CENTRO UNIVERSITÁRIO DA FEI

ORLANDO DA SILVA JUNIOR

ANÁLISE DO ATAQUE À SEGURANÇA DA PLAYSTATION NETWORK

São Bernardo do Campo

2011

ORLANDO DA SILVA JUNIOR

ANÁLISE DO ATAQUE À SEGURANÇA DA PLAYSTATION NETWORK

Trabalho apresentado ao Centro Universitário da

FEI como parte para a aprovação no curso de

Segurança no Desenvolvimento de Software,

ministrado pelo Prof. Msc. Ricardo de Carvalho

Destro.

São Bernardo do Campo

2011

SUMÁRIO

1 INTRODUÇÃO ..................................................................................................................... 4

2 PLAYSTATION NETWORK .............................................................................................. 5

2.1 Funcionamento da PSN ........................................................................................................ 5

3 O PROBLEMA NA REDE DE JOGOS DA PLAYSTATION ........................................ 7

4 ANÁLISE DO PROBLEMA SOB A ÓTICA DA SEGURANÇA .................................... 8

4.1 Sobre os objetivos da segurança ........................................................................................... 8

REFERÊNCIAS ..................................................................................................................... 10

4

1 INTRODUÇÃO

No mês de abril deste ano, a rede de jogos online da Sony – a Playstation Network –

foi atacada por hackers. Conforme percebido pelos próprios usuários da rede, o ataque tornou

indisponível o serviço de acesso à rede. Segundo a própria Sony (PLAYSTATION, 2011), a

invasão ilegal impactou a capacidade do usuário em desfrutar dos serviços prestados pela

Playstation Network e pelo Qriocity1.

Pouco tempo após o ocorrido, a empresa torna indisponível o acesso a esses dois

serviços e notifica todos os 77 milhões de usuários registrados na rede através de seus

aparelhos. O caso repercutiu o planeta inteiro e deixou uma imagem negativa da empresa aos

clientes no mundo todo.

Este trabalho tem por objetivo analisar o ataque à Playstation Network do ponto de

vista da segurança da informação. Como método, este trabalho realiza a comparação dos

cenários de segurança de ataque e defesa e os analisa segundo os objetivos da segurança da

informação.

1 Qriocity é um serviço que realiza a transmissão de músicas, jogos, e-books e vídeos sob demanda (WIKIPEDIA,

2011b).

5

2 PLAYSTATION NETWORK

Playstation Network (PSN) é o nome da rede de serviços online de entretenimento da

família de console de jogos Playstation. A rede foi anunciada em 2006 pela Sony Computer

Entertainment para ser utilizada a partir da terceira edição da console da companhia, a qual

seria lançada no mesmo ano.

Desde o seu lançamento, a PSN já contabilizou a marca de mais de 77 milhões de

contas registradas (PLAYSTATION, 2011), o que significa que mais de 50 milhões de

pessoas em todo o planeta são usuárias dessa plataforma de serviços de entretenimento digital.

2.1 Funcionamento da PSN

A PSN é considerada um dos muitos serviços oferecidos para os usuários de

Playstation 3 (PS3) e Playstation Portable (PSP). Esse serviço é visto pelos usuários como o

mais importante entre todos os serviços disponibilizados pela Sony, uma vez que sustenta

muitos dos demais serviços e é a principal responsável pela fonte de todos os divertimentos.

Segundo a própria companhia (PLAYSTATION, 2011), a utilização de uma PSN

modifica o sistema PS3, tornando-o mais que uma console de videogames, como era próprio

de suas versões anteriores. Com a PSN, a console PS3 se transforma em uma máquina de

entretenimentos, permitindo acesso e download a centenas de jogos gratuitos e pagos,

complementos para o videogame, filmes e shows exclusivos, tudo disposto aos usuários

cadastrados na rede. Posteriormente, plataformas de outras consoles, como o Xbox, da

americana Microsoft, e o Wii, da também japonesa Nintendo, seguiram o mesmo exemplo.

O funcionamento da PSN é baseado no acesso à internet, seja por uma conexão Wi-Fi,

seja por uma conexão realizada através da porta de rede do aparelho PS3. O usuário

cadastrado, então, após estar conectado à rede, conquista acesso à “maquina de

entretenimentos” citada anteriormente.

Nessa plataforma, a Sony releva (ibidem) três serviços essenciais que constituem a

rede como um todo:

Plataforma de jogos online: realiza a conexão com outros jogadores que têm

também acesso à rede, permitindo maior interação entre as pessoas. Neste serviço

considera-se também a possibilidade de competições, conforme o jogo desejado,

através do identificador único global presente em cada conta da rede;

6

Plataforma de comunicação: provê, sobretudo, conversação aos usuários da rede.

Possibilita os usuários de se comunicarem em tempo real por voz ou vídeo, além

de atualizar o status do Facebook em caso de conquista de novos troféus;

Playstation Store: permite a compra e o download de jogos clássicos do

Playstation One (PS One) e dos últimos lançamentos para o PS3 e o PSP.

A integração desses serviços constitui a rede PSN. Sendo possível que cada um deles

seja utilizado de modo independente a outro serviço, ou seja, que algum desses serviços torne-

se completamente obsoleto nas mãos de um usuário em específico, o poder da máquina

permanece inalterado.

7

3 O PROBLEMA NA REDE DE JOGOS DA PLAYSTATION

Entre os dias 16 e 19 de abril deste ano, mais de 77 milhões de contas de usuários

foram prejudicadas da rede de jogos PSN da multinacional japonesa Sony. Muitos consideram

essa perda como uma das maiores violações de segurança já ocorridas desde a popularização

da internet (INFO, 2011).

No mesmo dia, após descobrir a violação, a empresa efetuou a suspensão dos serviços

da rede PSN bem como do Qriocity. Na visão dos jogadores e usuários da rede, a paralização

dos serviços – que resultou na incapacidade do usufruto do entretenimento online por parte

desses mesmos jogadores – foi a maior perda.

Exatamente uma semana após o ocorrido, a empresa notificou, em seu blog oficial na

internet, o fato ocorrido, dando explicações aos usuários sobre o ataque e o desligamento dos

servidores de jogos. Segundo G1 (2011), dados de mais de 12 mil cartões de créditos foram

roubados com a invasão. Todavia, os esclarecimentos posteriores fornecidos pela empresa (cf.

SONY, 2011) deixaram claro que todos os dados estavam protegidos, tanto do ponto de vista

informacional quanto infraestrutural.

Alguns especialistas em segurança, como o hacker americano George Hotz2, culpam a

Sony por sua soberba corporativa. Acredita ele que a guerra declarada contra os hackers só

fizeram com que o prejuízo à empresa fosse maior. A maior crítica de Hotz é feita aos

executivos da empresa, que preferiram investir mais em advogados para combater os hackers

judicialmente do que investir na contratação de especialistas em segurança (INFO, 2011).

2 George Hotz, ou GeoHot, 21, é um dos hackers mais conhecidos no mundo hoje. Ele foi responsável pela

quebra de segurança no desbloqueio do aparelho iPhone e, posteriormente, também pelo Playstation 3.

8

4 ANÁLISE DO PROBLEMA SOB A ÓTICA DA SEGURANÇA

Antes de começar a análise, é importante ressaltar que este trabalho está considerando

a segurança do ponto de vista da computação, ou seja, está considerando como as informações

e os dados podem ser protegidos segundo os pilares básicos da segurança da informação3: a

confidencialidade, a integridade e a disponibilidade.

4.1 Sobre os objetivos da segurança

É possível analisar o caso da Sony-PSN se os principais objetivos da segurança forem

considerados. Alguns desses objetivos que merecem destaque são: a manutenção da

continuidade dos negócios da empresa, a minimização de perdas financeiras e a preservação

de dados importantes.

Segundo Info (2011b), a Sony gera 500 milhões de dólares anualmente em sua receita.

Embora a companhia não tenha divulgado, não é difícil imaginar que boa parte dessa receita

será perdida com o vazamento das informações. A falha técnica na segurança, portanto, feriu

um dos objetivos principais da segurança da informação, que é a minimização de capital.

Como resultado tem-se, também, a desconfiança dos usuários no que se refere à perda de suas

informações e como elas poderão ser usadas. Outro ponto é a questão judicial que pode afetar

a empresa; alguns dias após o ocorrido, alguns jogadores e associações processaram a

empresa pelo roubo dos dados.

O roubo das informações dos jogadores é, provavelmente, o ponto mais importante de

todo o caso sob os olhares da segurança da informação. Na modelagem de ameaças, essa

fraqueza estaria qualificada minimamente como divulgação não-autorizada, mas com altos

dano potencial e quantidade de usuários afetados. Como resultado, obteve-se, ainda, a

negação do serviço a uma quantidade maior de usuários, gerando, por conseguinte, alto dano

potencial.

Em suma, a imprensa não exagerou ao dizer que o caso foi um dos mais alarmantes da

história da internet. A enorme quantidade de usuários afetados – principais responsáveis pela

existência do serviço – deixou claro que havia muitas falhas na segurança do sistema da rede

PSN. Embora não seja possível analisar mais profundamente a estrutura de segurança da rede,

3 Por segurança da informação entende-se a proteção da informação e sistemas de informação contra acesso,

uso, divulgação, modificação, destruição e interrupção não autorizadas.

9

já que não é divulgada, pode-se, todavia, ponderar o ataque conforme as suas consequências,

como foi apresentado ao longo deste trabalho.

Por fim, vale dizer que a falta de processos que garantam a segurança ou a má

aplicação deles levou a Sony a perder não somente muito lucro, mas também seus muitos

clientes, sobretudo na questão confiabilidade. Certamente a empresa verificará a ocorrência e

se anteverá a novos atos maliciosos. O mesmo se dará com outras empresas.

10

REFERÊNCIAS

G1, 2011. Sony confirma que ataque à PSN também afetou outros servidores. Disponível

em: <http://g1.globo.com/tecnologia/noticia/2011/05/sony-confirma-que-ataque-psn-tambem-

afetou-outros-servidores.html>

INFO, 2011a. Anonymous anunciam ataques contra a Sony. Disponível em:

<http://info.abril.com.br/noticias/seguranca/anonymous-anunciam-ataques-contra-a-sony-

05042011-21.shl>

INFO, 2011b. Dados de 77 mi de contas PSN foram expostos. Disponível em:

<http://info.abril.com.br/noticias/seguranca/dados-de-77-mi-de-contas-psn-foram-expostos-

28042011-17.shl>

INFO, 2011c. Hacker GeoHot fala sobre ataques à PSN. Disponível em:

<http://info.abril.com.br/noticias/seguranca/hacker-geohot-fala-sobre-ataques-a-psn-

30042011-14.shl>

INFO, 2011d. Invasão tira PSN do ar, diz Sony. Disponível em:

<http://info.abril.com.br/noticias/tecnologia-pessoal/invasao-tira-psn-do-ar-diz-sony-

23042011-3.shl>

INFO, 2011e. PSN volta a funcionar nesta semana, diz Sony. Disponível em:

<http://info.abril.com.br/noticias/seguranca/psn-volta-a-funcionar-nesta-semana-diz-sony-

01052011-2.shl>

INFO, 2011f. Sony deve reativar PSN dia 4 de maio. Disponível em:

<http://info.abril.com.br/noticias/tecnologia-pessoal/sony-deve-reativar-psn-dia-4-de-maio-

28042011-30.shl>

PLAYSTATION, Blog, 2011a. Update on Playstation Network and Qriocity. Disponível

em: <http://blog.us.playstation.com/2011/04/26/update-on-playstation-network-and-

qriocity/>.

PLAYSTATION, Blog, 2011b. Playstation Newtwork and Qriocity outage FAQ.

Disponível em: <http://blog.eu.playstation.com/2011/04/28/playstation-network-and-qriocity-

outage-faq/>.

PLAYSTATION, 2011c. PS3 Features Network. Disponível em:

<http://us.playstation.com/ps3/features/ps3featuresnetwork.html>.

PLAYSTATION, 2011d. What is the PlayStation®Network?. Disponível em:

<http://us.playstation.com/support/answer/index.htm?a_id=925>.

WIKIPEDIA, 2011a. PSN. Disponível em: <http://en.wikipedia.org/wiki/PSN>.

WIKIPEDIA, 2011b. Qriocity. Disponível em: <http://en.wikipedia.org/wiki/Qriocity>.