A Verdade sobre o Apagão

[Silas Martins 0]

Na noite do dia 10/11/2009, por volta das 22h00, todos os grandes centros do Brasil se viram na escuridão. Dentre eles estão o estado de São Paulo e Rio de Janeiro, juntamente com outros 15 estados. Além dos afetados no Brasil, tivemos vizinhos estrangeiros.

 

Entre os responsáveis por isso, o mais dito, foi o fato de o incidente ter sido causado por uma tempestade de raios. Porém boa parte de história não foi contada.

 

Há uma semana, no jornal “60 minutes” do canal americano CBS, um ex-hacker black-hat, Kevin Poulsen, afirmou que o Brasil estaria sujeito a ataques de hackers em seu sistema elétrico e, como sempre, o governo brasileiro juntamente com o ministro de Minas e Energia, Edison Lobão, negam completamente a possibilidade. Porém, a verdade pode ser dura para todos os brasileiros.

 

Ao ver a possibilidade, procurei analisar se realmente seria possível adentrar no sistema de gerenciamento elétrico do país. Até então, não conhecia nada sobre o assunto, porém ao analisar algumas noticias, percebi que um dos principais órgãos a gerenciar a energia é o Operador Nacional do Sistema (ONS).

 

Dando uma googlada, pude facilmente encontrar a página do governo (www.ons.org.br) e, caminhando por alguns links, notei nada de importante. Foi então que pensei: “Se eles tivessem alguma coisa confidencial, não estariam na página. E se eles quisessem esconder de indexadores como Google?”. Aí que veio a primeira parte da surpresa.

 

Existe o arquivo robots.txt na raiz de alguns servidores que definem algumas regras para os indexadores. O grande problema é que muitos desenvolvedores utilizam esses arquivos para ‘esconder’ diretórios e arquivos de possíveis atacantes. Porém um atacante poderia facilmente descobrir tais diretórios simplesmente e acessar os arquivos, como segue:

 

http://www.ons.org.br/robots.txt

 

Ao acessar este arquivos, temos o seguinte conteúdo:

 

User-agent: * Disallow: /agentes/agentes.aspx

Disallow: /download/agentes/

 

 

Fiquei surpreso ao perceber que realmente tentaram utilizar tais recursos para proteger um diretório.

 

Acessando o primeiro dos endereços, sem qualquer autenticação podemos ter acesso ao endereço de todos os Sistemas Agentes da ONS, inclusive alguns com software para download e manual. Não conheço quaisquer destes sistemas, porém um deles me chamou a atenção quanto ao blecaute que ocorreu na ultima terça-feira, o Sistema de Administração de Contratos de Transmissão (SACT), que é acessível através do do endereço http://aplicleg.ons.org.br/intunica/, e pode ser visto abaixo:

 

 

Com isto, conseguimos chegar a uma tela de login que representa nada mais nada menos do que o Operador Nacional do Sistema Elétrico. Pensei que a partir de então o processo seria mais difícil, porém mais uma vez fiquei surpreso com a incompetência do governo.

 

Ao fazer o primeiro teste, que qualquer ferramenta de auditoria de segurança faria, obtive um grande susto. Ao colocar uma aspas simples no campo de usuário e senha pude detectar a mais grotesca das falhas Web, um SQL INJECTION, tendo como resultado o seguinte:

 

[IfxException: ERROR [HY000] [Informix .NET provider]General error.] IBM.Data.Informix.IfxConnection.HandleError(IntPtr hHandle, SQL_HANDLE hType, RETCODE retcode) +27 IBM.Data.Informix.IfxCommand.ExecuteReaderObject(CommandBehavior behavior, String method) +739 IBM.Data.Informix.IfxCommand.ExecuteReader(CommandBehavior behavior) +104 IBM.Data.Informix.IfxCommand.ExecuteReader() +48 OnsClasses.OnsData.OnsCommand.ExecuteReader() IntUnica.Menu.btnOk_Click(Object sender, ImageClickEventArgs e) System.Web.UI.WebControls.ImageButton.OnClick(ImageClickEventArgs e) +109 System.Web.UI.WebControls.ImageButton.System.Web.UI.IPostBackEventHandler.RaisePostBackEvent(String eventArgument) +69 System.Web.UI.Page.RaisePostBackEvent(IPostBackEventHandler sourceControl, String eventArgument) +18 System.Web.UI.Page.RaisePostBackEvent(NameValueCollection postData) +33 System.Web.UI.Page.ProcessRequestMain() +1292

Ou seja, além de ter encontrado uma falha de SQL Injection, já descobri de cara que o sistema funciona rodando um banco de dados IBM Informix. A partir deste passo ficaria extremamente fácil para qualquer pessoa com conhecimento intermediário de SQL Injection invadir o Operador Nacional do Sistema Elétrico.

 

É interessante ressaltar que não tenho qualquer ligação com o ocorrido no dia 11 de novembro de 2009, e que irei parar a divulgação neste ponto para não comprometer mais ainda o funcionamento do sistema (odeio escuro). Não estou afirmando que o ocorrido foi causado por um ataque hacker, porém se tivesse sido, é importante deixar bem visível que o mesmo aconteceria sem qualquer dificuldade.

 

Espero que este post abra os olhos do governo, para que não possamos sofrer danos maiores em situações mais críticas.

 

 

Fonte: Hack'n Roll

[Jackson Dias 68]

Que coisa não?!

[desisto 0]

amanha vou fazer um tutorial de como usar injection pra pilotar um aviao estilo 11 de setembro

[Silas Martins 0]

Pra te ser sincero em um país que tem o site do banco central com falhas estruturais, não me espantaria se alguém fizesse algo do tipo.

Mas claro o autor da noticia forçou um pouco a barra.

Porém a presença de falhas de segurança no site do Operador do sistema nacional de energia já é algo grave.

[desisto 0]

com certeza é grave... e sites de grande porte tem N vulnerabilidades

 

mas ser o causador do apagao ja é d+

 

 

 

 

quando comecei a ler o texto vi narrado em 1ª pessoa e pensei - 'o Silas foi tentar descobrir a origem da bagaça'

 

hehehe fiquei ate animado pra ver o resultado, mas depois vi que era outro autor

 

 

 

 

você é o que saca tudo de segurança...

 

 

 

 

nao creio que alguem em sã consciencia faria um sistema gestor de energia baseado em intranet

 

imagina, fazer o login no sistema e desligar a luz do país... surreal

[Silas Martins 0]

nao creio que alguem em sã consciencia faria um sistema gestor de energia baseado em intranet

Assim de energia não sei mais na COPASA (fornecedora de água potável para cidades de Minas) teve um cara ai que invadiu o sistema onde controlava a valvula de segurança resultado cidades inteiras sem água.

 

Ainda existem administrador que usam a senha BARNABAS e acha que ta seguro, e isso em grandes empresas, é algo vexaminoso mais acontece.

Qaunto uma interação intranet-web concordo com você é bem surreal.

[Motta 645]

Em geral a maior fragilidade na segurança de qualquer sistema está no fator humano.

 

Não descarto a hipótese de um ataque, computadores contralam tudo e um destes sistemas pode ter ficado exposto.

[David Ramires 1]

naquela tela de login coloca um <br/> no login, da erro! nem foi tratado!

[Mário Monteiro 179]

achei que foi forçado também

[Patrique 0]

Qualquer sistema tem suas falhas na segurança, o fórum mesmo esta com um gravissímo.

[Silas Martins 0]

É pra você ver o IPB tem problemas com ataques de exploit desde sua versão1.0 e até hoje nada foi feito.

Eu nem preciso ensinar nada basta um bobão digitar "ipb remote exploit" no google e vai acha um monte, Ai te pergunto eu sei disso e o pessoal da IPS faz de conta que não vê.

 

 

 

Citação de uma frase inteligente: "Nas leis brasileiras você não é invasor quando o sistema te deixa entrar."

[RafaelSonyLock 18]

É pra você ver o IPB tem problemas com ataques de exploit desde sua versão1.0 e até hoje nada foi feito.

Eu nem preciso ensinar nada basta um bobão digitar "ipb remote exploit" no google e vai acha um monte, Ai te pergunto eu sei disso e o pessoal da IPS faz de conta que não vê.

 

 

 

Citação de uma frase inteligente: "Nas leis brasileiras você não é invasor quando o sistema te deixa entrar."

 

Não sabia disso, é sério !

 

oOoOoOOOooo !

[RafaelSonyLock 18]

Órgão é responsável por coordenar a estrutura que faz geração e transmissão de energia elétrica no País; blecaute atingiu 18 Estados no Brasil.

 

Na mesma semana em que um apagão atingiu 18 Estados no Brasil, um blogueiro descobriu e relatou uma falha de segurança no site do Operador Nacional do Sistema (ONS), responsável por coordenar a estrutura que faz a geração e transmissão de energia elétrica no País. A falha já foi corrigida pelo órgão.

 

Na quinta-feira (12/11), Maycon Vitali relatou no blog Hack´n Roll sua experiência ao acessar o site da ONS e descobrir que um ataque do tipo "SQL injection" poderia ser feito a partir da tela de autenticação do Sistema de Administração de Contratos de Transmissão (SACT).

 

"Procurei algo que ligasse o site a uma tentativa de ataque e vi um sistema de controle. Percebi que havia um link para administração de contratos de transmissão, com necessidade de login e senha. Coloquei aspas simples no campo e deu crash para mim", relata Vitali.

 

Um ataque do tipo "SQL injection" permite que usuários maliciosos injetem "comandos de dados na aplicação para conseguir acesso a todas as informações que estão no banco de dados" mantidos pelas empresas com suas informações próprias, explica o diretor da Associação Brasileira de Segurança da Informação e colunista do IDG Now!, Denny Roger.

 

Segundo Roger, uma das formas de "dar um 'tranco' na aplicação para saber se a mesma está vulnerável" é inserir as aspas no campo de autenticação, método relatado por Vitali para descobrir a brecha no site da ONS.

 

O blogueiro explica que invasões de bancos de dados por meio de ataques do tipo "SQL injection" podem ser fáceis, dependendo da técnica explorada pelo invasor. "A (brecha) que divulguei é uma meio chata e difícil, mas não é impossível promover um ataque por ali".

 

Após a publicação da descoberta e da reverberação do post, a ONS corrigiu o problema. Vitali, porém, afirma que descobriu uma segunda falha - desta vez no mecanismo de recuperação de senha dos usuários cadastrados no sistema da ONS-, que já foi reportada ao órgão, mas ainda estava ativa na sexta-feira (13/11).

 

Procurado pela reportagem, o ONS afirmou "que não existe conexão do site com a rede de operação" e que os comandos são feitos por voz de uma usina para outra conectada ao Sistema Interligado Nacional (SIN).

 

O órgão afirmou que não houve invasão da rede de operação e não soube detalhar que tipo de informações ou ferramentas o ONS no sistema estavam com a brecha.

 

Em entrevista ao IDG Now! no dia seguinte ao apagão, o diretor do Departamento de Segurança da Informação e Comunicações da Presidência da República, Raphael Mandarino, minimizou a possibilidade de ataque à rede, embora tenha admitido que se trate de "um assunto que não se pode dizer 'não'".

 

Fonte: http://idgnow.uol.com.br/seguranca/2009/11/16/na-semana-do-apagao-blogueiro-descobre-falha-de-seguranca-no-site-da-ons/

[Thiago Retondar 18]

Rafael, tu respondeu neste tópico, mas leu ele? Essa notícia que você postou é praticamente idêntica à passada pelo Motta. :blink: :P

 

http://forum.imasters.com.br/public/style_emoticons/default/thumbsup.gif

[RafaelSonyLock 18]

Tópicos unidos por serem idênticos ! :P

[hargon 64]

Hacker pode causar apagão, mas não é provável, diz chefe de segurança de Lula

[Silas Martins 0]

Disseram o mesmo no Estados Unidos "Niguém derruba o World Trade Center" preciso dizer mais alguma coisa?

Sempre vai ter uma primeira vez, tem coisas que acontecem e nem percebem, e ai te pergunto onde ta o erro? No hacker que viu uma falha? Ou no site que não cuidou pra que essa falha não existisse.

Como Diz Henrique Cesar Ulbrich: "Se você convida alguém para entrar na sua casa essa pessoa não pode ser considerada invasor"

[hgb7 3]

Não foi Hacker.. e tenho dito... ;)

[DiMinas 6]

Não foi Hacker.. e tenho dito... ;)

 

Foi um estagiário.

[Motta 645]

O fato de uma porta estar aberta não descaracteriza a invasão , se por acidente uma pessoa deixa a porta de sua casa aberta isto não me permite entrar nela.