Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 124, views: 52.691 •
Submitter: buran

Sony heeft medewerkers die verantwoordelijk zijn voor beveiliging van het netwerk ontslagen vlak voordat PlayStation Network werd gehackt. Bij de hack in april maakten de krakers gegevens van in totaal 77 miljoen gebruikers buit.

De beveiliging bij PSN gebeurde niet volgens beveiligingsstandaarden, maar ging op ad-hoc basis als men onraad rook, zou blijken uit een rechtbankdocument. Dat schrijft Gamasutra. Twee weken voor de hack zou een 'substantieel deel' van het personeel van het Network Operation Center zijn ontslagen. Het is onduidelijk of de ontslagen de hack mogelijk hebben gemaakt.

Het rechtbankdocument is niet onafhankelijk: het vormt de basis van een class action suit tegen Sony vanwege de hack. Het document beroept zich op anonieme getuigen, vermoedelijk mensen die bij Sony zijn ontslagen. Sony's online gamedienst PlayStation Network werd enkele maanden geleden gehackt, waarna Sony de dienst een maand offline haalde. Bij de hack werden persoonsgegevens van 77 miljoen gebruikers buitgemaakt. De PSN-hack was de eerste van een reeks aanvallen op diensten en sites die met Sony of games te maken hebben.

Gerelateerde content

Alle gerelateerde content (31)

Reacties (124)

Reactiefilter:-11240103+154+26+30
Zou me niet verbazen als een van de ontslagen werknemers het heeft gedaan.
mijn eerste gedachte inderdaad
Dat zou dan wel heel snel moeten zijn geweest, vlak daarna werdt PSN al gehackt...
Het kan natuurlijk zijn dat een ontslagen medewerker al op de hoogte was van een veiligheidslek die hij daarna heeft gebruikt.

Dus zo snel hoeft het dan niet te zijn...
Of ze wisten al een tijdje dat ze ontslagen gingen worden.
Precies, al jullie uitspraken - zijn mijn gedachten ook.
Als ze netwerkbeveiligers ontslaan, kun je er wel vanuit gaan dat daarna niet alle passwords veranderd worden.
Of ze wisten dat een ontslag eraan zat te komen en hebben bewust een lek in het systeem gemaakt :+
Iedereen weet dat het stinkt, maar niemand heeft zin om met zijn neus erin te duiken.
Daarom is dit artikel ook geplaatst, omdat je dit op een voor de hand liggende manier kan interpretereren. :)
Iedereen weet dat het stinkt, maar niemand heeft zin om met zijn neus erin te duiken.
Compost stinkt niet (tenzij het slecht gemaakt is, maar dan is het ook geen compost).
En ja hoor, lang leve de compost theoriën.
Ik geef toe dat er veel zinloze complot theorieën dagelijks op forums gepost worden, maar dit is niet zo enorm ver gezocht.

Disgruntled employees met -echte- diepe kennis van de systemen zijn wel degelijk een grote zorg voor bedrijven in de dagelijkse praktijk.

In diverse settings al dergelijke dingen meegemaakt bij verschillende bedrijven. Paar jaar geleden bij een wat kleiner bedrijfje van een kennis van me zat een gozer die het grootste deel van de servers had ingericht maar een op een gegeven moment dermate problematisch functioneerde dat het bedrijfje het eigenlijk moreel verplicht was aan de andere werknemers om hem te laten gaan. Ik ken je vertellen dat er flink wat crisis beraad en nood scenario's zijn opgezet.

Bij middelgrote bedrijven heb je op veel posten wel meerdere mensen en is het meestal niet zo dat 1 persoon *alles* weet, maar ook daar is het goed mogelijk dat iemand die al wat langer bij het bedrijf werkt van veel op de hoogte is, en wel degelijk een risico vormt. Daar heb ik wel eens gezien dat het ontslag van zo iemand al tijden van te voren geplanned wordt en andere mensen precies meedraaien met wat zo iemand doet, zodat na het ontslag direct een groot aantal risico's geminimaliseerd kan worden (en dan kan ver gaan, tot aan het opnieuw inrichten van servers aan toe).
wat je zegt zou best kunnen kloppen maar ik denk niet dat sony heeft gezegt van: " oh kijk die paar mensen daaro kunnen wel weg want ze zijn overbodig, hier heb je een fruitmand en tot nooit meer ziens"

Ik denk dat dit gewoon goed besproken is want Sony weet zelf ook wel dat het serieus verleidelijk is om Sony's systemen te kraken nadat ze op een lullige manier ontslagen zijn om zo maar hun wraak te plegen.
Misschien niet zelf gedaan maar laten doen...
Denk het eerlijk gezegd niet. En zo wel, zou het niet bepaald slim zijn. Het maakt ze natuurlijk verdacht dat een hack plaats vind na hun ontslag. Aangezien het miljoenen schaden heeft opgeleverd komt de waarheid bij hen al snel boven tafel, mits ze het dus gedaan zouden hebben. Ik neem aan dat Sony niet zulk on-intelligent personeel aanneemt.

[Reactie gewijzigd door rickyy op 25 juni 2011 15:22]

on-intelligent
"On-intelligentie" is anders een goede reden je (blijkbaar) falende beveiligingsmedewerkers te ontslaan. Precies wat Sony gedaan heeft. Met andere woorden zonder gedetailleerde info over zowel de hack als het ontslag kunnen wij er niets over zeggen. Misschien de rechter, de deze info wel heeft.
"on-intelligente" mensen krijgen vast niet zo'n baan om mee te beginnen :P

Zou in elk geval wel té link zijn en ik denk ook echt niet dat die lui er iets mee te maken hebben - of ze zijn zooo vol van zichzelf dat ze van mening zijn dat ze nooit gepakt zullen worden :+
In de IT werken toch echt wel behoorlijk veel mensen met laten we het netjes zeggen, "aparte karakters".

Iemand kan best op zich heel intelligent zijn en de sollicitatie en proef periode door komen, maar daarna toch irrationeel en problematisch gedrag gaan vertonen. Bekende dingen zijn het niet willen uitvoeren van opdrachten, te pas en te onpas op het werk verschijnen, niet de conventies van de rest van het team volgen (oh, het team gebruikt Linux? Ik install lekker BSD want dat is veel meer hardcore en 10x beter, en...).

Als bedrijf is mensen aannemen altijd een gok natuurlijk. Je ziet bij de sollicitatie dat iemand slim is en verstand van zaken heeft, maar de psychologische test of de gut feeling geven al aan dat het karakter mogelijk problematisch is. Wat doe je dan? Je heb echt een technici voor die positie nodig en die zijn nog al zeldzaam. Doorzoeken voor iemand die een mogelijk beter karakter heeft maar dan weer minder verstand van zaken heeft? En hoe zeker weet je van die ene test dat iemand een problematische persoonlijkheid heeft?

Op een gegeven moment komt zo iemand dan toch altijd wel ergens aan de slag. Vaak gaat het toch wel goed, maar soms helaas ook niet.
Misschien met opzet even een deurtje open gelaten.
Als je een deur open laat, wordt deze altijd gevonden. Dus dat is onwaarschijnlijk.
Denk niet dat het slim is om het dan zelf te doen, maar kan me wel voorstellen dat een ex-medewerker een door hem ingebouwd lek uit wraak heeft verkocht aan een partij die hem misschien eerder al benaderd heeft.
Zou me niet verbazen als een van de ontslagen werknemers het heeft gedaan.
Was de hack dan al niet opgeëist door bepaalde groep die de laatste tijd veel in het nieuws is geweest.

[Reactie gewijzigd door mad_max234 op 25 juni 2011 16:01]

nee juist precies het tegenovergestelde. Anonymous activisten hebben op internet uitdrukkelijk kenbaar gemaakt dat zij het niet waren.
Zoals de hack zou zijn gegaan waren er al sowieso aanwijzigen dat het mogelijk met inside hulp was gedaan, nu lijkt me dat ook nog eens zeer waarschijnlijker.
Niet iedereen is zo evil.

Maar je kunt wel redeneren dat ze geen kans meer hebben kunnen krijgen om de hack onmogelijk te maken. Want ze werkten er op dat moment immers niet meer ;)

[Reactie gewijzigd door _Thanatos_ op 25 juni 2011 19:03]

Ik denk dat de kans heel erg klein is. Je moet wel erg dom zijn om je carrière op het spel te zetten.

Ik snap niet dat iemand deze gedachte kan hebben. Zoals de waard is ... ?

Ik heb regelmatig (gedwongen) ontslagen meegemaakt, binnen en buiten de IT. Ik heb nog nooit meegemaakt dat iemand iets saboteerde.

Als je de Gamasutra leest is de situatie heel anders. Dit is een zaak tegen Sony, niet het pleidooi va Sony.
Another confidential witness, a platform support engineer for SOE from 2006 till March 2011, claimed that "Sony's technicians only installed firewalls on an ad-hoc [emphasis in original] basis after they determined that a particular user was attempting to gain unauthorized access to the network." The suit claimed that the practice fell short of widely-adopted security standards.
Er werden pas extra firewalls geplaatst na ze gehacked waren.
Kortom geen proactief security beleid.
And another confidential witness, a senior project coordinator for SCEA from June 2000 till March 2011, "expressed an utter lack of surprise" about the breach, "since he and others at Sony knew it had been breached on prior occasions as well," the complaint claims.
Sony was al veel vaker gehacked. Kortom de security was voorheen ook niet goed. Mogelijk is er nog meer achterstallig onderhoud geweest door het ontslaan van de medewerkers.

[Reactie gewijzigd door worldcitizen op 25 juni 2011 22:36]

Ik heb regelmatig (gedwongen) ontslagen meegemaakt, binnen en buiten de IT. Ik heb nog nooit meegemaakt dat iemand iets saboteerde.
Dit is naar mijn mening afhankelijk hoe men ontslagen wordt of iemand zo danig kwaad is, dat hij/zij wraak neemt.

Ik ben van mening dat iemand in een bedrijf gevaarlijker kan zijn voor de veiligheid, dan iemand van buiten af.
Ik snap niet dat iemand deze gedachte kan hebben. Zoals de waard is ... ?
Jammer dat we niet in een perfecte wereld leven, waar niemand op het idee komt om iets te doen wat niet mag.

Gelukkig hebben we mensen die wel kwaadaardig denken en het goedaardig gebruiken. Anders was het allemaal vrij gemakkelijk voor de kwaadwillende mens.
Dit is naar mijn mening afhankelijk hoe men ontslagen wordt of iemand zo danig kwaad is, dat hij/zij wraak neemt.
De meeste mensen kijken verder dan wraak, je kijkt ook naar je verdere carrière. Ik denk dat sowieso dat je dit ook van iemand die op HBO niveau opereert kan en mag verwachten.
Als je wraak ooit ontdekt wordt en je wordt vervolgd zal je dit een strafblad opleveren. Als je in netwerk security zit zal je dit zeer zwaar aangerekend worden. Tevens verlies je bijvoorbeeld alle sans certificaten en mogelijk andere securiy certificaten. Je tekent dat je geen ongeoorloofde dingen gaat doen.
Ik ben van mening dat iemand in een bedrijf gevaarlijker kan zijn voor de veiligheid, dan iemand van buiten af.
Dat klopt maar dat staat hier buiten.
De medewerker intern is de gevaarlijker omdat hij/zij software download en installeert of op de verkeerde sites komt waardoor er malware software geïnstalleerd wordt.
Maar deze mensen zijn de security niet bewust aan het ondermijnen, het is meer onwetendheid.
Jammer dat we niet in een perfecte wereld leven, waar niemand op het idee komt om iets te doen wat niet mag.

Gelukkig hebben we mensen die wel kwaadaardig denken en het goedaardig gebruiken. Anders was het allemaal vrij gemakkelijk voor de kwaadwillende mens.
Dat er crimineel gehacked wordt en ingebroken wordt toont aan dat de wereld niet ideaal is.

Je mag bij voorbaat niet je ex-medewerker verdenken wat hier wel gedaan wordt. Het kan ook net zo goed een ander zijn.
Het toont weinig respect voor (ex-)medewerkers. Ook een (ex-)medewerker onschuldig tot het tegendeel bewezen is.

Natuurlijk is de wereld niet ideaal, maar zodra je je medewerkers per definitie wantrouwt ben je fout bezig.
Er werden pas extra firewalls geplaatst na ze gehacked waren.
Kortom geen proactief security beleid.
De spijker op z'n kop.

De beveiliging op zich is de zaak van systeembeheerders en veiligheidsexperts. Het beveiligingsbeleid daarentegen (hoe zwaar weegt beveiliging voor het bedrijf, wat mag het kosten, wat heeft prioriteit, moeten er standaard procedures en standaardmodellen zijn voor de beveiliging, hoe moet de cultuur rond veiligheid eruit zien, wat moet het opleidingsniveau en de expertise van de mederwerkers zijn etc. etc.) is de zaak van "het management", _niet_ van systeembeheerders.

Systeembeheerders zijn de uitvoerders van het beleid, niet de architecten ervan. Op basis van hun deskundigheid hebben ze wel veel verantwoordelijkheid voor hun eigen specialisme, maar ze volgen gewoon het vastgestelde beleid. Adviezen kunnen ze geven (gevraagd en ongevraagd), maar daarme houdt het echt op.
Systeembeheerders zijn de uitvoerders van het beleid, niet de architecten ervan. Op basis van hun deskundigheid hebben ze wel veel verantwoordelijkheid voor hun eigen specialisme, maar ze volgen gewoon het vastgestelde beleid. Adviezen kunnen ze geven (gevraagd en ongevraagd), maar daarme houdt het echt op.
Klopt het security beleid en de risico analyse moet op hoger niveau gedaan worden.

Een security afdeling moet kijken naar de algehele beveiliging. Maar het is wel zo dat een systeem beheerder ook moet signaleren als er iets mis is.
..want dat staat zo goed op je CV. :+
Dan zet je dat toch niet op je CV?
Of ze zijn ontslagen toen de oversten merkten dat de beveiliging op geen hol trok maar het was al te laat?
Ligt het dan niet voor de hand dat een (of meerdere) van de ontslagen werknemers iets te maken had met de hack?
Bewijs maar aan de rechter dat het daadwerkelijk zo is..
Alhoewel het allemaal natuurlijk wel heel toevallig is.

[Reactie gewijzigd door C8H10N4O2 op 25 juni 2011 15:22]

Nou ja, je hoeft ze niet meteen te arresteren, maar het lijkt me wel verstandig om in die richting te gaan zoeken.
Prima natuurlijk, maar ook een beetje discriminerend en behoorlijk asociaal. Eerst wordt je ontslagen, en daarna ook nog es verdacht van inbraak. Ontslaan worden is al niet leuk, dus laat die lui gewoon met rust totdat er bewijs is.
Beetje naïeve reactie.
Stel dat er wel een link is, hoe komt men dan aan bewijs zonder in die richting te zoeken?
Bovendien kijkt men bij een onderzoek altijd naar een motief en ontslagen zijn is natuurlijk een goed motief (wil natuurlijk niet zeggen dat er een link is)
Hoezo? Ze hebben een motief en de kennis. Lijkt mij genoeg 'bewijs' om ze maar eens even te ondervragen.
Tegen de politie: "Nee, ik weet van niks. En zoek het verder maar uit, als Sony mijn expertise wil gebruiken moeten ze maar in dienst nemen/houden. En als je verder geen concrete verdenkingen hebt, tot niet meer ziens".
Ze hoeven het niet zelf te doen, wat info achterlaten bij bepaalde mensen of een welgevallige tip doet wonderen. Het is wel erg toevallig, maar okay het kan ;)
Als dit waar is, dan is het niet echt professioneel van Sony. En valt ze wel het een en ander te verwijten.

Aan de andere kant is het maar de vraag in hoeverre dit waar is gezien de 'bron'.
Hoezo onprofessioneel? Het is sinds hack de hele wereld duidelijk dat het PSN onvoldoende veilig was. Misschien wist Sony dit al een tijdje eerder en heeft ze de niet functionerende beveiligers ontslagen en nu professionals gehuurd.
Dat is goed mogelijk, wat ook goed mogelijk is dat de betreffende netwerkbeveiligers niet op de 'company line' liepen en teveel klaagden over de slechte staat van de netwerkbeveiliging, het is niet de eerste keer dat iets dergelijks gebeurt. Soms wordt kritiek op slechte procedures opgevat door management als een negatieve houding...
het is wel bewezen dat het niet veilig was, als "netwerkbeveiliger" kan je daar iets aan doen... dat is namelijk de functiebeschrijving van zo iemand
Tenzij je baas tegen je zegt dat er geen budget is om de boel veilig te laten maken. Of management ziet het nut er niet van in. Personeel is per definitie nooit schuldig, dat is altijd de leidinggevende. Een functieomschrijving is slechts een omschrijving van je takenpakket.
het is wel bewezen dat het niet veilig was, als "netwerkbeveiliger" kan je daar iets aan doen...
Dat hangt er maar helemaal aan of het management dat wil. Een netwerkbeveiliger werkt niet op eigen houtje maar natuurlijk in opdracht.
Maar hoe verklaar je dan dat de systeem beheerders wel firewalls konden plaatsen NA een incident. In het artikel wordt duidelijk gesproken over 'technicians'. Dus geen managers. Blijkbaar zijn er dus wel mogelijkheden. En als je geen toestemming krijg om hardware firewall's aan te schaffen, kun je nog altijd terug vallen op software firewalls. Zelfs de ingebouwde firewall van Windows 2008 R2 is goed te noemen. Er is wat mij betreft dus geen enkel excuus dat er geen firewalls aanwezig waren. Je kunt immers alleen een firewall plaatsen als er nog geen firewall aanwezig is..

Maar ik ken een hoop systeem beheerders welke hun systemen niet zo heel erg actief beheren. De netwerk inrichting en installatie van machines gaat meestal wel goed. Alleen zijn er weinig systeembeheerders welke pro-actief maatregelen nemen voordat het fout gaat..

Maar als jij als systeembeheerder verantwoordelijkheid accepteert voor een onveilig netwerk ben je eigenlijk net zo fout als de opdrachtgever zelf. En er zijn verdomd weinig systeembeheerders welke rechtsom keert maken als management geen budget toewijst om de situatie te verbeteren..
Het is natuurlijk ook een optie datdie, na het incidentgeplaatste, firewalls geplaatst zijn tussen verschillende onderdelen van het netwerk. Dat er toen opeens wel geld voor was lijkt me nogal logisch, na het incident snapte het management dat het nodig is. Typisch laat natuurlijk...
Sorry, maar nergens is tot nu toe werkelijk gebleken dat PSN onvoldoende veilig was (ondanks dat het dus gehackt is).

Het is eigenlijk gewoon onmogelijk om een netwerk 100% te beveiligen, er zijn namelijk altijd wel weer mensen die toch gaten weten te vinden. Wat jij denkt dat vandaag 100% veilig is, kan morgen al zo lek als een mandje zijn. En ja, je kunt wel op de hoogte proberen te blijven, maar die informatie is vaak pas nadat een lek gevonden en bevestigd is pas beschikbaar en dan ben je dus al te laat.
Als iets gehackt wordt, is de kans zeer groot dat het onvoldoende veilig was; het kon immers gehackt worden en in dit geval nog vrij uitgebreid ook (wat de kans ook al groter maakt dat het onveilig was).

Je zou zelfs kunnen zeggen dat het per definitie onvoldoende veilig was als het gehackt kon worden, maar dat vind ik dan net weer een beetje te overdreven omdat 100% veiligheid inderdaad onhaalbaar is.

[Reactie gewijzigd door mae-t.net op 26 juni 2011 19:15]

Het is heel goed mogelijk 100% veilig te zijn maar dat is ongeloofelijk duur en misschien moet je wel functionaliteit niet aanbieden om te zo veilig te krijgen. De goedkoopste methode is natuurlijk geen NAW gegevens online op hetzelfde netwerk bewaren als waar mensen op aanloggen. Is allemaal niet gebeurt maar om dan te zeggen dat het niet kan.
Enige 100% veilige methode die ik ken is het niet inpluggen van de netwerkkabel...
en geen usb poorten op de computer zetten...
Hulpvaardig, maar dan van de regen in de drup. Als je echt zou willen helpen gebruik je het topic waar je zelf notabene al over begon. Het linkje is rechtsboven duidelijk zichtbaar: Geachte Redactie
Hoezo niet? Is toch fijn als iemand je even attendeert op een foutje. Zal ik blijven doen, hulpvaardig als ik ben :)
dat is niet hulpvaardig, dat is off-topic en ongewenst. wat zich reflecteerd in een uiterst negatieve modstatus. Je helpt er dus niemand mee, en jezelf ook niet mee. ergo, wat je doet is totaal zinloos.
Er staat een feedback-link naast elk artikel, niet echt goed weggestoken lijkt mij!
t zou wel een gemene wraakactie zijn. :( :( :( :(
t zou wel een gemene wraakactie zijn. :( :( :( :(
Tja, waarom heeft sony ze uberhaubt ontslagen... Het ging niet om 1 persoon hier maar om een hele afdeling.. Maar dat is allemaal gissen natuurlijk of ze erachter zaten..

De onderste steen moet nog boven komen.

En inderdaad ik ben het wel met jee eens.. Als ze er inderdaad achterzaten.. Dan moeten er consequenties volgen voor diegene..
Alleen als ze het kunnen bewijzen.
Eerste waar we nu allemaal aan denken is een wraakactie. (Bijna) elk groot netwerksysteem heeft een backdoor waardoor de beheerder binnen kan komen. De kans lijkt me groot dat deze nu gebruikt is.
Ik ben bewuste backdoors nog nooit tegengekomen in mijn 13 jaar in de IT. Dat soort beheerders mogen ze op straat gooien. Een beheerder weet meestal wel het eea aan zwakke plekken in een netwerk omdat managers vaker zaken doorduwen adhv van ad-hoc changes of onder druk vanuit de business.
of onder druk vanuit de business
IT is ondersteunend, het staat dus gewoon ten dienste van de business. Het is immers de business die IT boel betaald. Om aan het management duidelijk te maken dat IT deel van de business is en niet slechts een klagende kostenpost zul je de business echt van harte moeten ondersteunen. Dan krijg je ook vanzelf de budgetten om je werk goed te kunnen doen.
IT is niet anders dan andere diensten.

[Reactie gewijzigd door gebruiker_nr_1 op 25 juni 2011 22:15]

Ondersteuning is één. Adhoc, onveilige implementaties die het hele netwerk in gevaar brengen omdat een manager nog iets op het laatste moment bedenkt is wat anders.
Probeer die redenatie eens op rijkswaterstaat: de wegen zijn alleen maar ondersteunend aan de wielen van mijn auto dus iedereen zijn mond houden en de A12 tot aan mijn voordeur trekken zodat ik snel thuis ben. Mooie wereld zou dat zijn. IT mag de business behoeden voor korte termijn denken, kromme IT oplossingen en andere onzalige ideeen die leiden tot een dure en ononderhoudbare rommel. Probleem met security is nu precies dat het altijd alleen maar in de weg staat en alleen voor organisaties die als enige product 'vertrouwen' hebben (banken) zal security niet de sluitpost zijn vanuit de business gedacht. M.a.w. leuk die business, maar die is kansloos zonder fatsoenlijke IT dus niets ten dienste van, maar samen een goed produkt leveren.
IT is ondersteunend, het staat dus gewoon ten dienste van de business. Het is immers de business die IT boel betaald
Afhankelijk van hoe je IT precies definieert werkt het 2 kanten op. Als IT producten maakt waarvoor men een business afdeling opzet om die te beheren en/of te verkopen dan kun je ook zeggen dat de business in dienst is van IT. Zij bouwen immers het product of platform, en de business probeert dit slechts aan de man te brengen.

Hierbij denk ik dan b.v. aan platforms als Facebook, Google Search, maar ook b.v. een OS als Windows of OS X.

Zonder die producten die IT bouwt kan men in dat segment geen business doen. IT is daar niet meer slechts ondersteunend voor bestaande business, het -is- de core van die business. Maar andersom, IT kan een heel mooi product bouwen, maar uiteindelijk heb je toch een commercieel team nodig dat ondersteuning biedt aan de klant en het verder op de markt brengt.
Hoezo nog nooit een backdoor gezien?

Een groot aantal wachtwoorden blijven hetzelfde wanneer mensen ontslagen worden, en als systembeheerder weet je deze, dus nog een "backdoor".
Even Teamviewer installeren en je hebt een backdoor.
En zo kan ik nog wel even doorgaan, los van het feit dat een systeembeheerder exact weet waar de probleemgebieden zijn die door hemzelf of anderen gemakkelijk te misbruiken zijn.

En voor degene die denken dat het niet intern is geweest, maar alleen maar door scriptkiddies van Anonymous; wie zegt dat dit soort mensen daar niet al bij zitten?
Punt is dat professionele mensen geen backdoors inbouwen. Gaten, kunnen er zijn. Moedwillig ingebouwde backdoors zijn zeldzaam. Al heb ik in een ver verleden wel eens meegemaakt dat een beheerder achterdeurtjes had gebouwd en na ontslag daarmee ging klooien. Het aantal mensen dat zo onprofessioneel is is echter gelukkig zeer beperkt.
En daarom rollenscheiding: afdeling 1 maakt accounts, afdeling 2 installeert software etc. Backdoor maken wordt dan nog lastig zul je heel wat mensen moeten overtuigen van je gelijk.
(Bijna) elk groot netwerksysteem heeft een backdoor waardoor de beheerder binnen kan komen. De kans lijkt me groot dat deze nu gebruikt is.
Op alle plaatsen waar ik gewerkt heb, was er geen enkele backdoor.

Als iemand van buiten naar binnen kon komen was dit via een VPN. Het account wordt altijd opgeruimd zodra een medewerker weggaat.

Ik heb meer dan 10 jaar binnen firewall beheer en security gewerkt.

[Reactie gewijzigd door worldcitizen op 25 juni 2011 23:54]

tja dat is wel het makkelijkst :) maar het blijft slim gedaan :)
Het nieuwsbericht lijkt te suggereren dat de ontslagen beveiligers verantwoordelijk waren voor PSN beveiliging, maar volgens mij waren zij onderdeel van SOE. Is toch wel een verschil? :)

"Just two weeks before the April breach, Sony laid off a substantial percentage of its Sony Online Entertainment workforce"

http://arstechnica.com/ga...repared-for-ps3-hacks.ars

In de claim wordt wel gesteld dat de ontslagen werknemers de vaardigheden zouden hebben om PSN beter te beveiligen/de inbreuk te voorkomen. Maar volgens mij waren zij hier niet verantwoordelijk voor.
Nee, de verantwoordelijkheid voor het waanzinnig snel gegroeide PSN netwerk lag oorspronkelijk bij Sony Computer Entertainment, maar is op het moment dat de medewerkers ontslagen werden, overgedragen aan de afdeling die ook al de online support voor de Bravia, Blu Ray etc diensten leverde; Sony Network Entertainment.
In de meeste artikelen zoals bijv. deze http://www.gamespot.com/news/6305629.html wordt overigens alleen gerept van de Amerikaanse divisies van beide dochterbedrijven, maar het zelfde geldt in Europa waar we dus over SCEE en SNEE praten.

Het was zo´n grote wijziging dat deze gepaard ging met een nieuwe licentieovereenkomst per 1 april waarmee je akkoord moest gaan (zie bijv. http://www.qriocity.com/psnlegal/us/tos.html). Immers een ander bedrijf leverde je plots de PSN diensten.

De mensen die ontslagen zijn werkten bij de oude dienst, die officieel tot 1 april verantwoordelijk was voor de beveiling van het PSN netwerk, maar in de praktijk dus al niet meer verantwoordelijk waren ten tijde van de maart hack.

Het was niet een nieuw plan, er waren in 2009 al hints dat Sony dit wilde doen omdat ze één geintegreerd bedrijf intern wilden dat verantwoordelijk was voor alle online diensten op hun apparatuur. Op CES in Vegas dit jaar heeft de verantwoordelijke hotshot bij Sony dat nog eens aangekondigd en toen ook uitgevoerd.

Dus alle ingedrienten voor een drama in the making: een supersnel gegroeid PSN en Qriocity netwerk worden hoplla overgedragen aan een wat suffige afdeling die wat online diensten voor je tv en BR speler regelden, forse ontslagen op de oude afdeling waar men allang wist dat men de verantwoordelijkheid niet meer zou dragen.

Dus ongemotiveerd personeel, managers die geen geld meer willen uitgeven aan die divisie, patch work werd de norm ipv structurele beveiliging en ongetwijfeld heeft men op de werkvloer flink gepiept dat steeds de put gedempt werd als er weer een kalf verdronken was, maar de eindverantwoordelijke Kazuo Hirai die beide afdelingen inmiddels onder zijn hoede was meer geintereseerd in groei, groei en nog meer groei, dan in fatsoenlijke beveiliging.

Op dit item kan niet meer gereageerd worden.



Populair: Desktops Samsung Smartphones Sony Microsoft Games Apple Politiek en recht Consoles Smartwatches

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013