Tópico: A Verdade sobre o Apagão (?)

[Lord_Dracon]

Na noite do dia 10/11/2009, por volta das 22h00, todos os grandes centros do Brasil se viram na escuridão. Dentre eles estão o estado de São Paulo e Rio de Janeiro, juntamente com outros 15 estados. Além dos afetados no Brasil, tivemos vizinhos estrangeiros.

Entre os responsáveis por isso, o mais dito, foi o fato de o incidente ter sido causado por uma tempestade de raios. Porém boa parte de história não foi contada.

Há uma semana, no jornal “60 minutes” do canal americano CBS, um ex-hacker black-hat, Kevin Poulsen, afirmou que o Brasil estaria sujeito a ataques de hackers em seu sistema elétrico e, como sempre, o governo brasileiro juntamente com o ministro de Minas e Energia, Edison Lobão, negam completamente a possibilidade. Porém, a verdade pode ser dura para todos os brasileiros.

Ao ver a possibilidade, procurei analisar se realmente seria possível adentrar no sistema de gerenciamento elétrico do país. Até então, não conhecia nada sobre o assunto, porém ao analisar algumas noticias, percebi que um dos principais órgãos a gerenciar a energia é o Operador Nacional do Sistema (ONS).

Dando uma googlada, pude facilmente encontrar a página do governo (www.ons.org.br) e, caminhando por alguns links, notei nada de importante. Foi então que pensei: “Se eles tivessem alguma coisa confidencial, não estariam na página. E se eles quisessem esconder de indexadores como Google?”. Aí que veio a primeira parte da surpresa.

Existe o arquivo robots.txt na raiz de alguns servidores que definem algumas regras para os indexadores. O grande problema é que muitos desenvolvedores utilizam esses arquivos para ‘esconder’ diretórios e arquivos de possíveis atacantes. Porém um atacante poderia facilmente descobrir tais diretórios simplesmente e acessar os arquivos, como segue:

http://www.ons.org.br/robots.txt

Ao acessar este arquivos, temos o seguinte conteúdo:

Código: [Selecionar]

User-agent: * Disallow: /agentes/agentes.aspx
Disallow: /download/agentes/

Fiquei surpreso ao perceber que realmente tentaram utilizar tais recursos para proteger um diretório.

Acessando o primeiro dos endereços, sem qualquer autenticação podemos ter acesso ao endereço de todos os Sistemas Agentes da ONS, inclusive alguns com software para download e manual. Não conheço quaisquer destes sistemas, porém um deles me chamou a atenção quanto ao blecaute que ocorreu na ultima terça-feira, o Sistema de Administração de Contratos de Transmissão (SACT), que é acessível através do do endereço http://aplicleg.ons.org.br/intunica/, e pode ser visto abaixo:



Com isto, conseguimos chegar a uma tela de login que representa nada mais nada menos do que o Operador Nacional do Sistema Elétrico. Pensei que a partir de então o processo seria mais difícil, porém mais uma vez fiquei surpreso com a incompetência do governo.

Ao fazer o primeiro teste, que qualquer ferramenta de auditoria de segurança faria, obtive um grande susto. Ao colocar uma aspas simples no campo de usuário e senha pude detectar a mais grotesca das falhas Web, um SQL INJECTION, tendo como resultado o seguinte:

[IfxException: ERROR [HY000] [Informix .NET provider]General error.] IBM.Data.Informix.IfxConnection.HandleError(IntPtr hHandle, SQL_HANDLE hType, RETCODE retcode) +27 IBM.Data.Informix.IfxCommand.ExecuteReaderObject(CommandBehavior behavior, String method) +739 IBM.Data.Informix.IfxCommand.ExecuteReader(CommandBehavior behavior) +104 IBM.Data.Informix.IfxCommand.ExecuteReader() +48 OnsClasses.OnsData.OnsCommand.ExecuteReader() IntUnica.Menu.btnOk_Click(Object sender, ImageClickEventArgs e) System.Web.UI.WebControls.ImageButton.OnClick(ImageClickEventArgs e) +109 System.Web.UI.WebControls.ImageButton.System.Web.UI.IPostBa ckEventHandler.RaisePostBackEvent(String eventArgument) +69 System.Web.UI.Page.RaisePostBackEvent(IPostBackEventHandler sourceControl, String eventArgument) +18 System.Web.UI.Page.RaisePostBackEvent(NameValueCollection postData) +33 System.Web.UI.Page.ProcessRequestMain() +1292

Ou seja, além de ter encontrado uma falha de SQL Injection, já descobri de cara que o sistema funciona rodando um banco de dados IBM Informix. A partir deste passo ficaria extremamente fácil para qualquer pessoa com conhecimento intermediário de SQL Injection invadir o Operador Nacional do Sistema Elétrico.

É interessante ressaltar que não tenho qualquer ligação com o ocorrido no dia 11 de novembro de 2009, e que irei parar a divulgação neste ponto para não comprometer mais ainda o funcionamento do sistema (odeio escuro). Não estou afirmando que o ocorrido foi causado por um ataque hacker, porém se tivesse sido, é importante deixar bem visível que o mesmo aconteceria sem qualquer dificuldade.

Espero que este post abra os olhos do governo, para que não possamos sofrer danos maiores em situações mais críticas.

Abraços a todos,
Maycon Maia Vitali (23 anos)

Fonte: http://blog.hacknroll.com/2009/11/12/a-verdade-sobre-o-apagao/

Bom, o que a pessoa fez para causar o erro foi simplesmente confundir a instrução que verifica o login/senha do site da ONS inserindo um delimitador comum (uma aspas simples, por exemplo), causando um erro de sintaxe na instrução e, como consequência, a tela de erro.

De qualquer maneira, isso mostra que o site é bem vulnerável, pois não faz uma tratativa básica em cima de delimitadores.

CONTUDO, o título do artigo soa uma teoria de conspiração, baseado no que a tal CBS americana divulgou. Eu não acredito que, ao acessar o site da ONS (caso alguma pessoa com experiência maior em invasão tivesse êxito), encontraria um "botão" escrito "Desligar Itaipu"; ou mesmo se fosse danificado o banco de dados do sistema, não creio que isso tenha uma ligação vital com a usina e/ou seus transmissores, tampouco interferiria na transmissão de energia. Além do mais, pelo erro do site, o servidor deve ser Windows, o que é bem suceptível a erros, e se nosso sistema de energia dependesse disso, estávamos ferrados.

E aí, o que acham?

[Derfel]

acho que estamos ferrados...

[Hold the Door]

Eu tenho certeza que estamos ferrados...

Não acho provável que essa história de hacker derrubando o sistema elétrico nacional seja verdadeira, mas a outra alternativa, o nosso sistema ser completamente instável e falho a ponto de ser derrubado por um raio, não apresenta um panorama mais alentador...

[Arcanjo Lúcifer]

E aí, o que acham?

Depois daquela vez que o MST invadiu uma central de comando de uma hidrelétrica menor e ameaçou desligar tudo, acredito que a segurança nacional esteja a Deus dará mesmo.

[Spitfire]

Um raio, um só raio, mesmo que derrubasse uma torre de A.V., não deveria ser o suficiente para derrubar todo o sistema... também duvido que um hacker, introduzindo um erro tão ridículo, possa derrubar tudo... existem muitos protocolos de checagem para que uma pane em um servidor possa desligar um "hardware" tão complexo.

[Andre]

Não acho tão improvável assim. Já fizeram isso duas vezes (que se tem notícia) e o SQLInjection que ele demonstrou mostra que o sistema é bastante inseguro. Não tenho muito conhecimento sobre SQLInjection (embora tenha de SQL), mas imagino que a partir de descoberto que o sistema é sucetível a esse tipo de ataque, descobrir a estrutura do banco de dados e inserir um novo usuário com permissões de administrador não seria coisa das mais difíceis. Depois de logado como administrador, o invasor poderia fazer qualquer coisa.

Não conheço o sistema utilizado nesse tal de Operador Nacional do Sistema Elétrico, mas conheço um programa com função similar. Em uma palestra que houve recentemente na minha faculdade, uma empresa demonstrou o sistema que eles usam em um de seus clientes, uma usina de álcool em que o bagaço da cana é mais tarde transformado em eletricidade. A empresa que implementou o sistema tem controle total sobre o que está acontecendo no gerador dessa usina: pode verificar a potência gerada, tensão, corrente... pode inclusive ligar e desligar o gerador a distância. Além desse controle humano a distância, existem controles automatizados, evidentemente, que em caso de perigo (corrente ou tensão muito altas), desliga o sistema.

Caso esse Operador Nacional seja mesmo parecido, o hacker pode "por brincadeira" ter desligado a distribuição a uma cidade qualquer, isso ter desestabilizado o sistema e os mecanismos automáticos desligaram o sistema de Furnas (que dizem ser a origem do sistema), e isso ter causado uma desestabilidade ainda maior, gerando um efeito cascata.

Eu acho que mesmo que tenha sido esse o caso, vão negá-lo até trocar de presidente, pelo menos.

[Spitfire]

Em um sistema destes não existe (mais) "brincadeira"... como disse, o " hardware" não permite que o "software" assuma totalmente o controle. Alguma situação, mensurável, precisa ocorrer para que o software possa implementar um comando tão prioritário. 

[Moro]

Não acho tão improvável assim. Já fizeram isso duas vezes (que se tem notícia) e o SQLInjection que ele demonstrou mostra que o sistema é bastante inseguro. Não tenho muito conhecimento sobre SQLInjection (embora tenha de SQL),

SQLInjection só acontece em programas mal feitos. É bem simples.

para simplificar, se você usa um statement em Java (e não um prepared statement), SQLDinãmico em banco de dados sem utilização de Bind, ou qualquer maneira de montar expressão SQL dinamicamente sem as devidas precauções, você está abrindo as portas para SQLInjection.

ex: (não estou preocupado com código nem qtd de apóstrofe nos caracteres de escape)
pense que sua aplicação tem um campo A em um formulario.
O A espera um nome para uma busca

O sujeito digita algo assim no campo X''  +  ' or exists (select 1 from dual)'

Ai o código do mané ta assim

sql = 'select nome from cliente where nome = " + A  --- veja que aqui A é o campo do formulario

a sql que o sistema vai interpretar vai ser select nome from cliente where nome = 'X' or exists (select 1 from dual)
Como a segunda expressão é verdadeira e tem um OR, o cara tem acesso a todos os clientes da tabela de clientes do cara.

Para resolver é só programar utilizando-se boas práticas


sql = "select * from cliente where nome = :1"
fazer um preparedStatement passando o conteudo de X para substituir o valor da bind

aí o sqlk vau ficar assim select * from cliente where nome = 'X''  +  ' or exists (select 1 from dual)'

e não vai achar ninguém.

O mesmo problema pode acontecer em qualquer linguagem se não for bem feito, basta ter sqls gerado dinamicamente

[_Juca_]

Bem, eu vi no jornal ontem que caiu mais de 7 mil raios no Paraná e outro tanto desse em SP...

[Andre]

Em um sistema destes não existe (mais) "brincadeira"... como disse, o " hardware" não permite que o "software" assuma totalmente o controle. Alguma situação, mensurável, precisa ocorrer para que o software possa implementar um comando tão prioritário. 

Existir essa limitação de controle por parte do hardware reduziria (ou até eliminaria) a função do software, que é exatamente permitir o controle remoto. Além do que, estamos falando da teoria. O hardware não deveria permetir desligamento sem razão aparente e sem um operador local, mas esse Operador já se mostrou um projeto não tão bem projetado assim.


Agnóstico, eu sei o que um SQLInjection é na teoria, mas não sei o que dá para fazer na prática com ele. Basicamente qualquer operação  no banco de dados seria possível?

Bem, eu vi no jornal ontem que caiu mais de 7 mil raios no Paraná e outro tanto desse em SP...

Podem ter sido os raios a causa do problema, mas isso não muda o fato do Operador aparentemente ser um sistema vulnerável a variados tipos de ataques.

[Moro]

não é na teoria, é na prática.

Você pode acessar os dados do cliente, obter a versão do banco de dados, consultar as funções existentes pelo metadados, seu código fonte e e executa-las (função pode ser chamada por sql). Se existe uma função que cria objetos e que retorna um valor, você pode criar objetos e aí um abraço, o banco é seu.

[Correio]

Não foram nenhuma destas opções. A culpa foi de um estagiário. Como seria o último a sair do trabalho, foi orientado assim: APAGUE TUDO ANTES DE SAIR!

[Zeichner]

Uma coisa é certa. A possibilidade de um raio fazer cair as três linhas de transmissão de Itaipu, com mega-para-raios e deixar na escuridão metade do país é quase a mesma de Jesus ter casado com Judas e montado uma boate gay.
A explicação é furada e pouco crível, o que leva a estas teorias da conspiração.

Porque se for ataque Hacker, será o fim da candidatura de uma certa candidata...

[Arcanjo Lúcifer]

Hoje escutei  tal candidata dizer no rádio que os apagões serão inevitáveis, mas que o sistema elétrico do governo Lullalá é o melhor que já existiu...

Até os apagões do PT são melhores que o da oposição.

[Gaúcho]

Não foram nenhuma destas opções. A culpa foi de um estagiário. Como seria o último a sair do trabalho, foi orientado assim: APAGUE TUDO ANTES DE SAIR!

[Zeichner]

Bom, o aparelhamento do Estado está mostrando a que veio.
O presidente da Itaipu pelo menos é Engenheiro.

Ops.

ENGENHEIRO AGRÔNOMO!!!

[Dbohr]

Até os apagões do PT são melhores que o da oposição.

Você viu a charge do Caruso no Jornal da Globo da noite seguinte? Era exatamente isso

[Arcanjo Lúcifer]

OPA!!!! Finalmente elle abriu a boca para explicar o apagão!

http://www.estadao.com.br/estadaodehoje/20091113/not_imp465711,0.php

"Eu já disse várias vezes: Freud dizia que tem algumas coisas que a humanidade não controlaria. Uma delas eram as intempéries", declarou Lula, ontem, acrescentando que "dá um terremoto, o Japão faz casa de borracha, faz casa de papel, aqui no Brasil faz piscinão, piscininha".

E o presidente ainda completou: "A gente não sabe o tamanho do vento, o tamanho da chuva. Sabe que, quando vem, tudo que a gente bolou, escafedeu-se." Na sequência, ressaltou que a questão do clima "é delicada, porque o mundo é redondo". "Se o mundo fosse quadrado ou retangular e a gente soubesse que o nosso território está a 14 mil quilômetros de distância dos centros mais poluidores, torce pra ficar só lá. Mas o mundo gira e a gente também passa lá embaixo onde está mais poluído. A responsabilidade é de todos."

Cobrado sobretudo pelas várias vezes em que citou o racionamento e o apagão do governo Fernando Henrique Cardoso, Lula se mostrou absolutamente impaciente durante toda a cerimônia no Centro Cultural Banco do Brasil (CCBB), que durou duas horas e meia. Inicialmente, mostrou-se insatisfeito com a quantidade de discursos: dez, incluindo o dele.

O presidente se irritou depois com o fato de o PowerPoint preparado pelo diretor do Instituto Nacional de Pesquisas Espaciais (Inpe), Gilberto Câmara, ter demorado a funcionar. Lula se levantou, gesticulou, cobrou. "Alguém que seja técnico vai fazer funcionar esta TV?", indagou. Em seguida, afirmou que "depois de toda a espera, espero que a gente tenha notícia para dar para vocês".
COMENTÁRIOS

[Arcanjo Lúcifer]

Até os apagões do PT são melhores que o da oposição.

Você viu a charge do Caruso no Jornal da Globo da noite seguinte? Era exatamente isso

Não cheguei a ver, estou trabalhando à noite.

[Mr. Mustard]

Os simpatizantes do PT: "Foi um raio"
Os NÃO simpatizantes do PT: "NÃO foi um raio"
O resto: "Não temos idéia do que foi".

[Dbohr]

Não tenho ideia do que foi, mas duvido MUITO que tenha sido raio

Aliás, o que mais me incomoda nessa história toda é que provavelmente a gente nunca vai saber o que aconteceu de verdade...

[Mr. Mustard]

Eu também dúvido. Imagine a situação: "Nos dias sem chuva, temos energia, com chuva... Bem, err, err, tudo pode acontecer...", ou seja, não chovendo, está tudo bem. 

[Gaúcho]

Que gente mais insatisfeita. É só não chover, oras.

[Mr. Mustard]

A partir de agora, índio que executar a dança da chuva será deportado!

[SnowRaptor]

As ações da Transmissão Paulista SA subiram 5,26% hoje.