Visite também: Currículo ·  Efetividade BR-Mac

O que é LinuxDownload LinuxApostila LinuxEnviar notícia

Invasão da PSN: Serviço da Sony usava Apache desatualizado, sem firewall

Gene Spafford, um dos pesos-pesados históricos da análise de segurança na Internet, foi convidado a testemunhar em uma investigação do Congresso dos EUA sobre o recente caso da invasão da PlayStation Network, que tirou o serviço do ar e colocou na mão de criminosos os dados pessoais (e possivelmente os dados de cartão de crédito) de milhões de usuários.

A situação descrita por Spafford é detalhada, mas vou resumir: é péssima. Servidor web Apache velho e sem aplicação de atualizações, exposto à Internet sem firewall – algo pouco tolerável em um empreendimento amador, mas completamente inaceitável nos servidores que contém os dados confidenciais pessoais e de crédito dos clientes da segunda mais popular rede de jogos on-line do mundo.

Para piorar, a situação descrita acima foi comunicada em fóruns monitorados por empregados da Sony, meses antes do ocorrido.

Que karma, hein, Sony? Se for demonstrada a conduta temerária e imprudente na gestão da privacidade de dados tão valiosos, não há dúvida de que os prejudicados irão buscar a reparação financeira dos danos causados pelo vazamento de informações confiadas à empresa. (via osnews.com)


• Publicado por Augusto Campos em 2011-05-06

Comentários dos leitores

Os comentários são responsabilidade de seus autores, e não são analisados ou aprovados pelo BR-Linux. Leia os Termos de uso do BR-Linux.

    Alexandre Arruda Paes (usuário não registrado) em 6/05/2011 às 8:48 am

    E assim, mais uma dúzia de estagiarios foi Empalada no mundo… :D

    Weber Jr . (usuário não registrado) em 6/05/2011 às 9:32 am

    Que bom que a notícia surgiu Antes que o FUD recorrente de dizer que Software Livre não é seguro e tralalá.

    Rafael F. Moreno (usuário não registrado) em 6/05/2011 às 9:38 am

    Augusto; sempre com seu bom humor ao escolher as imagens relacionadas…hahahahaha

    Guaracy Monteiro (usuário não registrado) em 6/05/2011 às 9:59 am

    E eles ainda dizem, sem a menor cerimônia:
    “Sony has been the victim of a very carefully planned, very professional, highly sophisticated criminal cyber attack,”

    Juan (usuário não registrado) em 6/05/2011 às 10:06 am

    Quer outro exemplo? A companhia de eletricidade do Ceará é parte de uma multinaiocnal e deixa acessíves os dados de todos os clientes. Basta mandar uma requisição HTTP GET (sem precisar se autenticar) e vc consegue a conta de qualquer pessoa física ou jurídica.

    Weber Jr . (usuário não registrado) em 6/05/2011 às 10:11 am

    Juan,

    Denuncia ao ministério público daí.

    Ou seria outro órgão? Não sei. Enviando para as grandes redes de imprensa deve ser mais eficaz, infelizmente.

    Marcio Carneiro (usuário não registrado) em 6/05/2011 às 10:12 am

    Nosso mercado de TI é lindo.
    Ao encher de grana os bolsos dos CEOs ou para contratar advogados caros para processar hackers fundo de quintal não falta verba. Agora, para contratar um bom técnico, cada centavo é pensado como custo e não investimento.

    Essa não é a primeira bola fora da Sony. Não podemos nos esquecer do calcanhar de aquiles que detonou toda super segurança anti pirataria do PS3. Basta ler o capitulo sobre RSA do livro do Scheinider. O primeiro ataque possível ao RSA é justamente a escolha de numero primo constante para gerar chaves.

    O que deve ter acontecido na sony é o mesmo que acontece em 9 de cada 10 empresas de TI. Quando se contrata o gerente, que mal sabe dividir tarefas, gasta-se rios de dinheiro. Mas na hora de contratar um programador, contrata-se o sobrinho, bem barato.

    Marcio Carneiro (usuário não registrado) em 6/05/2011 às 10:13 am

    Um adendo.

    quem que poderia ter sido um windows server com iis…

    Juan (usuário não registrado) em 6/05/2011 às 10:20 am

    @Weber Jr
    Já entrei em contato com a empresa e pedi que fosse consertado; estou esperando um mês para fazer a denúncia se continuarem com o sistema aberto. O mais engraçado era a menina do tele-atendimento: “para estar vendo a conta o senhor precisa estar logado…”, passei pra ela a URL e ela não conseguia escrever direito, no final, disse que ia passar “pro departamento de TI”.

    Marcaum54 (usuário não registrado) em 6/05/2011 às 10:24 am

    Realmente, coisa de amador…

    ubrals (usuário não registrado) em 6/05/2011 às 10:35 am

    HAHAHAHAHA MCDR!!

    LeoM (usuário não registrado) em 6/05/2011 às 10:46 am

    Apache? Realmente coisa de amador e que não tá nem aí pra segurança.

    Furanus Alheius (usuário não registrado) em 6/05/2011 às 10:50 am

    Plantão “Mãe Joana” informa, um tsunami de pedidos de indenização está por vir …

    psantos (usuário não registrado) em 6/05/2011 às 10:53 am

    Çeguirância? Eu agarantiu!!!

    Hell (usuário não registrado) em 6/05/2011 às 10:56 am

    @Alexandre Arruda Paes

    Nem sempre, muitas vezes são os próprios gerentes que preferem deixar como estar, algo do tipo: time que estar ganhando deixa do jeito que estar até quando explode uma bomba dessas.

    Ednei P. de Melo (usuário não registrado) em 6/05/2011 às 11:00 am

    Na boa: uma equipe de TI cometer tais erros (uso de softwares desatualizados e a ausência de firewall), mesmo que sejam as mais limitadas técnicamente, ainda assim está estranho demais para o meu gosto… &;-D

    André Moraes (usuário não registrado) em 6/05/2011 às 11:05 am

    @LeoM

    Se entendi bem, você disse que o Apache é um servidor inseguro, por natureza.

    Gostaria de saber qual a sua alternativa ao Apache.

    Até onde sei, um servidor web têm a obrigação de efetuar o parse de uma requisição HTTP e entregar para algum módulo ou outro servidor responsável por executar lógica.

    No caso da PS3 falar que é culpa do Apache e falta de firewall é fogo. Mesmo em caso de uma falha catastrófica os dados deveria estar seguros e protegidos no banco de dados e por uma forte camada de segurança nos servidores de aplicação.

    Acho que além de infraestrutura ruim, faltou na PS3 uma arquitetura segura. Provavelmente colocaram o servidor de banco com a senha padrão. :D

    tonyfrasouza (usuário não registrado) em 6/05/2011 às 11:09 am

    Será que depois desta e muitas outras, os administradores de verdades serão valorizados? O investimento em TI (meu CPD está uma me**a) quando pedido em ofício vai ser atendido? Não, não vai adiantar, pelo menos onde trabalho, tenho que se virar. E aí de dar algum problema mais sério… Dados são bem “backupeados”, mas o problema é a “vazão” de dados que não posso nem pensar, se acontecer…

    Daniel Gurgel (usuário não registrado) em 6/05/2011 às 11:53 am

    Ora, eles passam o tempo todo jogando, pq gastariam o preciso tempo pra preparar firewall, verificar politicas e updates?! É pedir demais ne! :-P eauheauhaehuaehuahehuuhaeruherahu

    Fellype (usuário não registrado) em 6/05/2011 às 12:04 pm

    Será que a Sony esqueceu de atualizar o Apache e de instalar um firewall por estar muito ocupada com o processo contra o GeoHot?

    Maikon (usuário não registrado) em 6/05/2011 às 12:16 pm

    Segundo a info o grupo Anonymous já se defendeu :

    Uma carta publicada pelo grupo hacker Anonymous afirma que a organização não está por trás do ataque ao PlayStation Network (PSN).

    Em reposta a acusação feita pela Sony, no documento, publicado ontem, o grupo declarou: “Se for feita uma investigação legítima e honesta, o Anonymous não será indiciado”. (…)

    http://info.abril.com.br/noticias/seguranca/anonymous-contesta-acusacoes-da-sony-05052011-44.shl

    bill (usuário não registrado) em 6/05/2011 às 1:17 pm

    ISSO é o que esse “ESPECIALISTA” se segurança alega.
    ta que nem mãe dina.. DEPOIS que acontece TODO MUNDO ACERTA!

    isso ta me cheirando a gente que quer audencia na desgraça dos outros.

    Bremm (usuário não registrado) em 6/05/2011 às 2:48 pm

    Vou comprar duas caixas de Chupa Chups, sendo que uma vou enviar para a Sony e outra para a Oracle, epigrafadas como sendo de “Telly Savalas”.

    Ironmaniaco (usuário não registrado) em 6/05/2011 às 3:11 pm

    Colocaram um alface, para tomar conta dos firewalls ¬¬

    fernandes (usuário não registrado) em 6/05/2011 às 3:19 pm

    É ISSO AI SONY, NUNCA ME ENGANEI SOBRE SUA COMPETENCIA DESDE O PRINCIPIO… TSC…

    c3ll (usuário não registrado) em 6/05/2011 às 5:54 pm

    nem sei em que mentira acreditar

    deixa ver ……..a mesma gigante empresa que cria tecnologias inovadoras , aparelhos de consumo , sistemas de segurança , medicina ,telecomunicaçoes usados no planeta inteiro e ate no espaço

    não faz manutenção a servidores usados por milhoes…………..e não usa firewall…………..pois…mais nada……….espero que continuem a mandar perolas destas

    e claro don’t buy ssssony

    Renato (usuário não registrado) em 7/05/2011 às 8:31 pm

    Não existe sistema perfeito! Se o seu sistema é perfeito então ele já está desatualizado!

    Tem até uma imagem que ilustra isso!

    Tem uma site de marca de jóias famosas ai que aceita sql injection! Meu amigo que me mostrou, ele fez na minha frente, e ali estavam, cartões de todas pessoas com $$ que compraram no site!

    Todo lugar tem uma falha, o problema é o tamanho da falha!

    E claro o maior dos problemas! “Pessoas” O que adianta um sistema com 10 firewall , isso e aquilo! Se a senha é admin/senha123 !

    Gustavo Melo (usuário não registrado) em 9/05/2011 às 12:11 am

    @Daniel Gurgel

    Não duvido NADA que seja algo assim mesmo !

    SN (usuário não registrado) em 9/05/2011 às 10:38 am

    Cloud computing fail

Este post é antigo (2011-05-06) e foi arquivado. O envio de novos comentários a este post já expirou.