Falhas visíveis corrigidas na sexta-feira possibilitavam que piratas cibernéticos causassem danos na rede elétrica do país
Operador Nacional do Sistema Elétrico coordena e controla a operação e a transmissão de energia do Sistema Interligado Nacional
FERNANDO RODRIGUES
DA SUCURSAL DE BRASÍLIA
O Operador Nacional do Sistema Elétrico apresentava até a última quinta-feira vulnerabilidades em seu endereço público na internet. As falhas visíveis foram corrigidas apenas sexta, três dias depois do apagão que atingiu 18 Estados. Antes do conserto, o ONS facilitava a invasão de hackers.
Vários setores da página do site permitiam descobrir os programas internos usados pelo órgão para armazenar dados. Há também indicações de que porções do sistema elétrico monitorado são acessados de maneira remota.
"Da forma como estava o site do ONS, um aluno meu com cinco horas de aula estaria apto a invadir o sistema", diz Maycon Maia Vitali, 23, formado em computação e professor de um curso de extensão chamado "Ataques web" no Centro Universitário Vila Velha (ES).
As vulnerabilidades apontadas foram notadas pelo ONS depois de Maycon ter publicado o assunto em seu blog (http://blog.hacknroll.com), na última quinta-feira. "Houve uma falha. Corrigimos", afirmou na sexta-feira o diretor-geral do ONS, Hermes Chipp.
Nas últimas semanas a Folha consultou várias autoridades do governo sobre o possível risco de ataques por meio da internet aos sistemas de empresas de energia e dos órgãos reguladores do setor. O ONS e a Aneel (Agência Nacional de Energia Elétrica) negaram existir essa possibilidade. A Presidência da República e o Ministério da Defesa também.
Nos Estados Unidos, entretanto, dois apagões brasileiros em 2005 e 2007 (ambos no Espírito Santo e regiões do Rio de Janeiro) são citados pelo serviço secreto como tendo sido resultado de ataques de hackers, como são comumente chamados os piratas da internet.
Todos os órgãos oficiais e as próprias empresas de energia disseram à Folha que é inexistente o risco de invasões porque os sistemas seriam segregados da internet.
Ou seja, as máquinas usadas para monitorar a rede de geração e distribuição de energia não ficariam conectadas à web.
Essa segregação de sistemas não fica muito evidente quando se analisa o site do ONS. Existem algumas frestas pelas quais um bom especialista poderia penetrar e causar danos.
O caso do ONS é mais dramático, pois trata-se da autoridade conectada a quase todas as empresas geradoras e distribuidoras de energia do país.
As falhas até quinta eram primárias. Uma delas era usar o mesmo endereço público do órgão na internet para ser a porta de acesso a um sistema reservado por meio de senhas.
Para descobrir os endereços reservados bastava ir ao site do ONS (www.ons.org.br) e digitar à frente desse endereço a expressão "robots.txt".
Ao executá-la em um navegador de internet chegava-se a uma tela com endereços reservados do ONS -que não podem ser encontrados por sites de busca. Um deles é o agentes/agentes.aspx.
Aí surgem todas as opções de acesso a dados e controles reservados do ONS, o que permitiria um ataque, segundo o especialista Maycon Maia Vitali.
Não há indicações de que possa ter havido, de fato, uma invasão de piratas cibernéticos em empresas de energia no Brasil ou no ONS -nem que o blecaute de terça tenha sido por causa de queda no sistema de computadores.
Mas essa vulnerabilidade no ONS era grave e ficou disponível a quem tivesse interesse de provocar problemas nos computadores do órgão.
Fonte:
Comentários