Glorf.it

Glorf IT

Bedenkliches aus dem IT-Alltag

14. Juni 2011 um 19:47

Wie aus "Sony versus Hacker" schließlich "Hacker versus Sony" wurde

Während einige der zuletzt bekannt gewordenen Web-Angriffe eindeutig mit krimineller Absicht geschahen, geht es bei den Hacks zu Lasten von Sony eindeutig darum Aufmerksamkeit zu erzielen und die Firma zu blamieren. Es ist unmöglich zu ergründen, was genau passierte, aber hier ein persönlicher Versuch der Deutung.

Nachdem der Hersteller Sony seine Kunden sehr stark in der Nutzung der PS/2+3-Geräte einschränkte, griffen einige findige Entwickler zur Selbsthilfe und ermöglichten mit Jailsbreaks die freie Nutzung der Sony-Geräte. Warum machen Kunden das?

  • Weil sie der Meinung sind, dass ihnen das Gerät gehört und die Firma nicht vorschreiben darf/soll, was man mit dem Gerät tun darf und was nicht.
  • Weil sie die Geräte toll finden und Möglichkeiten erweitern wollen.
  • Weil sie zeigen wollen, wie sinnlos die eingebauten Sperren sind.
  • Und weil er geht.

Das Hacken solcher Geräte ist zu einem Volkssport geworden, beliebt sind vor allem Jailbreaks der Apple- und Sony-Geräte. Um ein Exempel zu statuieren, klagte Sony einen der Hacker an: GeoHot. Sony wusste, dass er keineswegs der einzige Hacker war. Dementsprechend ging auch das Jailbreaking unvermindert weiter, obwohl GeoHot längst schachmatt gesetzt war. Die Situation eskalierte als Sony sich am Ende als resistent gegen Argumente erwies und bewirkte, dass GeoHot sich zu vielen Einschränkungen verpflichten musste, um einer Verurteilung zu entgehen. Zum Beispiel darf er den Inhalt der Erklärung nicht veröffentlichen. Damit hat Sony einen Fan zu einem Gegner gemacht (Quelle: Golem.de):

Auf seinem privaten Blog schreibt Hotz, dass er ab sofort nie wieder ein Produkt von Sony kaufen wird, und ruft seine Leser auf, sich dem Boykott anzuschließen.

Aus verschmähter Liebe wird oftmals erbitterter Hass: Offenbar hat Sony damit aber nicht nur einen Fan gegen sich aufgebracht, sondern viele aus der Hacker-Szene. Anonymous drückt es gegenüber Sony so aus:

Congratulations! You are now receiving the attention of Anonymous. Your recent legal actions against fellow internet citizens, GeoHot and Graf_Chokolo have been deemed an unforgivable offense against free speech and internet freedom, primary sources of free lulz (and you know how we feel about lulz.)

You have abused the judicial system in an attempt to censor information about how your products work. You have victimized your own customers merely for possessing and sharing information, and continue to target those who seek this information. In doing so you have violated the privacy of thousands of innocent people who only sought the free distribution of information. Your suppression of this information is motivated by corporate greed and the desire for complete control over the actions of individuals who purchase and use your products, at least when those actions threaten to undermine the corrupt stranglehold you seek to maintain over copywrong, oops, "copyright".

Auf die Angriffe von Anonymous folgten echte Hacks und es wurde eine Zeit lang zum Hacker-Sport Sony zu blamieren und damit gegen deren Einstellung zu protestieren. GeoHot hat mit den Hacks offenbar nichts zu tun. Hier seine Worte, die ich glaubwürdig finde:

And to anyone who thinks I was involved in any way with this, I'm not crazy, and would prefer to not have the FBI knocking on my door. Running homebrew and exploring security on your devices is cool, hacking into someone elses server and stealing databases of user info is not cool. You make the hacking community look bad, even if it is aimed at douches like Sony.

One of the things I was contemplating back in early January was a PSN alternative, a place for jailbroken consoles to download homebrew and game without messing up anyone else's experience. Unfortunately events led me off of that path, but gamers, if I had succeeded you would have an alternative place to game online with your PS3 right now. I'm one of the good guys. I used to play games online on PC, I hated cheaters then and I hate them now.

Also, let's not fault the Sony engineers for this, the same way I do not fault the engineers who designed the BMG rootkit. The fault lies with the executives who declared a war on hackers, laughed at the idea of people penetrating the fortress that once was Sony, whined incessantly about piracy, and kept hiring more lawyers when they really needed to hire good security experts. Alienating the hacker community is not a good idea.

Stimmt, das Ergebnis zeigt, dass das Vorgehen von Sony keine gute Idee war. Die Hacker-Community ist aber keine fest umrissene Gruppe, sondern eine heterogene Masse. Daher sind auch die Angriffe auf Sony völlig unterschiedlich. Schließlich nutzen auch Kriminelle die offensichtlichen Sicherheitslücken und erbeuten Millionen von Kundendaten, z.T. mit Kreditkartendaten.

Was kann man daraus lernen?

Als Sony gerichtlich gegen einen der Hacker vorging, löste das mehr als nur Unverständnis bei den anderen Nutzern aus. Hatte Sony noch andere Möglichkeiten als gerichtlich gegen Nutzer vorzugehen?
Dass es auch anders geht, zeigte übrigens Microsoft: Hier wurde erkannt, dass die Kunden so begeistert waren, dass sie den Geräten einen erheblichen Mehrwert geben können. Nachdem Microsoft im Handy-Bereich den Anschluss an
die Konkurrenz verloren hatte, kam mit Windows Phone 7 endlich der erhoffte "Lichtbringer" auf den Markt. Damit wollte Microsoft endlich wieder positive Schlagzeilen und verlorene Marktanteile gut machen. Das Schlimmste passiert: Das System floppt, Hacker knacken sehr schnell Windows Phone 7 und installieren alle möglichen anderen Dinge auf die Handies. Anstelle der üblichen Reaktion der "Großen" kommt von Microsoft jedoch ein interessantes Angebot: Sie erkennen, dass hier sehr kreative und engagierte Köpfe von Windows-7-Phone begeistert waren und laden die Hackergruppe ChevronWP7 zu einer Diskussion mit den Entwicklern ein. Warum soll das neue System nicht offen für die Eigenentwicklungen von Kunden werden? (Quelle: Golem.de)

Ein Treffen mit ChevronWP7 gab es bereits – erklärtes Ziel ist es, Jailbreaking von Smartphones mit Windows Phone 7 unnötig zu machen und Homebrew-Entwicklern einen einfacheren Zugang zur Plattform zu verschaffen.

Mit einem T-Shirt für die Hacker gelang ihnen außerdem ein toller Coup. Die an das Team verschenkten T-Shirts hätte sicher jeder Hacker gerne, sie tragen die Aufschrift: "I was the first to jailbreak Windows Phone 7, and all I got was this lousy t-shirt"

Mit Kinnect ging es Microsoft ganz ähnlich: Die innovative Steuerung für die X-Box wurde bereits nach kurzer Zeit für die breite Nutzung zur Verfügung gestellt, nach dem sich zeigte, dass einige Hacker Interesse an der ausgefallenen Steuerung zeigten. Sony hätte die Jungs vermutlich verklagt. Für Microsoft hat sich das indes gelohnt: Die positive Publicity und die Verkaufszahlen sprechen für sich…

14. Juni 2011 um 18:54

Beliebte Passwörter

Bei einem der Hacks in den letzten Wochen wurden auch einige Passwörter veröffentlicht. Die nun ohnehin öffentlichen Passwörter habe ich daraufhin mal ausgewertet (ja, nur die Passwörter, Benutzerdaten habe ich nicht gespeichert). Die Basis sind etwa 26.000 Passwörter, etwa 20.000 verschiedene wurden verwendet: Beliebt waren reine Zahlenkolonnen oder Wörter in Kleinbuchstaben.

Passwort Anzahl %
123456 671 2.59
123456789 212 0.82
12345 111 0.43
1234 75 0.29
12345678 72 0.28
password 66 0.25
1234567 65 0.25
1234567890 52 0.20
123 49 0.19
123123 41 0.16
111111 40 0.15
000000 36 0.14

Beliebt waren außerdem 112233, 987654321, qwerty (war eine amerikanische Seite), upload, 666666, 121212, 123321, 654321 und 555555. Was kann man dazu sagen?

Anhand der verwendeten Passwörter vermute ich, dass die Webseite keine Mindestlänge vorgab. Daher ist die Auswertung besonders interessant:

Passwortlänge Anzahl %
6 6453 24.90
8 5496 21.21
7 3868 14.92
9 2910 11.23
10 2779 10.72
5 1160 4.48
4 972 3.75
11 837 3.23
12 539 2.08
13 238 0.92
3 230 0.89

Offenbar findet eine Konditionierung auf 6 oder 8 Zeichen lange Passwörter statt… 😉

|