Dwa dni temu niejaki Eugene Spafford, doktor i ekspert od zabezpieczeń z USA, twierdził przed Izbą Reprezentantów w Waszyngtonie, że serwery PSN stały na nieaktualizowanej wersji Apacha, nie posiadały firewalla, a Sony ignorowało raporty na ten temat. Jego słowa powtórzyła większość nie tylko branżowych serwisów (aż dziwne, że monio jeszcze nam tych rewelacji nie doniósł), co oczywiście wywołało rage w komentarzach i na forach internetowych, a tymczasem...
Sęk w tym, że to jest nieprawda. Cały tekst Eugene Spafforda dostępny jest tutaj:
http://republicans.energycommerce.house.gov/Media/file/Hearings/CTCP/050411/Spafford.pdfFragment, o który chodzi, to:
I have no information about what protections they had in place, although some news reports indicate that Sony was running software that was badly out of date, and had been warned about that risk.
i dalej, mówiąc już ogólnie o zabezpieczeniach stosowanych przez firmy i rząd:
My personal conclusion from reviews of reports in the press and discussions at professional meetings is that operators of these systems — both in government and the private sector — continue to run outmoded, flawed software, fail to follow some basic good practices of security and privacy, and often have insufficient training or support. The most commonly cited reason for these failings is cost.
W jego tekście Sony zostało wymienione tylko jako przykład firmy, która w ostatnich czasach doświadczyła ataku (z doniesień prasowych można by wywnioskować, że całość była poświęcona Sony); Spafford nigdzie nie rozwodził się nad zabezpieczeniami PSN; zaznaczył, że nie wie, jakie zabezpieczenia był stosowane przez Sony, ale że
prasa i media donoszą, że software wykorzystywany przez Sony były przestarzały. Oczywiście wspaniałe dziennikarstwo growe w jakiś sposób wyciągnęło z tego, że to
Spafford stwierdził, że PSN stało na przestarzałej wersji Apache oraz nie stosowało w ogóle firewalla (czego w tekście w ogóle nie ma), a Internet poniósł to w świat.
Dlatego właśnie istotne jest, by zawsze zamieszczać źródło informacji. W przeciwnym razie tego typu artykuły przypominają zabawę w głuchy telefon; jak ktoś czegoś nie usłyszy, to zmyśli i puści dalej w świat jako
fakt.
To samo zresztą tyczy się informacji w stylu "Sony przechowywało hasła i informacje o kartach kredytowych jako plain text". Ile razy tą wiadomość już widziałem to nawet nie zliczę (nawet na niebezpieczniku o tym pisali); ale źródło tej informacji? Brak. Wiadomość jednak poszła w świat i kto chciał, to w nią uwierzył i rozprowadzał dalej.
