Salve galera do Sussuworld! Sony não tinha um chefe de segurança da informação.Em um ambiente ideal, serviços não são desligados. Palavras de especialistas ligados ao site de notícias www.g1.com Vamos direto a matéria.O caso de invasão da PSN, da Sony, que expôs 77 milhões de contas de usuários e que depois se estendeu para serviços de MMO da companhia, que pode ter totalizado 101 milhões de registros vazados, extrapolou a esfera dos jogos para se tornar um caso a ser estudado na área de segurança da informação.
Especialmente, o fato de que a empresa teve que desligar seu serviços mostra que não havia um plano para manter o serviço no ar no caso de problemas.
Especialmente, o fato de que a empresa teve que desligar seu serviços mostra que não havia um plano para manter o serviço no ar no caso de problemas.
Se você tem alguma dúvida sobre segurança da informação (antivírus, invasões, cibercrime, roubo de dados, etc), vá até o fim da reportagem e utilize a seção de comentários. A coluna responde perguntas deixadas por leitores todas as quartas-feiras.
“Isto é o famoso 'tira do ar enquanto descobrimos o que aconteceu e como vamos resolver'. Este é um típico comportamento de organizações que não estão preparadas para responder um incidente”, afirma o especialista em segurança Wagner Elias. De fato, até o problema acontecer, a Sony não possuía um executivo com o título de CISO – Chefe de Segurança da Informação, algo difícil de acreditar em uma organização com 160 mil funcionários, mas que só veio à tona quando a empresa afirmou que estaria criando o cargo como uma das medidas para reduzir as chances de novas invasões.
Na prática, isso significa que não havia ninguém entre os diretores de tecnologia da empresa capacitado para pensar recursos e produtos de uma maneira segura. Não que a empresa não tivesse profissionais de segurança – apenas era muito difícil que eles tivessem voz, já que não tinham uma representação executiva.
“No momento da concepção a análise dos riscos deve-se considerar quais dados eu preciso armazenar e de acordo com o tipo de dado eu tenho que ter o tratamento adequado”, explica Elias. “Não é normal que toda invasão leve ao comprometimento dos dados”.
O especialista cita tecnologias como hashing (que a Sony usou) e salt (que não se sabe se foi utilizada) que dificultam a obtenção de senhas, por exemplo. No caso dos cartões de crédito, Elias acredita que o melhor é não armazená-los e, se isso for necessário, a segurança deve ser adequada. No entanto, a Sony confirmou que pelo menos 12,7 mil cartões armazenados pela Sony Online Entertainment (SOE) foram roubados, e não se sabe sobre a segurança dos cartões de usuários da PSN.
O especialista Anchises de Paula, da Verisign, lembra que há exemplos recentes de casos em que empresas foram comprometidas e ficaram no ar, como a do Google, em 2010. Na ocasião, o Google disse ter sido alvo de hackers chineses, que entraram em seus sistemas, roubaram códigos e tiveram acessos a contas de Gmail de dissidentes. “Nem por isso o site do Google, o YouTube ou o Gmail foram desligados”, exemplifica.
O caso da Sony é, na verdade, o único que ocorreu recentemente e no qual a empresa teve que desligar completamente seus serviços por semanas para investigar o problema. Ambientes podem e devem ser “segregados” para que invasores tenham ações limitadas após a invasão.
Roubo de dados é a maior preocupação de profissionais de segurança
O caso da Sony não algo estranho; faz parte de uma tendência. A desenvolvedora de software Ashampoo sofreu invasão semelhante, o fórum sobre internet DSLReports também perdeu dados de usuários, e ainda há o caso da Epsilon, que vazou até dados sobre consumo de medicamentos – e esses são apenas casos recentes.
A companhia de segurança ESET consultou 3.200 profissionais de segurança da América Latina e descobriu que o valor dado à proteção de informações está crescendo e foi o mais citado pelos profissionais – 42,5%, passando até mesmo as preocupações com vírus, que ficaram em 35,36% e com o segundo lugar.
A empresa acredita que casos recentes de vazamento, bem como o Wikileaks, que foi amplamente divulgado em 2010, tem feito aumentar essa preocupação nas empresas e, portanto, nos profissionais.
A ESET ainda afirma que, em sua pesquisa, descobriu que apenas 40% das organizações possuem ferramentas capazes de detectar incidentes de segurança, como invasões. A ESET considerou esse valor baixo. As ferramentas mais usadas são antivírus, backup, firewall e anti-spam.
Diante dessa tendência, a preocupação com o dado deve criar questionamentos na indústria, segundo o especialista Sebastián Bortnik, que é coordenador de pesquisa da ESET na América Latina.
Diz o especialista: “A Sony declarou que considera o incidente extremamente sério, e nós, especialistas em segurança digital, também acreditamos nisso. Mais uma vez grandes empresas são vítimas de ataques que expõem a segurança e a privacidade dos usuários. Cabe a elas a pergunta: estamos cuidando bem dos dados de nossos usuários?”.
Carvalho: Como todos os "istas" podem ver, não é só o Sussuworld que está achando a Sony descuidada, é uma opinião comum a todos! Tomara que agora ela aprenda e que isso não se repita.
Confiram o resto depois do break
“Isto é o famoso 'tira do ar enquanto descobrimos o que aconteceu e como vamos resolver'. Este é um típico comportamento de organizações que não estão preparadas para responder um incidente”, afirma o especialista em segurança Wagner Elias. De fato, até o problema acontecer, a Sony não possuía um executivo com o título de CISO – Chefe de Segurança da Informação, algo difícil de acreditar em uma organização com 160 mil funcionários, mas que só veio à tona quando a empresa afirmou que estaria criando o cargo como uma das medidas para reduzir as chances de novas invasões.
Na prática, isso significa que não havia ninguém entre os diretores de tecnologia da empresa capacitado para pensar recursos e produtos de uma maneira segura. Não que a empresa não tivesse profissionais de segurança – apenas era muito difícil que eles tivessem voz, já que não tinham uma representação executiva.
“No momento da concepção a análise dos riscos deve-se considerar quais dados eu preciso armazenar e de acordo com o tipo de dado eu tenho que ter o tratamento adequado”, explica Elias. “Não é normal que toda invasão leve ao comprometimento dos dados”.
O especialista cita tecnologias como hashing (que a Sony usou) e salt (que não se sabe se foi utilizada) que dificultam a obtenção de senhas, por exemplo. No caso dos cartões de crédito, Elias acredita que o melhor é não armazená-los e, se isso for necessário, a segurança deve ser adequada. No entanto, a Sony confirmou que pelo menos 12,7 mil cartões armazenados pela Sony Online Entertainment (SOE) foram roubados, e não se sabe sobre a segurança dos cartões de usuários da PSN.
O especialista Anchises de Paula, da Verisign, lembra que há exemplos recentes de casos em que empresas foram comprometidas e ficaram no ar, como a do Google, em 2010. Na ocasião, o Google disse ter sido alvo de hackers chineses, que entraram em seus sistemas, roubaram códigos e tiveram acessos a contas de Gmail de dissidentes. “Nem por isso o site do Google, o YouTube ou o Gmail foram desligados”, exemplifica.
O caso da Sony é, na verdade, o único que ocorreu recentemente e no qual a empresa teve que desligar completamente seus serviços por semanas para investigar o problema. Ambientes podem e devem ser “segregados” para que invasores tenham ações limitadas após a invasão.
Roubo de dados é a maior preocupação de profissionais de segurança
O caso da Sony não algo estranho; faz parte de uma tendência. A desenvolvedora de software Ashampoo sofreu invasão semelhante, o fórum sobre internet DSLReports também perdeu dados de usuários, e ainda há o caso da Epsilon, que vazou até dados sobre consumo de medicamentos – e esses são apenas casos recentes.
A companhia de segurança ESET consultou 3.200 profissionais de segurança da América Latina e descobriu que o valor dado à proteção de informações está crescendo e foi o mais citado pelos profissionais – 42,5%, passando até mesmo as preocupações com vírus, que ficaram em 35,36% e com o segundo lugar.
A empresa acredita que casos recentes de vazamento, bem como o Wikileaks, que foi amplamente divulgado em 2010, tem feito aumentar essa preocupação nas empresas e, portanto, nos profissionais.
A ESET ainda afirma que, em sua pesquisa, descobriu que apenas 40% das organizações possuem ferramentas capazes de detectar incidentes de segurança, como invasões. A ESET considerou esse valor baixo. As ferramentas mais usadas são antivírus, backup, firewall e anti-spam.
Diante dessa tendência, a preocupação com o dado deve criar questionamentos na indústria, segundo o especialista Sebastián Bortnik, que é coordenador de pesquisa da ESET na América Latina.
Diz o especialista: “A Sony declarou que considera o incidente extremamente sério, e nós, especialistas em segurança digital, também acreditamos nisso. Mais uma vez grandes empresas são vítimas de ataques que expõem a segurança e a privacidade dos usuários. Cabe a elas a pergunta: estamos cuidando bem dos dados de nossos usuários?”.
Carvalho: Como todos os "istas" podem ver, não é só o Sussuworld que está achando a Sony descuidada, é uma opinião comum a todos! Tomara que agora ela aprenda e que isso não se repita.
10 comentários:
Caraca da pra ver o quão grande é a Sony , o pessoal tá preocupado ... imagino se MS fosse a baixo(não qro que isso aconteça) Ai teríamos suicídio em massa !
Joel Santanna: "Preysteixon Noti Uorki"
Sony prey veri bedí.
Cansei... Depois da notícia sobre a PSN voltar no dia 31 de Maio eu não abro mais a minha boca pra falar da Sony. A não ser que o problema se agrave, o que é praticamente impossível. Não tem mais pra onde descer, a não ser que comecem a cavar. Apesar das formalidades e pedidos de desculpa, só vejo descaso com o consumidor.
Eu acho q a PSN volta nessa ou na outra Terça-feira!!
Tiago_P
Ô Anakin descaso é pouco isto é total e completa falta de consideração c/ nós usuários da Playstation Network, na Live ficou realmente 17 dias mas nada deste jeito.
Anakin o fato da psn voltar ate dia 31 é o contrario de um descaso, pois a sony ta atrasando a volta da psn pra poder ter mais tempo pra tornar a rede mais segura, o que é algo muito mais importante do que o prazo pra ela voltar.
Será Hunk ou estão querendo que todos comecem a pagar pela psn se não for nesta geração de games pode ter certeza q na próxima nenhum sistema vai ser de graça não sei se vai ser bom ou péssimo p/ alguns gamers eu pagava a live tinha um XBOX 360 100% original tinha vários brasileiros mas depois q começou o banimento dos meus amigos eu o vendi e comprei um Playstation 3 no começo estranhei pra caramba a psn jogava (correção vou jogar ora se não até parece q nunca mais vou jogar) COD BO e travava sem parar até falei prus chegado meu esta psn sei não um dia ela para de vez não deu outra parecia até q a mesma não suportava vários usuários simultâneos na Live o jogo corria liso acho q digitei demais INTÉ MAIS
podemos dizer que essa foi a ironia do seculo 20 ja que quando eles produziram o video game, estvam pensando na segurança ant priataria.
ALEXANDRE _37 eles nao vao fazer com que paguem a psn, muito menos depois desse problema, ela perderia muitos fas, talvez na proxima geraçao com um ps4, mas esse nao é o assunto. e alem do mais o unico problema que eu tive foi no BO um dia antes da psn sair do ar, acredito que isso tenha sido porque a psn ja devia ter sido atacada a esse ponto, o que poderia interferir na jogatina online, que no caso eram lags os problemas, coisa que eu nunca tinha visto tanto antes, e acredito que quando voltarem com a psn tambem estarao com uma qualidade reforçada, alem de estar ciente que a sony ta bolando metodos de recompensar os jogadores.
Augusto Gomes R. seculo xx? tem certeza que vc nao faltou a algumas aulas importantes de historia?
Postar um comentário