Análise do ataque à segurança da PSN

1,359 views

Published on

Análise do ataque à segurança da PSN. Trabalho apresentado ao Centro Universitário da FEI.

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
1,359
On SlideShare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
20
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Análise do ataque à segurança da PSN

  1. 1. CENTRO UNIVERSITÁRIO DA FEI ORLANDO DA SILVA JUNIORANÁLISE DO ATAQUE À SEGURANÇA DA PLAYSTATION NETWORK São Bernardo do Campo 2011
  2. 2. ORLANDO DA SILVA JUNIORANÁLISE DO ATAQUE À SEGURANÇA DA PLAYSTATION NETWORK Trabalho apresentado ao Centro Universitário da FEI como parte para a aprovação no curso de Segurança no Desenvolvimento de Software, ministrado pelo Prof. Msc. Ricardo de Carvalho Destro. São Bernardo do Campo 2011
  3. 3. SUMÁRIO1 INTRODUÇÃO ..................................................................................................................... 42 PLAYSTATION NETWORK .............................................................................................. 52.1 Funcionamento da PSN ........................................................................................................ 53 O PROBLEMA NA REDE DE JOGOS DA PLAYSTATION ........................................ 74 ANÁLISE DO PROBLEMA SOB A ÓTICA DA SEGURANÇA .................................... 84.1 Sobre os objetivos da segurança ........................................................................................... 8REFERÊNCIAS ..................................................................................................................... 10
  4. 4. 41 INTRODUÇÃO No mês de abril deste ano, a rede de jogos online da Sony – a Playstation Network – foi atacada por hackers. Conforme percebido pelos próprios usuários da rede, o ataque tornou indisponível o serviço de acesso à rede. Segundo a própria Sony (PLAYSTATION, 2011), a invasão ilegal impactou a capacidade do usuário em desfrutar dos serviços prestados pela Playstation Network e pelo Qriocity1. Pouco tempo após o ocorrido, a empresa torna indisponível o acesso a esses dois serviços e notifica todos os 77 milhões de usuários registrados na rede através de seus aparelhos. O caso repercutiu o planeta inteiro e deixou uma imagem negativa da empresa aos clientes no mundo todo. Este trabalho tem por objetivo analisar o ataque à Playstation Network do ponto de vista da segurança da informação. Como método, este trabalho realiza a comparação dos cenários de segurança de ataque e defesa e os analisa segundo os objetivos da segurança da informação. 1 Qriocity é um serviço que realiza a transmissão de músicas, jogos, e-books e vídeos sob demanda (WIKIPEDIA, 2011b).
  5. 5. 52 PLAYSTATION NETWORK Playstation Network (PSN) é o nome da rede de serviços online de entretenimento da família de console de jogos Playstation. A rede foi anunciada em 2006 pela Sony Computer Entertainment para ser utilizada a partir da terceira edição da console da companhia, a qual seria lançada no mesmo ano. Desde o seu lançamento, a PSN já contabilizou a marca de mais de 77 milhões de contas registradas (PLAYSTATION, 2011), o que significa que mais de 50 milhões de pessoas em todo o planeta são usuárias dessa plataforma de serviços de entretenimento digital.2.1 Funcionamento da PSN A PSN é considerada um dos muitos serviços oferecidos para os usuários de Playstation 3 (PS3) e Playstation Portable (PSP). Esse serviço é visto pelos usuários como o mais importante entre todos os serviços disponibilizados pela Sony, uma vez que sustenta muitos dos demais serviços e é a principal responsável pela fonte de todos os divertimentos. Segundo a própria companhia (PLAYSTATION, 2011), a utilização de uma PSN modifica o sistema PS3, tornando-o mais que uma console de videogames, como era próprio de suas versões anteriores. Com a PSN, a console PS3 se transforma em uma máquina de entretenimentos, permitindo acesso e download a centenas de jogos gratuitos e pagos, complementos para o videogame, filmes e shows exclusivos, tudo disposto aos usuários cadastrados na rede. Posteriormente, plataformas de outras consoles, como o Xbox, da americana Microsoft, e o Wii, da também japonesa Nintendo, seguiram o mesmo exemplo. O funcionamento da PSN é baseado no acesso à internet, seja por uma conexão Wi-Fi, seja por uma conexão realizada através da porta de rede do aparelho PS3. O usuário cadastrado, então, após estar conectado à rede, conquista acesso à “maquina de entretenimentos” citada anteriormente. Nessa plataforma, a Sony releva (ibidem) três serviços essenciais que constituem a rede como um todo:  Plataforma de jogos online: realiza a conexão com outros jogadores que têm também acesso à rede, permitindo maior interação entre as pessoas. Neste serviço considera-se também a possibilidade de competições, conforme o jogo desejado, através do identificador único global presente em cada conta da rede;
  6. 6. 6  Plataforma de comunicação: provê, sobretudo, conversação aos usuários da rede. Possibilita os usuários de se comunicarem em tempo real por voz ou vídeo, além de atualizar o status do Facebook em caso de conquista de novos troféus;  Playstation Store: permite a compra e o download de jogos clássicos do Playstation One (PS One) e dos últimos lançamentos para o PS3 e o PSP. A integração desses serviços constitui a rede PSN. Sendo possível que cada um delesseja utilizado de modo independente a outro serviço, ou seja, que algum desses serviços torne-se completamente obsoleto nas mãos de um usuário em específico, o poder da máquinapermanece inalterado.
  7. 7. 73 O PROBLEMA NA REDE DE JOGOS DA PLAYSTATION Entre os dias 16 e 19 de abril deste ano, mais de 77 milhões de contas de usuários foram prejudicadas da rede de jogos PSN da multinacional japonesa Sony. Muitos consideram essa perda como uma das maiores violações de segurança já ocorridas desde a popularização da internet (INFO, 2011). No mesmo dia, após descobrir a violação, a empresa efetuou a suspensão dos serviços da rede PSN bem como do Qriocity. Na visão dos jogadores e usuários da rede, a paralização dos serviços – que resultou na incapacidade do usufruto do entretenimento online por parte desses mesmos jogadores – foi a maior perda. Exatamente uma semana após o ocorrido, a empresa notificou, em seu blog oficial na internet, o fato ocorrido, dando explicações aos usuários sobre o ataque e o desligamento dos servidores de jogos. Segundo G1 (2011), dados de mais de 12 mil cartões de créditos foram roubados com a invasão. Todavia, os esclarecimentos posteriores fornecidos pela empresa (cf. SONY, 2011) deixaram claro que todos os dados estavam protegidos, tanto do ponto de vista informacional quanto infraestrutural. Alguns especialistas em segurança, como o hacker americano George Hotz 2, culpam a Sony por sua soberba corporativa. Acredita ele que a guerra declarada contra os hackers só fizeram com que o prejuízo à empresa fosse maior. A maior crítica de Hotz é feita aos executivos da empresa, que preferiram investir mais em advogados para combater os hackers judicialmente do que investir na contratação de especialistas em segurança (INFO, 2011). 2 George Hotz, ou GeoHot, 21, é um dos hackers mais conhecidos no mundo hoje. Ele foi responsável pela quebra de segurança no desbloqueio do aparelho iPhone e, posteriormente, também pelo Playstation 3.
  8. 8. 84 ANÁLISE DO PROBLEMA SOB A ÓTICA DA SEGURANÇA Antes de começar a análise, é importante ressaltar que este trabalho está considerando a segurança do ponto de vista da computação, ou seja, está considerando como as informações e os dados podem ser protegidos segundo os pilares básicos da segurança da informação3: a confidencialidade, a integridade e a disponibilidade.4.1 Sobre os objetivos da segurança É possível analisar o caso da Sony-PSN se os principais objetivos da segurança forem considerados. Alguns desses objetivos que merecem destaque são: a manutenção da continuidade dos negócios da empresa, a minimização de perdas financeiras e a preservação de dados importantes. Segundo Info (2011b), a Sony gera 500 milhões de dólares anualmente em sua receita. Embora a companhia não tenha divulgado, não é difícil imaginar que boa parte dessa receita será perdida com o vazamento das informações. A falha técnica na segurança, portanto, feriu um dos objetivos principais da segurança da informação, que é a minimização de capital. Como resultado tem-se, também, a desconfiança dos usuários no que se refere à perda de suas informações e como elas poderão ser usadas. Outro ponto é a questão judicial que pode afetar a empresa; alguns dias após o ocorrido, alguns jogadores e associações processaram a empresa pelo roubo dos dados. O roubo das informações dos jogadores é, provavelmente, o ponto mais importante de todo o caso sob os olhares da segurança da informação. Na modelagem de ameaças, essa fraqueza estaria qualificada minimamente como divulgação não-autorizada, mas com altos dano potencial e quantidade de usuários afetados. Como resultado, obteve-se, ainda, a negação do serviço a uma quantidade maior de usuários, gerando, por conseguinte, alto dano potencial. Em suma, a imprensa não exagerou ao dizer que o caso foi um dos mais alarmantes da história da internet. A enorme quantidade de usuários afetados – principais responsáveis pela existência do serviço – deixou claro que havia muitas falhas na segurança do sistema da rede PSN. Embora não seja possível analisar mais profundamente a estrutura de segurança da rede, 3 Por segurança da informação entende-se a proteção da informação e sistemas de informação contra acesso, uso, divulgação, modificação, destruição e interrupção não autorizadas.
  9. 9. 9já que não é divulgada, pode-se, todavia, ponderar o ataque conforme as suas consequências,como foi apresentado ao longo deste trabalho. Por fim, vale dizer que a falta de processos que garantam a segurança ou a máaplicação deles levou a Sony a perder não somente muito lucro, mas também seus muitosclientes, sobretudo na questão confiabilidade. Certamente a empresa verificará a ocorrência ese anteverá a novos atos maliciosos. O mesmo se dará com outras empresas.
  10. 10. 10 REFERÊNCIASG1, 2011. Sony confirma que ataque à PSN também afetou outros servidores. Disponívelem: <http://g1.globo.com/tecnologia/noticia/2011/05/sony-confirma-que-ataque-psn-tambem-afetou-outros-servidores.html>INFO, 2011a. Anonymous anunciam ataques contra a Sony. Disponível em:<http://info.abril.com.br/noticias/seguranca/anonymous-anunciam-ataques-contra-a-sony-05042011-21.shl>INFO, 2011b. Dados de 77 mi de contas PSN foram expostos. Disponível em:<http://info.abril.com.br/noticias/seguranca/dados-de-77-mi-de-contas-psn-foram-expostos-28042011-17.shl>INFO, 2011c. Hacker GeoHot fala sobre ataques à PSN. Disponível em:<http://info.abril.com.br/noticias/seguranca/hacker-geohot-fala-sobre-ataques-a-psn-30042011-14.shl>INFO, 2011d. Invasão tira PSN do ar, diz Sony. Disponível em:<http://info.abril.com.br/noticias/tecnologia-pessoal/invasao-tira-psn-do-ar-diz-sony-23042011-3.shl>INFO, 2011e. PSN volta a funcionar nesta semana, diz Sony. Disponível em:<http://info.abril.com.br/noticias/seguranca/psn-volta-a-funcionar-nesta-semana-diz-sony-01052011-2.shl>INFO, 2011f. Sony deve reativar PSN dia 4 de maio. Disponível em:<http://info.abril.com.br/noticias/tecnologia-pessoal/sony-deve-reativar-psn-dia-4-de-maio-28042011-30.shl>PLAYSTATION, Blog, 2011a. Update on Playstation Network and Qriocity. Disponívelem: <http://blog.us.playstation.com/2011/04/26/update-on-playstation-network-and-qriocity/>.PLAYSTATION, Blog, 2011b. Playstation Newtwork and Qriocity outage FAQ.Disponível em: <http://blog.eu.playstation.com/2011/04/28/playstation-network-and-qriocity-outage-faq/>.PLAYSTATION, 2011c. PS3 Features Network. Disponível em:<http://us.playstation.com/ps3/features/ps3featuresnetwork.html>.PLAYSTATION, 2011d. What is the PlayStation®Network?. Disponível em:<http://us.playstation.com/support/answer/index.htm?a_id=925>.WIKIPEDIA, 2011a. PSN. Disponível em: <http://en.wikipedia.org/wiki/PSN>.WIKIPEDIA, 2011b. Qriocity. Disponível em: <http://en.wikipedia.org/wiki/Qriocity>.

×