Uma outra visão sobre o ataque ao Twitter
Este artigo é resposta à saudável provocação feita pelo René de Paula Jr - http://www.usina.com - sobre o ataque ao Twitter. O René ontem, via twitter (@renedepaula) enviou a seguinte mensagem:
@renedepaula o hacker quebrou a seguranca do Twitter porque os funcionarios usavam coisas web-based. a brecha de entrada: gmail http://bit.ly/oRG0g [0] 3:55 AM Jul 20th
O problema é que a culpa definitivamente não pode ser atribuída ao gmail nem às apps web-based, mas sim a uma combinação de fatores, como por exemplo:
- Nossos amigos do Twitter não têm lá uma boa cultura de segurança [1].
- O ataque foi realizado depois que o hacker conseguiu acessar contas pessoais de alguns membros do staff, basicamente porque eles utilizam senhas fracas. A coisa fedeu mesmo porque quando o cara entrou nas contas e constatou que nelas havia informações interessantes sobre o próprio twitter (senhas de acesso, apresentações, informações financeiras, estratégias entre outros dados). A partir daí, de posse das senhas de correio corporativo dos funcionários o castelo de cartas começou a desmoronar. O gmail foi o primeiro porque o twitter usa o gmail como e-mail corporativo. Uma vez que com certeza o pessoal usa e abusa das apis e outras coisas "labs" do gmail, não deve ter sido difícil acessar mais dados corporativos.
Eu faço um quote do artigo do TechCrunch que foi enviado pelo René aos seus seguidores para exemplificar melhor o meu ponto de vista:
The Twitter Attack: How The Ecosystem Failed
Like other successful attacks, Hacker Croll used the same combination of patience, sheer determination and somewhat elementary methods to gain access to a frightening number of accounts and services related to Twitter and Twitter employees. The list of services affected either directly, or indirectly, are some of the most popular web applications and services in use today - Gmail, Google Apps, GoDaddy, MobileMe, AT&T, Amazon, Hotmail, Paypal and iTunes . Taken individually, most of these services have reasonable security precautions against intrusion. But there are huge weaknesses when they are looked at together, as an ecosystem. Like dominoes, once one fell (Gmail was the first to go), the others all tumbled as well. The end result was chaos, and raises important questions about how private corporate and personal information is managed and secured in a time when the trend is towards more data, applications and entire user identities being hosted on the web and ‘in the cloud’.
http://www.techcrunch.com/2009/07/19/the-anatomy-of-the-twitter-attack/
Tudo começou por conta de alguém colocar uma senha óbvia. Se as senhas não fossem óbvias, o hacker não teria conseguido nada. Se não guardassem senhas no e-mail (prática mais comum do que você, caro leitor, pode imaginar), se não cometessem outros erros BÁSICOS no que tange à segurança da informação eu não estaria agora escrevendo este artigo. Concordo que o ecossistema ainda é frágil, as coisas andam muito rápido e sempre haverá brechas de segurança. O importante é aprender com os erros. Os caras da Apolo 11, assunto que está em alta, cometeram N erros, destruíram N foguetes antes de conseguirem com sucesso mandar o homem à Lua, e mesmo assim, vários pequenos "bugs" aconteceram na jornada. Recomendo assistir ao programa que está passando no Discovery Channel sobre o assunto.
Não devemos, de forma alguma abandonar as apps web-based e voltar a usar o Eudora [2]. Devemos sim, prestar atenção em como cuidamos de nossas senhas e dados online. Não é o retorno ao mundo de 10 anos atrás que vai nos fazer melhor.
[0] http://www.techcrunch.com/2009/07/19/the-anatomy-of-the-twitter-attack/
[1] http://voices.washingtonpost.com/securityfix/2009/03/twitter_security_h....
Banda Larga é um direito seu!
