Tweet
Hackers podem ter causado apagão, diz especialista
Nesta quinta-feira (12), vários usuários do Twitter espalharam um texto que afirma que o motivo do apagão desta última terça-feira (10) poderia ter sido causado por ataque de hackers. Segundo Maycon Vitali, autor do Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar..., uma brecha de segurança no sistema da ONS seria facilmente acessada e poderia ter sido utilizada por cibercriminosos para acessar aplicativos. A empresa que fornece a solução de segurança nega e diz que a teoria conspiratória "não faz sentido algum".
Uma semana antes do blecaute desta semana, o programa 60 Minutes, da rede CBS, citou fontes anônimas afirmando que o apagão de dois dias no Espírito Santo foi provocado por hackers que atacaram a companhia que controla o sistema de energia. Segundo a rede, hackers também teriam sido responsáveis por outro pequeno apagão no Rio de Janeiro em janeiro de 2005. Funcionários do governo negaram a informação e a Furnas Centrais Elétricas disse ao site Wired na segunda-feira que não tem conhecimento de que hackers agiram em seu sistema de transmissão.
Vitali, pesquisador de segurança independente que também é professor de extensão tecnológica no centro universitário Vila Velha, no Espírito Santo, diz que é improvável ter sido apenas coincidência um apagão ter ocorrido menos de uma semana depois, com as causas informadas ainda questionáveis.
Injeção SQL
O especialista demonstrou em seu blog Hack´n Roll uma falha no site do ONS (Operador Nacional do Sistema Elétrico), que permitiria entrar, sem autenticação, em endereços do SACT (sistemas de administração de contratos de transmissão). "Conseguimos chegar a uma tela de login que representa (...) o Operador Nacional do Sistema Elétrico. Pensei que a partir de então o processo seria mais difícil, porém mais uma vez fiquei surpreso com a incompetência do governo", afirmou no post do blog.
Segundo Vitali, foi constatado a presença de uma falha de segurança, uma injeção SQL, que permite colocar um código no banco de dados e criar comandos para ter acesso ao site. "A partir deste passo ficaria extremamente fácil para qualquer pessoa com conhecimento intermediário de SQL Injection invadir o Operador Nacional do Sistema Elétrico", disse.
Em entrevista para o eBand, Maycon disse não ter tentado nada do gênero, mas afirmou que seria possível ter acesso a um terminal em Itaipu ou de Furnas, "principalmente por parecer que não existe qualquer auditoria de segurança". "Não acredito e nem confirmo que [o apagão] foi um ataque. Só sei que foi muita coincidência o ex-hacker Kevin Poulsen ter falado que o sistema elétrico do país pode ser alvo de hackers e, em uma semana, ocorrer um apagão de tal magnitude. Fico imaginando quantas pessoas tentaram invadir o sistema só sabendo da possibilidade", disse, ressaltando que não chegou a entrar no sistema, pois "estaria muito encrencado". "Mas foi bem notável que a porta estava aberta".
Ele disse ainda estar apreensivo em pensar que poderia facilitar muito uma possível invasão. "Acho importante o governo se preocupar com a segurança nacional. Eu fiz isso apenas como teste, e não tive qualquer intenção de prejudicar, por isso não avancei no ataque. Acho que é muito mais válido achar agora e consertar do que ´acharem´ a falha em alguma situação crítica", concluiu.
Níveis de segurança
Para acessar o sistema da ONS, o hacker teria necessariamente de passar por uma ferramenta da empresa de virtualização Citrix para Windows - que, no site da ONS, encontrava-se em uma antiga versão, desatualizada. No entanto, Kurt Roemer, chefe estrategista de segurança da Citrix Systems nos Estados Unidos, afirma que a injeção SQL só poderia afetar o site, mas não os aplicativos internos. Mesmo que as informações da conta e da senha de um usuário fossem obtidas de alguma forma, o invasor "teria que ter acesso a uma espécie de token ou algum sistema de segurança biométrica", contou, citando níveis de segurança mais elevados e privados.
Roemer foi enfático ao dizer que a empresa sempre aconselha a atualizar as soluções de segurança de acordo com as normas. "Se ainda assim alguém tivesse acesso, haveria firewalls para separar as áreas críticas", afirma. Além disso, "funcionários deveriam ter aprovação superior para ligar ou desligar algo", conclui.
Procurada pela reportagem, a ONS não se pronunciou sobre o assunto. Segundo o Grupo de Eletricidade Atmosférica do Inpe (Instituto Nacional de Pesquisas), técnicos constataram que nenhuma descarga elétrica tinha atingido as linhas de transmissão de Itaipu, contrariando a versão do Governo. Especialistas concordam e afirmam que condições meteorológicas não justificam o blecaute.
Fonte:
Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar...
Equilibrio
Comment