O especialista em segurança Robert Graham descarta que os apagões de 2005 e 2007 foram causados por hackers, mas adverte que invasores poderiam, sim, causar blecautes – e sem muita dificuldade, porque as próprias empresas de energia não sabem dos problemas existentes em sua rede de computadores. Esses supostos ataques foram divulgados pela rede de televisão norte-americana CBS, no programa “60 minutes”, no início do mês.
O ONS confirmou na tarde desta segunda-feira (16) que sua rede corporativa sofreu invasão de hackers na noite de quinta-feira. No entanto, descartou que o apagão que atingiu 18 estados na terça-feira (10) tenha sido causado por ação de hackers. O ONS cita o Ministério das Minas e Energia, que voltou a confirmar que o blecaute foi causado por curto-circuito.
Robert Graham, ouvido pelo G1, é fundador e diretor-executivo da empresa de segurança Errata Security. Especialista em análise de segurança, ele realiza testes de penetração (pen-tests), uma espécie de “hacking” autorizado pelas empresas para verificar a segurança da própria rede. Graham tem larga experiência no setor elétrico e, em 2006, palestrou sobre o assunto na conferência de segurança Black Hat, uma das mais importantes do mundo, como integrante do time de pesquisa X-Force da Internet Security Systems (ISS), hoje parte da gigante IBM.
Contestação
Em resposta ao que foi dito pelo “60 minutes”, Graham escreveu em seu blog: “como um pen-tester, eu sei que [a rede elétrica norte-americana] é insegura. Fiz avaliação de segurança em empresas de energia. Sei que posso hackear pela internet e causar apagões”.
Apesar da vulnerabilidade, Robert Graham não acredita que blecautes tenham sido causados por hackers. Para fundamentar a denúncia de que Brasil teria sido atacado, o “60 minutes” consultou oficiais de inteligência e do exército nos Estados Unidos. Essas fontes, anônimas, não convencem o especialista.
“Eu tive muitas experiências com agências de inteligências dos EUA. Eles tendem a distorcer qualquer boato relacionado a hackers, têm uma paranoia extrema e vão facilmente considerar como ‘fato’ coisas para as quais há pouca ou nenhuma prova”, revela Graham. “Em outras áreas eles fazem um bom trabalho para distinguir fatos e ficção, mas parece que tudo que envolve hackers os assusta”.
O especialista também não acredita que a insegurança das redes elétricas seja um problema tão grande. “Há risco. Hackers irão eventualmente causar um grande apagão. No grande esquema das coisas, porém, não é tão importante. Blecautes causados por erros acidentais sempre serão uma ameaça maior. Estados-nações explodindo linhas de transmissão, com bombas, sempre serão uma ameaça maior. Regulamentação ruim sempre será uma ameaça maior”, escreveu ele em seu blog.
Graham considera que a reportagem do “60 minutes” é apenas “propaganda” para vender a ideia de que sistema elétrico requer mais intervenção do governo para aumentar sua segurança – o que, segundo ele, não resolverá o problema.
Vulnerabilidade
Foto: Reprodução
Exemplo de interface gráfica de um sistema SCADA. (Foto: Reprodução)
Em entrevista ao G1, o especialista disse não acreditar que ataques ao sistema elétrico aconteçam. E diz não ter ideia de por que não acontecem. “Eu faço muitos testes e às vezes fico muito surpreso que meu cliente ainda não foi hackeado”, diz. Assim como outros serviços básicos, tais como água e gás, o abastamento de energia elétrica é monitorado e controlado pelos sistemas conhecidos como SCADA (Supervisory Control And Data Acquisition ou “Sistemas de Supervisão e Aquisição de Dados”).
Para as empresas, o SCADA está sempre isolado da internet ou de outras redes, o que impediria ataques externos. Na experiência do especialista, esse não é o caso.
Embora a experiência de Graham seja nos Estados Unidos, não há motivo para acreditar que a situação é muito diferente no Brasil – inclusive alguns dos sistemas de controle usados lá são também usados aqui. A palestra realizada pelo especialista na Black Hat conta vários casos em que o cliente – no caso, uma empresa de energia – disse estar seguro porque a rede do SCADA estava isolada. Graham provava o contrário, muitas vezes acessando uma simples rede sem fio aberta, e encontrando sistemas que faziam a ponte entre as redes.
Em um dos casos, o computador que conectava a rede ao sistema de controle pode ser comprometido com uma falha de dez anos atrás. O computador nunca fora atualizado.
Isso porque uma das características do sistema SCADA é que, por serem parte de infraestrutura crítica, eles raramente são atualizados. “Por isso, você pode ver todo tipo de equipamento de informática estranho, que foi instalado há 20 anos e nunca mais mexido”, diz o especialista. Segundo ele, computadores que controlam os sistemas executando Windows 95 são “comuns”.
Às vezes, equipamentos específicos são usados para a tarefa. Eles são ainda mais inseguros do que os computadores tradicionais, mas o fato de serem personalizados dificulta os ataques. Infelizmente, o hacker pode conseguir as informações na própria rede da empresa.
“Na teoria, o hacker precisaria de conhecimento interno. Na prática, os manuais estão na internet e você pode comprar equipamentos descartados baratos no eBay. Na nossa experiência, a informação necessária está nos computadores da rede corporativa. Então, uma vez que chegamos lá, nós temos toda a informação para invadir a rede de controle”, diz o especialista.
A crença de que esses sistemas são isolados também os leva a utilizar uma autenticação fraca ou nula. O desafio fica por conta de chegar na rede de controle, já que o sistema em si não é seguro.
Outra concepção equivocada, alerta Graham, é a de que os criminosos não podem obter informações sobre os SCADA. Na verdade, os fornecedores desse tipo de tecnologia disponibilizam vários dados sobre eles na própria internet. Além disso, materiais de marketing com “casos de sucesso” revelam qual é o sistema usado por algumas fornecedoras de energia. Este documento público da General Electric, por exemplo, revela que a estatal Companhia Hidro Elétrica do São Francisco (CHESF) faz uso de um produto de monitoramento chamado Universal Relay.
Fonte: http://g1.globo.com/Noticias/Tecnologia/0,,MUL1380862-6174,00-ESPECIALISTA+EM+SEGURANCA+DESCARTA+APAGAO+CAUSADO+POR+HACKERS.html
