Gravi accuse piovono su Sony: l’intrusione nei server del PlayStation Network avrebbe potuto essere facilmente evitata se solo il gruppo avesse prestato un minimo di attenzione alla tecnologia utilizzata, alle normali pratiche per garantire l’aggiornamento dei software ed alle misure di protezione che un servizio simile non dovrebbe farsi mancare.
Sono queste le argomentazioni che Gene “Spaf” Spafford, professore della Purdue University e stimato esperto di sicurezza informatica ascoltato dalla commissione del Congresso che si sta occupando del problema PSN, ha scagliato contro il gruppo giapponese criticando a fondo il comportamento dell’azienda e le scadenti pratiche poste in essere per garantire la sicurezza dei dati degli utenti. La tesi di Spafford è pertanto agli antipodi rispetto a quella sostenuta dalla difesa della Sony: mentre il gruppo ha sottolineato a più riprese quanto “sofisticati” siano stati gli attacchi ai server, nella propria audizione il professore ha invece rimarcato quanto scarse fossero le misure protettive dei database.
In particolare:
- Sony non aveva adottato un firewall a protezione dei propri sistemi;
- Il PlayStation Network era ospitato da web server Apache obsoleti;
- La versione di Apache in uso non solo era datata, ma non era nemmeno mai stata aggiornata.
La mancata disciplina Sony è stata pertanto un invito a nozze per i cracker, i quali hanno avuto la strada spianata verso i dati degli utenti senza che Sony potesse a quel punto opporre resistenza alcuna.
La tesi del prof. Spafford sembra ben motivare anche tutto ciò che è successo in seguito all’attacco del 17/19 aprile: il 20 aprile i server sono infatti stati spenti per evitare guai eccessivi, il 26 aprile il problema è stato notificato agli utenti ed in questa circostanza si è altresì comunicato che il gruppo era ormai al lavoro per la ricostruzione del sistema e delle relative misure di protezione.
Nelle prossime ore il PlayStation Network sarà riavviato, ma tutto ciò probabilmente solo dopo aver adeguatamente aggiornato i sistemi in uso ed aver adottato il firewall mancante. Il tutto, però, con inaccettabile ritardo: il danno è ormai compiuto.
Se le tesi di Gene Spafford saranno confermate per Sony si apre un periodo difficile dal punto di vista legale perché la legge non ammette ignoranza e la giurisprudenza in questo caso non sarà disposta ad accettare le scuse apportate da un gruppo il cui comportamento possa essersi macchiato di scarsa applicazione nella tutela dei dati personali di 100 milioni di utenti.