A Verdade sobre o Apagão
Na noite do dia 10/11/2009, por volta das 22h00, todos os grandes centros do Brasil se viram na escuridão. Dentre eles estão o estado de São Paulo e Rio de Janeiro, juntamente com outros 15 estados. Além dos afetados no Brasil, tivemos vizinhos estrangeiros.
Entre os responsáveis por isso, o mais dito, foi o fato de o incidente ter sido causado por uma tempestade de raios. Porém boa parte de história não foi contada.
Há uma semana, no jornal “60 minutes” do canal americano CBS, um ex-hacker black-hat, Kevin Poulsen, afirmou que o Brasil estaria sujeito a ataques de hackers em seu sistema elétrico e, como sempre, o governo brasileiro juntamente com o ministro de Minas e Energia, Edison Lobão, negam completamente a possibilidade. Porém, a verdade pode ser dura para todos os brasileiros.
Ao ver a possibilidade, procurei analisar se realmente seria possível adentrar no sistema de gerenciamento elétrico do país. Até então, não conhecia nada sobre o assunto, porém ao analisar algumas noticias, percebi que um dos principais órgãos a gerenciar a energia é o Operador Nacional do Sistema (ONS).
Dando uma googlada, pude facilmente encontrar a página do governo (www.ons.org.br) e, caminhando por alguns links, notei nada de importante. Foi então que pensei: “Se eles tivessem alguma coisa confidencial, não estariam na página. E se eles quisessem esconder de indexadores como Google?”. Aí que veio a primeira parte da surpresa.
Existe o arquivo robots.txt na raiz de alguns servidores que definem algumas regras para os indexadores. O grande problema é que muitos desenvolvedores utilizam esses arquivos para ‘esconder’ diretórios e arquivos de possíveis atacantes. Porém um atacante poderia facilmente descobrir tais diretórios simplesmente e acessar os arquivos, como segue:
http://www.ons.org.br/robots.txt
Ao acessar este arquivos, temos o seguinte conteúdo:
User-agent: * Disallow: /agentes/agentes.aspx
Disallow: /download/agentes/
Fiquei surpreso ao perceber que realmente tentaram utilizar tais recursos para proteger um diretório.
Acessando o primeiro dos endereços, sem qualquer autenticação podemos ter acesso ao endereço de todos os Sistemas Agentes da ONS, inclusive alguns com software para download e manual. Não conheço quaisquer destes sistemas, porém um deles me chamou a atenção quanto ao blecaute que ocorreu na ultima terça-feira, o Sistema de Administração de Contratos de Transmissão (SACT), que é acessível através do do endereço http://aplicleg.ons.org.br/intunica/, e pode ser visto abaixo:
Tela de Login SACT
Com isto, conseguimos chegar a uma tela de login que representa nada mais nada menos do que o Operador Nacional do Sistema Elétrico. Pensei que a partir de então o processo seria mais difícil, porém mais uma vez fiquei surpreso com a incompetência do governo.
Ao fazer o primeiro teste, que qualquer ferramenta de auditoria de segurança faria, obtive um grande susto. Ao colocar uma aspas simples no campo de usuário e senha pude detectar a mais grotesca das falhas Web, um SQL INJECTION, tendo como resultado o seguinte:
[IfxException: ERROR [HY000] [Informix .NET provider]General error.] IBM.Data.Informix.IfxConnection.HandleError(IntPtr hHandle, SQL_HANDLE hType, RETCODE retcode) +27 IBM.Data.Informix.IfxCommand.ExecuteReaderObject(CommandBehavior behavior, String method) +739 IBM.Data.Informix.IfxCommand.ExecuteReader(CommandBehavior behavior) +104 IBM.Data.Informix.IfxCommand.ExecuteReader() +48 OnsClasses.OnsData.OnsCommand.ExecuteReader() IntUnica.Menu.btnOk_Click(Object sender, ImageClickEventArgs e) System.Web.UI.WebControls.ImageButton.OnClick(ImageClickEventArgs e) +109 System.Web.UI.WebControls.ImageButton.System.Web.UI.IPostBackEventHandler.RaisePostBackEvent(String eventArgument) +69 System.Web.UI.Page.RaisePostBackEvent(IPostBackEventHandler sourceControl, String eventArgument) +18 System.Web.UI.Page.RaisePostBackEvent(NameValueCollection postData) +33 System.Web.UI.Page.ProcessRequestMain() +1292
Ou seja, além de ter encontrado uma falha de SQL Injection, já descobri de cara que o sistema funciona rodando um banco de dados IBM Informix. A partir deste passo ficaria extremamente fácil para qualquer pessoa com conhecimento intermediário de SQL Injection invadir o Operador Nacional do Sistema Elétrico.
É interessante ressaltar que não tenho qualquer ligação com o ocorrido no dia 11 de novembro de 2009, e que irei parar a divulgação neste ponto para não comprometer mais ainda o funcionamento do sistema (odeio escuro). Não estou afirmando que o ocorrido foi causado por um ataque hacker, porém se tivesse sido, é importante deixar bem visível que o mesmo aconteceria sem qualquer dificuldade.
Espero que este post abra os olhos do governo, para que não possamos sofrer danos maiores em situações mais críticas.
Abraços a todos,
Maycon Maia Vitali (23 anos)
Alguém sabe quanto esta o jogo do Remo X Ananindeua ???
Grato.
A grande verdade é que a estação de Itaipudim foi atacada por extra-terrestres vindos de um planeta longínquo.
Esses ETs que são atraídos por campos eletro-magnéticos se utilizam para deferir seus golpes de zarabatana anal.
Isso misturado ao fato da rotação da terra em torno do sol, nos diz que a realizada do apagão é alem, a propósito é blecaute ou blackout ?
Enfim, que a luz esteja conosco !!!
Abs.
Acho que o culpado foi o Ruivo Hering……
Duvido muito que através de qualquer sistema conectado a world wide web, alguém tenha autonomia para sequer arranhar, que seja um único parafuso, de que depende o sistema de distribuição de energia deste país.
A descoberta da falha de segurança no site da entidade é notável, mas nada diz respeito, diretamente, ao funcionamento da nossa energia. Qualquer pessoa que tenha o mínimo de bom senso consegue perceber que são informações relevantes, mas que não comprometem diretamente o sistema de distribuição.
Só uma imaginação muito fértil ou interessada em buzz, vai pensar que através de uma base de dados, manuais, relatórios ou pequenos aplicativos client-side; teriam autonomia para alterar qualquer parâmetro afim de interferir no sistema, sem qualquer auditoria, burocracia ou processo administrativo interno.
Quem acha o contrário, para pra pensar em como funcionaria uma sistema do tipo “Clique aqui para paralizar a transmissão de energia de Itaipu para o resto do país”. Hilário.
Se há algum hacker trabalhando nisso, ele teria de atuar dentro da entidade e/ou utilizando da velha conhecida engenharia social e, não através de uma simples SQL injection..
Pra finalizar, se você não sabe ainda, certamente o site não foi desenvolvido por técnicos da entidade e sim por uma empresa que tenha conquistado o direito de desenvolvimento através de uma licitação. Essa por sua vez, muito fraca por sinal.
Fala sério né!?
Quer chamar atenção, põe uma melancia na cabeça e saia às ruas.
Sem mais.
@really?
Não tente negar o que está obvio.
Pare de mentir petistas
@Maurício Linhares
É até verdade que se a aplicação não permitir um SQL Injection, de nada adianta saber o banco… mas, quem está discutindo isso?
O Maycon somente mencionou a descoberta do banco porque ele já havia percebido a falha na aplicação. Você, me parece, está apenas querendo derrubar o post do cara.
Vamos parar com depreciações aqui, né?
Tu tem noção que o Maycon fez uma tempestade em um copo d’agua e outras pessoas apenas fizeram o favor de corrigi-lo?
Qual será o proximo passo? Rodar nikto, hping, nc, nessus, nmap e afins e ownar o ONS?!
Se ele não tivesse escolhido um título sensacionalista, talvez nada disso teria acontecido.
Incrivel o volume de profissionais querendo notoriedade. Hacker deste tipo é qualquer um basta se esforçar e ler um par de tutoriais na internet! A maioria dos caras que trabalham com segurança se acham foda porque sabem truques como este. Ninguem foca em prover soluções, resultados concretos ou contribuir para melhorar algo. Porra é o pais de vcs manés! Se vc acha o site uma merda em termos de segurança liga pra la e aponta o problema.
O Maicon postou com um título digno de matéria sensacionalista das mais safadas da Veja. Portanto, o ônus da prova é dele. *Qual* é a verdade sobre o apagão? Ora, se ele faz um post inteiro dedicado ao erro de verificação de input que ele descobriu usando o místico (cof) robots.txt do servidor, é porque ele acha que a verdade é que foi assim que o hacker do mal derrubou Itaipú.
Eles corrigiram o erro na página de login, mas se você verificar na página de alterar senha, o mesmo erro ainda existe.
Engenheiros de Software. ¬¬
@really?
Nao subestime a incompentencia alheia.. as coisas sao muito piores do q vc imagina, pode acreditar
Concordo. Porém eu procurei me limitar. Temos problemas muito mais claros e diretos no sistema.
…fala pretim!!!
paokspaokspokaoskapokspoakspoakpskaposkpaokspoakspkaokspakspokapska
XD
@maycon
Tipo?
Cara, pode não ter sido isto, mas de cara a vulnerabilidade descoberta é MONSTRUOSA!
Ressalto, segurança só vale para quem é contratado por competência e não por “indicação”.
E entra a velha questão:
Como php é vulnerável? A linguagem usada não foi dotnet?
Entendo que incompetência se resume no programador e não na linguagem!
Abraços e boas pesquisa para ti.
Carlos, de onde você tirou esse raciocínio bizarro sem sentido? Deixe de ser imbecil e ficar tentando fazer interpretações falaciosas pra zuar o artigo do cara. Se ele fez um post sobre uma falha, ele quer dizer que a verdade é que existe uma falha, não é simples e óbvio? Se o titulo não condiz, convém dizer que o titulo serve para atrair leitores, como em toda obra, seja de literatura ou artigo técnico, interessados no assunto, e foi justamente o que aconteceu.
Exemplo: se você ver um artigo “lula morreu”, e quando abrir o artigo, o mesmo estiver falando de um molusco encontrado em uma praia. É enganoso? é! Mas de certa forma se justifica, o importante é que, se o título atrai, você vai ler, e poderá se interessar pelo assunto.
Parabens Maycon
Muito bom o artigo, e independente se foi esse o motivo ou não. Mostra que o governo brasileiro é muito fraco em termos de segurança e investimentos em tecnologia.
Prometo que assim que corrigirem as falhas mostrarei o quão elas poderiam ser utilizadas para acessar o sistema.
PS: Ainda não afirmei nada com relação a o que tem por atrás do sistema.
@really?
A CIA já admitiu que o governo americano já fez a burrice de colocar o sistema elétrico deles na web.
Imagina então no Brasil… Em princípio a gente acha que eles não seriam tão burros. Mas eu trabalho em multinacional de software, e te garanto que o povo é muito mais estúpido e sem conhecimento do que você pensa. É sempre um bando de estagiário em qualquer projeto, pra apenas um cara sênior (que muitas vezes, nem tem conhecimento, apenas anos de estrada).
Nunca duvide da burrice alheia.
Se até a “USS Enterprise” tinha botões que precisavam ser apertados para que a nave fizesse alguma tarefa, porque uma usina elétrica do século passado seria totalmente controlada por uma rede (e principalmente pela internet?)
Fonte: Cav3ira – Linux Brasil
@ym1r
Se você acha que hacker desse tipo é qualquer um com conhecimento intermediário, pense no que alguém com um bom conhecimento pode fazer =)
Agora sim!!! Esse cara acertou na veia quando disse que “é sempre um bando de estagiário”.
Eu estava lá e vi o que aconteceu… Todos vocês estão enganados!! A verdade por trás do apagão foi a seguinte:
Os operadores do sistema haviam pedido uma pizza, afinal trabalhavam no turno da noite desde as 19h. Mas todos os operadores sêniors estavam com pressa para comer a pizza antes que a mesma esfriasse e por isso só ficou o estagiário na sala de controle, aguardando que a pizza começasse a ser servida. Eis que momentos depois, com todas as fatias já divididas, gritaram para o estagiário da copa da sala de controle:
“EI!!! Seu pedaço tá esfriando aqui!!!
QUANDO SAIR DA SALA DESLIGA TUDO!!!”
AUHauhAUHauhAUHauhAUHauhAUHauhAUHauhA
deu no que deu…
Quem mandou confiar em estagiário???
AUauhAUHauhAUHauhAUHauhA
Eu mesmo não tenho o conhecimento de programação necessário para julgar a relevância das fragilidades no sistema usado pelo governo. Mas nunca me surpreendo com a ignorância das pessoas. Eu tô é com o Einstein : existem apenas duas coisas infinitas, o universo e a burrice humana – no entanto, não estou tão certo sobre o primeiro.
fico com a história dos extra-terrestres vindos de um planeta longínquo, é mais legal…
É impressionante como pessoas que detem certo conhecimento o utilizam para procurar espaço na Web… Se fosse um “profissional” com um minimo de ética, alertaria o orgão ONS, a respeito da vulnerabilidade e não ficaria exagerando nas noticias para aparecer…
Maycon, muito interessante sua pesquisa, porém você me parece muito ingênuo.
É totalmente incoerente pensar que o sistema Elétrico brasileiro seja controlado por um “sisteminha Web”.
O governo brasileiro pode até ter suas incompetências, mas julgar que as pessoas que trabalham no sistema elétrico sejam incompetentes é exagero.
Quando se fala em aplicações de sistemas elétricos, estamos falando de aplicações de tempo real critico que ficam em DMZ, onde estes softwares operam sobre sistemas Unix/Linux totalmente seguros.
A Itaipu empresa responsável pela maior parcela de produção de energia do país, tem uma estrutura altamente segura, onde os sistemas que operam na geração e controle de energia (Sistema de Supervisão e Aquisição de Dados – SCADA), ficam em redes totalmente isoladas.
Não podemos usar como base um sistema qualquer feito em .NET ser responsável por operar e controlar a geração de energia no Pais.
@Ralph
Cara na boa…
Você leu com quais olhos este post?
Ele fez isso justamente para alertar, sendo que isto pode ser apenas uma ponta do iceberg…
Se o governo fosse tão firme que suas aplicações são seguras não teria convocado inumeros profissionais de segurança para analisar as urnas eletrônicas.
E outra se você conhecesse a tragetória do Maycon iria medir melhor as suas palavras pois ele não quis se aparecer, só achou assim como eu uma coincidência incrível a Dilma falar que o país estaria imune a apagões, depois o 60 minutes falar sobre o sistema elétrico do nosso país e que ele era sucetível a ataques “hackers” e em pouquíssimos dias o sistema quase todo “cair”…
[]‘s
Esses extraterrestres a que o amigo Jurupinga se referiu não precisariam de campos eletromagnéticos para sua zarabatana anal : bastaria uma ultra generosa porção de feijoada + repolho + ovos cozidos + farofa apimentada + batata doce + maçã,e completando uma coca cola de 3,5 litros. O projétil da zarabatana em questão sairia acompanhado por uma imensa labareda. Aliás,quem sabe se não foi uma tal labareda que tenha na realidade causado o apagão !?
Olá Ralph,
Como você pode me garantir que eu não alertei a ONS? Só para ficar ciente, eu relatei a eles todas as falhas que encontrei nos sistemas deles, porém só divulguei a mais difícil de explorar. Até ontem a noite adivinha quais falhas estavam corrigidas? Isso mesmo, somente a que foi divulgada. Isso só comprova que quando se grita pro mundo inteiro ver, fica mais rápido a correção. Não tive intenção alguma de prejudicar o governo no qual usufruo do serviço, acho que isso além de anti ético como você disse, seria burrice.
Quando você diz que as aplicações em tempo real estão em DMZ você esta se referênciando ao Metaframe da ONS:
https://metadmz.ons.org.br/Drill/auth/login.aspx
Em hipótese alguma eu afirmei que atrás do *Sisteminha Web* está o sistema de gerenciamento elétrico. Tanto que para afirmar isto eu estaria afirmando de que eu teria entrado, e isto não aconteceu.
Acho que é mais ingenuidade de sua parte pensar que um sistema de um governo que não tem grandes preocupações com segurança e que roda sob plataformas Unix/Linux são totalmente seguros.
É notável que o governo não tem qualquer preocupação contra ataques cibernéticos simplesmente pelo fato de não haver leis especificas para apurar esses tipos de delitos.
Isso é uma prova da competência do Estado brasileiro. Mais uma área falha.
Como vocês querem ter o controlo sobre petróleo, dêem a um pais quem tem competência para transformar esta riqueza para o bem de seu povo.
Minha experiência diz que é muito provável que haja serviços que manipulam dados do sistema de controlo eléctrico e que estejam expostos. E que este apagão possa ter sido provocado por uma falha informática.
Por favor, vendem a Amazónia, vendem o controlo da extracção de petróleo, vendem a água. e deixem as coisa como estão…. pior não pode ficar.
PS. Não se iludam que haja algum politico que possa mudar isso…. mesmo que surja um ‘Yes, We can!’ sem um dedo.
Só seria mais patético se o ONS estivesse hospedado na Locaweb. Apagão técnico com insegurança + incompetencia lulista!!!
e todos os boizinhos do capitalismo cantam em coro: “é tudo culpa do Lula”
@JuruPinga
é a hipótese mais coerente…
@Romualdo
Ronaaaalldoo..
ainda sim, imagino que há fundos de verdade…
como o brasil sendo um lugar cheio de hackers ou crackers como queira, ja que hacker do bem e do mal é história em quadrinhos, e realmente o pais tenta, sim “TENTA” se adequar a tecnologia, existe sim a possibilidade de todos os sistemas serem interligados baseado em web.
e como sempre, não é divulgado por motivos de segurança.
negar até o fim um motivo real é o que a maioria das empresas fazem, afinal, se existe falha, quem ira confiar? claro nenhum sistema é 100%, só que, imagine o impacto (que ja se mostrou possivel) se por exemplo assumirem que o sistema é interligado e sim teve uma falha, e foi essa falha baseada na propria conexão direta deles que resultou no apagão?
seria uma pancada geral na bolsa.
@torrent
Mu.
A verdade sobre o apagão: 2010 é ano de eleição presidencial. Até outubro, muitos “fatos” serão criados para atingir o governo. É assim que funcionar no Brasil. esperem e verão
Caro, caros.
Obviamente o sistema de distribuição de energia de Itaipu não tem acesso a web, o máximo tem uma conexão remóta por uma linha provada via ISDN.
Uma vulnerabilidade em um site, concerteza é apenas a vulnerabilidade em um site. O cara fez o SQL injection, mas nem ao menos acessou o sistema para saber se realmente é o que ele suspeita que seja.
Eu faço parte dos que pensam que uma chuvinha de raios não poderia derrubar três linhas de distribuição, mas acredito que o motivo real não esteja em ataques hackers, pois isso seria muito simples remediar e voltar ao normal em poucos minutos, mas acredito que o motivo esteja muito além disso, como sobrecarga no sistemade distribuição de energia do país ou algo do tipo.
XD
Abraços a todos.
Assim como eu não posso afirmar que o sistema tem acesso pela Web, você não pode afirmar que não tem. Com disse no post, não relatei em momento algum que a falha faz abrir uma porta mágica que acessar o sistema de controle de energia do ONS. Acho que é muito óbvio o motivo do porque eu não segui adiante até o fundo, certo?!
Também faço parte do grupo dos que estão longe de acreditar que o incidente ocorreu por tempestade. O próprio pessoal do INMET já afirmou que o raio mais próximo das linhas de distribuição estavam a 2km de distância, e que mesmo se tivesse caido na linha, ele teria que ser de 5 a 6 vez mais forte pra causar qualquer prejuízo.
Fala maycon, sou jornalista e gostaria de conversar a respeito do apagão ligado a hackers. Por favor entre em conatato comigo, se possível, no email:
felipe.wainer@tvglobo.com.br
Obrigado,
abrs
Parabens caro amigo!
Continue assim, ignore as criticas e faca sempre o seu bom trabalho.
Voce citou uma possibilidade, o que eu vi de comentarios aqui falando asneiras devem ser ignorados.
E quem disse que sistemas nao podem ser controlados via web? Futuramente quase tudo vai ser controlado via web… cambada de burros!
Reclamar é facil, quero ver melhorar e/ou dar solucoes para esse caso.
Tem gente assistindo muito Duro de Matar 4…
Isso mesmo! Não ligue para os comentários com fundamento! Não ligue para os comentários coerentes! Somente preste atenção nos comentários superficiais que te enchem o ego! Vai lá campeão!
kkkkkkkkkkkkkkkkkkkkkkkkkkkkkk
realmente nao creio que tenha sido isso
Prezado Maycon,
Sou o delegado Romualdo Antunes da Divisão de Crimes Cibernéticos e gostaria de pedir determinados esclarecimentos sobre suas tentativas de invasão aos sistemas de infraestrutura críticos do governo. Por favor, entre em contato comigo por romualdo@dpf.gov.br.
@Romualdo Antunes
ai a PF agora faz intimação por comentários em post? essa é nova pra mim.
Muito bom o texto, mesmo que esse sistema não controle a distribuição de energia, mostra um pouco da qualidade, ou a falta dela, nos softwares do governo.
O problema foi o seguinte, vc, estão todos malucos, na verdade quando sobra muita energia, por causa do horário de verão, o sistema esquenta demais, como o governo tirou o IPI e outros impostos da linha branca, há mais geladeiras, ar, máquinas, etc, só que combiram em ligar tudo junto a mesma hora, ai o sistema entrou em colapso, mas a culpa mesmo é da China, com as luzinhas, todo mundo tá montando pinheirinho com luzinhas, ai o disjuntor CAIU….
Vocês estão indo com muita sede ao pote.
Trabalho no INPE e considero precipitada a atitude do Dr. em raios da instituição.
Infelizmente ele se deixou pautar pela imprensa golpista que vocês representam.
O governo precisava dos dados do seu laboratório para investigar as possíveis causas do apagão. Ninguém em sã consciência, daqui do instituto, pode afirmar que foi um raio, ou um vento, ou uma tempestade solar, que causou ou não o apagão.
Pelo que me consta são probabilidades, e na ciência isso tem que ser levado a sério, e não afirmações precipitadas contra ou a favor das pessoas.
É improvável que tenha ocorrido ataque por este caminho, mas que o título do post atraiu visitantes…:-) serviu pelo menos para um marketing