Skip to content

A queda da PSN e o que aprendemos com isso

05/05/2011

O assunto que está bombando para o público Nerd de plantão nos últimos dias é, sem dúvida, a invasão e consequente queda da PSN. Já há muita gente falando sobre o assunto e suas consequências – incluindo muita gente mais qualificada que eu – e não pretendia meter meu pitaco no tema. Contudo, achei que seria preciso me manifestar ao ler a carta de esclarecimentos enviada pela Sony ao Congresso Americano. Se você ainda não leu, recomendo fortemente a leitura. É bastante esclarecedor. Está escaneada, então você precisa ir navegando pelas próximas fotos.

A primeira coisa que me chama a atenção na carta é uma clara tentativa da Sony de imputar a responsabilidade do ataque a alguém, mais precisamente ao grupo de hackers Anonymous que está quase virando uma “cyber celebridade”. Prestem atenção em um dos trechos da carta escritos pela Sony:

When Sony Online Entertainment discovered this past Sunday afternoon that data from its servers had been stolen, it has also discovered that the intruders planted a file on one of these servers named “Anonymous” with the words “We Are Legion”. Just weeks before, several Sony companies had been the target of a large-scale, coordinated denial of service attack by the group called Anonymous.

Não vou me alongar muito na explicação, mas basicamente eles relacionam o ataque sofrido pelo grupo Anonymous à invasão da PSN através de um único arquivo plantado em um dos servidores. Em outro trecho eles alegam que um dos motivos da invasão foi o fato de os Engenheiros da empresa estarem ocupados defendendo-se do ataque DDoS, e acabou gerando uma brecha para a mega invasão na PSN.

Obviamente trata-se de um factóide (plantado) para tentar desviar o foco da falta de competência e seriedade da empresa com a sua infra-estrutura tecnológica para um ataque terrorista, coisa que os americanos adoram. Não moro lá para saber se o factóide funcionou, mas minha impressão é que não adiantou muito. As pessoas que têm capacidade para se pronunciar sobre o assunto sabem tratar-se de um absurdo tão grande o que foi dito que sequer vale a pena ser comentado. Outro ponto é que o próximo inimigo público número 1 (agora que o Osama morreu) pode vir a ser o grupo Anonymous. Meu amigo anarquista Fausto ficaria feliz de ver como um grupo anárquico por natureza está conseguindo pelo menos atrair para si a atenção de tanta gente. Sua própria existência explicita um problema muito grave para as autoridades mundiais, principalmente dos Estados Unidos: estamos falando de algo que eles não podem controlar nem mesmo combater. Pode ser que a guerra se torne mais forte nos próximos anos, e acredito que dentro de cinco anos as ações do grupo sairão do “submundo” da Internet para ganhar as páginas dos principais jornais mundiais.

Mas o objetivo aqui não é tratar da guerrilha digital, e sim do ataque à PSN. O fato de imputar responsabilidade aos outros significa que o presidente da empresa está convencido de que o ataque não poderia ter sido evitado. Preste atenção quando o Presidente diz que os Engenheiros estavam ocupados trabalhando na contenção do ataque DDoS. Imagine a seguinte figura: um guardinha com o crachá de Engenheiro na porta da sala de servidores tentando impedir que o ataque DDoS entre. Enquanto isso, chega um outro ataque pelas suas costas (que ele não pôde ver, porque estava às suas costas) que acaba entrando sem ele perceber e rouba os dados do usuário.

A cena serve para ilustrar porque um ataque à PSN teve tantas consequências desastrosas para a empresa. A afirmação do Presidente de que os Engenheiros estavam “ocupados” beira o ridículo, porque quem faz o trabalho de segurança são os equipamentos e softwares instalados para fazê-lo, e não as pessoas. Independente do que os técnicos estavam fazendo, a estrutura de segurança DEVERIA estar montada e funcionar sob qualquer circunstância. Será que as pessoas imaginam que segurança na Internet é alguém olhando a tela do computador para saber se tudo está indo bem? Simplesmente patético.

Normalmente ataques de segurança são detectados por mecanismos desenvolvidos especificamente para isso. Meu professor costumava dizer que não existe Segurança da Informação, que apenas podemos tratar Segurança na Informática, ainda assim com restrições. Se estiver interessado dê uma olhada em seu Portal sobre Segurança Computacional com vários artigos sobre o assunto. De fato, não existe nenhum sistema 100% seguro, e como costumamos aprender em minha área, shit happens. Para se ter um ambiente realmente seguro, deve-se partir do princípio que por maior que seja a barreira, ela certamente poderá ser quebrada, e nesse momento é importante ter mecanismos que tenham a capacidade de informar quando esse tipo de coisa acontece.

Para ilustrar o que estou querendo dizer, comparemos a invasão da PSN ao caso da invasão no Google. Também se tratou de um ataque altamente sofisticado, e mesmo não dispondo de mais informações sobre o ataque à PSN, dá pra imaginar que foi significativamente pior. Sim, houve falhas de segurança e informações dos usuários foram acessadas, mas não houve um comprometimento tão grande capaz de obrigar a derrubada do GMail por exemplo. Por que isso acontece? Claro que somente quem trabalha nas duas empresas poderá dizer com certeza, mas não é exagero dizer que o Google está mais preparado para lidar com o fato. De maneira resumida, a política de segurança parte do princípio que uma invasão à rede deles é somente uma invasão à uma das redes, que não contém 100% das informações. É praticamente impossível – de novo, pelo que eu sei – comprometer 100% dos usuários de GMail sem que eles percebam.

Acredito que o grande problema da Sony foi não ter levado a sério, como muitas empresas, a área de tecnologia da companhia. A primeira atitude foi chamar uma companhia de segurança externa, o que deixa indícios claros de que a equipe de segurança interna simplesmente não é suficiente. O principal objetivo desse post é levar a uma reflexão: qual é o grau de seriedade que sua empresa dá a área de tecnologia da informação? A maior parte dos ambientes que eu conheço encaram TI como custo, e cortar custos é sempre fácil (não é mesmo Telefônica Sppedy fail?) além de agradar aos acionistas da companhia. Afinal, todos querem lucro. Mas será que o aumento dos lucros compensa um episódio como esse da PSN?

Conheço enormes datacenters que são mantidos funcionando por duas ou três pessoas. Existe o caso de um muito conhecido que é mantido por apenas uma pessoa, e os outros funcionários servem apenas de suporte à ele. Há ainda o caso de uma das maiores empresas brasileiras onde todos os estagiários possuem senha de root de todas as máquinas. Isso é sustentável? Será que sua empresa não está exposta a problemas como os da PSN?

Utilize a área de comentários para compartilhar sua experiência.

Anúncios
3 Comentários leave one →
  1. Thomaz dos Reis permalink
    06/05/2011 09:24

    Excelente post Eduardo!

    Agora vc viu a ultima?

    A situação descrita por Spafford é detalhada, mas vou resumir: é péssima. Servidor web Apache velho e sem aplicação de atualizações, exposto à Internet sem firewall – algo pouco tolerável em um empreendimento amador, mas completamente inaceitável nos servidores que contém os dados confidenciais pessoais e de crédito dos clientes da segunda mais popular rede de jogos on-line do mundo.

    Para piorar, a situação descrita acima foi comunicada em fóruns monitorados por empregados da Sony, meses antes do ocorrido.

    http://br-linux.org/2011/invasao-da-psn-servico-da-sony-usava-apache-desatualizado-sem-firewall/

    Se isso não é incopetência, oq é então?

    • Eduardo Santos permalink
      06/05/2011 10:58

      Fala Thomaz,

      Eu já tinha lido sobre isso, e a situação é realmente precária. Evidencia ainda mais o problema: falta de equipe de TI especializada. Eu imagino uma situação pela qual já passei inúmeras vezes: tanta coisa pra fazer, dá tempo de atualizar um software?

      Os (poucos) sysadmins que trabalham (ou trabalhavam) lá deviam viver sob uma pressão infernal. E quando estamos sob essa pressão, além de não sobrar tempo para fazer o que precisa ser feito, acabamos cometendo erros.

      Ainda bem que eles não aceitavam cartão de crédito do Brasil e meu endereço é americano e eu certamente não estou lá…

Trackbacks

  1. Cyber attacks podem ser retaliados por bombas? « Eduardo Santos

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s

%d blogueiros gostam disto: