Nesta semana nós discutiremos um assunto polêmico: O roubo (tecnicamente a exposição desses dados para roubo) das informações das duas redes online da Sony, a PSN (PlayStation Network) e a SOE (Sony Online Entertainment). Pelas minhas contas, na soma das duas redes, mais de cem milhões de usuários foram expostos. Levando em conta que alguns usuários tem conta nas duas redes não é possível determinar quantas pessoas foram afetadas pelos ataques. O importante é que foi muita gente, e eles não estão felizes.
Primeiro o que se sabe: Na semana do dia 17 de abril a PSN foi atacada por um intruso até agora não identificado. Esse intruso adquiriu de alguma forma acesso privilegiado do sistema de persistência de dados da PSN (conhecido por banco de dados) e teve a oportunidade de acessar e copiar informações pessoais de todos os usuários da rede. Essas informações incluem nome completo, endereço e número de cartão de crédito. Não vou me debruçar sobre qual informação foi exposta porque é uma lista longa. Tudo que você precisa saber é que se estava na rede da Sony, eles podem ter pegado. "Podem" porque eu tenho a certeza que é quase impossível pegar toda essa informação em tempo hábil. Esse banco de dados tem centenas de gigabytes, o que levaria semanas para ser transferido através de uma conexão doméstica, por melhor que ela seja. A Sony confirmou que sete milhões de usuários tiveram as contas realmente roubadas. Se fizermos a matemática isso é inferior a 10% de toda a informação disponível no banco de dados em dois dias. Alias imagino que seja por isso que a PSN tenha desligado o sistema, para evitar que mais informação ficasse exposta por mais tempo, possibilitando o download desta.
 |
| Aquela pessoa gritando "Socorro!" ali no centro é o CEO da Sony. Imagem extraída do jogo PSN is Mine (Na verdade o jogo se chama Monaco) |
Começarei aqui minhas especulações. Nada do que for dito a partir daqui é informação oficial e eu não estou ligado de qualquer forma a Sony para ter informação privilegiada. E vou falar de muita terminologia técnica. Depois de tirar o elefante branco da sala, que apesar de quem vos falar ser grande e branco, não se trata de mim. Vamos às especulações.
A segurança da Sony aparentemente é coisa de criança. Um sistema desse porte precisa ter medidas de segurança para impedir que tamanha quantidade de informação seja acessada. Ao o que me parece o invasor teve acesso direto ao banco de dados, sem passar por qualquer interface administrativa. O motivo por que penso isso é que a Sony classificou que todo banco de dados foi exposto. Uma possibilidade para uma vulnerabilidade de estas surgir é caso algum desenvolvedor antigo da plataforma tivesse a informação de banco de dados (usuário e senha que para todos os efeitos práticos são iguais aos que você usa para acessar seu e-mail) que ela utiliza para acessar o banco de dados. Com essa informação seria possível realizar todas as operações que a PSN realizaria diariamente. O que inclui ler os dados armazenados no banco de dados. A boa notícia é que parte da informação (senhas e números de cartão de crédito) estava criptografada. E até onde se sabe a chave de criptografia não foi roubada. Então deve levar alguns meses até o hacker conseguir replicar essa chave e usá-la para acessar os cartões de crédito.
Existe um boato afirmando que a Sony conhecia a vulnerabilidade que foi explorada pelos invasores. Isso é bem possível, e se for verdade foi uma tentativa de economia em tempo e dinheiro. Pare para pensar: O sistema deles ficou fora do ar por quase um mês. E segundo eles isso foi devido a medidas adicionais de segurança sendo implementadas. Na minha modesta opinião eles reescreveram toda a parte de segurança da PSN. E antes tarde do quê nunca! Todo software tem erros. E como diriam os professores de Engenharia de Software: Um teste é capaz de afirmar que um erro existe, mas não que ele não existe. Dito isso é certeza que a rede da Sony ainda é vulnerável a certos tipos de ataque, da mesma forma que as redes da Nintendo, da Microsoft ou do Google estão. E que mesmo com todos esses danos colaterais a Sony fez a coisa certa quando a bagunça se espalhou pela sala. Fechou tudo e começou a limpeza. Você pode achar que eles te sacanearam por não conseguir logar na PSN e matar os n00bs, ou conseguir uma sw33t l3wt. Mas o fato da PSN ter ficado desligada por semanas não deveria te irritar nada se comparado com como você deveria estar devido ao roubo de informação pessoal.
E nessa semana, depois de semanas fora do ar, a PSN volta com um sistema para restauração de senhas. Você acredita que hackers conseguiram quebrar esse sistema e simplesmente começaram a roubar contas do usuário? Sistemas de recuperação de senhas são triviais e a Sony conseguiu deixar um URL exploit no sistema. Para quem não sabe um URL exploit é uma vulnerabilidade em um link do sistema. A Sony deve ter usado as informações dos usuários, que os hackers roubaram na primeira invasão, para criar os links para restauração das senhas. Os hackers não deixaram essa falha passar. Alguem avise a Sony que esses links tem que ser criados de forma aleatória para que hackers sem acesso direto ao e-mail do usuário não adivinhem esses endereços. Tudo que posso dizer sobre a Sony: amadores!
E nessa semana, depois de semanas fora do ar, a PSN volta com um sistema para restauração de senhas. Você acredita que hackers conseguiram quebrar esse sistema e simplesmente começaram a roubar contas do usuário? Sistemas de recuperação de senhas são triviais e a Sony conseguiu deixar um URL exploit no sistema. Para quem não sabe um URL exploit é uma vulnerabilidade em um link do sistema. A Sony deve ter usado as informações dos usuários, que os hackers roubaram na primeira invasão, para criar os links para restauração das senhas. Os hackers não deixaram essa falha passar. Alguem avise a Sony que esses links tem que ser criados de forma aleatória para que hackers sem acesso direto ao e-mail do usuário não adivinhem esses endereços. Tudo que posso dizer sobre a Sony: amadores!
A pegadinha sobre informação pessoal é que achamos que é pouco importante, que não é possível fazer nada com ela alem de enviar spam. Engano seu! Com seu nome completo, por exemplo, consigo descobrir seu endereço e seu telefone. Claro que com algumas restrições. Mas é a coisa mais banal que existe. Roubo de identidade é a falsidade ideológica do futuro. Pessoas vão fingir que são você na Internet e obter acesso real a recursos que elas não deveriam ter e comprometer sua identidade. Aqueles casos de pessoas que tem nome sujo na praça por ter quinze contas de telefone acontecem exatamente com informação extraída da rede.
Vou aproveitar essa deixa para dar conselhos para você de como evitar um prejuízo gigante caso seus dados sejam roubados:
1. NUNCA use seu nome completo na Internet. No máximo, se muito necessário, a inicial do meio.
2. NUNCA use a mesma senha para seu e-mail e para outras contas.
3. Quando possível use PayPal, EntroPay ou outro serviço similar para realizar pagamentos.
Agora os motivos para cada uma dessas medidas. Como eu disse anteriormente com o nome completo é possível descobrir muita coisa sobre você. Tudo que é necessário é saber onde procurar. Então não dê essa colher de chá e dificulte. E não quero dizer que você deve usar um nome falso. Em hipótese nenhuma você deve usar um nome falso. Mas você não deve usar seu nome completo.
Quanto a senha do seu e-mail e de suas contas. Todos sites que consigo imaginar usam e-mail para confirmar que o usuário que está requisitando uma senha nova para aquela conta é o dono real da conta. Na pratica isso torna o dono do seu e-mail o dono de todas as outras contas associadas. Se você usar a mesma senha para seu e-mail e para contas "filhas" dele existe chance do ladrão da senha testar essa senha no e-mail e simplesmente comprometer todas as contas associadas a aquele e-mail. Então tenha uma senha única pelo menos para o e-mail, e uma senha radicalmente diferente para as outras contas. Se possível a cada três contas uma senha diferente. Porque eu sei que é difícil lembrar-se de todas as senhas, mas a senha é a única coisa entre o usuário real e um ladrão. E vai por mim: senhas não são muita coisa.
E finalmente sobre usar formas de pagamento intermediárias (como o bem famoso PayPal). Lembrando que nenhum software é completamente seguro e que essas formas de pagamento funcionam através de software. Mas a grande diferença é que o PayPal está dedicado apenas a cuidar dessa informação. Esse é o negócio dele. Se um roubo de informação acontecer no PayPal igual o ocorrido na Sony ele quebra em 5 dias úteis. Então esses serviços em geral têm um cuidado a mais com sua informação pessoal, mas não são infalíveis. Então tome cuidado! Como eu sei que você não vai parar de comprar pelo menos faça um favor a você mesmo e use essas formas de pagamento.
Espero ter esclarecido um pouco sobre esse ataque e ajudado a evitar danos maiores da próxima vez que isso acontecer. Agora pare de ler isso e vá jogar as sua PSN! Já eu vou continuar jogando meu Xbox 360, com o qual nunca tive problema...
 |
| Preciso realmente dizer alguma coisa? Cada usuário tem os problemas que merecem... ;-) |
Postagens
0 comentários:
Postar um comentário
Observação: somente um membro deste blog pode postar um comentário.