Em um ambiente ideal, serviços não são desligados...
Rede Playstation Network, que permite jogos on-line
entre jogadores de Playstation 3, segue fora do ar
(Foto: Divulgação)
entre jogadores de Playstation 3, segue fora do ar
(Foto: Divulgação)
## = $$ O caso de invasão da Playstation Network, da Sony, que expôs 77 milhões de contas de usuários e que depois se estendeu para serviços de MMO da companhia, que pode ter totalizado 101 milhões de registros vazados, extrapolou a esfera dos jogos para se tornar um caso a ser estudado na área de segurança da informação. Especialmente, o fato de que a empresa teve que desligar seu serviços mostra que não havia um plano para manter o serviço no ar no caso de problemas.
Se você tem alguma dúvida sobre segurança da informação (antivírus, invasões, cibercrime, roubo de dados, etc), vá até o fim da reportagem e utilize a seção de comentários. A coluna responde perguntas deixadas por leitores todas as quartas-feiras.
“Isto é o famoso 'tira do ar enquanto descobrimos o que aconteceu e como vamos resolver'. Este é um típico comportamento de organizações que não estão preparadas para responder um incidente”, afirma o especialista em segurança Wagner Elias. De fato, até o problema acontecer, a Sony não possuía um executivo com o título de CISO – Chefe de Segurança da Informação, algo difícil de acreditar em uma organização com 160 mil funcionários, mas que só veio à tona quando a empresa afirmou que estaria criando o cargo como uma das medidas para reduzir as chances de novas invasões.
Na prática, isso significa que não havia ninguém entre os diretores de tecnologia da empresa capacitado para pensar recursos e produtos de uma maneira segura. Não que a empresa não tivesse profissionais de segurança – apenas era muito difícil que eles tivessem voz, já que não tinham uma representação executiva.
“No momento da concepção a análise dos riscos deve-se considerar quais dados eu preciso armazenar e de acordo com o tipo de dado eu tenho que ter o tratamento adequado”, explica Elias. “Não é normal que toda invasão leve ao comprometimento dos dados”.
O especialista cita tecnologias como hashing (que a Sony usou) e salt (que não se sabe se foi utilizada) que dificultam a obtenção de senhas, por exemplo. No caso dos cartões de crédito, Elias acredita que o melhor é não armazená-los e, se isso for necessário, a segurança deve ser adequada. No entanto, a Sony confirmou que pelo menos 12,7 mil cartões armazenados pela Sony Online Entertainment (SOE) foram roubados, e não se sabe sobre a segurança dos cartões de usuários da PSN.
O especialista Anchises de Paula, da Verisign, lembra que há exemplos recentes de casos em que empresas foram comprometidas e ficaram no ar, como a do Google, em 2010. Na ocasião, o Google disse ter sido alvo de hackers chineses, que entraram em seus sistemas, roubaram códigos e tiveram acessos a contas de Gmail de dissidentes. “Nem por isso o site do Google, o YouTube ou o Gmail foram desligados”, exemplifica.
O caso da Sony é, na verdade, o único que ocorreu recentemente e no qual a empresa teve que desligar completamente seus serviços por semanas para investigar o problema. Ambientes podem e devem ser “segregados” para que invasores tenham ações limitadas após a invasão.
Vazamento de dados da empresa de marketing
Epsilon é mais um em uma tendência de ataques
com intuito de roubo de informações
(Foto: Reprodução)
Epsilon é mais um em uma tendência de ataques
com intuito de roubo de informações
(Foto: Reprodução)
Roubo de dados é a maior preocupação de profissionais de segurança
O caso da Sony não algo estranho; faz parte de uma tendência. A desenvolvedora de software Ashampoo sofreu invasão semelhante, o fórum sobre internet DSLReports também perdeu dados de usuários, e ainda há o caso da Epsilon, que vazou até dados sobre consumo de medicamentos – e esses são apenas casos recentes.
A companhia de segurança ESET consultou 3.200 profissionais de segurança da América Latina e descobriu que o valor dado à proteção de informações está crescendo e foi o mais citado pelos profissionais – 42,5%, passando até mesmo as preocupações com vírus, que ficaram em 35,36% e com o segundo lugar.
A empresa acredita que casos recentes de vazamento, bem como o Wikileaks, que foi amplamente divulgado em 2010, tem feito aumentar essa preocupação nas empresas e, portanto, nos profissionais.
A ESET ainda afirma que, em sua pesquisa, descobriu que apenas 40% das organizações possuem ferramentas capazes de detectar incidentes de segurança, como invasões. A ESET considerou esse valor baixo. As ferramentas mais usadas são antivírus, backup, firewall e anti-spam.
Diante dessa tendência, a preocupação com o dado deve criar questionamentos na indústria, segundo o especialista Sebastián Bortnik, que é coordenador de pesquisa da ESET na América Latina.
Diz o especialista: “A Sony declarou que considera o incidente extremamente sério, e nós, especialistas em segurança digital, também acreditamos nisso. Mais uma vez grandes empresas são vítimas de ataques que expõem a segurança e a privacidade dos usuários. Cabe a elas a pergunta: estamos cuidando bem dos dados de nossos usuários?”.(***) Altieres Rohr é especialista em segurança de computadores e, nesta coluna, vai responder dúvidas, explicar conceitos e dar dicas e esclarecimentos sobre antivírus, firewalls, crimes virtuais, proteção de dados e outros. Ele criou e edita o Linha Defensiva, site e fórum de segurança que oferece um serviço gratuito de remoção de pragas digitais, entre outras atividades. Na coluna “Segurança digital”, o especialista também vai tirar dúvidas deixadas pelos leitores na seção de comentários. Acompanhe também o Twitter da coluna, na página
Nenhum comentário:
Postar um comentário