Por que é importante criptografar seus dados e o que pode ser aprendido com o caso Sony

Se você não estava em uma caverna, provavelmente assistiu, leu ou ouviu sobre o
caso de cracking e vazamento de dados da Sony Pictures Entertainment, onde um
grupo de crackers (provavelmente norte-coreanos) invadiram os computadores dela
e obtiveram dados sigilosos como informações a respeito de futuros lançamentos
e conversas via e-mail de executivos da empresa.

Basicamente, estes criminosos estão ameaçando a empresa dizendo que vazarão
dados sigilosos dela ao mundo caso suas demandas não sejam atendidas, além de
tornar públicas informações como os salários de executivos da empresa, números
do seguro social de funcionários da empresa, incluindo celebridades.

Não vou falar muito sobre o caso em si porque uma simples busca fornece tudo
com detalhes a respeito do ataque, eu quero apenas aproveitar a ocasião para
perguntar: Será que dados sigilosos como esses estavam descriptografados?

Parece amadorismo

Eu posso estar enganado, mas eu sou livre para pensar: Acho que eles foram
amadores e deixavam tudo descriptografado
.

Conversando na lista do Área 31 Hackerspace, um colega fez as seguintes
perguntas:

  • Por que uma empresa bilionária usava certificados “self signed”
    vencidos desde 2012.
  • Por que uma empresa bilionária usava alguns certificados reais de empresas
    certificadoras que foram invadidas e os mesmos certificados estão revogados
    desde 2013 por causa das invasões.
  • Quem deu os nomes dos servidores e o range da rede?

Adotar o uso sistemático de criptografia poderia diminuir os prejuízos

Eu não conheço nada da infra-estrutura deles, mas mesmo com o meu modesto
jeito de ser eu arrisco a dizer que o simples e sistemático uso de OpenPGP
poderia ter evitado o estrago que essas invasões causaram, bem como eliminar
muitas das ameaças e chantagens que hoje a Sony Pictures está sofrendo,
sem falar no abalo do relacionamento entre os executivos da empresa com as
celebridades que eles atacavam sem dó nos e-mails que trocavam entre si.

Utilizar volumes criptografados para guardar as informações sigilosas também é
algo que poderia ser considerado para evitar vazamentos em caso de invasão.

Resumindo …

A falta de cuidado da Sony custará caro, que este caso fique como uma lição
aprendida e as empresas passem a levar a sério o uso da criptografia em seu
dia-a-dia, não apenas as empresas grandes, mas qualquer empresa hoje em dia
está sujeita a passar por situações complicados causadas pela incapacidade de
proteger suas informações.

Eu gostaria de saber sua opinião, deixe-a nos comentários.

Start the Discussion!

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.