Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Sony ontsloeg netwerkbeveiligers vlak voor PSN-hack

Sony heeft medewerkers die verantwoordelijk zijn voor beveiliging van het netwerk ontslagen vlak voordat PlayStation Network werd gehackt. Bij de hack in april maakten de krakers gegevens van in totaal 77 miljoen gebruikers buit.

De beveiliging bij PSN gebeurde niet volgens beveiligingsstandaarden, maar ging op ad-hoc basis als men onraad rook, zou blijken uit een rechtbankdocument. Dat schrijft Gamasutra. Twee weken voor de hack zou een 'substantieel deel' van het personeel van het Network Operation Center zijn ontslagen. Het is onduidelijk of de ontslagen de hack mogelijk hebben gemaakt.

Het rechtbankdocument is niet onafhankelijk: het vormt de basis van een class action suit tegen Sony vanwege de hack. Het document beroept zich op anonieme getuigen, vermoedelijk mensen die bij Sony zijn ontslagen. Sony's online gamedienst PlayStation Network werd enkele maanden geleden gehackt, waarna Sony de dienst een maand offline haalde. Bij de hack werden persoonsgegevens van 77 miljoen gebruikers buitgemaakt. De PSN-hack was de eerste van een reeks aanvallen op diensten en sites die met Sony of games te maken hebben.

Vorig nieuwsartikel Volgend nieuwsartikel

Door

Redacteur mobile

Feedback • 25-06-2011 15:16
124 • submitter: buran

124 Linkedin Google+

Submitter: buran

Lees meer

Sony's PlayStation Network is offline na toestroom Europese PS4-gamers 29 november 2013
Sony ziet af van hoger beroep en betaalt boete voor 'PSN-hack' 15 juli 2013
David Smith van Britse ICO-privacywaakhond licht 250.000 pond boete voor Sony toe 1 februari 2013
Sony krijgt boete van kwart miljoen pond wegens PSN-hack 24 januari 2013
Kwaadwillenden kraken wachtwoorden 93.000 PSN-accounts 12 oktober 2011
PlayStation Netwerk om onbekende reden opnieuw down - update 21 september 2011
Sony benoemt 'chief information security officer' 6 september 2011
Verzekeraar wil onder claims Sony PSN-hack uit 22 juli 2011
Microsoft: Sony- en RSA-hacks zijn gevolg van beginnersfouten 5 juli 2011
Sony brengt PSN ook in Japan weer online 4 juli 2011
Sony zou productie PS4 eind dit jaar starten 4 juli 2011
Sony herstructureert top 29 juni 2011
Sony: we zijn gehackt omdat we ons eigendom beschermden 28 juni 2011
Nintendo sluit delen van Europese site wegens aanval 11 juni 2011
Sony moet op hoorzitting tekst en uitleg geven over PSN-hack 29 mei 2011
Sony onderschatte de kans op PSN-aanval 27 mei 2011
Sony verwacht verlies van 2,28 miljard euro 23 mei 2011
'PlayStation Store gaat weer open op 24 mei' 20 mei 2011
'Opnieuw kwetsbaarheid in PSN ontdekt' 18 mei 2011
Sony geeft meer details vrij over PSN-compensatieregeling 17 mei 2011
Websites Eidos en Deus Ex korte tijd gehackt 13 mei 2011
PlayStation Network over 'enkele dagen' online 11 mei 2011
PlayStation Network blijft langer offline 7 mei 2011
Sony hint op zorgvuldig geplande PSN-hack door Anonymous 4 mei 2011
Sony-hackers maken database met Nederlandse incassogegevens buit 3 mei 2011
Sony: vermoedelijk 10 miljoen creditcardaccounts buitgemaakt 2 mei 2011
PSN-hackers lijken buitgemaakte creditcards nog niet te misbruiken 30 april 2011
'Hackers PSN maakten gegevens 2,2 miljoen creditcards buit' 29 april 2011
Overheid VS wil onderzoek hack PSN 28 april 2011
Sony bevestigt diefstal persoonsgegevens van PSN - update 27 april 2011
Sony haalde PlayStation Network offline na hack 23 april 2011
Meer producten en artikelen (28)
Games Economie en maatschappij Sony PlayStation Hackers Rechtszaak

Reacties (124)

-Moderatie-faq
-11240103+154+26+30Ongemodereerd6
Wijzig sortering
+2 nioz
25 juni 2011 15:31
Het nieuwsbericht lijkt te suggereren dat de ontslagen beveiligers verantwoordelijk waren voor PSN beveiliging, maar volgens mij waren zij onderdeel van SOE. Is toch wel een verschil? :)

"Just two weeks before the April breach, Sony laid off a substantial percentage of its Sony Online Entertainment workforce"

http://arstechnica.com/ga...repared-for-ps3-hacks.ars

In de claim wordt wel gesteld dat de ontslagen werknemers de vaardigheden zouden hebben om PSN beter te beveiligen/de inbreuk te voorkomen. Maar volgens mij waren zij hier niet verantwoordelijk voor.
+2 max3D
@nioz26 juni 2011 10:11
Nee, de verantwoordelijkheid voor het waanzinnig snel gegroeide PSN netwerk lag oorspronkelijk bij Sony Computer Entertainment, maar is op het moment dat de medewerkers ontslagen werden, overgedragen aan de afdeling die ook al de online support voor de Bravia, Blu Ray etc diensten leverde; Sony Network Entertainment.
In de meeste artikelen zoals bijv. deze http://www.gamespot.com/news/6305629.html wordt overigens alleen gerept van de Amerikaanse divisies van beide dochterbedrijven, maar het zelfde geldt in Europa waar we dus over SCEE en SNEE praten.

Het was zo´n grote wijziging dat deze gepaard ging met een nieuwe licentieovereenkomst per 1 april waarmee je akkoord moest gaan (zie bijv. http://www.qriocity.com/psnlegal/us/tos.html). Immers een ander bedrijf leverde je plots de PSN diensten.

De mensen die ontslagen zijn werkten bij de oude dienst, die officieel tot 1 april verantwoordelijk was voor de beveiling van het PSN netwerk, maar in de praktijk dus al niet meer verantwoordelijk waren ten tijde van de maart hack.

Het was niet een nieuw plan, er waren in 2009 al hints dat Sony dit wilde doen omdat ze één geintegreerd bedrijf intern wilden dat verantwoordelijk was voor alle online diensten op hun apparatuur. Op CES in Vegas dit jaar heeft de verantwoordelijke hotshot bij Sony dat nog eens aangekondigd en toen ook uitgevoerd.

Dus alle ingedrienten voor een drama in the making: een supersnel gegroeid PSN en Qriocity netwerk worden hoplla overgedragen aan een wat suffige afdeling die wat online diensten voor je tv en BR speler regelden, forse ontslagen op de oude afdeling waar men allang wist dat men de verantwoordelijkheid niet meer zou dragen.

Dus ongemotiveerd personeel, managers die geen geld meer willen uitgeven aan die divisie, patch work werd de norm ipv structurele beveiliging en ongetwijfeld heeft men op de werkvloer flink gepiept dat steeds de put gedempt werd als er weer een kalf verdronken was, maar de eindverantwoordelijke Kazuo Hirai die beide afdelingen inmiddels onder zijn hoede was meer geintereseerd in groei, groei en nog meer groei, dan in fatsoenlijke beveiliging.
+1 DutchMen
25 juni 2011 15:18
Zou me niet verbazen als een van de ontslagen werknemers het heeft gedaan.
+2 112442

@DutchMen25 juni 2011 22:35
Ik denk dat de kans heel erg klein is. Je moet wel erg dom zijn om je carrière op het spel te zetten.

Ik snap niet dat iemand deze gedachte kan hebben. Zoals de waard is ... ?

Ik heb regelmatig (gedwongen) ontslagen meegemaakt, binnen en buiten de IT. Ik heb nog nooit meegemaakt dat iemand iets saboteerde.

Als je de Gamasutra leest is de situatie heel anders. Dit is een zaak tegen Sony, niet het pleidooi va Sony.
Another confidential witness, a platform support engineer for SOE from 2006 till March 2011, claimed that "Sony's technicians only installed firewalls on an ad-hoc [emphasis in original] basis after they determined that a particular user was attempting to gain unauthorized access to the network." The suit claimed that the practice fell short of widely-adopted security standards.
Er werden pas extra firewalls geplaatst na ze gehacked waren.
Kortom geen proactief security beleid.
And another confidential witness, a senior project coordinator for SCEA from June 2000 till March 2011, "expressed an utter lack of surprise" about the breach, "since he and others at Sony knew it had been breached on prior occasions as well," the complaint claims.
Sony was al veel vaker gehacked. Kortom de security was voorheen ook niet goed. Mogelijk is er nog meer achterstallig onderhoud geweest door het ontslaan van de medewerkers.

[Reactie gewijzigd door 112442 op 25 juni 2011 22:36]

+1 wica
@11244225 juni 2011 23:58
Ik heb regelmatig (gedwongen) ontslagen meegemaakt, binnen en buiten de IT. Ik heb nog nooit meegemaakt dat iemand iets saboteerde.
Dit is naar mijn mening afhankelijk hoe men ontslagen wordt of iemand zo danig kwaad is, dat hij/zij wraak neemt.

Ik ben van mening dat iemand in een bedrijf gevaarlijker kan zijn voor de veiligheid, dan iemand van buiten af.
Ik snap niet dat iemand deze gedachte kan hebben. Zoals de waard is ... ?
Jammer dat we niet in een perfecte wereld leven, waar niemand op het idee komt om iets te doen wat niet mag.

Gelukkig hebben we mensen die wel kwaadaardig denken en het goedaardig gebruiken. Anders was het allemaal vrij gemakkelijk voor de kwaadwillende mens.
+1 112442

@wica26 juni 2011 12:57
Dit is naar mijn mening afhankelijk hoe men ontslagen wordt of iemand zo danig kwaad is, dat hij/zij wraak neemt.
De meeste mensen kijken verder dan wraak, je kijkt ook naar je verdere carrière. Ik denk dat sowieso dat je dit ook van iemand die op HBO niveau opereert kan en mag verwachten.
Als je wraak ooit ontdekt wordt en je wordt vervolgd zal je dit een strafblad opleveren. Als je in netwerk security zit zal je dit zeer zwaar aangerekend worden. Tevens verlies je bijvoorbeeld alle sans certificaten en mogelijk andere securiy certificaten. Je tekent dat je geen ongeoorloofde dingen gaat doen.
Ik ben van mening dat iemand in een bedrijf gevaarlijker kan zijn voor de veiligheid, dan iemand van buiten af.
Dat klopt maar dat staat hier buiten.
De medewerker intern is de gevaarlijker omdat hij/zij software download en installeert of op de verkeerde sites komt waardoor er malware software geïnstalleerd wordt.
Maar deze mensen zijn de security niet bewust aan het ondermijnen, het is meer onwetendheid.
Jammer dat we niet in een perfecte wereld leven, waar niemand op het idee komt om iets te doen wat niet mag.

Gelukkig hebben we mensen die wel kwaadaardig denken en het goedaardig gebruiken. Anders was het allemaal vrij gemakkelijk voor de kwaadwillende mens.
Dat er crimineel gehacked wordt en ingebroken wordt toont aan dat de wereld niet ideaal is.

Je mag bij voorbaat niet je ex-medewerker verdenken wat hier wel gedaan wordt. Het kan ook net zo goed een ander zijn.
Het toont weinig respect voor (ex-)medewerkers. Ook een (ex-)medewerker onschuldig tot het tegendeel bewezen is.

Natuurlijk is de wereld niet ideaal, maar zodra je je medewerkers per definitie wantrouwt ben je fout bezig.
+1 Golodh
@11244226 juni 2011 02:24
Er werden pas extra firewalls geplaatst na ze gehacked waren.
Kortom geen proactief security beleid.
De spijker op z'n kop.

De beveiliging op zich is de zaak van systeembeheerders en veiligheidsexperts. Het beveiligingsbeleid daarentegen (hoe zwaar weegt beveiliging voor het bedrijf, wat mag het kosten, wat heeft prioriteit, moeten er standaard procedures en standaardmodellen zijn voor de beveiliging, hoe moet de cultuur rond veiligheid eruit zien, wat moet het opleidingsniveau en de expertise van de mederwerkers zijn etc. etc.) is de zaak van "het management", _niet_ van systeembeheerders.

Systeembeheerders zijn de uitvoerders van het beleid, niet de architecten ervan. Op basis van hun deskundigheid hebben ze wel veel verantwoordelijkheid voor hun eigen specialisme, maar ze volgen gewoon het vastgestelde beleid. Adviezen kunnen ze geven (gevraagd en ongevraagd), maar daarme houdt het echt op.
+1 112442

@Golodh26 juni 2011 12:46
Systeembeheerders zijn de uitvoerders van het beleid, niet de architecten ervan. Op basis van hun deskundigheid hebben ze wel veel verantwoordelijkheid voor hun eigen specialisme, maar ze volgen gewoon het vastgestelde beleid. Adviezen kunnen ze geven (gevraagd en ongevraagd), maar daarme houdt het echt op.
Klopt het security beleid en de risico analyse moet op hoger niveau gedaan worden.

Een security afdeling moet kijken naar de algehele beveiliging. Maar het is wel zo dat een systeem beheerder ook moet signaleren als er iets mis is.
+1 rickyy
@DutchMen25 juni 2011 15:21
Denk het eerlijk gezegd niet. En zo wel, zou het niet bepaald slim zijn. Het maakt ze natuurlijk verdacht dat een hack plaats vind na hun ontslag. Aangezien het miljoenen schaden heeft opgeleverd komt de waarheid bij hen al snel boven tafel, mits ze het dus gedaan zouden hebben. Ik neem aan dat Sony niet zulk on-intelligent personeel aanneemt.

[Reactie gewijzigd door rickyy op 25 juni 2011 15:22]

+1 mashell

@rickyy25 juni 2011 15:30
on-intelligent
"On-intelligentie" is anders een goede reden je (blijkbaar) falende beveiligingsmedewerkers te ontslaan. Precies wat Sony gedaan heeft. Met andere woorden zonder gedetailleerde info over zowel de hack als het ontslag kunnen wij er niets over zeggen. Misschien de rechter, de deze info wel heeft.
+1 BaRF
@mashell26 juni 2011 07:09
"on-intelligente" mensen krijgen vast niet zo'n baan om mee te beginnen :P

Zou in elk geval wel té link zijn en ik denk ook echt niet dat die lui er iets mee te maken hebben - of ze zijn zooo vol van zichzelf dat ze van mening zijn dat ze nooit gepakt zullen worden :+
+2 flowerp
@BaRF26 juni 2011 10:47
In de IT werken toch echt wel behoorlijk veel mensen met laten we het netjes zeggen, "aparte karakters".

Iemand kan best op zich heel intelligent zijn en de sollicitatie en proef periode door komen, maar daarna toch irrationeel en problematisch gedrag gaan vertonen. Bekende dingen zijn het niet willen uitvoeren van opdrachten, te pas en te onpas op het werk verschijnen, niet de conventies van de rest van het team volgen (oh, het team gebruikt Linux? Ik install lekker BSD want dat is veel meer hardcore en 10x beter, en...).

Als bedrijf is mensen aannemen altijd een gok natuurlijk. Je ziet bij de sollicitatie dat iemand slim is en verstand van zaken heeft, maar de psychologische test of de gut feeling geven al aan dat het karakter mogelijk problematisch is. Wat doe je dan? Je heb echt een technici voor die positie nodig en die zijn nog al zeldzaam. Doorzoeken voor iemand die een mogelijk beter karakter heeft maar dan weer minder verstand van zaken heeft? En hoe zeker weet je van die ene test dat iemand een problematische persoonlijkheid heeft?

Op een gegeven moment komt zo iemand dan toch altijd wel ergens aan de slag. Vaak gaat het toch wel goed, maar soms helaas ook niet.
+1 mad_max234
@DutchMen25 juni 2011 16:00
Zou me niet verbazen als een van de ontslagen werknemers het heeft gedaan.
Was de hack dan al niet opgeëist door bepaalde groep die de laatste tijd veel in het nieuws is geweest.

[Reactie gewijzigd door mad_max234 op 25 juni 2011 16:01]

+1 supersnathan94
@mad_max23425 juni 2011 21:00
nee juist precies het tegenovergestelde. Anonymous activisten hebben op internet uitdrukkelijk kenbaar gemaakt dat zij het niet waren.
+1 Dennisdn
@DutchMen25 juni 2011 15:28
Denk niet dat het slim is om het dan zelf te doen, maar kan me wel voorstellen dat een ex-medewerker een door hem ingebouwd lek uit wraak heeft verkocht aan een partij die hem misschien eerder al benaderd heeft.
+1 SuperDre

@DutchMen25 juni 2011 17:11
Zoals de hack zou zijn gegaan waren er al sowieso aanwijzigen dat het mogelijk met inside hulp was gedaan, nu lijkt me dat ook nog eens zeer waarschijnlijker.
+1 _Thanatos_
@DutchMen25 juni 2011 19:03
Niet iedereen is zo evil.

Maar je kunt wel redeneren dat ze geen kans meer hebben kunnen krijgen om de hack onmogelijk te maken. Want ze werkten er op dat moment immers niet meer ;)

[Reactie gewijzigd door _Thanatos_ op 25 juni 2011 19:03]

+1 MGiles
@DutchMen26 juni 2011 14:18
Of ze zijn ontslagen toen de oversten merkten dat de beveiliging op geen hol trok maar het was al te laat?
0 Bulls
@DutchMen25 juni 2011 15:23
Misschien met opzet even een deurtje open gelaten.
+1 Atheistus
@Bulls26 juni 2011 12:51
Als je een deur open laat, wordt deze altijd gevonden. Dus dat is onwaarschijnlijk.
+1 KleineJoop
@DutchMen25 juni 2011 15:19
Dat zou dan wel heel snel moeten zijn geweest, vlak daarna werdt PSN al gehackt...
+1 Swerfer
@KleineJoop25 juni 2011 15:35
Het kan natuurlijk zijn dat een ontslagen medewerker al op de hoogte was van een veiligheidslek die hij daarna heeft gebruikt.

Dus zo snel hoeft het dan niet te zijn...
+1 GreatDictator
@Swerfer25 juni 2011 15:53
Of ze wisten al een tijdje dat ze ontslagen gingen worden.
0 HoeZoWie
@GreatDictator27 juni 2011 19:22
Precies, al jullie uitspraken - zijn mijn gedachten ook.
0 highmastdon
@HoeZoWie28 juni 2011 14:07
Als ze netwerkbeveiligers ontslaan, kun je er wel vanuit gaan dat daarna niet alle passwords veranderd worden.
0 sygys
@Swerfer27 juni 2011 09:32
Misschien niet zelf gedaan maar laten doen...
0 Jeroen.H.
@Swerfer25 juni 2011 16:02
Of ze wisten dat een ontslag eraan zat te komen en hebben bewust een lek in het systeem gemaakt :+
+2 flowerp
@Devin1926 juni 2011 10:36
En ja hoor, lang leve de compost theoriën.
Ik geef toe dat er veel zinloze complot theorieën dagelijks op forums gepost worden, maar dit is niet zo enorm ver gezocht.

Disgruntled employees met -echte- diepe kennis van de systemen zijn wel degelijk een grote zorg voor bedrijven in de dagelijkse praktijk.

In diverse settings al dergelijke dingen meegemaakt bij verschillende bedrijven. Paar jaar geleden bij een wat kleiner bedrijfje van een kennis van me zat een gozer die het grootste deel van de servers had ingericht maar een op een gegeven moment dermate problematisch functioneerde dat het bedrijfje het eigenlijk moreel verplicht was aan de andere werknemers om hem te laten gaan. Ik ken je vertellen dat er flink wat crisis beraad en nood scenario's zijn opgezet.

Bij middelgrote bedrijven heb je op veel posten wel meerdere mensen en is het meestal niet zo dat 1 persoon *alles* weet, maar ook daar is het goed mogelijk dat iemand die al wat langer bij het bedrijf werkt van veel op de hoogte is, en wel degelijk een risico vormt. Daar heb ik wel eens gezien dat het ontslag van zo iemand al tijden van te voren geplanned wordt en andere mensen precies meedraaien met wat zo iemand doet, zodat na het ontslag direct een groot aantal risico's geminimaliseerd kan worden (en dan kan ver gaan, tot aan het opnieuw inrichten van servers aan toe).
+1 DestructX
@flowerp26 juni 2011 10:47
wat je zegt zou best kunnen kloppen maar ik denk niet dat sony heeft gezegt van: " oh kijk die paar mensen daaro kunnen wel weg want ze zijn overbodig, hier heb je een fruitmand en tot nooit meer ziens"

Ik denk dat dit gewoon goed besproken is want Sony weet zelf ook wel dat het serieus verleidelijk is om Sony's systemen te kraken nadat ze op een lullige manier ontslagen zijn om zo maar hun wraak te plegen.
0 A Noniem
@Timmy.be25 juni 2011 17:55
Iedereen weet dat het stinkt, maar niemand heeft zin om met zijn neus erin te duiken.
0 330244
@A Noniem25 juni 2011 19:20
Daarom is dit artikel ook geplaatst, omdat je dit op een voor de hand liggende manier kan interpretereren. :)
0 Aham brahmasmi
@A Noniem25 juni 2011 21:54
Iedereen weet dat het stinkt, maar niemand heeft zin om met zijn neus erin te duiken.
Compost stinkt niet (tenzij het slecht gemaakt is, maar dan is het ook geen compost).
0 silasje1
@DutchMen25 juni 2011 15:18
mijn eerste gedachte inderdaad
0 MrMonkE
@DutchMen26 juni 2011 01:14
..want dat staat zo goed op je CV. :+
0 Vorlon_Kosh
@MrMonkE26 juni 2011 22:11
Dan zet je dat toch niet op je CV?
0 angrybirds
25 juni 2011 15:36
mischien willen ze ergens geld vandaan hebben, want hun schade door de hack was niet mis! maar ik denk dat de tijd zal leren wat de waarheid is.
+2 Allubz
@angrybirds25 juni 2011 15:55
Artikel gelezen?

Sony klaagt niemand aan, het is een class action suit >tegen< Sony, waarin ter ondersteuning van het argument dat het netwerk (te) slecht beveiligd was een document wordt aangedragen waarin word gesteld dat netwerkbeveiligers van Sony kort voor het plaatsvinden van de hack zijn ontslagen.

Als je met 'ze' de mensen van de CAS bedoelt dan geldt natuurlijk dat ze 'ergens' geld vandaan willen hebben, en van wie anders dan Sony. Wie uiteindelijk meer shade heeft opgelopen is maar sterk de vraag, als Sony voor alles moet opdraaien.

De waarheid lag vrijwel direct op straat: het netwerk was niet goed genoeg beveiligd; het is nu aan de aanklager om met zoveel mogelijk bewijsmateriaal te komen, vandaar dit document ter ondersteuning.
+1 Beatboxx
25 juni 2011 15:22
Eerste waar we nu allemaal aan denken is een wraakactie. (Bijna) elk groot netwerksysteem heeft een backdoor waardoor de beheerder binnen kan komen. De kans lijkt me groot dat deze nu gebruikt is.
+1 112442

@Beatboxx25 juni 2011 22:24
(Bijna) elk groot netwerksysteem heeft een backdoor waardoor de beheerder binnen kan komen. De kans lijkt me groot dat deze nu gebruikt is.
Op alle plaatsen waar ik gewerkt heb, was er geen enkele backdoor.

Als iemand van buiten naar binnen kon komen was dit via een VPN. Het account wordt altijd opgeruimd zodra een medewerker weggaat.

Ik heb meer dan 10 jaar binnen firewall beheer en security gewerkt.

[Reactie gewijzigd door 112442 op 25 juni 2011 23:54]

+1 m3gA
@Beatboxx25 juni 2011 15:29
Ik ben bewuste backdoors nog nooit tegengekomen in mijn 13 jaar in de IT. Dat soort beheerders mogen ze op straat gooien. Een beheerder weet meestal wel het eea aan zwakke plekken in een netwerk omdat managers vaker zaken doorduwen adhv van ad-hoc changes of onder druk vanuit de business.
+1 Terminal13
@m3gA25 juni 2011 17:17
Hoezo nog nooit een backdoor gezien?

Een groot aantal wachtwoorden blijven hetzelfde wanneer mensen ontslagen worden, en als systembeheerder weet je deze, dus nog een "backdoor".
Even Teamviewer installeren en je hebt een backdoor.
En zo kan ik nog wel even doorgaan, los van het feit dat een systeembeheerder exact weet waar de probleemgebieden zijn die door hemzelf of anderen gemakkelijk te misbruiken zijn.

En voor degene die denken dat het niet intern is geweest, maar alleen maar door scriptkiddies van Anonymous; wie zegt dat dit soort mensen daar niet al bij zitten?
+1 humbug
@Terminal1325 juni 2011 17:45
Punt is dat professionele mensen geen backdoors inbouwen. Gaten, kunnen er zijn. Moedwillig ingebouwde backdoors zijn zeldzaam. Al heb ik in een ver verleden wel eens meegemaakt dat een beheerder achterdeurtjes had gebouwd en na ontslag daarmee ging klooien. Het aantal mensen dat zo onprofessioneel is is echter gelukkig zeer beperkt.
+1 latka
@Terminal1325 juni 2011 23:47
En daarom rollenscheiding: afdeling 1 maakt accounts, afdeling 2 installeert software etc. Backdoor maken wordt dan nog lastig zul je heel wat mensen moeten overtuigen van je gelijk.
+1 mashell

@m3gA25 juni 2011 15:38
of onder druk vanuit de business
IT is ondersteunend, het staat dus gewoon ten dienste van de business. Het is immers de business die IT boel betaald. Om aan het management duidelijk te maken dat IT deel van de business is en niet slechts een klagende kostenpost zul je de business echt van harte moeten ondersteunen. Dan krijg je ook vanzelf de budgetten om je werk goed te kunnen doen.
+1 m3gA
@mashell25 juni 2011 18:19
Ondersteuning is één. Adhoc, onveilige implementaties die het hele netwerk in gevaar brengen omdat een manager nog iets op het laatste moment bedenkt is wat anders.
0 gebruiker_nr_1
@mashell25 juni 2011 17:55
IT is niet anders dan andere diensten.

[Reactie gewijzigd door gebruiker_nr_1 op 25 juni 2011 22:15]

0 latka
@mashell25 juni 2011 23:46
Probeer die redenatie eens op rijkswaterstaat: de wegen zijn alleen maar ondersteunend aan de wielen van mijn auto dus iedereen zijn mond houden en de A12 tot aan mijn voordeur trekken zodat ik snel thuis ben. Mooie wereld zou dat zijn. IT mag de business behoeden voor korte termijn denken, kromme IT oplossingen en andere onzalige ideeen die leiden tot een dure en ononderhoudbare rommel. Probleem met security is nu precies dat het altijd alleen maar in de weg staat en alleen voor organisaties die als enige product 'vertrouwen' hebben (banken) zal security niet de sluitpost zijn vanuit de business gedacht. M.a.w. leuk die business, maar die is kansloos zonder fatsoenlijke IT dus niets ten dienste van, maar samen een goed produkt leveren.
0 flowerp
@mashell26 juni 2011 11:00
IT is ondersteunend, het staat dus gewoon ten dienste van de business. Het is immers de business die IT boel betaald
Afhankelijk van hoe je IT precies definieert werkt het 2 kanten op. Als IT producten maakt waarvoor men een business afdeling opzet om die te beheren en/of te verkopen dan kun je ook zeggen dat de business in dienst is van IT. Zij bouwen immers het product of platform, en de business probeert dit slechts aan de man te brengen.

Hierbij denk ik dan b.v. aan platforms als Facebook, Google Search, maar ook b.v. een OS als Windows of OS X.

Zonder die producten die IT bouwt kan men in dat segment geen business doen. IT is daar niet meer slechts ondersteunend voor bestaande business, het -is- de core van die business. Maar andersom, IT kan een heel mooi product bouwen, maar uiteindelijk heb je toch een commercieel team nodig dat ondersteuning biedt aan de klant en het verder op de markt brengt.
+1 Kosty
25 juni 2011 15:19
Ligt het dan niet voor de hand dat een (of meerdere) van de ontslagen werknemers iets te maken had met de hack?
+1 C8H10N4O2
@Kosty25 juni 2011 15:21
Bewijs maar aan de rechter dat het daadwerkelijk zo is..
Alhoewel het allemaal natuurlijk wel heel toevallig is.

[Reactie gewijzigd door C8H10N4O2 op 25 juni 2011 15:22]

+1 Wolfos
@C8H10N4O225 juni 2011 16:09
Nou ja, je hoeft ze niet meteen te arresteren, maar het lijkt me wel verstandig om in die richting te gaan zoeken.
+1 _Thanatos_
@Wolfos25 juni 2011 19:06
Prima natuurlijk, maar ook een beetje discriminerend en behoorlijk asociaal. Eerst wordt je ontslagen, en daarna ook nog es verdacht van inbraak. Ontslaan worden is al niet leuk, dus laat die lui gewoon met rust totdat er bewijs is.
+1 Roelof
@_Thanatos_25 juni 2011 19:49
Beetje naïeve reactie.
Stel dat er wel een link is, hoe komt men dan aan bewijs zonder in die richting te zoeken?
Bovendien kijkt men bij een onderzoek altijd naar een motief en ontslagen zijn is natuurlijk een goed motief (wil natuurlijk niet zeggen dat er een link is)
+1 Wolfos
@_Thanatos_26 juni 2011 10:07
Hoezo? Ze hebben een motief en de kennis. Lijkt mij genoeg 'bewijs' om ze maar eens even te ondervragen.
0 Vorlon_Kosh
@Wolfos26 juni 2011 22:13
Tegen de politie: "Nee, ik weet van niks. En zoek het verder maar uit, als Sony mijn expertise wil gebruiken moeten ze maar in dienst nemen/houden. En als je verder geen concrete verdenkingen hebt, tot niet meer ziens".
0 bonus
@Kosty25 juni 2011 16:38
Ze hoeven het niet zelf te doen, wat info achterlaten bij bepaalde mensen of een welgevallige tip doet wonderen. Het is wel erg toevallig, maar okay het kan ;)
+1 HCMarX
25 juni 2011 15:20
Als dit waar is, dan is het niet echt professioneel van Sony. En valt ze wel het een en ander te verwijten.

Aan de andere kant is het maar de vraag in hoeverre dit waar is gezien de 'bron'.
+1 mashell

@HCMarX25 juni 2011 15:34
Hoezo onprofessioneel? Het is sinds hack de hele wereld duidelijk dat het PSN onvoldoende veilig was. Misschien wist Sony dit al een tijdje eerder en heeft ze de niet functionerende beveiligers ontslagen en nu professionals gehuurd.
+1 Cergorach
@mashell25 juni 2011 16:08
Dat is goed mogelijk, wat ook goed mogelijk is dat de betreffende netwerkbeveiligers niet op de 'company line' liepen en teveel klaagden over de slechte staat van de netwerkbeveiliging, het is niet de eerste keer dat iets dergelijks gebeurt. Soms wordt kritiek op slechte procedures opgevat door management als een negatieve houding...
0 catfish
@Cergorach25 juni 2011 17:01
het is wel bewezen dat het niet veilig was, als "netwerkbeveiliger" kan je daar iets aan doen... dat is namelijk de functiebeschrijving van zo iemand
+1 Aham brahmasmi
@catfish25 juni 2011 21:58
het is wel bewezen dat het niet veilig was, als "netwerkbeveiliger" kan je daar iets aan doen...
Dat hangt er maar helemaal aan of het management dat wil. Een netwerkbeveiliger werkt niet op eigen houtje maar natuurlijk in opdracht.
+1 Niemand_Anders
@Aham brahmasmi26 juni 2011 08:41
Maar hoe verklaar je dan dat de systeem beheerders wel firewalls konden plaatsen NA een incident. In het artikel wordt duidelijk gesproken over 'technicians'. Dus geen managers. Blijkbaar zijn er dus wel mogelijkheden. En als je geen toestemming krijg om hardware firewall's aan te schaffen, kun je nog altijd terug vallen op software firewalls. Zelfs de ingebouwde firewall van Windows 2008 R2 is goed te noemen. Er is wat mij betreft dus geen enkel excuus dat er geen firewalls aanwezig waren. Je kunt immers alleen een firewall plaatsen als er nog geen firewall aanwezig is..

Maar ik ken een hoop systeem beheerders welke hun systemen niet zo heel erg actief beheren. De netwerk inrichting en installatie van machines gaat meestal wel goed. Alleen zijn er weinig systeembeheerders welke pro-actief maatregelen nemen voordat het fout gaat..

Maar als jij als systeembeheerder verantwoordelijkheid accepteert voor een onveilig netwerk ben je eigenlijk net zo fout als de opdrachtgever zelf. En er zijn verdomd weinig systeembeheerders welke rechtsom keert maken als management geen budget toewijst om de situatie te verbeteren..
+1 cobis taba
@Niemand_Anders26 juni 2011 10:47
Het is natuurlijk ook een optie datdie, na het incidentgeplaatste, firewalls geplaatst zijn tussen verschillende onderdelen van het netwerk. Dat er toen opeens wel geld voor was lijkt me nogal logisch, na het incident snapte het management dat het nodig is. Typisch laat natuurlijk...
+1 sjekneck
@catfish25 juni 2011 17:54
Tenzij je baas tegen je zegt dat er geen budget is om de boel veilig te laten maken. Of management ziet het nut er niet van in. Personeel is per definitie nooit schuldig, dat is altijd de leidinggevende. Een functieomschrijving is slechts een omschrijving van je takenpakket.
0 SuperDre

@mashell25 juni 2011 17:16
Sorry, maar nergens is tot nu toe werkelijk gebleken dat PSN onvoldoende veilig was (ondanks dat het dus gehackt is).

Het is eigenlijk gewoon onmogelijk om een netwerk 100% te beveiligen, er zijn namelijk altijd wel weer mensen die toch gaten weten te vinden. Wat jij denkt dat vandaag 100% veilig is, kan morgen al zo lek als een mandje zijn. En ja, je kunt wel op de hoogte proberen te blijven, maar die informatie is vaak pas nadat een lek gevonden en bevestigd is pas beschikbaar en dan ben je dus al te laat.
0 mae-t.net
@SuperDre25 juni 2011 17:40
Als iets gehackt wordt, is de kans zeer groot dat het onvoldoende veilig was; het kon immers gehackt worden en in dit geval nog vrij uitgebreid ook (wat de kans ook al groter maakt dat het onveilig was).

Je zou zelfs kunnen zeggen dat het per definitie onvoldoende veilig was als het gehackt kon worden, maar dat vind ik dan net weer een beetje te overdreven omdat 100% veiligheid inderdaad onhaalbaar is.

[Reactie gewijzigd door mae-t.net op 26 juni 2011 19:15]

0 latka
@SuperDre25 juni 2011 23:42
Het is heel goed mogelijk 100% veilig te zijn maar dat is ongeloofelijk duur en misschien moet je wel functionaliteit niet aanbieden om te zo veilig te krijgen. De goedkoopste methode is natuurlijk geen NAW gegevens online op hetzelfde netwerk bewaren als waar mensen op aanloggen. Is allemaal niet gebeurt maar om dan te zeggen dat het niet kan.
0 cobis taba
@latka26 juni 2011 10:48
Enige 100% veilige methode die ik ken is het niet inpluggen van de netwerkkabel...
0 Ecross
@cobis taba26 juni 2011 22:23
en geen usb poorten op de computer zetten...
+1 Erikih
26 juni 2011 09:36
Ik vind dat Sony te weinig heeft gedaan om het vertrouwen terug te winnen na het lezen van dit bericht.
+1 Sniper-BoOyA-
@Erikih27 juni 2011 10:34
Wat hadden ze volgens jou moeten doen om het vertrouwen terug te winnen?
+1 Uniciteit
25 juni 2011 16:02
Het zal mij nu inderdaad ook niet verbazen dat één van die werknemers een lek heeft misbruikt. Nu is de grote vraag waarom ze werden ontslagen? Misschien hadden ze bij Sony al een aantal lekken gevonden en waren ze niet blij met het slechte werk omdat die lekken er niet in hoorden te zouden zitten, of misschien wel gewoon bezuinigingen?

Sony was al wel bezig met het verhuizen naar nieuwe servers met verbeterde beveiliging (en die verhuizing werd door de PSN hack dus flink versneld).
0 angrybirds
25 juni 2011 15:22
t zou wel een gemene wraakactie zijn. :( :( :( :(
+1 demilord
@angrybirds25 juni 2011 18:03
t zou wel een gemene wraakactie zijn. :( :( :( :(
Tja, waarom heeft sony ze uberhaubt ontslagen... Het ging niet om 1 persoon hier maar om een hele afdeling.. Maar dat is allemaal gissen natuurlijk of ze erachter zaten..

De onderste steen moet nog boven komen.

En inderdaad ik ben het wel met jee eens.. Als ze er inderdaad achterzaten.. Dan moeten er consequenties volgen voor diegene..
0 Vorlon_Kosh
@demilord26 juni 2011 22:15
Alleen als ze het kunnen bewijzen.
0 O88088
25 juni 2011 15:34
Zou Sony dit niet expres gedaan hebben om de schuld bij die beveiligers neer te leggen ipv bij zichzelf?
0 wildhagen

@O8808825 juni 2011 15:37
Ja, ze gaan zichzelf hacken, en daarmee een zware klap voor hun imago toedienen. Plus natuurlijk de resulterende financiele schade.

En dan zouden ze ook hebben gelogen in dat document naar de rechter, wat ook strafbaar is volgens mij (meineed).

Niet erg geloofwaardig, om het maar zacht uit te drukken.
+1 O88088
@wildhagen25 juni 2011 15:50
Zo bedoel ik het niet, ze geven de beveiligers de schuld van het lek zodat ze een zondebok hebben omdat ze hun werk niet goed deden, niet dat Sony het zelf deed.
+1 demilord
@O8808825 juni 2011 20:39
Zo bedoel ik het niet, ze geven de beveiligers de schuld van het lek zodat ze een zondebok hebben omdat ze hun werk niet goed deden, niet dat Sony het zelf deed.
Dan moeten ze wel met keihard bewijs komen. En het is natuurlijk wel heel kort door de bocht met de vinger wijzen..

Stel ik heb voor Toyota gewerkt en kort daarna rijdt er iemand met de auto tegen de boom, omdat de remmen het niet deden......
noem maar een voorbeeld.. Tja ze kunnen zeggen jij hebt het gedaan.. Maar wat als de onderdelen gewoon brak waren. Ik ben daar weg gegaan omdat ik wist en gemeld had dat er iets niet goed was... En ze er gewoon handen voor hun ogen hielden...

Kan natuurlijk ook
+1 blouweKip
@O8808826 juni 2011 02:18
Dan nog, deze zaak gaat in de kern over nalatigheid, daarvoor maakt het niet uit of ex-werknemers mogelijk meegedaan of geholpen hebben.

Overigens gezien de aard van de crack zou het iedereen kunnen zijn omdat je er niet perse inside kennis voor nodig had.

Ook blijkt uit de opzet van het psn dat veiligheid een onderschoven kindje was (eigenlijk hetzelfde als het probleem wat onstaat als je de masterkey hebt voor de ps3, naast dat is er schijnbaar geen beveiliging wat er met een applicatie gedaan kan worden (vandaar de cheaters die na het lekken van de masterkey opdoken.)
1 2 3

Op dit item kan niet meer gereageerd worden.

Apple iPhone X Google Pixel 2 XL LG W7 Samsung Galaxy S9 Google Pixel 2 Far Cry 5 Microsoft Xbox One X Apple iPhone 8

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V. © 1998 - 2018 Hosting door True

*