Invasão de redes da Sony expõe calcanhar de Aquiles do e-commerce
A invasão das redes Sony Online Entertainment e PlayStation Network mostra que, em empresas de comércio eletrônico, descuidos na segurança podem ser catastróficos
Da Redação
Publicado em 16 de maio de 2011 às 17h26.
São Paulo -- Em menos de vinte dias, a divisão americana da Sony, uma gigante de tecnologia, veio a público duas vezes anunciar que dois de seus serviços on-line haviam sido invadidos por crackers – especialistas em computação que praticam crimes no ambiente virtual. No primeiro caso, o alvo foi a PlayStation Network (PSN), rede de entretenimento que conecta usuários com ajuda de um console. O segundo foi a Sony Online Entertainment (SOE), rede de jogos para PCs.
O saldo da invasão: o furto de dados de provavelmente mais de 100 milhões de contas. Isso significa que podem ter caído nas mãos de criminosos informações de usuários, como nomes, endereços, telefones e números de cartão de crédito – cada um pode valer até 100 dólares no mercado negro. Pode parecer, mas não é assunto de interesse exclusivo de aficionados em games.
Em essência, as duas redes da Sony se assemelham a outros grandes serviços da internet que praticam comércio eletrônico: uns vendem games, enquanto outros comercializam livros ou eletrodomésticos. Esses sites apresentam interfaces amigáveis a consumidores e vendem serviços ou produtos. Para adquiri-los, o usuário deve fazer um cadastro, confiando informações preciosas ao banco de dados do sistema – que fica armazenado em servidores, potentes computadores da empresa. É o que acontece quando realizamos um cadastro ou uma compra em endereços eletrônicos como a livraria virtual Amazon ou similares em qualquer parte do mundo.
Isso quer dizer que o comércio eletrônico, como um todo, não é seguro, mesmo quando operado por grandes empresas? Não. Na maioria dos casos, as operações são seguras – especialmente quando o usuário toma as devidas precauções. Prova disso é que invasões hackers e vazamento de dados como o ocorrido com a Sony são raros. O que o episódio revela, porém, é que até esses grandes serviços podem falhar. E aí está o ponto nevrálgico da história: houve uma falha.
Barreiras múltiplas
Grandes sites e serviços na internet são protegidos por barreiras eletrônicas. São programas e processos de segurança dispostos em camadas. Cada um deles tem funções específicas, mas um só objetivo: garantir que somente pessoas autorizadas tenham acesso ao banco de dados – e, portanto, às informações privadas de usuários. Portanto, somente o gerenciador do sistema e, é claro, legítimos usuários teriam esse privilégio.
Para que cada uma dessas barreiras seja inviolável, uma condição é vital: a constante atualização dos programas de defesa, que identificam tentativas de invasão. É o caso do software conhecido como firewall, que barra tentativas suspeitas de acesso ao sistema. Como diariamente hackers criam novas maneiras de enganar o sistema, é preciso que, com a mesma constância, esse programa seja atualizado – exatamente como ocorre com os antivírus dos computadores pessoais.
As constantes atualizações também são necessárias em outros programas e procedimentos, como o controle de acesso ao usuário (que verifica os códigos de login e senha) e o sistema de criptografia, que transforma as informações do usuário numa linguagem só reconhecida por máquinas.
Firewall é suspeito
A Sony não divulga em que parte da muralha os invasores abriram uma brecha. Mas especialistas em segurança apostam que o caminho foi aberto por falha na atualização da primeira barreira de segurança: o programa firewall. "Algumas vezes, ocorre de as barreiras eletrônicas estarem ativas, mas não atualizadas. Em consequência, não estão preparadas para combater para a versão mais moderna da ameaça", diz Paulo Vendramini, diretor comercial da Symantec, empresa especializada em segurança digital.
"Essa pode ser a diferença entre uma tentativa de ataque e um ataque bem-sucedido." O fator humano também pode cooperar para a falha. Falta de comprometimento de um administrador de sistemas ou mesmo a existência de um funcionário mal intencionado pode colocar em risco toda a estrutura de segurança.
Falhas desse calibre, contudo, não são comuns em sistemas de grandes atores do varejo eletrônico. Devido aos riscos envolvidos, essas empresas são obrigadas a investir milhões de dólares para garantir a segurança das informações do usuário, das quais são depositárias. Só no Brasil, as companhias investiram ao menos 40 milhões de reais na atividade, de acordo com a consultoria Frost & Sullivan, ante um faturamento de 14,8 bilhões de reais do comércio eletrônico.
"As empresas nacionais fazem investimentos mais do que compatíveis com os riscos existentes no país", diz Ricardo Dortas, coordenador do Comitê de Meios de Pagamento na Internet da Camara-e.net. "Na área de segurança, não existem soluções mágicas, mas soluções integradas que funcionam quando respeitados procedimentos específicos. Empresas e crakers fazem um jogo de gato e rato, com os invasores procurando falhas, enquanto as companhias lutam para proteger seu conteúdo."
Teste de vulnerabilidade
A empresa americana de pagamento eletrônico PayPal, por exemplo, que recentemente iniciou suas operações no Brasil, acrescentou mais uma barreira ao cordão de segurança eletrônico que protege seu banco de dados. A própria barreira testa a vulnerabilidade do sistema. Na prática, é como ter um pequeno exército de hackers simulando a invasão. Além disso, um programa de varredura identifica e elimina cadastros fraudulentos, baseado no comportamento dessas contas. "É como se o sistema diferenciasse as células sadias das cancerígena e eliminasse as nocivas", diz Mário Mello, presidente do PayPal no Brasil.
Passadas os primeiros dias após a invasão, a Sony faz a contabilidade de seus prejuízos. Nesta semana, a companhia anunciou a contratação de três empresas de segurança digital para descobrir a identidade dos invasores. Some-se a isso a suspensão por tempo indeterminado das redes PSN e SOE e a criação de um seguro no valor de até 1 milhão de dólares para cada usuário americano lesado no episódio. Estima-se que a conta pode ficar bem salgada: 2 bilhões de dólares.
São Paulo -- Em menos de vinte dias, a divisão americana da Sony, uma gigante de tecnologia, veio a público duas vezes anunciar que dois de seus serviços on-line haviam sido invadidos por crackers – especialistas em computação que praticam crimes no ambiente virtual. No primeiro caso, o alvo foi a PlayStation Network (PSN), rede de entretenimento que conecta usuários com ajuda de um console. O segundo foi a Sony Online Entertainment (SOE), rede de jogos para PCs.
O saldo da invasão: o furto de dados de provavelmente mais de 100 milhões de contas. Isso significa que podem ter caído nas mãos de criminosos informações de usuários, como nomes, endereços, telefones e números de cartão de crédito – cada um pode valer até 100 dólares no mercado negro. Pode parecer, mas não é assunto de interesse exclusivo de aficionados em games.
Em essência, as duas redes da Sony se assemelham a outros grandes serviços da internet que praticam comércio eletrônico: uns vendem games, enquanto outros comercializam livros ou eletrodomésticos. Esses sites apresentam interfaces amigáveis a consumidores e vendem serviços ou produtos. Para adquiri-los, o usuário deve fazer um cadastro, confiando informações preciosas ao banco de dados do sistema – que fica armazenado em servidores, potentes computadores da empresa. É o que acontece quando realizamos um cadastro ou uma compra em endereços eletrônicos como a livraria virtual Amazon ou similares em qualquer parte do mundo.
Isso quer dizer que o comércio eletrônico, como um todo, não é seguro, mesmo quando operado por grandes empresas? Não. Na maioria dos casos, as operações são seguras – especialmente quando o usuário toma as devidas precauções. Prova disso é que invasões hackers e vazamento de dados como o ocorrido com a Sony são raros. O que o episódio revela, porém, é que até esses grandes serviços podem falhar. E aí está o ponto nevrálgico da história: houve uma falha.
Barreiras múltiplas
Grandes sites e serviços na internet são protegidos por barreiras eletrônicas. São programas e processos de segurança dispostos em camadas. Cada um deles tem funções específicas, mas um só objetivo: garantir que somente pessoas autorizadas tenham acesso ao banco de dados – e, portanto, às informações privadas de usuários. Portanto, somente o gerenciador do sistema e, é claro, legítimos usuários teriam esse privilégio.
Para que cada uma dessas barreiras seja inviolável, uma condição é vital: a constante atualização dos programas de defesa, que identificam tentativas de invasão. É o caso do software conhecido como firewall, que barra tentativas suspeitas de acesso ao sistema. Como diariamente hackers criam novas maneiras de enganar o sistema, é preciso que, com a mesma constância, esse programa seja atualizado – exatamente como ocorre com os antivírus dos computadores pessoais.
As constantes atualizações também são necessárias em outros programas e procedimentos, como o controle de acesso ao usuário (que verifica os códigos de login e senha) e o sistema de criptografia, que transforma as informações do usuário numa linguagem só reconhecida por máquinas.
Firewall é suspeito
A Sony não divulga em que parte da muralha os invasores abriram uma brecha. Mas especialistas em segurança apostam que o caminho foi aberto por falha na atualização da primeira barreira de segurança: o programa firewall. "Algumas vezes, ocorre de as barreiras eletrônicas estarem ativas, mas não atualizadas. Em consequência, não estão preparadas para combater para a versão mais moderna da ameaça", diz Paulo Vendramini, diretor comercial da Symantec, empresa especializada em segurança digital.
"Essa pode ser a diferença entre uma tentativa de ataque e um ataque bem-sucedido." O fator humano também pode cooperar para a falha. Falta de comprometimento de um administrador de sistemas ou mesmo a existência de um funcionário mal intencionado pode colocar em risco toda a estrutura de segurança.
Falhas desse calibre, contudo, não são comuns em sistemas de grandes atores do varejo eletrônico. Devido aos riscos envolvidos, essas empresas são obrigadas a investir milhões de dólares para garantir a segurança das informações do usuário, das quais são depositárias. Só no Brasil, as companhias investiram ao menos 40 milhões de reais na atividade, de acordo com a consultoria Frost & Sullivan, ante um faturamento de 14,8 bilhões de reais do comércio eletrônico.
"As empresas nacionais fazem investimentos mais do que compatíveis com os riscos existentes no país", diz Ricardo Dortas, coordenador do Comitê de Meios de Pagamento na Internet da Camara-e.net. "Na área de segurança, não existem soluções mágicas, mas soluções integradas que funcionam quando respeitados procedimentos específicos. Empresas e crakers fazem um jogo de gato e rato, com os invasores procurando falhas, enquanto as companhias lutam para proteger seu conteúdo."
Teste de vulnerabilidade
A empresa americana de pagamento eletrônico PayPal, por exemplo, que recentemente iniciou suas operações no Brasil, acrescentou mais uma barreira ao cordão de segurança eletrônico que protege seu banco de dados. A própria barreira testa a vulnerabilidade do sistema. Na prática, é como ter um pequeno exército de hackers simulando a invasão. Além disso, um programa de varredura identifica e elimina cadastros fraudulentos, baseado no comportamento dessas contas. "É como se o sistema diferenciasse as células sadias das cancerígena e eliminasse as nocivas", diz Mário Mello, presidente do PayPal no Brasil.
Passadas os primeiros dias após a invasão, a Sony faz a contabilidade de seus prejuízos. Nesta semana, a companhia anunciou a contratação de três empresas de segurança digital para descobrir a identidade dos invasores. Some-se a isso a suspensão por tempo indeterminado das redes PSN e SOE e a criação de um seguro no valor de até 1 milhão de dólares para cada usuário americano lesado no episódio. Estima-se que a conta pode ficar bem salgada: 2 bilhões de dólares.