Não é nenhum segredo que a Sony é péssima em segurança digital. A Sony Pictures Entertainment, estúdio de cinema da empresa, foi recentemente atingida com o que pode acabar sendo a maior invasão corporativa na história. Não é a primeira vez que a Sony reivindicou esse título; e dado o histórico da empresa, esta provavelmente não será a última vez.
>>> As primeiras pistas de quem comandou o ataque à Sony Pictures
A infeliz série de desentendimentos entre Sony e hackers começa em 2005. Não só a empresa é ruim em se defender – seu departamento de TI toma decisões terríveis – como ela também parece especialista em atrair problemas.
“A Sony vem atraindo a ira dos hackers durante muito tempo, então era de se imaginar que eles soubessem que são um enorme alvo”, diz Chester Wisniewski, conselheiro sênior de segurança da Sophos, ao Gizmodo. “A Sony representa tudo do que eles não gostam.” Ele acrescenta: “Eu não estou justificando o que essas pessoas fizeram. Mas a Sony é meio que o alvo perfeito para elas.”
Os detalhes dos ataques cibernéticos às divisões da Sony revelam o que acontece quando a cultura hacker e valores corporativos colidem.
2005: Sony coloca DRM em CDs
A Sony já foi legal. Lembra-se do Walkman? Discman? Mas na última década, a empresa não conseguiu se adaptar, agarrando-se ao passado de formas que deram muito errado. O melhor exemplo disso é o infame escândalo da Sony BMG e seu rootkit para proteção contra cópia.
Em 2005, quando a indústria da música estava pirando sobre pessoas gravarem CDs sem pagar por eles, a divisão de música da Sony decidiu ser agressiva. A Sony BMG passou a incluir dois programas maliciosos para proteger seus CDs contra cópia. Os programas eram rootkits que modificavam o sistema operacional do seu computador para que você não pudesse copiar o CD.
O software também fazia outras coisas: por exemplo, enviava dados privados sobre seus hábitos musicais para os servidores da Sony. Ele rodava constantemente em segundo plano, sugando recursos do seu computador, e não havia nenhuma maneira fácil de desinstalá-lo. O pior de tudo: os rootkits deixavam seu computador mais vulnerável a ataques. Durante um período de dois anos, a Sony BMG vendeu cerca de 22 milhões de CDs que incluíam esse software.
O escândalo que se seguiu foi enorme, grande o suficiente para atrair a atenção do governo americano. Diversas ações judiciais acusaram a Sony de vender software mal-intencionado e violar direitos dos usuários. A Sony fez acordos extrajudiciais.
Sabe quem ficou irritado com essa confusão? A comunidade hacker. O escândalo do rootkit é sem dúvida o momento do Big Bang para os problemas de segurança cibernética da Sony. Os hackers não esquecem.
2010: George Hotz hackeia PlayStation 3
Os próximos anos foram relativamente calmos para a Sony, pelo menos em termos de incidentes de segurança cibernética. E então George Hotz, ou Geohot, um rapaz de 17 anos no ensino médio, anunciou que havia desbloqueado o PlayStation 3 – e liberou o código para o público. Isso permitiria rodar versões piratas de jogos, por exemplo.
A Sony não ficou feliz. A empresa lançou uma atualização de firmware para consertar a falha que permitia o desbloqueio. No entanto, outros hackers seguiram os passos de Hotz e conseguiram rodar até Linux no PS3. (O console foi inicialmente elogiado por sua capacidade de rodar Linux, mas a Sony removeu isso em 2010.) Em janeiro de 2011, Hotz liberou as chaves de root do console.
A Sony processou Hotz e uma série de outros hackers, acusando-os de vários crimes de fraude informática e violação de direitos autorais. A empresa até conseguiu a ordem de um juiz para desmascarar os endereços IP das pessoas que visitaram o site de Hotz.
Se há uma coisa que hackers odeiam mais do que empresas colocando software malicioso nos computadores de clientes, são empresas que vão atrás de seus amigos. Wisniewski, da Sophos, mencionou este incidente quando conversamos: “você tem todas essas pessoas libertárias com mentalidade hacker, e todas têm um motivo para odiar a Sony”.
Sony e Hotz resolveram o assunto fora dos tribunais: em abril de 2011, Hotz concordou em não mais invadir produtos da Sony. Aí a situação ficou feia.
Abril de 2011: Anonymous invade a PlayStation Network
No início de abril de 2011, enquanto a Sony ainda ameaçava enviar George Hotz para a prisão, o grupo Anonymous se mobilizou de forma maciça. O coletivo sem líderes lançou uma campanha para derrubar a PlayStation Network. O aviso original para a Sony era este:
Suas práticas corruptas de negócios indicam uma filosofia corporativa que nega aos consumidores o direito de usar produtos pelos quais eles pagaram e os quais eles justamente possuem, na forma que escolheram. Talvez vocês devam alertar seus clientes para o fato de que eles estão, aparentemente, apenas alugando seus produtos?
À luz desta violação aos direitos e à liberdade de expressão, o Anonymous – os soberanos notoriamente belos da internet – gostariam de informar que vocês só “alugaram” seus domínios web. Vocês pisotearam os direitos do Anonymous, e agora vocês serão pisoteados.
O Anonymous derrubou a PlayStation Network duas semanas após este aviso, e a rede permaneceu fora do ar por 23 dias. Durante esse tempo, o Anonymous também roubou os dados pessoais de cerca de 77 milhões de contas da PSN.
O ataque acabou custando à Sony pelo menos US$ 171 milhões. Os hackers deixaram clara a mensagem deles.
Maio a novembro de 2011: Abrem-se as comportas
Após a investida do Anonymous, a Sony foi absolutamente inundada por ataques. Pela contagem de uma empresa de segurança, foram 21 incidentes graves nos seis meses que se seguiram à queda inicial da PlayStation Network.
Talvez devido ao incidente do DRM, hackers atacaram a Sony BMG e outras empresas ligadas à música mais do que outros. Alguns desses ataques foram violações relativamente inofensivas em sites internacionais da Sony. Outros foram mais sérios, derrubando sites completamente.
E algumas das invasões que se seguiram foram historicamente devastadoras. Por exemplo, em junho de 2011, o LulzSec invadiu servidores da Sony Pictures e roubou informações pessoais, incluindo senhas e endereços residenciais de mais de um milhão de contas. Os hackers dizem que foi fácil encontrar os dados, que não estavam criptografados. Pois é: as senhas estavam armazenadas em texto simples. Isso soa familiar? É exatamente a mesma coisa que está acontecendo de novo.
Os ataques não pararam. Algumas pessoas achavam que era um trabalho interno: duas semanas antes do ataque à PSN, a Sony aparentemente demitiu muitas pessoas do departamento que deveria proteger a empresa de ciberataques. Parece mais provável, no entanto, que a empresa era apenas ruim em se proteger.
Por que a Sony?
As coisas se acalmaram para a Sony nos anos após a invasão da PlayStation Network, tanto que os problemas de segurança pareciam enfim resolvidos. O recente hack da Sony Pictures é a prova de que eles definitivamente não resolveram isso. Na verdade, isso talvez nunca aconteça.
Os problemas da Sony parecem ter duas causas principais. Primeiro, após uma década de tensões, a empresa é o saco de pancadas favorito da comunidade hacker. O DRM nos CDs, o incidente com Geohot; tudo isso foi visto como atitudes antagônicas para as quais a única resposta é o caos.
Em segundo lugar, suas práticas de cibersegurança não parecem ser nada boas. Por exemplo, em 2007, Jason Spaltro – na época diretor-executivo de segurança da informação – disse em entrevista que não se preocupava excessivamente em proteger a rede da Sony Pictures; por exemplo, ele não investiria US$ 10 milhões para se proteger de um possível prejuízo de US$ 1 milhão.
Em 2011, Wiesniewsky viu a guerra da Sony Pictures contra o LulzSec se desdobrando em tempo real, e disse que não conseguia acreditar em como a empresa reagiu mal. A empresa era invadida em um país, mas a Sony Pictures não mudava nada para proteger suas filiais em outros países. Depois de uma semana, hackers invadiam a empresa em outro país usando exatamente o mesmo ataque. “Os malfeitores conseguiam continuar os ataques porque a Sony Pictures não resolvia as falhas de segurança”, diz Wisniewski. “Foi bem espantoso.”
Desde então, Spaltro subiu de cargo e hoje é vice-presidente sênior de segurança da informação, ganhando US$ 300.000 por ano (mais US$ 100.000 de bônus). Ele comanda uma equipe de 11 pessoas na Sony Pictures, que tem mais de 7.000 funcionários. A empresa não respondeu aos nossos pedidos para comentar o assunto.
“Você não deve ser capaz de invadir parte de uma rede e obter acesso a tudo”, explica Wiesniewsky. Mas é exatamente isso que o grupo chamado Guardians of Peace (GOP) foi capaz de fazer. Eles deixaram toda a rede da Sony vulnerável aparentemente usando uma única brecha. Desde então, os hackers conseguiram acesso a tudo: filmes ainda não lançados, apresentações confidenciais, valores de salários, números de telefone, senhas e muito mais.
A Sony é hackeada porque hackers amam odiá-la, e porque a empresa facilita as invasões. E não parece que nada disso vai mudar em breve.
Imagens por Michael Hession/Shutterstock; Wesley Lelieveld/Flickr; Dekuwa/Flickr