A Verdade sobre o Apagão
Na noite do dia 10/11/2009, por volta das 22h00, todos os grandes centros do Brasil se viram na escuridão. Dentre eles estão o estado de São Paulo e Rio de Janeiro, juntamente com outros 15 estados. Além dos afetados no Brasil, tivemos vizinhos estrangeiros.
Entre os responsáveis por isso, o mais dito, foi o fato de o incidente ter sido causado por uma tempestade de raios. Porém boa parte de história não foi contada.
Há uma semana, no jornal “60 minutes” do canal americano CBS, um ex-hacker black-hat, Kevin Poulsen, afirmou que o Brasil estaria sujeito a ataques de hackers em seu sistema elétrico e, como sempre, o governo brasileiro juntamente com o ministro de Minas e Energia, Edison Lobão, negam completamente a possibilidade. Porém, a verdade pode ser dura para todos os brasileiros.
Ao ver a possibilidade, procurei analisar se realmente seria possível adentrar no sistema de gerenciamento elétrico do país. Até então, não conhecia nada sobre o assunto, porém ao analisar algumas noticias, percebi que um dos principais órgãos a gerenciar a energia é o Operador Nacional do Sistema (ONS).
Dando uma googlada, pude facilmente encontrar a página do governo (www.ons.org.br) e, caminhando por alguns links, notei nada de importante. Foi então que pensei: “Se eles tivessem alguma coisa confidencial, não estariam na página. E se eles quisessem esconder de indexadores como Google?”. Aí que veio a primeira parte da surpresa.
Existe o arquivo robots.txt na raiz de alguns servidores que definem algumas regras para os indexadores. O grande problema é que muitos desenvolvedores utilizam esses arquivos para ‘esconder’ diretórios e arquivos de possíveis atacantes. Porém um atacante poderia facilmente descobrir tais diretórios simplesmente e acessar os arquivos, como segue:
http://www.ons.org.br/robots.txt
Ao acessar este arquivos, temos o seguinte conteúdo:
User-agent: * Disallow: /agentes/agentes.aspx
Disallow: /download/agentes/
Fiquei surpreso ao perceber que realmente tentaram utilizar tais recursos para proteger um diretório.
Acessando o primeiro dos endereços, sem qualquer autenticação podemos ter acesso ao endereço de todos os Sistemas Agentes da ONS, inclusive alguns com software para download e manual. Não conheço quaisquer destes sistemas, porém um deles me chamou a atenção quanto ao blecaute que ocorreu na ultima terça-feira, o Sistema de Administração de Contratos de Transmissão (SACT), que é acessível através do do endereço http://aplicleg.ons.org.br/intunica/, e pode ser visto abaixo:
Tela de Login SACT
Com isto, conseguimos chegar a uma tela de login que representa nada mais nada menos do que o Operador Nacional do Sistema Elétrico. Pensei que a partir de então o processo seria mais difícil, porém mais uma vez fiquei surpreso com a incompetência do governo.
Ao fazer o primeiro teste, que qualquer ferramenta de auditoria de segurança faria, obtive um grande susto. Ao colocar uma aspas simples no campo de usuário e senha pude detectar a mais grotesca das falhas Web, um SQL INJECTION, tendo como resultado o seguinte:
[IfxException: ERROR [HY000] [Informix .NET provider]General error.] IBM.Data.Informix.IfxConnection.HandleError(IntPtr hHandle, SQL_HANDLE hType, RETCODE retcode) +27 IBM.Data.Informix.IfxCommand.ExecuteReaderObject(CommandBehavior behavior, String method) +739 IBM.Data.Informix.IfxCommand.ExecuteReader(CommandBehavior behavior) +104 IBM.Data.Informix.IfxCommand.ExecuteReader() +48 OnsClasses.OnsData.OnsCommand.ExecuteReader() IntUnica.Menu.btnOk_Click(Object sender, ImageClickEventArgs e) System.Web.UI.WebControls.ImageButton.OnClick(ImageClickEventArgs e) +109 System.Web.UI.WebControls.ImageButton.System.Web.UI.IPostBackEventHandler.RaisePostBackEvent(String eventArgument) +69 System.Web.UI.Page.RaisePostBackEvent(IPostBackEventHandler sourceControl, String eventArgument) +18 System.Web.UI.Page.RaisePostBackEvent(NameValueCollection postData) +33 System.Web.UI.Page.ProcessRequestMain() +1292
Ou seja, além de ter encontrado uma falha de SQL Injection, já descobri de cara que o sistema funciona rodando um banco de dados IBM Informix. A partir deste passo ficaria extremamente fácil para qualquer pessoa com conhecimento intermediário de SQL Injection invadir o Operador Nacional do Sistema Elétrico.
É interessante ressaltar que não tenho qualquer ligação com o ocorrido no dia 11 de novembro de 2009, e que irei parar a divulgação neste ponto para não comprometer mais ainda o funcionamento do sistema (odeio escuro). Não estou afirmando que o ocorrido foi causado por um ataque hacker, porém se tivesse sido, é importante deixar bem visível que o mesmo aconteceria sem qualquer dificuldade.
Espero que este post abra os olhos do governo, para que não possamos sofrer danos maiores em situações mais críticas.
Abraços a todos,
Maycon Maia Vitali (23 anos)
hein amigão…não entendi uma coisa…”Ao fazer o primeiro teste, que qualquer ferramenta de auditoria de segurança faria, obtive um grande susto. Ao colocar uma aspas simples no campo de usuário e senha pude detectar a mais grotesca das falhas Web, um SQL INJECTION, tendo como resultado o seguinte”…
eu coloquei aspas e deu erro de login…como surge esse erro que vc menciona?
e tb na parte do Existe da pagina que aparece o arquivo robots.txt tem como explicar pra leigos???
abração e aguardo resposta
Acho engraçado como as pessoas defendem apenas possibilidades extremas. Lendo os comentários há apenas duas opções, ou o sistema é totalmente isolado (como a sala do Missão Impossível) ou pode ser acessado pela internet, através de um site sem nenhuma proteção.
Existem varias opções intermediárias. Pelo que entendi pelo site é possível obter diversas informações sobre funcionários e, também, sobre parte da estrutura do sistema. Com essas informações, um hacker pode com muito trabalho, obter novas informações e acesso a outra parte do sistema. O processo de invasão, obviamente não é instantâneo. Não estou dizendo que foi um hacker, estou dizendo que as duas hipóteses colocadas são igualmente improváveis. Assim como, diversas outras intermediárias que criarmos serão improváveis.
O sistema de Itaipu não é ligado a internet sem nenhuma proteção, mas também não é acionado por botões. Com certeza ele toma decisões de proteção sem esperar ação de operador, a demora poderia danificar um gerador e ficar sem ele sair muito mais caro do que o prejuízo de cortar o fornecimento por um tempo.
Duvido também que foi um raio que desligou tudo, afinal ninguém gastaria bilhões para construir um sistema que um raio qualquer desliga.
Com certeza algum problema grave ocorreu, para o sistema de proteção decidir proteger os bilhões investidos na usina. Seja o problema, falha grave do sistema de transmissão, falha grave de segurança ou falha grave de projeto do sistema.
Uma observação final, o problema nem precisa ter sido em Itapeva, o sistema é interligado, logo, uma localização adequada do problema ou pequenos problemas, pode gerar uma reação em cadeia que derrubaria os sistemas por partes. E na minha residência notei pelo menos 3 estados de fornecimento, primeiro a energia oscilou por cerca de 10 segundos, depois a energia ficou em um valor baixo por uns 10 minutos e por fim apagou tudo.
Eu acredito que eles ainda não sabem o que foi, mas para não admitir isso deram uma resposta padrão.
Como já diria papai: Hack ‘n’ my balls…
Não falou nada demais de qualquer sistema brasileiro online…. nada que possa ser feito ou provado… Só o bom e velho chute de quem não faz
Para de espalhar noticias paranoicas pras pessoas e arruma um trampo em uma empresa que possa valorizar o teu conhecimento, saca?
@maycon
Maycon, você até pode estar correto em pensar que o GOVERNO não se preocupa em Segurança, porém, os órgãos que atuam no mesmo se preocupam e muito, ou você acha que estes órgãos vão ficar divulgando o que fazem para garantir a segurança para todo mundo ficar sabendo?? Nunca lhe passou pela cabeça que essas empresas contratam empresas especializadas em segurança justamente para tentar explorar as suas falhas???, você não pode generalizar.
Esse sistema que você acessou, é apenas um sistema de contratos, mais nada, não se iluda.
Se tratando de usinas e transmissão de energia, os sistemas que controlam são sistemas de tempo real critico. Quando afirmei que o sistema de Itaipu opera sobre redes Unix/linux totalmente seguras, não estava pensando ou fazendo uma suposição, estava afirmando com base de conhecimento da mesma, não apenas por conhecimento empírico e generalista como o seu.
Com bom senso você já poderia ter pensando um pouco antes de escrever seu POST, pois, você acha através de apenas um sistema ou uma rede, toda a transmissão de energia de um país seria afetada? JAMAIS, nós temos a maior Usina do mundo e com isso temos processos MUITO maduros e seguros para garantir a segurança e transmissão de energia.
Só para você ter idéia o sistema que controla Itaipu fica em uma rede TOTALMENTE isolada da sua rede logo não possibilita acesso externo. A empresa em si trabalha em outra rede e essa rede não tem acesso ao sistema que gerencia a geração de energia. Existe uma terceira rede onde os dados são compartilhados para os sistemas externos usarem, sendo que este acesso é sobre dados replicados e mais NADA.
Antes que escrever sobre algum tema procure obter informações mais concretas e não tirar conclusões em cima de seus estudos caseiros
Ate+
Gildo
Maldita inclusão digital, acreditam em qualquer carinha que poste o stacktrace ou código sem nem saber o que é na verdade. O pior foi ver repórteres vindo querer entrevista. KKKKK…
Quem conhece, como Gildo, sabe que os pc’s da rede, que controlam uma determinada instalação, possui acesso externo (internet) restrito.
O maycon no mínimo recebeu milhares de visitas aí, um adsense poderia ter trazido uma grana legal nesses dias. :/
Já ia esquecendo… “Como já diria papai: Hack ‘n’ my balls…” [2]
Pedro VillaLobos, excelente Post… Repetindo as palavras… Vai arrumar um trampo amigo… Vê se consegue um trabalho na ONS… Vai ver que eles estão precisando de um “especialista” em segurança como vc… Pra ficar tentando fazer SQL INjection no sistema… hahahahahahahaha
Não interessa se a msg sobre o sql injection é fake ou ñ! O importante aqui é mostrar às pessoas q boa parte dos sistemas do governo são passíveis de ataques dessa natureza. Quando o velho INFERNO.BR começou essa pohha, boa parte aqui era “filhinho da mamãe criado com a vovó”. Hj virou mania todo mundo “invadir” usando sql injection!!! Conheço uma negada q ñ sabe codar nem uma linha e C e acha q usar xpl criado por gringo é ser “hacker”.. Ñ consegue recompilar um kernel mas sempre quando acha um site bugado deixa lá “OWNED BY ME” Pohha.. hipocrisia do caralho! Um exemplo clássico dessa pohha toda foi alguns anos atrás quando vários sites da Micro$OFuckT sofrerem defacement via “WEB-FOLDER” por volta de 2001. Daí vc pensa.. um site como M$ da Yugoslávia sofrendo ataque via webfolder é tosco, mas aconteceu com vários sites da M$. Enfim, ñ dá pra conquistar o mundo com sql injection, mas dá pra surrupiá-lo!
Shouts to Maycon Maia Vitali. Congratulations!
Caralho véi vc estava certo hein!
O site da Band citou o seu blog:
http://www.band.com.br/jornalismo/tecnologia/conteudo.asp?ID=221135
Ontem fiquei muito bolado com a reportagem no Domingo Espetacular sobre a investigaçao do Governo Americano sobre atividades Hacker no Brasil relacionado a apagões em 2005 e 2007.
Parabéns cara!
Nossa como tem pessoas invejosas, porque os “entendidos” nos comentários (sic)não se manifestaram antes?
Depois do frango assado, todos querem um pedaço.
O que o garoto postou foi, como ele mesmo disse uma suposição, e não uma afirmativa., Maycon esta de parabéns, continue estudando, eu não sou de ficar postando comentários, mas não resisti após ler a maioria das postagens dos “mestres” no assunto.
Só queria umas respostas:
Um ou vários Ráios podem desligar a geração de energia de uma usina? como tem apagão se não caiu nenhuma torre e nem houve rompimento de fios? Porque os geradores ficaram girando sem produzir energia se não houve falta de água nos reservatórios?
Não tem chave nos transformadores, que possa ser desligada evitando a continuidade da rede? etc, etc, etc.
Parabéns pelo post.
Maycon,
Acho que os que postaram contra seu comentario ou fazem parte ou nao querem ver que o “Rei esta nu”. Chega de nos tratarem como gado (ou melhor, burros).Sabemos hoje que temos uma grande maioria de incompetentes controlando os ministerios e empresas brasileiras e que para consequirem tais cargos bastaram ser filiados ou afiliados de partidos ou de politicos e que tem outros interesses e nao com o Brasil.O sistema esta ou estava vulneral, seja desde a sua incapacidade de isolar o problema a determinada area como a de permitir acessos externos a seus sistemas de computadores, nao importa qual,como voce provou e que certamente nao quis ir mais fundo por conhecer as possiveis implicacoes ( hoje, quem faz a coisa certa eh que esta errado, vide o TCU, os jornalistas serios, os juizes tambem serios e ate o Protogenes). Respaldando seu trabalho tem a reportagem da CBS dos apagoes anteriores, que aconteceu coincidentemente(??) no domingo anterior a este ultimo apagao.
Parabens pela coragem e pelos conhecimentos demonstrados ate na sequencia de seu blog.
Hahahahahaha. Lula agora é o homem do tempo. Cria chuvas e trovoadas onde nunca existiu. Hahahahahahahaha
Creio que as teorias do nosso gran-colega Mycon em cima das pesquisas ja debatida pelas principais sites de forum do genero,volta a tona novamente aquilo que nos nao conseguiamos contrariar em nosso ego oculto. Mesmo um servidor por mais que trabalhem em celula independente pode haver pcs a servico para estar de “executores” das tarefas eletro-mecanicas.Sendo assim la adiante pode sim haver uma possibilidade (minima)mas de eles serem operaraveis remotamente,em caso de alguma emergencia de nao conseguir operar no local ! E remotamente o que vem a primeira instancia e algo como conectar de alguma forma em cima do que esta disponivel hoje …
Não temos a maior Hidrelétrica do mundo. A MAIOR DO MUNDO É A DE TRÊS GARGANTAS,NO RIO YANGTSÉ, NA CHINA!
E eu não duvido que o gerenciamento da nossa seja feito com gambiarras. Pra quem tem um sistema de controle de tráfego aéreo como o nosso, uma verdadeira zona do meretrício, difícil acreditar que a segurança das usinas é feita de forma profissional e competente.
Fala sério…
Meu, vcs podem entender tudo de informática e invadir o site do ONS, MME, ANEEL, etc… Nada disso tem a ver com os sistemas Scada que controlam a geração/transmissão/distribuição de energia. Os sistemas de controle são fisicamente isolados… Então, não venham com o besteirol de que o apagão foi causado por um haker… Essa afirmativa é tão idiota quanto a afirmação de que “não corremos mais riscos de apagão” ou “aviões novos não caem”.
Maycon, boa tarde. Gostaria muito de fazer uma entrevista curta com você sobre segurança virtual, para o meu blog e para um site o qual escrevo. Você estaria interessado? Abraço, Daniel.
Bem bacana velho oparabens, problema de validação nada que uma regex resolva…
por isso faço meus sistemas em Perl com DBIx ou php usando PDO pra evitar estas falhas escrotas…
mais por ser site do governo deveria ser feito com LISP,Lua,ansi C+CGI e está area ai nem devia tar no robots, devia ser soh intranet… se o itaipu é do governo prova que os cara que o governo forma no ITA,USP não ajuda em nada…
mas a melhor forma de acabar com a luz numa usina seria com eletronica ou seja
fazer uma arma de pulso eletromagnético como do livro “eletronics gadgets for evil genius” um amigo fez o aparelho é ligado numa bateria de carro destroi qualquer aparelho eletronico num raio de 10 metros brutal mesmo…
sua matéria foi divulgada no G1 da globo
Tecnologia
olha o link:
http://g1.globo.com/Noticias/Tecnologia/0,,MUL1380926-6174,00-HACKERS+INVADIRAM+SITE+DIZ+ONS.html
Sql injection, que segurança hein?
caro amigo estou espantado com a sua teoria sera possivel tamanho erro? Tudo é possivel e pelas mais variadas razões. Mas penso que o governo e as empresas vão resolver a questão. Digo eu porque eu do escuro so gosto no cineminha.
Um abraço
PAULO
Garanto a vc que o site do ONS não tem qualquer ligação ao controle do sistema elétrico brasileiro, os sistemas Internet e a rede de produção são separadas fisicamente, e não há qualquer maneira de um hacker conseguir através de invasão por internet de causar um apagão.
Isto tudo é só especulação. O que foi invadido e encontrado como erro é apenas um servidor pra acesso de funcionário ao sistema de relatórios, emails, entre outras coisas administrativas de burocracia que não interferem em nenhuma aspecto qualquer funcionamento do controle do sistema elétrico brasileiro.
Tenho provas de tudo que eu falei, bobo quem acreditou, bobo quem está por fora e procura algo só pra ficar fascinado!
Fala sério esses apagoes são super normal!Eu moro no interior e cada passo ta faltando luz,e aqui nós apenas comunicamos a Copel da falta de energia!AS vezes ficamos até 3 dias inteiros sem luz!Então quando apagar a luz ai na CIDADE apenas acenda umas velas e pronto!
Bando de noob, o governo fala que foi um raio que causou o estrago vcs vao e acredita. O governo fala que não foi ataque hacker vcs vão e acreditam. O lula fala eu não sei de nada vcs acreditam. Nenhum sistema e perfeito.
rackers de merda, tudo fajuto….kkkkk
http://www.orkut.com.br/Main#Profile?uid=6079078163993487125
dddduuuuuvvvviiiiiddddddooooooooo
tudo fajuto………..
lindo seu post!!!!!
Delícia cara… Vi no dia que você postou e voltei aqui hoje para ler os comentários. Melhor do que ter conhecimento é ver os incapazes se roendo de inveja. Eu quase gozo ao ler os comentários difamando, criticando, duvidando, desdenhando, etc.
Garotada punheteira da internet que acha que derruba o Google com o (in)famoso “ping da morte”. A galera que trampa com segurança, de qualquer área, não são mais garotinhos inocentes e juvenis que estão na idade da auto-afirmação. Essa mesma galera (na qual me incluo), está cagando e andando pra você, o que você acha e em que e quem você acredita.
Se é isolado ou não, foda-se! Se é possível ou não, foda-se!
O intuito do post foi simplesmente alertar sobre a falha. Se alguém passou desse ponto por mérito próprio, parabéns. Os que passaram sabem o que tem do outro lado, agora vocês RÁQUERS de araque estão ae se matando esperando um documento completo de como explorar a falha, mais conhecido como receita de bolo (ou programa pronto, não é, seus lixos?).
Quanto aos infelizes e incapazes que nem sabem do que se trata um SQL Injection (ou googlou pra dizer que sabe o que é), meus pêsames, muito estudo pra vocês.
E por favor RÁQUERS, parem com seus Ardamax em lan house pra roubar orkut, e-mail e MSN. AHUauhaHUahuauhauhauhahuauhauhaUHaHU
Até + seus lixos
Parabéns, Maycon
Eles quem não entenderam o espírito e o real objetivo do post
window.location.href=”http://www.invasao.com.br”
window.location.href=”http://teste.desite.com.br”
@julianaanaliju@hotmail.com
Só podem estar de sacanagem comigo.
nenhum sistema é perfeito…imagine os eletricos..
quero derrubar um site pago uma grana boa até amanhã
Olá, como o Maycon Falou, é possivel sim um ataque por sql injection, a realidade de hoje são estes ataques nas lojas online, e outros sites que tenham fundos monetários… SQL INJECTION É PERIGOSO!
Maycon parabens para você.
Independente do sistema deles ser falhos por meios de sql injection que poderia ter ocasionado o blackout ou não, voce mostrou que o sistema é falho.
Uma empresa seja ela qualquer pequena ou grande, de importancia pra sociedade ou não tem que ter seus sistemas seguros, logicos sabemos que nada é tudo 100% seguro, mas sql injection é piada ne?
Parabens para você, como nada foi concretizado mas eles se preocuparam com o sistema que hoje corrigiram a falaha do sql injection.
Entao Maycon sua observação ao sistema ja valeu de alguma coisa.