Análise do ataque à segurança da PSN
Click here to load reader
-
Upload
orlando-junior -
Category
Technology
-
view
981 -
download
0
description
Transcript of Análise do ataque à segurança da PSN
CENTRO UNIVERSITÁRIO DA FEI
ORLANDO DA SILVA JUNIOR
ANÁLISE DO ATAQUE À SEGURANÇA DA PLAYSTATION NETWORK
São Bernardo do Campo
2011
ORLANDO DA SILVA JUNIOR
ANÁLISE DO ATAQUE À SEGURANÇA DA PLAYSTATION NETWORK
Trabalho apresentado ao Centro Universitário da
FEI como parte para a aprovação no curso de
Segurança no Desenvolvimento de Software,
ministrado pelo Prof. Msc. Ricardo de Carvalho
Destro.
São Bernardo do Campo
2011
SUMÁRIO
1 INTRODUÇÃO ..................................................................................................................... 4
2 PLAYSTATION NETWORK .............................................................................................. 5
2.1 Funcionamento da PSN ........................................................................................................ 5
3 O PROBLEMA NA REDE DE JOGOS DA PLAYSTATION ........................................ 7
4 ANÁLISE DO PROBLEMA SOB A ÓTICA DA SEGURANÇA .................................... 8
4.1 Sobre os objetivos da segurança ........................................................................................... 8
REFERÊNCIAS ..................................................................................................................... 10
4
1 INTRODUÇÃO
No mês de abril deste ano, a rede de jogos online da Sony – a Playstation Network –
foi atacada por hackers. Conforme percebido pelos próprios usuários da rede, o ataque tornou
indisponível o serviço de acesso à rede. Segundo a própria Sony (PLAYSTATION, 2011), a
invasão ilegal impactou a capacidade do usuário em desfrutar dos serviços prestados pela
Playstation Network e pelo Qriocity1.
Pouco tempo após o ocorrido, a empresa torna indisponível o acesso a esses dois
serviços e notifica todos os 77 milhões de usuários registrados na rede através de seus
aparelhos. O caso repercutiu o planeta inteiro e deixou uma imagem negativa da empresa aos
clientes no mundo todo.
Este trabalho tem por objetivo analisar o ataque à Playstation Network do ponto de
vista da segurança da informação. Como método, este trabalho realiza a comparação dos
cenários de segurança de ataque e defesa e os analisa segundo os objetivos da segurança da
informação.
1 Qriocity é um serviço que realiza a transmissão de músicas, jogos, e-books e vídeos sob demanda (WIKIPEDIA,
2011b).
5
2 PLAYSTATION NETWORK
Playstation Network (PSN) é o nome da rede de serviços online de entretenimento da
família de console de jogos Playstation. A rede foi anunciada em 2006 pela Sony Computer
Entertainment para ser utilizada a partir da terceira edição da console da companhia, a qual
seria lançada no mesmo ano.
Desde o seu lançamento, a PSN já contabilizou a marca de mais de 77 milhões de
contas registradas (PLAYSTATION, 2011), o que significa que mais de 50 milhões de
pessoas em todo o planeta são usuárias dessa plataforma de serviços de entretenimento digital.
2.1 Funcionamento da PSN
A PSN é considerada um dos muitos serviços oferecidos para os usuários de
Playstation 3 (PS3) e Playstation Portable (PSP). Esse serviço é visto pelos usuários como o
mais importante entre todos os serviços disponibilizados pela Sony, uma vez que sustenta
muitos dos demais serviços e é a principal responsável pela fonte de todos os divertimentos.
Segundo a própria companhia (PLAYSTATION, 2011), a utilização de uma PSN
modifica o sistema PS3, tornando-o mais que uma console de videogames, como era próprio
de suas versões anteriores. Com a PSN, a console PS3 se transforma em uma máquina de
entretenimentos, permitindo acesso e download a centenas de jogos gratuitos e pagos,
complementos para o videogame, filmes e shows exclusivos, tudo disposto aos usuários
cadastrados na rede. Posteriormente, plataformas de outras consoles, como o Xbox, da
americana Microsoft, e o Wii, da também japonesa Nintendo, seguiram o mesmo exemplo.
O funcionamento da PSN é baseado no acesso à internet, seja por uma conexão Wi-Fi,
seja por uma conexão realizada através da porta de rede do aparelho PS3. O usuário
cadastrado, então, após estar conectado à rede, conquista acesso à “maquina de
entretenimentos” citada anteriormente.
Nessa plataforma, a Sony releva (ibidem) três serviços essenciais que constituem a
rede como um todo:
Plataforma de jogos online: realiza a conexão com outros jogadores que têm
também acesso à rede, permitindo maior interação entre as pessoas. Neste serviço
considera-se também a possibilidade de competições, conforme o jogo desejado,
através do identificador único global presente em cada conta da rede;
6
Plataforma de comunicação: provê, sobretudo, conversação aos usuários da rede.
Possibilita os usuários de se comunicarem em tempo real por voz ou vídeo, além
de atualizar o status do Facebook em caso de conquista de novos troféus;
Playstation Store: permite a compra e o download de jogos clássicos do
Playstation One (PS One) e dos últimos lançamentos para o PS3 e o PSP.
A integração desses serviços constitui a rede PSN. Sendo possível que cada um deles
seja utilizado de modo independente a outro serviço, ou seja, que algum desses serviços torne-
se completamente obsoleto nas mãos de um usuário em específico, o poder da máquina
permanece inalterado.
7
3 O PROBLEMA NA REDE DE JOGOS DA PLAYSTATION
Entre os dias 16 e 19 de abril deste ano, mais de 77 milhões de contas de usuários
foram prejudicadas da rede de jogos PSN da multinacional japonesa Sony. Muitos consideram
essa perda como uma das maiores violações de segurança já ocorridas desde a popularização
da internet (INFO, 2011).
No mesmo dia, após descobrir a violação, a empresa efetuou a suspensão dos serviços
da rede PSN bem como do Qriocity. Na visão dos jogadores e usuários da rede, a paralização
dos serviços – que resultou na incapacidade do usufruto do entretenimento online por parte
desses mesmos jogadores – foi a maior perda.
Exatamente uma semana após o ocorrido, a empresa notificou, em seu blog oficial na
internet, o fato ocorrido, dando explicações aos usuários sobre o ataque e o desligamento dos
servidores de jogos. Segundo G1 (2011), dados de mais de 12 mil cartões de créditos foram
roubados com a invasão. Todavia, os esclarecimentos posteriores fornecidos pela empresa (cf.
SONY, 2011) deixaram claro que todos os dados estavam protegidos, tanto do ponto de vista
informacional quanto infraestrutural.
Alguns especialistas em segurança, como o hacker americano George Hotz2, culpam a
Sony por sua soberba corporativa. Acredita ele que a guerra declarada contra os hackers só
fizeram com que o prejuízo à empresa fosse maior. A maior crítica de Hotz é feita aos
executivos da empresa, que preferiram investir mais em advogados para combater os hackers
judicialmente do que investir na contratação de especialistas em segurança (INFO, 2011).
2 George Hotz, ou GeoHot, 21, é um dos hackers mais conhecidos no mundo hoje. Ele foi responsável pela
quebra de segurança no desbloqueio do aparelho iPhone e, posteriormente, também pelo Playstation 3.
8
4 ANÁLISE DO PROBLEMA SOB A ÓTICA DA SEGURANÇA
Antes de começar a análise, é importante ressaltar que este trabalho está considerando
a segurança do ponto de vista da computação, ou seja, está considerando como as informações
e os dados podem ser protegidos segundo os pilares básicos da segurança da informação3: a
confidencialidade, a integridade e a disponibilidade.
4.1 Sobre os objetivos da segurança
É possível analisar o caso da Sony-PSN se os principais objetivos da segurança forem
considerados. Alguns desses objetivos que merecem destaque são: a manutenção da
continuidade dos negócios da empresa, a minimização de perdas financeiras e a preservação
de dados importantes.
Segundo Info (2011b), a Sony gera 500 milhões de dólares anualmente em sua receita.
Embora a companhia não tenha divulgado, não é difícil imaginar que boa parte dessa receita
será perdida com o vazamento das informações. A falha técnica na segurança, portanto, feriu
um dos objetivos principais da segurança da informação, que é a minimização de capital.
Como resultado tem-se, também, a desconfiança dos usuários no que se refere à perda de suas
informações e como elas poderão ser usadas. Outro ponto é a questão judicial que pode afetar
a empresa; alguns dias após o ocorrido, alguns jogadores e associações processaram a
empresa pelo roubo dos dados.
O roubo das informações dos jogadores é, provavelmente, o ponto mais importante de
todo o caso sob os olhares da segurança da informação. Na modelagem de ameaças, essa
fraqueza estaria qualificada minimamente como divulgação não-autorizada, mas com altos
dano potencial e quantidade de usuários afetados. Como resultado, obteve-se, ainda, a
negação do serviço a uma quantidade maior de usuários, gerando, por conseguinte, alto dano
potencial.
Em suma, a imprensa não exagerou ao dizer que o caso foi um dos mais alarmantes da
história da internet. A enorme quantidade de usuários afetados – principais responsáveis pela
existência do serviço – deixou claro que havia muitas falhas na segurança do sistema da rede
PSN. Embora não seja possível analisar mais profundamente a estrutura de segurança da rede,
3 Por segurança da informação entende-se a proteção da informação e sistemas de informação contra acesso,
uso, divulgação, modificação, destruição e interrupção não autorizadas.
9
já que não é divulgada, pode-se, todavia, ponderar o ataque conforme as suas consequências,
como foi apresentado ao longo deste trabalho.
Por fim, vale dizer que a falta de processos que garantam a segurança ou a má
aplicação deles levou a Sony a perder não somente muito lucro, mas também seus muitos
clientes, sobretudo na questão confiabilidade. Certamente a empresa verificará a ocorrência e
se anteverá a novos atos maliciosos. O mesmo se dará com outras empresas.
10
REFERÊNCIAS
G1, 2011. Sony confirma que ataque à PSN também afetou outros servidores. Disponível
em: <http://g1.globo.com/tecnologia/noticia/2011/05/sony-confirma-que-ataque-psn-tambem-
afetou-outros-servidores.html>
INFO, 2011a. Anonymous anunciam ataques contra a Sony. Disponível em:
<http://info.abril.com.br/noticias/seguranca/anonymous-anunciam-ataques-contra-a-sony-
05042011-21.shl>
INFO, 2011b. Dados de 77 mi de contas PSN foram expostos. Disponível em:
<http://info.abril.com.br/noticias/seguranca/dados-de-77-mi-de-contas-psn-foram-expostos-
28042011-17.shl>
INFO, 2011c. Hacker GeoHot fala sobre ataques à PSN. Disponível em:
<http://info.abril.com.br/noticias/seguranca/hacker-geohot-fala-sobre-ataques-a-psn-
30042011-14.shl>
INFO, 2011d. Invasão tira PSN do ar, diz Sony. Disponível em:
<http://info.abril.com.br/noticias/tecnologia-pessoal/invasao-tira-psn-do-ar-diz-sony-
23042011-3.shl>
INFO, 2011e. PSN volta a funcionar nesta semana, diz Sony. Disponível em:
<http://info.abril.com.br/noticias/seguranca/psn-volta-a-funcionar-nesta-semana-diz-sony-
01052011-2.shl>
INFO, 2011f. Sony deve reativar PSN dia 4 de maio. Disponível em:
<http://info.abril.com.br/noticias/tecnologia-pessoal/sony-deve-reativar-psn-dia-4-de-maio-
28042011-30.shl>
PLAYSTATION, Blog, 2011a. Update on Playstation Network and Qriocity. Disponível
em: <http://blog.us.playstation.com/2011/04/26/update-on-playstation-network-and-
qriocity/>.
PLAYSTATION, Blog, 2011b. Playstation Newtwork and Qriocity outage FAQ.
Disponível em: <http://blog.eu.playstation.com/2011/04/28/playstation-network-and-qriocity-
outage-faq/>.
PLAYSTATION, 2011c. PS3 Features Network. Disponível em:
<http://us.playstation.com/ps3/features/ps3featuresnetwork.html>.
PLAYSTATION, 2011d. What is the PlayStation®Network?. Disponível em:
<http://us.playstation.com/support/answer/index.htm?a_id=925>.
WIKIPEDIA, 2011a. PSN. Disponível em: <http://en.wikipedia.org/wiki/PSN>.
WIKIPEDIA, 2011b. Qriocity. Disponível em: <http://en.wikipedia.org/wiki/Qriocity>.