! Hij geeft enkel aan dat de voorwaarden zijn geschonden en dat dit van invloed zal zijn op de bereidheid van Amazon om mee te werken.
Beter lezen slimmerik! Hij geeft enkel aan dat de voorwaarden zijn geschonden en dat dit van invloed zal zijn op de bereidheid van Amazon om mee te werken.
Ja, het komt natuurlijk goed over om de privacy van personen die de privacy van miljoenen anderen schenden te respecteren.....goed in het nieuws komen dat ze de privacy van hun gebruikers respecteren
Privacy van andere bedrijven die clouds huren wordt op gedoeld volgens mij. Dit blijft dan echter in handen van de Amerikaanse overheid en zal -als het goed is- niet naar buiten komen.
Op het moment dat het om gestolen creditcard gegevens gaat van een aantal zo veel mensen en er is bewijs dat amazon's servers daar voor zijn gebruikt zal amazon daar weinig tegen in kunnen brengen, daarnaast is de vraag waarom ze dat tegen zouden willen werken. Een instantie als de FBI wil je over het algemeen te vriend houden 
Als je een gerechtelijk bevel krijgt heb je dit te volgen t.a.v. privacy. De FBI is justitie in de VS.goed in het nieuws komen dat ze meewerken met de FBI om de hackers te pakken of goed in het nieuws komen dat ze de privacy van hun gebruikers respecteren
Voor Amazone maakt het uiteindelijk niet uit (als ze zich aan de "aankoop" regels gehouden hebben, wat ik denk dat het geval is) ze zijn "alleen" aanbieder van een virtuele doos.
Mogelijk/waarschijnlijk kunnen ze nog achterhalen vanaf welke IP adressen verbinding opgezet is naar deze server. Maar dat zullen waarschijnlijk niet de IP adressen van de criminelen zijn.
Een dagvaarding is niet iets dat Amazon naast zich neer kan leggen. Ze zullen wel moeten mee werken. Als er fouten zijn te vinden in de manier van aanvragen etc dan zal Amazon (haar advocaten team) de FBI netjes verzoeken deze te corrigeren alvorens ze overgaan tot het overhandigen van de logs maar ze zullen ze zeker overhandigen.
Er is op het moment dat de FBI met een dagvaardign komt volgens een rechter voldoende bewijs dat er mogelijk een misdaad is gepleegd met behulp van de apparatuur van Amazon. Er is dan ook geen enkele reden waarom Amazon niet mee zou kunnen werken.
Je verwart denk ik de Nederlandse situatie waar veel agenten en officiëren van justitie denken door middel van intimidatie en bedreiging dan wel het aanpraten van een schuldgevoel wel even de logs en gegevens bij een ISP te kunnen opvragen. Dat mag helemaal niet en dus werkte providers hier niet aan mee zonder een dagvaarding. De oplossing is gevonden door alle gegevens op te vragen en deze simpel weg centraal op te slaan, op die manier kunnen deze foute elementen binnen onze politie en justitie nu zonder al te veel moeite en op basis van vriendjes politiek etc, deze informatie opvragen zonder dat er altijd zo veel moeite gedaan moet worden en er eerst via een rechter een gerechtelijk bevel aangevraagd hoeft te worden.
Het zou me niets verbazen als de FBI zodra ze het vermoeden hadden dat Amazon servers hier bij betrokken waren Amazon al verzocht hebben om de logs veilig te stellen in afwachting van een officieel verzoek met dagvaarding etc. En Amazon zal daar waarschijnlijk geen enkele moeite me hebben.
Een bedrijf als Amazon heeft er niets aan als ze geassocieerd worden met hackers of als veilige haven voor hackers gezien worden.
Er is op het moment dat de FBI met een dagvaardign komt volgens een rechter voldoende bewijs dat er mogelijk een misdaad is gepleegd met behulp van de apparatuur van Amazon. Er is dan ook geen enkele reden waarom Amazon niet mee zou kunnen werken.
Je verwart denk ik de Nederlandse situatie waar veel agenten en officiëren van justitie denken door middel van intimidatie en bedreiging dan wel het aanpraten van een schuldgevoel wel even de logs en gegevens bij een ISP te kunnen opvragen. Dat mag helemaal niet en dus werkte providers hier niet aan mee zonder een dagvaarding. De oplossing is gevonden door alle gegevens op te vragen en deze simpel weg centraal op te slaan, op die manier kunnen deze foute elementen binnen onze politie en justitie nu zonder al te veel moeite en op basis van vriendjes politiek etc, deze informatie opvragen zonder dat er altijd zo veel moeite gedaan moet worden en er eerst via een rechter een gerechtelijk bevel aangevraagd hoeft te worden.
Het zou me niets verbazen als de FBI zodra ze het vermoeden hadden dat Amazon servers hier bij betrokken waren Amazon al verzocht hebben om de logs veilig te stellen in afwachting van een officieel verzoek met dagvaarding etc. En Amazon zal daar waarschijnlijk geen enkele moeite me hebben.
Een bedrijf als Amazon heeft er niets aan als ze geassocieerd worden met hackers of als veilige haven voor hackers gezien worden.
Bij het hacken van de WPA key is ook Amazon clouddienst gebruikt. Door die dienst krijgen hackers toegang tot hardware die ze normaal nooit zouden kunnen betalen.
Misschien moet Amazon toch eens nagaan waar hun cloudservers voor worden gebruikt.
Zou de clouddienst er ook voor zorgen dat ze je minder snel kunnen traceren?
Misschien moet Amazon toch eens nagaan waar hun cloudservers voor worden gebruikt.
Zou de clouddienst er ook voor zorgen dat ze je minder snel kunnen traceren?
Het lijkt me dat Amazon ook moet gaan controleren of het opgegeven bedrijf ook echt bestaat, anders kan dezelfde situatie nog een keer voorkomen.
Een lege BV is ook een echt bedrijf, met KvK-nummer, adres, eigenaar en directeur, post-adres en dergelijke; kijk voor de gein eens op zaterdag in de kranten onder "Zaken & Transacties".
Sterker nog; ik kan nu een dienst afnemen op naam van die BV; een check bij de KvK laat zien dat dat bedrijf gewoon bestaat en tegen de tijd dat de eigenaar van die BV mogelijk een rekening in de bus krijgt, ben ik allang klaar met het misbruiken van die dienst.
Sterker nog; ik kan nu een dienst afnemen op naam van die BV; een check bij de KvK laat zien dat dat bedrijf gewoon bestaat en tegen de tijd dat de eigenaar van die BV mogelijk een rekening in de bus krijgt, ben ik allang klaar met het misbruiken van die dienst.
Amazon moet gewoon als doorgeefluik fungeren. Net als een ISP. Ze horen zich niet bezig te houden met de inhoud.Misschien moet Amazon toch eens nagaan waar hun cloudservers voor worden gebruikt.
[Reactie gewijzigd door Alexander01 op 16 mei 2011 09:55]
Hoewel ik het met je eens ben gaat de parallel mank: ISPs schuiven alleen maar data, EC2 is echter rekenkracht en niet direkt vergelijkbaar met de dienst van een ISP (als je een parallel trekt naar de fysieke wereld: ISP=postbode die kun je niet verantwoordelijk houden voor een bombrief. EC2=pen & papier, ok die kun je ook niet verantwoordelijk houden voor de bombrief, maar in principe heeft Amazon meegewerkt aan het schrijven van de brief in dit geval en zou medeplichtigheid wellicht ten laste gelegd kunnen worden. Dat dit niet zal gebeuren lijkt me duidelijk, dan zal Dell ook aangeklaagd moeten worden voor het leveren van de hardware...)
om even in je analogie te blijven:
hoe kan de maker van pen/papier voorkomen dat er scheldwoorden mee geschreven worden ? De enige manier dat dat kan is door de werking ervan zo drastisch te veranderen dat het niet meer realistisch is om te verwachten dat het net zo bruikbaar is in normale situaties.
Het enige wat Amazon levert is hardware (virtuele), toegang tot die hardware via een interface en toegang vanaf die hardware tot het internet. Datgene wat Amazon juist zo interessant maakt voor normale gebruikers is dat men vrij is om welke software in welke configuratie dan ook te draaien, op het moment dat Amazon misbruik moet gaan tegengaan wordt dat niet meer mogelijk. Een handige hacker kan zelfs apache en php misbruiken om te hacken, dus die diensten zouden dan vrijwel geheel ingeperkt moeten worden.
Feitelijk is Amazon dus gewoon een hoster, met alleen een krachtiger beter schaalbaar platform, normaal gesproken worden hosters ook niet aansprakelijk gehouden voor de content !
Het enige wat Amazon eventueel zou kunnen doen is een IDS pakket gebruiken wat uitgaand verkeer screent, dat houdt echter alleen bekende exploits tegen, zou je die IDS weer agressiever configureren bestaat er namelijk de kans dat je ook legitieme verbindingen tegenhoud (en in het geval van amazon is dat vele malen schadelijker dan die paar hackers met nieuwe exploits die er wel doorheen komen).
In het geval van die WPA sleutels ging het volgens mij alleen om het decrypten/hashen/whatever van sleutels en ik kan echt niet zien hoe Amazon dit had kunnen voorkomen, zoiets kan je met een beetje handigheid al in PHP en zeker in Python scripten en is dus absoluut niet te blokkeren zonder ook legitieme diensten tegen te houden.
hoe kan de maker van pen/papier voorkomen dat er scheldwoorden mee geschreven worden ? De enige manier dat dat kan is door de werking ervan zo drastisch te veranderen dat het niet meer realistisch is om te verwachten dat het net zo bruikbaar is in normale situaties.
Het enige wat Amazon levert is hardware (virtuele), toegang tot die hardware via een interface en toegang vanaf die hardware tot het internet. Datgene wat Amazon juist zo interessant maakt voor normale gebruikers is dat men vrij is om welke software in welke configuratie dan ook te draaien, op het moment dat Amazon misbruik moet gaan tegengaan wordt dat niet meer mogelijk. Een handige hacker kan zelfs apache en php misbruiken om te hacken, dus die diensten zouden dan vrijwel geheel ingeperkt moeten worden.
Feitelijk is Amazon dus gewoon een hoster, met alleen een krachtiger beter schaalbaar platform, normaal gesproken worden hosters ook niet aansprakelijk gehouden voor de content !
Het enige wat Amazon eventueel zou kunnen doen is een IDS pakket gebruiken wat uitgaand verkeer screent, dat houdt echter alleen bekende exploits tegen, zou je die IDS weer agressiever configureren bestaat er namelijk de kans dat je ook legitieme verbindingen tegenhoud (en in het geval van amazon is dat vele malen schadelijker dan die paar hackers met nieuwe exploits die er wel doorheen komen).
In het geval van die WPA sleutels ging het volgens mij alleen om het decrypten/hashen/whatever van sleutels en ik kan echt niet zien hoe Amazon dit had kunnen voorkomen, zoiets kan je met een beetje handigheid al in PHP en zeker in Python scripten en is dus absoluut niet te blokkeren zonder ook legitieme diensten tegen te houden.
[Reactie gewijzigd door terror538 op 16 mei 2011 11:29]
Ik denk niet dat je ook maar een rechter zult vinden die dat met je eens bent.Amazon moet gewoon als doorgeefluik fungeren. Net als een ISP. Ze horen zich niet bezig te houden met de inhoud.
Sommige mensen hebben volgens mij nog steeds het beeld dat dit een paar mensen op een zolderkamer zijn. Dit is georganiseerde misdaad die geen probleem hebben om de financiën voor zo'n aanval rond te krijgen.Door die dienst krijgen hackers toegang tot hardware die ze normaal nooit zouden kunnen betalen.
[Reactie gewijzigd door Maxcim op 16 mei 2011 09:39]
Een paar mensen op een zolderkamer zijn ook georganiseerde misdaad hoor. Een maffia gaat zich niet bezighouden met PSN network.
Het is achterlijk om deze infrastructuur zelf te bouwen omdat
a) veel goedkoper om de hardware enkele dagen te huren ipv te kopen
b) huren kan je praktisch anoniem doen maar als je 100 blade servers koopt gaat het iets beter opvallen en makkelijk zijn om te traceren. Je mag dan een serverroom bouwen, koeling installeren en het gaat opvallen als je plots 50 000W vermogen zit te gebruiken
Het is achterlijk om deze infrastructuur zelf te bouwen omdat
a) veel goedkoper om de hardware enkele dagen te huren ipv te kopen
b) huren kan je praktisch anoniem doen maar als je 100 blade servers koopt gaat het iets beter opvallen en makkelijk zijn om te traceren. Je mag dan een serverroom bouwen, koeling installeren en het gaat opvallen als je plots 50 000W vermogen zit te gebruiken
Jaja...de Mafia houdt zich wel bezig met het afpersen ('beschermen') van restaurants, aannemers en vuilnisophalers, maar niet met het buitmaken van creditcard gegevens van 1 van de grootste online diensten ter wereld?
Je bedoelt vast niet dat wat er staat..Een paar mensen op een zolderkamer zijn ook georganiseerde misdaad hoor.
Echte maffia opereert in het schemer gebied van wat legaal is en wat niet legaal. Ze hebben ook legale bedrijven. Dus een paar servers legaal huren of een groot aantal creditcards buit te maken zou bij mafia anno 2011 best passen.
Alles kan misbruikt worden, ik vind niet dat je de verantwoordelijkheid hiervoor bij Amazone moet leggen. Sony had z'n veiligheid op orde moeten hebben, dat lijkt me belangrijker. Maar de echte schuldigen zijn natuurlijk de crackers die de gegevens gestolen hebben. Maar bij een bankoverval heeft ook niemand het erover dat "autofabrikanten eens moeten nagaan waar hun (vlucht)auto's voor gebruikt worden"Misschien moet Amazon toch eens nagaan waar hun cloudservers voor worden gebruikt.
Misschien (een beetje) ver gezocht de vergelijking. Maar hij is goed 
. Je kan vanalles huren om een misdaad mee te plegen natuurlijk....
. Je kan vanalles huren om een misdaad mee te plegen natuurlijk....
Misschien moeten de makers van keukenmessen ook eens nagaan waar hun messen voor worden gebruikt.Misschien moet Amazon toch eens nagaan waar hun cloudservers voor worden gebruikt.
Oftewel: dit is geen taak voor Amazon, maar voor de politie. Alles wat gebruikt kan worden, kan ook misbruikt worden. Zoals Alexander01 al aangeeft: Amazon is gewoon een hoster, het is niet hun taak te kijken naar wat iemand met die infrastructuur doet.
Dit is een compleet andere situatie. Messen kun je niet vergelijken met een cloud dienst en dit soort vergelijkingen worden ook alleen gemaakt als je je eigen mening wilt doordrammen.
Een cloud-dienst is veel beter traceren en is ook anders qua de wet.
Als veelvoudig blijkt dat deze dienst gebruikt wordt om te hacken dan zal Amazon actie ondernemen en dit kan je toch alleen maar toejuichen?
ISP's waar spamaccounts op gehost werden moesten hier ook op ingrijpen. Zelfs een wapenfabrikant in Spanje moest zijn geweren aanpassen omdat er te makkelijk een demper (silencer voor de gamefreaks
) op geplaatst kon worden en dit is weer illegaal.
Een cloud-dienst is veel beter traceren en is ook anders qua de wet.
Als veelvoudig blijkt dat deze dienst gebruikt wordt om te hacken dan zal Amazon actie ondernemen en dit kan je toch alleen maar toejuichen?
ISP's waar spamaccounts op gehost werden moesten hier ook op ingrijpen. Zelfs een wapenfabrikant in Spanje moest zijn geweren aanpassen omdat er te makkelijk een demper (silencer voor de gamefreaks
) op geplaatst kon worden en dit is weer illegaal.
Dan moet je ook niet gaan zeuren als ISP's jou gaan beperken in het illegaal downloaden van films/muziek/etc. oh wacht, nee dan is het ineens anders, dan moet de ISP alleen maar het doorgifte luikje zijn en zich nergens mee bemoeien.. over je eigen mening doordrammen gesproken..
Uhm.. waarom zou amazon dat moeten doen? Je wilt toch ook niet dat jouw ISP bv jouw beperkt in wat je met jouw gehuurde verbinding wilt doen..
Wel zouden ze natuurlijk betere controles moeten uitvoeren op het bestaan van een bedrijf, maargoed als er netjes betaald wordt is er niets aan de hand.
Wel zouden ze natuurlijk betere controles moeten uitvoeren op het bestaan van een bedrijf, maargoed als er netjes betaald wordt is er niets aan de hand.
Amazon heeft al alles gedaan wat ze kunnen om misbruik te voorkomen. Ze stellen namelijk heel duidelijk in de gebruiksvoorwaarden dat misbruik (zoals het inbreken in andere systemen) niet is toegestaan vanaf de Amazon servers.
Indien iemand de systemen van Amazon dan toch misbruikt, dan kan Amazon juridische stappen tegen die persoon of organisatie nemen vanwege contractbreuk, etc. En ze kunnen ook met justitie en de officiele onderzoeksinstanties samenwerken in het geval dat misbruik wordt vastgesteld zonder imago of reputatieverlies. Ze kunnen in geval van kritiek (zoals kritiek over privacy schending omdat ze met de FBI meewerken) makkelijk afweren door naar de gebruiksvoorwaarden te wijzen en duidelijk te maken dat die persoon of organisatie zich blijkbaar niet aan die voorwaarden heeft gehouden.
Indien iemand de systemen van Amazon dan toch misbruikt, dan kan Amazon juridische stappen tegen die persoon of organisatie nemen vanwege contractbreuk, etc. En ze kunnen ook met justitie en de officiele onderzoeksinstanties samenwerken in het geval dat misbruik wordt vastgesteld zonder imago of reputatieverlies. Ze kunnen in geval van kritiek (zoals kritiek over privacy schending omdat ze met de FBI meewerken) makkelijk afweren door naar de gebruiksvoorwaarden te wijzen en duidelijk te maken dat die persoon of organisatie zich blijkbaar niet aan die voorwaarden heeft gehouden.
Ik hoop echt dat de hackers gepakt worden. Dit kan ik echt niet tolereren ondanks de recente foute instelling van Sony. Veel mensen verwijten Sony alles wat er is gebeurt zonder ook maar enig te denken aan de daadwerkelijke daders en daarom vind ik het deze mensen MOETEN worden gepakt en hup 40 jaar de gevangenis in.
40 jaar? Dat krijgt een moordenaar vaak nog niet eens. Wat mij betreft is een gevangenisstraf van enkele jaren en een grote boete(Zo hoog als de marktwaarde van cc-gegevens + iets meer)een realistischer idee.
In Amerika worden straffen in de regel bij elkaar opgeteld, die 40 jaar kun je best aan je broek krijgen voor het PSN geintje. (bijvoorbeeld omdat er 10 strafbare feiten zijn geweest, die voor 4 jaar cel per stuk gaan)40 jaar? Dat krijgt een moordenaar vaak nog niet eens. Wat mij betreft is een gevangenisstraf van enkele jaren en een grote boete(Zo hoog als de marktwaarde van cc-gegevens + iets meer)een realistischer idee.
Inderdaad. Gevangenisstraf is sowieso niet gepast voor computercriminaliteit. Dat hoort voorbehouden te zijn aan echte erge dingen in het echte leven zoals moord en verkrachting.
Wat is er erg aan moord? Er zijn meer dan 6 miljard mensen op deze aardbol. Eentje meer of minder is statistisch volstrekt irrelevant. 
Oftewel, we hebben een overheid en goed opgeleide rechters die prima in staat zijn om te bepalen of iets een celstraf verdient. Dat jij computercriminaliteit niet erg vindt is jou mening, anderen denken daar anders over.
Oftewel, we hebben een overheid en goed opgeleide rechters die prima in staat zijn om te bepalen of iets een celstraf verdient. Dat jij computercriminaliteit niet erg vindt is jou mening, anderen denken daar anders over.
Computercriminaliteit is veelal het gevolg van nalatigheid. Dat kun je als eindgebruiker bijna altijd voorkomen.
Bij echte criminaliteit in het echte leven is dit veel minder het geval.
Bij echte criminaliteit in het echte leven is dit veel minder het geval.
Wat is dan nalatigheid? Alle systemen kunnen gekraakt worden, dus je kan het nooit voorkomen. Waar trek je de nalatigheidsgrens?Computercriminaliteit is veelal het gevolg van nalatigheid.Dat kun je als eindgebruiker bijna altijd voorkomen.
De 'nalatigheid' kan je overal doortrekken, maar is echt geen excuus. Fraude en oplichting - beter opletten? Vast, maar is het dan ook geoorloofd?
Een bank kan met geweld beroofd worden. Is dat ook nalatigheid van de bewaking? Hadden die alle klanten moeten scannen en fouilleren in een sluispoort? Of betreding van je eigen tuin door onbevoegden? Een bordje volstaat niet meer? Moet je prikkeldraad, camera's en beveiligingsmensen opzetten om niet nalatig te zijn?
Maar zo zit het dus niet in elkaar. Er zijn duidelijk wetten, en als je die overtreedt ben je gewoon strafbaar. Heeft niets met nalatig te maken.
nalatig is "zodra de bug algemeen bekend is"
eenvoudig toch? je WEET dat er een lek is, dus MOET je het lek dichten.
Ik kan mij niets eenvoudiger inbeelden. Het enige discussiepunt is "algemeen bekend", maar dat is dan weer advokatenkost
eenvoudig toch? je WEET dat er een lek is, dus MOET je het lek dichten.
Ik kan mij niets eenvoudiger inbeelden. Het enige discussiepunt is "algemeen bekend", maar dat is dan weer advokatenkost
Je auto kun je op slot zetten, maar de lekken in Windows, Adobe producten, webserver progsels kun je lang niet zo eenvoudig voorkomen.Dat kun je als eindgebruiker bijna altijd voorkomen.
Hieruit blijkt maar weer dat elk goed bedoeld initiatief misbruikt kan worden.
Ben benieuwd hoe het zich verder ontwikkeld.
Indirect is Amazon nu dus schuldig aan een groot misdrijf!
Hoewel ik me niet kan voorstellen dat Amazon zijn servers verhuurd zou hebben als het op de hoogte was van de bedoelingen. Maar denk dat het ze wel verweten kan worden dat ze nalatig zijn geweest, en dat het in vervolg dus meer ook naar de achtergrond van bedrijven moet kijken.
edit typo's
Ben benieuwd hoe het zich verder ontwikkeld.
Indirect is Amazon nu dus schuldig aan een groot misdrijf!
Hoewel ik me niet kan voorstellen dat Amazon zijn servers verhuurd zou hebben als het op de hoogte was van de bedoelingen. Maar denk dat het ze wel verweten kan worden dat ze nalatig zijn geweest, en dat het in vervolg dus meer ook naar de achtergrond van bedrijven moet kijken.
edit typo's
[Reactie gewijzigd door DN. op 16 mei 2011 11:09]
"elk goed bedoeld initiatief"
"verhuurd zou hebben"
anyway: hoe bepaal je of een bedrijf "echt" is? je gaat x stappen controlleren en de organisaties gaan voldoen aan x+1 tests. Maw. je kan alijd een stapje verder gaan en zeggen dat ze "niet genoeg gecontrolleerd hebben".
"verhuurd zou hebben"
anyway: hoe bepaal je of een bedrijf "echt" is? je gaat x stappen controlleren en de organisaties gaan voldoen aan x+1 tests. Maw. je kan alijd een stapje verder gaan en zeggen dat ze "niet genoeg gecontrolleerd hebben".
Bedankt voor de correcties.
Uit het bericht is niet te halen of Amazon bedrijven die zijn servers willen huren controleert. Mocht het zijn dat ze bedrijven die een server willen huren slechts vragen om een bedrijfsnaam maar verder geen achterliggende controle uitvoert zou je het kunnen plaatsen onder nalatigheid.
Maar indien (ervan uitgaande dat ze net als in NL een soort KVK hebben) een soort amerikaanse KVK hebben geraadpleegd valt Amazon zelf weinig te verwijten gezien ze inderdaad niet verder dan via zulke stappen kunnen bepalen of een bedrijf echt is.
edit typo's
Uit het bericht is niet te halen of Amazon bedrijven die zijn servers willen huren controleert. Mocht het zijn dat ze bedrijven die een server willen huren slechts vragen om een bedrijfsnaam maar verder geen achterliggende controle uitvoert zou je het kunnen plaatsen onder nalatigheid.
Maar indien (ervan uitgaande dat ze net als in NL een soort KVK hebben) een soort amerikaanse KVK hebben geraadpleegd valt Amazon zelf weinig te verwijten gezien ze inderdaad niet verder dan via zulke stappen kunnen bepalen of een bedrijf echt is.
edit typo's
[Reactie gewijzigd door DN. op 16 mei 2011 11:08]
Ter aanvuling / vermaak:
De Japanse regering houdt de uitrol van de nieuwe firmware in Japan nog tegen omdat Sony aldaar nog niet aan een aantal voorwaarden heeft voldaan.
(bron: Dow Jones, Japan restart of Sony online games services not yet approved)
De Japanse regering houdt de uitrol van de nieuwe firmware in Japan nog tegen omdat Sony aldaar nog niet aan een aantal voorwaarden heeft voldaan.
(bron: Dow Jones, Japan restart of Sony online games services not yet approved)
Was dat niet toevallig nav de berichten dat ook het "nieuwe" psn nog kwestbaar bleek?
Iemand die zo slim is om een andere server te huren om vanaf daar mogelijk een hack of anderzins "minder legale" aktie uit te halen, zal ook zeer zeker niet de sporen hebben achtergelaten naar zijn/haar/hun thuis-IP. Eerst maar eens afwachten wat Amazon te zeggen heeft.
Vind het nogal een mooi commercieel praatje op deze manier; clouds waren al niet echt populair bij grotere bedrijven en/of regeringen maar op deze manier komt de technologie nogal in een slechter daglicht te staan. Tenminste, in een slechter daglicht bij degenen die eigenlijk niet precies weten waar hun "data" uithangt in "de cloud". Andersom zou je kunnen beredeneren dat cloud-computing in ieder geval volwassen & betaalbaar genoeg is om een bedrijf als Sony te hacken
Vind het nogal een mooi commercieel praatje op deze manier; clouds waren al niet echt populair bij grotere bedrijven en/of regeringen maar op deze manier komt de technologie nogal in een slechter daglicht te staan. Tenminste, in een slechter daglicht bij degenen die eigenlijk niet precies weten waar hun "data" uithangt in "de cloud". Andersom zou je kunnen beredeneren dat cloud-computing in ieder geval volwassen & betaalbaar genoeg is om een bedrijf als Sony te hacken
Eigenlijk kan je elk spoor volledig terug nagaan maar het kan je wel heel moeilijk gemaakt worden door de hacker.
Maar zolang ze geen ISP ergens in de lus hebben gekraakt, kan je het altijd terug traceren. (En zelfs dan kan je het nog traceren als de ISP hardwaremative write-only logs bijhoudt bijvoorbeeld maar dat gebeurd niet overal uiteraard.)
Maar zolang ze geen ISP ergens in de lus hebben gekraakt, kan je het altijd terug traceren. (En zelfs dan kan je het nog traceren als de ISP hardwaremative write-only logs bijhoudt bijvoorbeeld maar dat gebeurd niet overal uiteraard.)
[Reactie gewijzigd door Rizon op 16 mei 2011 10:07]
Ach, naast wat playstation fans maalt niemand hierom en zal het zeker niet veel invloed hebben op de populariteit van clouddiensten.
Je begint je dan toch af te vragen in hoeverre anonymous (of een rogue groep) er iets mee te maken heeft. Uiteindelijk hadden ze ook al hun pijlen gericht op amazon toen ze de wikileaks van hun (cloud !) server hadden gehaald. En nu blijkt datzelfde bedrijf en dienst gebruikt geweest te zijn om een ander bedrijf waar ze de oorlog aan hadden verklaard, toevallig veel schade te berokkenen.
Dit kan namelijk ook een negatieve impact hebben op amazon en hun diensten als ze in verband worden gebracht met criminele activiteiten. In hoeverre zal Sony bvb geen verhaal proberen te halen bij amazon ? Lijken mij 2 vliegen in een klap.
Trouwens wat ik mij nu afvraag waarom heb je zoveel processorkracht nodig ? Ik ken er niet veel van maar als men dat nu gebruikt heeft om te brute force attacken en de processing power is vrij (goedkoop) beschikbaar, zal dat in de toekomst voor niet meer beveilingsproblemen gaan zorgen ?
Edit : spellingsfoutjes
Dit kan namelijk ook een negatieve impact hebben op amazon en hun diensten als ze in verband worden gebracht met criminele activiteiten. In hoeverre zal Sony bvb geen verhaal proberen te halen bij amazon ? Lijken mij 2 vliegen in een klap.
Trouwens wat ik mij nu afvraag waarom heb je zoveel processorkracht nodig ? Ik ken er niet veel van maar als men dat nu gebruikt heeft om te brute force attacken en de processing power is vrij (goedkoop) beschikbaar, zal dat in de toekomst voor niet meer beveilingsproblemen gaan zorgen ?
Edit : spellingsfoutjes
[Reactie gewijzigd door simplicidad op 16 mei 2011 09:43]
Ik zie nergens de specs staan van de gehuurde server? In een cloud kan je ook "maar" 15MHz en 16MB RAM huren voor het poppen van een mailboxje, bijvoorbeeld. Niet dat dat rendabel is en het is dus ook maar een voorbeeld...Trouwens wat ik mij nu afvraag waarom heb je zoveel processorkracht nodig ?
En dan nog; een servertje huren zijn de kosten niet; geen idee wat Amazon rekent maar een dikke Xeon met > 10GB RAM en een Gbit-pijp kost je tussen de 90 en 200 dollar per maand... Is dan wel geen cloud (maar dedicated) maar je zou maar net een maandje die CPU-power of bandbreedte nodig hebben.
[Reactie gewijzigd door MAX3400 op 16 mei 2011 09:42]
dat snap ik ook niet... ik deed tot voor een paar jaar al mijn wargames op een pentium-200 met 64MB ram en dat was massa's voldoende!
Wel heel toevallig dat ook net de dag dat PSN platgelegd werd door Sony ook de Amazon cloud service down ging...
Ik zou haast modstatus activeren om je een pluche te geven ;-)Wel heel toevallig dat ook net de dag dat PSN platgelegd werd door Sony ook de Amazon cloud service down ging...
De nieuwsflash over Amazon, 22 april:
Eerste melding van de huidige PSN-hack is van 23 april:Donderdagmorgen rond half 11 werden de eerste problemen met de Amazon-clouddiensten gemeld. Een van de grootste en belangrijkste serverparken van de dienst kampte met connectiviteitsproblemen.
Het leest haast als een filmscript of een boek; voor de geïnteresseerden is Stealing the Network: How to Own a Continent wat mij betreft een aanrader. Na een goede voorbereiding gaat een IT'er met "VUT", en zet het een en het ander in het werk om Africa over te nemen. Vanuit een aantal perspectieven zie je verschillende, blijkbaar onsamenhangende, gebeurtenissen voltrekken: een test op een ziekenhuisnetwerk, een storing bij een telefooncentrale, een hex die benaderd wordt door een ander en zich in een hack gechanteerd ziet.De downtime waar het PlayStation Network de afgelopen dagen mee kampte blijkt niet veroorzaakt te zijn door een storing. De PlayStation-fabrikant haalde het netwerk offline nadat hackers zich toegang tot PSN hadden verschaft.
Ik houd me aanbevolen voor vergelijkbaar leeswerk ;-)
Mwa, dit levert natuurlijk niet alleen logs op maar ook een financiële route, die servers moeten toch betaald zijn op de een of andere manier.
Of ze zetten een paar simple codes in om de logs te verwijderen. Geldverkeer, koop gewoon een debitcard met tegoed. Zet de programma's online via een internet café.
Uiteraard zal Amazon zelf ook wel logs bijhouden die niet op de gehuurde server staan (en dus niet eenvoudig te verwijderen zijn). Ik vermoed echter dat deze hackers gewoon gebruik hebben gemaakt van een vpn waardoor achtergelaten sporen alsnog compleet waardeloos zijn. Verder zou het mij niet verbazen als ze die server gewoon met een gestolen credit card hebben gehuurd. Ze hebben zelf ook cc gegevens gestolen en het is dus waarschijnlijk dat ze de juiste sites kennen om die te verkopen.
Mocht dat zo zijn, dan hoop ik dat de rechter slim genoeg is niet de verkeerde de bak in te sturen, ... bewijs maar eens dat jouw cc niet misbruikt is ..
Op dit item kan niet meer gereageerd worden.
Onderwerpen
Vraag & aanbod
-
Sony PlayStation 3 Slim 160GB Zwart + 18 Games
Deventer, € 250,-
-
Sony PlayStation 3 Slim 160GB Zwart
Eijsden, € 220,-
-
Sony PlayStation 3 Slim 120GB Zwart + 19 games
Soest, € 380,-
© 1998 - 2013 Tweakers.net B.V. onderdeel van De Persgroep, ook uitgever van Computable.nl, Autotrack.nl en Carsom.nl • Hosting door True
