Página Inicial > Segurança > A Verdade sobre o Apagão

A Verdade sobre o Apagão

Eu? Como? Quando? onde? Por que? 18 anos? Na verdade eu tinha 23 anos. :-)

Ensinar a molecada a parar o metrô de SP pode, né ‘champion’!?

Agora é sério, você nasceu pra cagar merda pela boca. Pare de falar e subjugar as pessoas e faça algo de relevante antes de colocar a palavra pesquisador entre aspas. Cadê seus exploits? Cadê seus CVEs? Cadê a sua contribuição? Não me venha dizer que vender treinamento lixo e palestras lixo em eventos lixo é algo de bom, pois todos sabemos qual o seu principal objetivo ni$$o tudo.

Para quem não conhece nosso amigo, segue um recado da comunidade de segurança:

… e mais esse …

Uma dica pra ele de nosso grande herói He-man:

Happy Hack N’ Roll. :-)

Categories: Segurança Tags:
  1. thiago
    13, novembro, 2009 em 18:28 | #1

    hein amigão…não entendi uma coisa…”Ao fazer o primeiro teste, que qualquer ferramenta de auditoria de segurança faria, obtive um grande susto. Ao colocar uma aspas simples no campo de usuário e senha pude detectar a mais grotesca das falhas Web, um SQL INJECTION, tendo como resultado o seguinte”…

    eu coloquei aspas e deu erro de login…como surge esse erro que vc menciona?

    e tb na parte do Existe da pagina que aparece o arquivo robots.txt tem como explicar pra leigos???

    abração e aguardo resposta

  2. Hugo Rosa
    13, novembro, 2009 em 18:50 | #2

    Acho engraçado como as pessoas defendem apenas possibilidades extremas. Lendo os comentários há apenas duas opções, ou o sistema é totalmente isolado (como a sala do Missão Impossível) ou pode ser acessado pela internet, através de um site sem nenhuma proteção.

    Existem varias opções intermediárias. Pelo que entendi pelo site é possível obter diversas informações sobre funcionários e, também, sobre parte da estrutura do sistema. Com essas informações, um hacker pode com muito trabalho, obter novas informações e acesso a outra parte do sistema. O processo de invasão, obviamente não é instantâneo. Não estou dizendo que foi um hacker, estou dizendo que as duas hipóteses colocadas são igualmente improváveis. Assim como, diversas outras intermediárias que criarmos serão improváveis.

    O sistema de Itaipu não é ligado a internet sem nenhuma proteção, mas também não é acionado por botões. Com certeza ele toma decisões de proteção sem esperar ação de operador, a demora poderia danificar um gerador e ficar sem ele sair muito mais caro do que o prejuízo de cortar o fornecimento por um tempo.

    Duvido também que foi um raio que desligou tudo, afinal ninguém gastaria bilhões para construir um sistema que um raio qualquer desliga.

    Com certeza algum problema grave ocorreu, para o sistema de proteção decidir proteger os bilhões investidos na usina. Seja o problema, falha grave do sistema de transmissão, falha grave de segurança ou falha grave de projeto do sistema.

    Uma observação final, o problema nem precisa ter sido em Itapeva, o sistema é interligado, logo, uma localização adequada do problema ou pequenos problemas, pode gerar uma reação em cadeia que derrubaria os sistemas por partes. E na minha residência notei pelo menos 3 estados de fornecimento, primeiro a energia oscilou por cerca de 10 segundos, depois a energia ficou em um valor baixo por uns 10 minutos e por fim apagou tudo.

    Eu acredito que eles ainda não sabem o que foi, mas para não admitir isso deram uma resposta padrão.

  3. 14, novembro, 2009 em 04:23 | #3

    Como já diria papai: Hack ‘n’ my balls…

    Não falou nada demais de qualquer sistema brasileiro online…. nada que possa ser feito ou provado… Só o bom e velho chute de quem não faz :)

    Para de espalhar noticias paranoicas pras pessoas e arruma um trampo em uma empresa que possa valorizar o teu conhecimento, saca?

  4. Gildo
    14, novembro, 2009 em 10:44 | #4

    @maycon
    Maycon, você até pode estar correto em pensar que o GOVERNO não se preocupa em Segurança, porém, os órgãos que atuam no mesmo se preocupam e muito, ou você acha que estes órgãos vão ficar divulgando o que fazem para garantir a segurança para todo mundo ficar sabendo?? Nunca lhe passou pela cabeça que essas empresas contratam empresas especializadas em segurança justamente para tentar explorar as suas falhas???, você não pode generalizar.
    Esse sistema que você acessou, é apenas um sistema de contratos, mais nada, não se iluda.
    Se tratando de usinas e transmissão de energia, os sistemas que controlam são sistemas de tempo real critico. Quando afirmei que o sistema de Itaipu opera sobre redes Unix/linux totalmente seguras, não estava pensando ou fazendo uma suposição, estava afirmando com base de conhecimento da mesma, não apenas por conhecimento empírico e generalista como o seu.
    Com bom senso você já poderia ter pensando um pouco antes de escrever seu POST, pois, você acha através de apenas um sistema ou uma rede, toda a transmissão de energia de um país seria afetada? JAMAIS, nós temos a maior Usina do mundo e com isso temos processos MUITO maduros e seguros para garantir a segurança e transmissão de energia.
    Só para você ter idéia o sistema que controla Itaipu fica em uma rede TOTALMENTE isolada da sua rede logo não possibilita acesso externo. A empresa em si trabalha em outra rede e essa rede não tem acesso ao sistema que gerencia a geração de energia. Existe uma terceira rede onde os dados são compartilhados para os sistemas externos usarem, sendo que este acesso é sobre dados replicados e mais NADA.
    Antes que escrever sobre algum tema procure obter informações mais concretas e não tirar conclusões em cima de seus estudos caseiros

    Ate+
    Gildo

  5. João
    14, novembro, 2009 em 20:43 | #5

    Maldita inclusão digital, acreditam em qualquer carinha que poste o stacktrace ou código sem nem saber o que é na verdade. O pior foi ver repórteres vindo querer entrevista. KKKKK…

    Quem conhece, como Gildo, sabe que os pc’s da rede, que controlam uma determinada instalação, possui acesso externo (internet) restrito.

    O maycon no mínimo recebeu milhares de visitas aí, um adsense poderia ter trazido uma grana legal nesses dias. :/

    Já ia esquecendo… “Como já diria papai: Hack ‘n’ my balls…” [2]

  6. Ralph
    14, novembro, 2009 em 21:04 | #6

    Pedro VillaLobos, excelente Post… Repetindo as palavras… Vai arrumar um trampo amigo… Vê se consegue um trabalho na ONS… Vai ver que eles estão precisando de um “especialista” em segurança como vc… Pra ficar tentando fazer SQL INjection no sistema… hahahahahahahaha

  7. 15, novembro, 2009 em 01:15 | #7

    Não interessa se a msg sobre o sql injection é fake ou ñ! O importante aqui é mostrar às pessoas q boa parte dos sistemas do governo são passíveis de ataques dessa natureza. Quando o velho INFERNO.BR começou essa pohha, boa parte aqui era “filhinho da mamãe criado com a vovó”. Hj virou mania todo mundo “invadir” usando sql injection!!! Conheço uma negada q ñ sabe codar nem uma linha e C e acha q usar xpl criado por gringo é ser “hacker”.. Ñ consegue recompilar um kernel mas sempre quando acha um site bugado deixa lá “OWNED BY ME” Pohha.. hipocrisia do caralho! Um exemplo clássico dessa pohha toda foi alguns anos atrás quando vários sites da Micro$OFuckT sofrerem defacement via “WEB-FOLDER” por volta de 2001. Daí vc pensa.. um site como M$ da Yugoslávia sofrendo ataque via webfolder é tosco, mas aconteceu com vários sites da M$. Enfim, ñ dá pra conquistar o mundo com sql injection, mas dá pra surrupiá-lo!

    Shouts to Maycon Maia Vitali. Congratulations!

  8. Vinícius
    16, novembro, 2009 em 08:41 | #8

    Caralho véi vc estava certo hein!

    O site da Band citou o seu blog:
    http://www.band.com.br/jornalismo/tecnologia/conteudo.asp?ID=221135

    Ontem fiquei muito bolado com a reportagem no Domingo Espetacular sobre a investigaçao do Governo Americano sobre atividades Hacker no Brasil relacionado a apagões em 2005 e 2007.

    Parabéns cara!

  9. Moacir
    16, novembro, 2009 em 11:32 | #9

    Nossa como tem pessoas invejosas, porque os “entendidos” nos comentários (sic)não se manifestaram antes?
    Depois do frango assado, todos querem um pedaço.
    O que o garoto postou foi, como ele mesmo disse uma suposição, e não uma afirmativa., Maycon esta de parabéns, continue estudando, eu não sou de ficar postando comentários, mas não resisti após ler a maioria das postagens dos “mestres” no assunto.
    Só queria umas respostas:
    Um ou vários Ráios podem desligar a geração de energia de uma usina? como tem apagão se não caiu nenhuma torre e nem houve rompimento de fios? Porque os geradores ficaram girando sem produzir energia se não houve falta de água nos reservatórios?
    Não tem chave nos transformadores, que possa ser desligada evitando a continuidade da rede? etc, etc, etc.
    Parabéns pelo post.

  10. Geraldo
    16, novembro, 2009 em 12:23 | #10

    Maycon,

    Acho que os que postaram contra seu comentario ou fazem parte ou nao querem ver que o “Rei esta nu”. Chega de nos tratarem como gado (ou melhor, burros).Sabemos hoje que temos uma grande maioria de incompetentes controlando os ministerios e empresas brasileiras e que para consequirem tais cargos bastaram ser filiados ou afiliados de partidos ou de politicos e que tem outros interesses e nao com o Brasil.O sistema esta ou estava vulneral, seja desde a sua incapacidade de isolar o problema a determinada area como a de permitir acessos externos a seus sistemas de computadores, nao importa qual,como voce provou e que certamente nao quis ir mais fundo por conhecer as possiveis implicacoes ( hoje, quem faz a coisa certa eh que esta errado, vide o TCU, os jornalistas serios, os juizes tambem serios e ate o Protogenes). Respaldando seu trabalho tem a reportagem da CBS dos apagoes anteriores, que aconteceu coincidentemente(??) no domingo anterior a este ultimo apagao.
    Parabens pela coragem e pelos conhecimentos demonstrados ate na sequencia de seu blog.

  11. José Mauro Silva
    16, novembro, 2009 em 14:29 | #11

    Hahahahahaha. Lula agora é o homem do tempo. Cria chuvas e trovoadas onde nunca existiu. Hahahahahahahaha

  12. Sakurai
    16, novembro, 2009 em 14:30 | #12

    Creio que as teorias do nosso gran-colega Mycon em cima das pesquisas ja debatida pelas principais sites de forum do genero,volta a tona novamente aquilo que nos nao conseguiamos contrariar em nosso ego oculto. Mesmo um servidor por mais que trabalhem em celula independente pode haver pcs a servico para estar de “executores” das tarefas eletro-mecanicas.Sendo assim la adiante pode sim haver uma possibilidade (minima)mas de eles serem operaraveis remotamente,em caso de alguma emergencia de nao conseguir operar no local ! E remotamente o que vem a primeira instancia e algo como conectar de alguma forma em cima do que esta disponivel hoje …

  13. ronald
    19, novembro, 2009 em 14:55 | #13

    Não temos a maior Hidrelétrica do mundo. A MAIOR DO MUNDO É A DE TRÊS GARGANTAS,NO RIO YANGTSÉ, NA CHINA!

    E eu não duvido que o gerenciamento da nossa seja feito com gambiarras. Pra quem tem um sistema de controle de tráfego aéreo como o nosso, uma verdadeira zona do meretrício, difícil acreditar que a segurança das usinas é feita de forma profissional e competente.

  14. Geziel (eng. eletricista)
    21, novembro, 2009 em 16:42 | #14

    Fala sério…
    Meu, vcs podem entender tudo de informática e invadir o site do ONS, MME, ANEEL, etc… Nada disso tem a ver com os sistemas Scada que controlam a geração/transmissão/distribuição de energia. Os sistemas de controle são fisicamente isolados… Então, não venham com o besteirol de que o apagão foi causado por um haker… Essa afirmativa é tão idiota quanto a afirmação de que “não corremos mais riscos de apagão” ou “aviões novos não caem”.

  15. Daniel Chaves
    21, novembro, 2009 em 19:20 | #15

    Maycon, boa tarde. Gostaria muito de fazer uma entrevista curta com você sobre segurança virtual, para o meu blog e para um site o qual escrevo. Você estaria interessado? Abraço, Daniel.

  16. 27, novembro, 2009 em 13:10 | #16

    Bem bacana velho oparabens, problema de validação nada que uma regex resolva…

    por isso faço meus sistemas em Perl com DBIx ou php usando PDO pra evitar estas falhas escrotas…

    mais por ser site do governo deveria ser feito com LISP,Lua,ansi C+CGI e está area ai nem devia tar no robots, devia ser soh intranet… se o itaipu é do governo prova que os cara que o governo forma no ITA,USP não ajuda em nada…

    mas a melhor forma de acabar com a luz numa usina seria com eletronica ou seja
    fazer uma arma de pulso eletromagnético como do livro “eletronics gadgets for evil genius” um amigo fez o aparelho é ligado numa bateria de carro destroi qualquer aparelho eletronico num raio de 10 metros brutal mesmo…

  17. 28, novembro, 2009 em 09:04 | #17

    sua matéria foi divulgada no G1 da globo

    Tecnologia

    olha o link:

    http://g1.globo.com/Noticias/Tecnologia/0,,MUL1380926-6174,00-HACKERS+INVADIRAM+SITE+DIZ+ONS.html

    Sql injection, que segurança hein?

  18. 2, dezembro, 2009 em 21:29 | #18

    caro amigo estou espantado com a sua teoria sera possivel tamanho erro? Tudo é possivel e pelas mais variadas razões. Mas penso que o governo e as empresas vão resolver a questão. Digo eu porque eu do escuro so gosto no cineminha.
    Um abraço
    PAULO

  19. Marcelo Wind
    4, dezembro, 2009 em 23:49 | #19

    Garanto a vc que o site do ONS não tem qualquer ligação ao controle do sistema elétrico brasileiro, os sistemas Internet e a rede de produção são separadas fisicamente, e não há qualquer maneira de um hacker conseguir através de invasão por internet de causar um apagão.
    Isto tudo é só especulação. O que foi invadido e encontrado como erro é apenas um servidor pra acesso de funcionário ao sistema de relatórios, emails, entre outras coisas administrativas de burocracia que não interferem em nenhuma aspecto qualquer funcionamento do controle do sistema elétrico brasileiro.
    Tenho provas de tudo que eu falei, bobo quem acreditou, bobo quem está por fora e procura algo só pra ficar fascinado!

  20. Nadiely
    5, dezembro, 2009 em 15:30 | #20

    Fala sério esses apagoes são super normal!Eu moro no interior e cada passo ta faltando luz,e aqui nós apenas comunicamos a Copel da falta de energia!AS vezes ficamos até 3 dias inteiros sem luz!Então quando apagar a luz ai na CIDADE apenas acenda umas velas e pronto!

  21. 13, dezembro, 2009 em 23:04 | #21

    Bando de noob, o governo fala que foi um raio que causou o estrago vcs vao e acredita. O governo fala que não foi ataque hacker vcs vão e acreditam. O lula fala eu não sei de nada vcs acreditam. Nenhum sistema e perfeito.

  22. 14, janeiro, 2010 em 19:10 | #22

    lindo seu post!!!!!

  23. 7, fevereiro, 2010 em 16:45 | #23

    Delícia cara… Vi no dia que você postou e voltei aqui hoje para ler os comentários. Melhor do que ter conhecimento é ver os incapazes se roendo de inveja. Eu quase gozo ao ler os comentários difamando, criticando, duvidando, desdenhando, etc.

    Garotada punheteira da internet que acha que derruba o Google com o (in)famoso “ping da morte”. A galera que trampa com segurança, de qualquer área, não são mais garotinhos inocentes e juvenis que estão na idade da auto-afirmação. Essa mesma galera (na qual me incluo), está cagando e andando pra você, o que você acha e em que e quem você acredita.

    Se é isolado ou não, foda-se! Se é possível ou não, foda-se!

    O intuito do post foi simplesmente alertar sobre a falha. Se alguém passou desse ponto por mérito próprio, parabéns. Os que passaram sabem o que tem do outro lado, agora vocês RÁQUERS de araque estão ae se matando esperando um documento completo de como explorar a falha, mais conhecido como receita de bolo (ou programa pronto, não é, seus lixos?).

    Quanto aos infelizes e incapazes que nem sabem do que se trata um SQL Injection (ou googlou pra dizer que sabe o que é), meus pêsames, muito estudo pra vocês.

    E por favor RÁQUERS, parem com seus Ardamax em lan house pra roubar orkut, e-mail e MSN. AHUauhaHUahuauhauhauhahuauhauhaUHaHU

    Até + seus lixos

    Parabéns, Maycon

    Eles quem não entenderam o espírito e o real objetivo do post :)

  24. 3, março, 2010 em 20:42 | #24

    @julianaanaliju@hotmail.com
    Só podem estar de sacanagem comigo. :)

  25. Gil
    26, março, 2010 em 04:15 | #25

    quero derrubar um site pago uma grana boa até amanhã

  26. Matheus
    24, abril, 2010 em 23:14 | #26

    Olá, como o Maycon Falou, é possivel sim um ataque por sql injection, a realidade de hoje são estes ataques nas lojas online, e outros sites que tenham fundos monetários… SQL INJECTION É PERIGOSO!

  27. Danilo Alves
    17, maio, 2010 em 18:09 | #27

    Maycon parabens para você.
    Independente do sistema deles ser falhos por meios de sql injection que poderia ter ocasionado o blackout ou não, voce mostrou que o sistema é falho.

    Uma empresa seja ela qualquer pequena ou grande, de importancia pra sociedade ou não tem que ter seus sistemas seguros, logicos sabemos que nada é tudo 100% seguro, mas sql injection é piada ne?

    Parabens para você, como nada foi concretizado mas eles se preocuparam com o sistema que hoje corrigiram a falaha do sql injection.

    Entao Maycon sua observação ao sistema ja valeu de alguma coisa.

  28. 11, fevereiro, 2011 em 17:29 | #28

    O Brasil vai ter uma grande sobrecarga! hora da energia solar!

  29. André
    6, março, 2011 em 00:56 | #29

    Hoje em dia já era SQL_INJECTION…

    Hoje em dia o que pega é CSS/XSS

  30. Tiago
    16, março, 2011 em 21:31 | #30

    Geziel (eng. eletricista) :
    Fala sério…
    Meu, vcs podem entender tudo de informática e invadir o site do ONS, MME, ANEEL, etc… Nada disso tem a ver com os sistemas Scada que controlam a geração/transmissão/distribuição de energia. Os sistemas de controle são fisicamente isolados… Então, não venham com o besteirol de que o apagão foi causado por um haker… Essa afirmativa é tão idiota quanto a afirmação de que “não corremos mais riscos de apagão” ou “aviões novos não caem”.

    Rsrsrs… Entao, 1 ano depois aparece o Stuxnet, amigo do Geizel e do sistemas Scada…

  31. Victor
    27, agosto, 2011 em 19:41 | #31

    @jefferson
    kkkkkk, invadiu mesmo

  32. Victor
    27, agosto, 2011 em 19:43 | #32

    @jefferson
    kkkkkk, invadiu mesmo!!!

  33. 18, abril, 2012 em 18:54 | #33

    Are you looking for an affordable way to drive tons of traffic to your web page? You can stop looking because XRumerService is all you need!

    Hey
    As a web site owner, you know driving traffic is everything: It means more visitors, more click-through, and most importantly MORE MONEY!

    Now there’s a new service that gives you thousands of visitors per day for just pennies.

    And the way it works is this:

    Links to your web page are posted automatically in thousands of forums, creating backlinks to your site.

    Having so many backlinks, your website gain massive popularity in eyes of search engines so Google, Yahoo and Bing have no choice but to put your site at the top pages for your targeted keywords so your site will get FREE, TARGTED, LONG TERM TRAFFIC EFFORTESLY AND People see your website, products, services etc and spend their money. It’s that easy!

    XRumerService eliminates the need for spending hours, days or even weeks manually creating backlinks because it does it all for you automatically! And best of all is that it’s totally AFFORDABLE!!!

    You can check it out here:

    http://xrumerservice.org

  34. 18, abril, 2012 em 23:32 | #34

    you have a fantastic weblog right here! would you wish to make some invite posts on my blog?

  35. 24, abril, 2012 em 12:46 | #35

    But if you look at the quality of tennis being played by Novak (both 2008 and 2011), he is right up there with Roger. I would even say his tennis quality is higher than what I have seen from NAdal. It’s only my opinion. If you put in Rafa’s best against Novak’s best I cannot see Novak losing the match.

  36. Syn4m1cs
    24, julho, 2012 em 23:55 | #36

    @Tiago
    Mas mano, o Stuxnet se alojou no pendrive e infectou os Windows com uma 0day.
    A infecção ocorreu pelo pendrive.
    Mas nesse caso é uma usina nuclear.

    Essa OSN eu creio que pode ser invadida facilmente, e ser controlada.
    Infelizmente

Página de comentários
1 2 3 4 202
  1. 12, novembro, 2009 em 11:31 | #1
  2. 12, novembro, 2009 em 11:38 | #2
  3. 12, novembro, 2009 em 12:13 | #3
  4. 12, novembro, 2009 em 20:05 | #4
  5. 12, novembro, 2009 em 22:54 | #5
  6. 13, novembro, 2009 em 00:15 | #6
  7. 13, novembro, 2009 em 18:26 | #7
  8. 14, novembro, 2009 em 14:51 | #8
  9. 15, novembro, 2009 em 13:24 | #9
  10. 15, novembro, 2009 em 18:32 | #10
  11. 16, novembro, 2009 em 08:25 | #11
  12. 16, novembro, 2009 em 08:55 | #12
  13. 21, novembro, 2009 em 21:31 | #13
  14. 3, dezembro, 2009 em 12:45 | #14
  15. 10, março, 2010 em 19:37 | #15
  16. 10, fevereiro, 2011 em 13:30 | #16
  17. 10, fevereiro, 2011 em 15:27 | #17
  18. 24, março, 2011 em 00:26 | #18