Hacking&Security Workshop

ตอนนี้ MaYaSeVeN ได้ย้าย Blog ไปที่ http://blog.mayaseven.com


Thursday, April 28, 2011

{มหากาพย์ ดราม่า} Geohotz Anonymous Sony PlayStation Network PS3 [Hacked]

หลังจากที่เกิดการดราม่ามาได้สักระยะหนึ่งแล้วระหว่าง กลุ่ม Hacker กับ Sony จุดกำเนิดดราม่านี้เริ่มจากฝั่ง Sony ประกาศให้ชาวโลกรู้ว่าว่าต่อให้อีก 10 ปีก็ไม่มีใครสามารถ Hack  PS3(PlayStation3) ได้{นัยๆว่าระบบกรุเจ๋งเฟ้ยไม่มีใครหน้าไหน Hack ได้แน่นอน} หลังจากนั้นเจ้า PS3 ก็อยู่รอดปลอดภัยมาหลายปี จนมาวันหนึ่ง Hacker หนุ่มน้อย Geohotz โดยหนุ่มน้อยผู้นี้อ้างว่าไหนๆเครื่องตูก็ซื้อมาแล้วทำไมต้องจำกัดสิทธิ์นั้นนี้โน่นของตูฟ่ะกรุจะเอา Root เฟ้ยตูอยากเล่น Linux บน PS3 หลังจากนั้นก็ได้เริ่ม Hack จากการวิเคราะห์ Hardware และมีเพื่อนๆในกลุ่มช่วยเหลือต่างๆ เช่น tools จาก Team FailOverflown  ระหว่างนั้น Sony ก็ออกมาเย้ยหยันว่าปั่นกระแสรายวันให้ตัวเองดังละซิเครื่องตูดีไม่มีใคร Hack ได้หรอกเฟ้ย หลังจากนั้นใช้เวลาประมาณ  3-4 สัปดาห์ ก็สามารถ Hack ได้สำเร็จ ผลจากการ Hack นี้ทำให้สามารถลง Emu อื่นๆ เล่นเกมส์จาก Harddisk โดยตรง บลาๆ หลังจากนั้นมันเริ่มดราม่าหนักตรงที่ หนุ่มน้อย Geohotz ได้โพส Root key ของเจ้า PS3 บนเว็บของเขาเท่านั้นยังไม่พอเขาได้โพส Exploit ที่สามารถเอาไปใช้ Hack PS3 เครื่องอื่นได้เลย เราจะมาดูรูปและ Code บางส่วน

pokemehere


สำหรับ Code ผมคงไม่ปล่อยดีกว่าเดี๋ยวของเข้าตัวแต่สามารถหาได้ตาม Internet ทั่วไป :D
สำหรับ Code นั้นก็เป็น Code ภาษา C โดยหลักการทำงานมันจะ Add module และทำ Kernel panic ส่วนใหญ่จะเป็นการจัดการแก้ไขแก้กับ Address ใน Memory (ผมดูผ่านๆนะไม่ยืนยันอะไรแต่คิดว่ามันทำแนวๆนี้แระ :D)

หลังจากที่ Sony โดนแหกหน้าขนาดนี้จะยอมปล่อยให้เด็กไม่สิ้นกลิ่นน้ำนมมาหยามหน้าเราแบบนี้ไม่ได้ หลังจากการประชุม ตัดสินใจฟ้องแม่มเลย !


หลังจากบริษัทยักษ์ใหญ่ตัดสินใจฟ้อง Geohotz หนุ่มน้อยธรรมดาคนหนึ่งซึ่งไม่มีเงินที่จะไปสู้คดีด้วย ก็ได้ทำการเปิดขอรับบริจาค จากมิตรรักแฟนเพลง จนได้เงินมามากพอที่จะนำไปสู้คดีกับ Sony และเงินที่เหลือก็ได้บริจาคให้กับ Electronic Frontier Foundation (EFF) เพื่อนำไปจ่ายค่าทนายให้คนอื่นๆที่ประสบชะตากรรมคล้ายกัน และระหว่างนั้น Geohotz ก็ได้ปล่อยซิงเกิ้ล Rap เหน็บแหนม Sony  {geek rap จะเป็นยังไงไปดูกัน}

 

ในระหว่างกระบวนการทางศาล "ทางโซนี่ได้ร้องขอต่อศาลให้เว็บโฮสติ้งที่ Geohot เช่าใช้ทำเว็บ เปิดเผยหมายเลขไอพีของทุกคนที่เข้าเว็บของเขาตลอด 2 ปีที่ผ่านมานี้ (เริ่มนับจากมกราคม 2009) รวมถึงข้อมูลทุกอย่างที่อยู่ในบัญชีของ Geohot ด้วยนอกจากนี้โซนี่ยังขอศาลให้เปิดเผยข้อมูลคนที่ดูวิดีโอของ Geohot บน YouTube, บล็อกใน Blogger และขอเข้าถึงบัญชีของเขาใน Twitter อีกด้วย ซึ่งศาลได้อนุญาตทั้งหมด โซนี่ต้องการข้อมูลเหล่านี้ด้วยเหตุผล 2 ประการ อย่างแรกคือใช้พิสูจน์ว่าซอฟต์แวร์ที่ใช้ jailbreak PS3 แพร่กระจายไปอย่างไร และอย่างที่สองคือโซนี่ต้องการย้ายเขตการฟ้องจากเดิมฟ้องที่รัฐนิวเจอร์ซี (บ้านเกิดของ Geohot) มาเป็นรัฐแคลิฟอร์เนีย ถ้ามีข้อมูลว่าคนส่วนมากที่ดาวน์โหลดมาจากรัฐแคลิฟอร์เนีย ก็ช่วยให้การย้ายคดีง่ายขึ้น หลังจากคำสั่งศาลนี้ออกมา ทำให้เกิดข้อกังวลเรื่องความเป็นส่วนตัวขึ้นมาทันที ตัวแทนจาก Electronic Frontier Foundation บอกว่าการขอข้อมูลเหล่านี้ไม่เหมาะสม เพราะข้อมูล "กว้างเกินไป" และละเมิดเสรีภาพในการแสดงออกของ Geohot ด้วย"

ระว่างนั้นเองมีกลุ่ม Hacker ชื่อดังนาม Anonymous อยากร่วมด้วยช่วยเหลือเพื่อน Hacker ตาดำๆผู้นี้จึงได้ออกมาประกาศสงคราม Cyber กับ Sony นัยๆว่าเห้ยพวกเอ็งทำแบบนี้ไม่ถูกบริษัทใหญ่รังแกเด็กนี้หว่า โดยใช้ชื่อปฏิบัติการครั้งนี้ว่า OpSony   "แถลงการของกลุ่ม Anonymous แสดงถึงความโกรธแค้นที่ GeoHot และ Graf_Chokolo ถูกฟ้องร้องจากโซนี่และขออำนาจศาลในการเข้าถึงข้อมูลส่วนบุคคลของคนนับพัน โดยกลุ่ม Anonymous ประกาศว่าจะสอนบทเรียนให้กับโซนี่สามเรื่องคือ
1.)อย่าทำใครก่อนถ้าไม่อยากถูกกระทำ
2.)ข้อมูลเป็นสิ่งเสรี
3.)กลุ่ม Anonymous จะจำการกระทำนี้ตลอดไป
ในคำข่มขู่ค่อนข้างชัดว่ากลุ่ม Anonymous เตรียมการจะโจมตีเว็บโซนี่ในทางใดก็ทางหนึ่ง
ก่อนหน้านี้กลุ่ม Anonymous ซึ่งไม่แน่ชัดว่าเป็นกลุ่มเดียวกันหรือไม่ ที่เคยพยายามล้างแค้นต่อหน่วยงานต่างๆ ที่ช่วยกันหยุดการทำงานของวิกิลีกส์หลายต่อหลายครั้ง" 

ต้นฉบับ

ในที่สุดมหากาพย์นี้ก็เหมือนจะเดินทางมาถึงจุดจบเมื่อ Sony กับ Geohotz สามารถตกลงไกล่เกลี่ยกันได้
โดย Sony จะถอนฟ้อง Geohotz เพื่อแลกกับการที่ Geohotz จะไม่ Hack ผลิตภัณต์ของ Sony อีก(เงื่อนไขรายละเอียดเป็นความลับ) {ไม่รู้ว่า Sony กลัวกลุ่ม Anonymous รึปล่าวถึงยอมความ}หลังจากนั้น Geohotz ก็ได้ประกาศบน Blog  ว่าต่อไปนี้จะเลิกซื้อผลิตภัณต์ของ Sony และชวนเพื่อนๆมิตรรักแฟนเพลงเลิกซื้อด้วยเช่นกัน

มหากาฬนี้เหมือนจะจบแต่ไม่เป็นเช่นนั้น เมื่อฝันร้ายกำลังมาเยื่อน Sony เมื่อต้นเดือนนี้เว็บไซต์ของ Sony หลายแห่งถูกโจมตีด้วยเทคนิค DDoS จนทำให้เครือข่ายของ Sony ไม่สามารถให้บริการได้ระยะหนึ่ง โดยในครั้งนี้กลุ่ม Anonymous ออกมารับผิดชอบเองว่าตูนี่แระคนทำและจะทำให้หนักกว่านี้อีกโดยได้ปล่อยคลิปเย้ยหยังไว้บน Youtube ด้วย  หลังจากนั้นก็ได้มีกลุ่ม Hacker ใช้ชื่อว่า SonyRecon ได้เข้าร่วมสงครามไซเบอร์ครั้งนี้ด้วย โดยในเบื้องต้นได้ได้เอาของมูลส่วนตัวทุกอย่างของคนในองค์กร Sony ตั้งแต่พนักงานยันผู้บริหารแม้กระทั้งทนาย โดยข้อมูลที่เปิดเผยตั้งแต่ที่อยู่ยันมีลูกี่คนลูกชื่ออะไรบ้าง มาเปิดเผยสู่สาธารณะชน และล่าสุดนี้ก็ได้มีการล่มของ  PlayStation Network ติดต่อกันถึง 3 วันและยังไม่พอ Hacker สามารถบุกผ่านระบบรักษาความปลอดภัยเข้าไป และเชื่อว่าได้ข้อมูลส่วนตัวของสมาชิก PlayStation Network/Qriocity ไปด้วยข้อมูลเหล่านี้คือชื่อ, ที่อยู่, อีเมล, วันเกิด, ชื่อล็อกอินและรหัสผ่านของ PSN/Qriocity, ID ของ PSN ส่วนข้อมูลที่อาจโดนเจาะไปด้วยคือประวัติการซื้อสินค้า, ที่อยู่สำหรับส่งใบแจ้งหนี้, คำถามสำหรับรีเซ็ตรหัสผ่าน ส่วนข้อมูลสำคัญอย่างเครดิตการ์ด ทางโซนี่บอกว่าไม่มีหลักฐานว่าถูกเจาะไปด้วย แต่ก็ไม่กล้าการันตีว่ายังปลอดภัย 100% และล่าสุดมีผู้ใช้ PlayStation Network หลายรายออกมาแจ้งว่าเครดิตการ์ดของตัวเองถูกใช้งานโดยไม่ได้รับอนุญาต และเป็นเครดิตการ์ดใบเดียวกับที่ใช้สมัครบัญชี PSN เสียด้วย แต่ยังไม่มีหลักฐานยืนยันชัดเจนว่าเครดิตการ์ดที่ถูกใช้นั้นเกิดจากการโดน Hack ในครั้งนี้ ซึ่งในเบื้องต้น Sony ได้ออกมายอมรับว่าโดนโจมตีจากภายนอก แต่ยังไม่มี Hacker กลุ่มไหนออกมารับผิดชอบในเหตุการล่าสุดนี้ สำหรับผลกระทบของมูลค่าความเสียหายของข้อมูลที่หลุดรั่วจาก PSN หลังอ้างว่าถูกผู้ไม่หวังดีเข้าเล่นงาน ทาง Ponemon Institute ได้ประมาณตัวเลขอยู่ที่ 24,000 ล้านเหรียญสหรัฐ หรือประมาณ 720,000 ล้านบาท คิดเฉลี่ยความเสี่ยงต่อบัญชีผู้ใช้ละ 318 เหรียญสหรัฐ

สรุป มหากาพย์ครั้งนี้  Sony เดินเกมส์ในแนวความคิดที่ว่า ของที่ตูขาย ตูกำหนดให้ใช้อะไรได้บ้าง ก็ใช้แค่นั้นซิฟ่ะห้ามแต่งเฟ้ย กรุจะกั้กไว้ขายตัวอื่นด้วย สำหรับทางด้าน Hacker ก็เดินเกมส์ในแนวคิดว่าของตูซื้อมาแล้วตูจะทำอะไรกับมัน มันก็เรื่องของตูซิฟ่ะ จะมากั้กตูทำไม แต่ถ้าพูดในทางด้านกฏหมายแล้ว Sony ถูกทุกอย่าง แต่สำหรับกลุ่ม Hacker สู้ด้วยประเด็นที่ว่า "พวกคุณใช้ระบบกฎหมายในทางที่ผิด เพื่อปกปิดข้อมูลของผลิตภัณฑ์ของคุณ ใส่ร้ายลูกค้าของคุณที่ต้องการเพียงแค่แลกเปลี่ยนข้อมูลซึ่งกันและกัน หนำซ้ำยังไปตามเอาผิดกับคนที่ต้องการข้อมูลนี้อีก การกระทำเช่นนี้ของคุณเป็นการละเมิดสิทธิส่วนบุคคลของคนนับพัน ข้อมูลเหล่านั้นเป็นข้อมูลที่เพื่อนพ้องของเราพร้อมจะแบ่งปันให้แก่ทุกคนอย่างไม่คิดเงิน  ข้อมูลเดียวกันนั้นที่คุณพยายามเหลือเกินที่จะปกปิดมันไว้ เพียงเพื่อสนองตัณหาของตนเองและควบคุมลูกค้าของคุณทุกคน" ส่วนในเครื่องหมาย " " ข้างบนนี้แปลมาจากประกาศของ Anonymous

เอ่ามา Comment วิจารณ์กันว่าใครคิดเห็นอย่างไร สำหรับผมเป็นกลางเซฟๆ =D


Reference :
#บทความนี้ผมไม่ได้เขียนเองทั้งหมดใช้ข้อความบางส่วนจาก Reference
#เขียนโดย MaYaSeVeN http://mayaseven.blogspot.com
#อนุญาติให้ Copy ไปโพสที่ไหนก็ได้แต่ต้องแนบเครดิตด้วยนะครับ