Existe um fenômeno de internet chamado o “efeito Streisand”. Ele acontece quando uma pessoa ou empresa tenta suprimir informações e, ao fazer isso, as populariza involuntariamente. Leva o nome de Barbra Streisand devido ao fracassado processo movido pela artista em 2003 para tentar retirar fotos de sua casa em Malibu da internet – o que, naturalmente, fez com que as pessoas acorressem ao lugar fotografado.
No futuro, casos em que o feitiço que se volta contra o feiticeiro na esfera da cibersegurança poderão ser conhecidos como o “efeito Sony”. O conglomerado japonês ainda está às voltas com as consequências da invasão de hackers, em abril, de suas redes PlayStation e Sony Online Entertainment, usadas por cerca de 100 milhões de pessoas para jogar videogames, assistir a filmes e ouvir música online. O ataque resultou no segundo maior vazamento de dados da história dos Estados Unidos, expondo informações como números de cartão de crédito e obrigando a Sony a suspender as redes por tempo indeterminado – a companhia voltou a colocá-las no ar, gradativamente, nesta semana. Um inventário completo do desastre, tanto em dólares quanto em danos à marca PlayStation, vai levar meses, se não anos.
A Sony pode ter chamado a crise sobre si involuntariamente. Enquanto outras empresas de tecnologia se empenharam em estabelecer um inquieto armistício com os hackers, a Sony os hostilizou com denúncias e processos. Ao mesmo tempo, técnicos em segurança dizem que a Sony basicamente deixou a chave no carro, ao não proteger, ou mesmo monitorar devidamente, partes essenciais de sua infraestrutura de servidores (os computadores que administram os recursos das redes). “Eles parecem estar operando em um ambiente no qual ninguém avaliou de fato os riscos”, diz Eugene H. Spafford, professor de Ciência da Computação da Universidade Purdue que depôs em sessão de esclarecimentos de 4 de maio, no Congresso dos EUA, sobre o roubo de dados sofrido pela Sony.
Técnicas ilegais
O impulso para o ataque pode ter sido dado no início do ano, depois de uma rusga entre a Sony e um hacker de 21 anos chamado George “GeoHot” Hotz. Ele é um mito nos círculos de hackers por “desbloquear” o iPhone de primeira geração aos 17 anos, encontrando uma brecha entre as camadas de segurança da Apple e abrindo o aparelho para ser usado com qualquer operadora de celular. No ano passado, Hotz descobriu como “dar uma garibada” no console PlayStation, de modo a permitir que ele rodasse jogos “caseiros”, criados por amadores, e outros softwares ilícitos. Hotz publicou sua técnica em um diário online. A Sony o processou para que ele retirasse as lições do ar. O tribunal federal determinou a apreensão de seus computadores e de suas contas no Twitter e no PayPal, em 28 de janeiro.
“Tentar processar um membro com bons antecedentes para tirá-lo de circulação não foi nada bom para eles”, diz Dave Aitel, um hacker “infiltrado”, também conhecido como “hacker ético”, que ajuda as empresas a identificar pontos fracos na segurança. O Anonymous, o amorfo grupo de hackers que derrubou os sites da MasterCard e de outras processadoras de pagamentos em dezembro, prometeu retaliação.
O incidente com Hotz foi seguido, em fevereiro, por uma batida da polícia alemã no apartamento de Alexander Egorenkov, outro hacker que tinha distribuído software que permite que os consoles PlayStation rodem jogos caseiros. No ano passado, George “GeoHot” Hotz, de 21 anos, publicou na web técnicas ilegais relativas ao PlayStation.
O modus operandi
Outras empresas de tecnologia encontraram formas de canalizar a energia dos hackers sem recorrer a processos judiciais. A Microsoft, por exemplo, permite que hackers desbloqueiem seu Kinect, um sensor de movimentos usado em jogos, e convida alguns deles para seus seminários. O Google paga hackers infiltrados que ajudam a identificar problemas. A Sony é muito mais inflexível, diz Roert Vamosi, analista-sênior da empresa de segurança Mocana. “Fabricantes de equipamentos como a Sony simplesmente não são muito bons em ouvir quando um pesquisador em segurança lhes apresenta uma falha”, diz Vamosi.
A Sony encerrou com um acordo seu processo contra Hotz, em 31 de março, quando ele concordou em retirar as instruções sobre a invasão ao PlayStation. Naquela altura, alguém já estava testando a rede da Sony em busca de pontos frágeis. Bret McDanel, veterano pesquisador em segurança, diz que um programa que verifica sistematicamente as vulnerabilidades de uma rede começou a fazer a varredura da PlayStation Network, da Sony no dia 3 de março. McDanel sabe disso porque a Sony deixou um histórico de acesso de um de seus servidores, que grava toda a atividade realizada por uma máquina, completamente desprotegido na internet aberta. “Ter esses históricos em domínio público permite que um potencial agressor possa entender o sistema em profundidade”, diz ele. McDanel diz que os investigadores usaram um programa de prateleira, fácil de obter e não muito sorrateiro. Qualquer pessoa que acesse os históricos de acesso de um servidor conseguiria reconhecer suas marcas identificadoras e evitar a invasão, e a Sony foi “negligente” ao não fazer isso, diz ele.
Em 15 de abril, depois de seis semanas de varredura, o software parou de repente, mais provavelmente “porque achou o que procurava, uma vulnerabilidade na rede”, diz McDanel. Quatro dias depois, a Sony notou os primeiros sinais de uma invasão. Um porta-voz da empresa diz que a Sony foi vítima de um “ataque altamente sofisticado” e que a rede da empresa “tinha várias medidas de segurança em funcionamento”. Ninguém reivindicou a autoria do ataque, embora os executivos da Sony tenham dito ao Congresso dos EUA que encontraram um arquivo deixado pelos hackers onde se lê We are legion (“Somos legião”) – o slogan do grupo Anonymous.
Seja quem for o criminoso, a Sony agora tem bons motivos para se familiarizar com o modus operandi do “efeito Streisand”. Afinal, a companhia detém os direitos sobre as músicas de Streisand.
******
Da Bloomberg Businessweek