Bugün arstechnica.com adlı bir internet sitesinde yapılan haber konsol dünyasında özellikle de PS3 kullanıcıları arasında tam bir deprem etkisi yarattı. Nitekim sitenin yaptığı habere göre PSN’deki güvenlik açığı akıl almaz derecede.
Haber aynen şu şekilde; Sony kısa zaman önce resmi olarak her kim hack’lenmiş firmware veya üzerinde oynanmamış teknoloji kullanır ise Play Station Network’den ömür boyu yasaklanacağını açıklamıştı.
Peki firma bu türden bir konsolun sisteme bağlandığını nasıl anlıyor? Hacker’lardan bir tanesi PSN’e kaçak yollarla girmiş ve araştırıp buldukları karşısında şok olmuş. Eğer bu hacker’ın buldukları doğru ise sizin PSN’de kayıtlı olan kredi kartı bilgileriniz açık bir şekilde yani şifrelenmemiş basit bir text dokümanı olarak Sony’e gönderiliyor ve Sony sizin sisteminiz ile yaptığınız her şeyi ama her şeyi izliyor ve bu sırada detaylı bir rapor tutuyor.
Hacker konu hakkında şöyle diyor “Sony dünyanın en büyük casusu. O kadar çok veri toplamışlar ki. Bağlanan tüm cihazların geri dönen değerleri Sony’nin sunucularında saklanıyor.” Hacker’ın bir diğer iddiası da Sony sizin hangi kontrolleri kullandığınız, hangi USB cihazının bağlı olduğunu, ne tür bir televizyon kullandığınıza kadar bütün her şeyi bildiği yönünde. İşte haberde yayınlanan bir chat diyalogu:
kullanıcı2: psn download’ları ile ilgili komik bir şey daha buldum
kullanıcı2: mağazadan bir pkg oyunu talep ettiğinde
kullanıcı2: oluşan url’nin içerisinde oyunu bedava mı yoksa paralı mı alacağını anlıyorsun. Tabii ki bunun için birkaç oynama yapman lazım
kullanıcı3: …
kullanıcı2: yani şöyle ki
kullanıcı8: 😀
kullanıcı3: aman tanrım
kullanıcı2: drm: kapalı
Üstelik hepsi bu değil. İşin daha da korkutucu yanı kredi kartları ile ilgili kısım. İddialara göre Sony’e gönderilen tüm kredi kartı bilgileri açık bir şekilde ortalıkta dolaşıyor.
Bu bilgi sözde online olarak saklanıyor ve siz sisteminizi açtığınızda otomatik olarak güncelleniyor. Siteye bilgi veren bir çok kaynak hack’lenmiş firmare kullananlara daha PSN’e bağlanmadan e-postalar gönderildiğini söylüyor, yani bu demek oluyor ki Sony siz kablosuz ağa bağlandığınız andan itibaren sizin hakkınızda bilgi toplamaya başlıyor.
Haberde bahsedilen başka bir nokta ise ücretsiz indirmeler. Buna göre ücretsiz indirmeler çok da sürpriz olarak karşılanacak bir şey değil, nitekim gerek basından gerek geliştirici ekipten pek çok kişiye içerik bu yolla sağlanıyor ve bu kişiler PSN’e bağlanıp ücretsiz olarak indirmeler yapabiliyorlar. Ancak diğer konsol üreticileri bu tarz indirmeler için önceden hazırlanmış ayrı kapalı bir ağ bulundururken Sony’nin bütün her şeyi tek bir yerde toplamış olması muhtemel. Kimin ödeme yapıp kimin ödeme yapmadığını da basit tekniklerle kontrol ediyor.
Bütün bu söylentilerin düzmece olma olasılığını da göz önünde bulunduran site ismini vermediği hacker’dan edindiği bilgilerin, PSN ile ilgili sorunlar için başvurduğu diğer kaynakların bilgileri ile uyuştuğunu da belirtiyor. Dolayısı ile kullanıcılara bunu sanki gerçekmiş gibi algılamalarını ve kredi kartı yerine PSN kartlarını kullanmalarını tavsiye ediyor. Ayrıca PSN hesabınız ile diğer başka bir hesabınızı kullanıcı adı ve şifresinin benzer olmaması gerektiğini de belirtiyor.
Haberin güncellenen kısmında ise işin Sony tarafından bakış açısına dair bir görüş de mevcut. Hacker’lar tarafından hazırlanan bir doküman, bu kişilerin ne yaptıklarını ve PS3’ün ne tür gizlilik ve güvenlik risklerini taşıdığını açıklıyor. Kısacası sisteme hack’lenmiş bir firmware ile girerseniz nelere maruz kalırsınız tarzında bir yazı.
PS3’ün PSN’e bağlantısı SSL ile korunuyor. Bildiğiniz gibi SSL’de uzaktaki sunucunun kimliği her PS3 içerisinde bulunan sertifikaların bulunduğu listeyi kontrol ederek doğrulanıyor. Kredi kartı ve diğer bilgiler de bu SSL bağlantısı üzerinden aktarılıyor. Şu ana kadar bir sorun yok, nitekim sizin internetten alış veriş yapma mantığınız da aynı şekilde.
Hacker’lar tarafından ortaya atılan işin endişe uyandırıcı yanı ise kişisel firmware’ların sistemi alt üst ettiği iddiası. Kişisel bir firmware’da kişisel bir sertifika bulunabilir ve bu sertifika güvenliler listesine dahil olabilir. Aynı zamanda farklı DNS sunucuları da kullanabilir. Bu da firmware’i yazan kişinin sisteme zararlı bir şekilde giriş yapıp kritik verileri bulmasına sebep olur. Kendi oluşturduğu firmware’in içerisine öyle bir sertifika atar ki kendi proxy’si ile etkileşim içerisinde olur ve kullandığı DNS sunucuları PSN bağlantılarını bu proxy’e yöneltir. Kendi proxy’si bu bilginin şifresini kırarak açar ve daha sonra tekrardan şifreleyerek gerçek PSN sunucularına gönderir.
Bu tarz bir komplo PSN kullanıcılarının açığa çıkmasına ve saldırganın PS3’ün Sony’e gönderdiği tüm bilgilere erişim sağlamasına neden olabilir. Bu bilgi oldukça kapsamlı olsa da kredi kartı bilgisi haricinde büyük olasılıkla çok büyük risk teşkil etmiyor.
Ancak bu riskler çok geniş bir alana sahip değil. Nitekim tüm hacker’lar PSN kullanıcıların bilgilerine ulaşamıyor. Bunu sadece custom firmware kullanan kişilerden sağlayabiliyorlar. Tıpkı Windows’un korsan versiyonunu indirip kullanan ve içerisinde ekstra sertifikalar ve DNS bilgileri bulunan yazılımlar gibi.
Bu yazılanlar ne kadar doğru ne kadar yanlış şu an için kesin bir bilgi yok Sony’nin konu hakkında bir şeyler söyleyip söylemeyeceği ise yakın zamanda belli olur diye düşünüyoruz.