novembro 17, 2009

[Segurança] Hackers, apagão e urna eletrônica na Globo News

Na onda da polêmica sobre a hipótese de "hackers" terem causado o recente apagão e dos recentes testes de segurança realizados contra a urna eletrônica, a Globo News criou o programa "Hackers: Inimigos ou aliados?", dentro da série "Espaço Aberto Ciência & Tecnologia", que se propõe a discutir esses dois assuntos com diversos especialistas da área, incluindo o Willian Caprino, o atual presidente da ISSA Brasil.

A reportagem é longa, dura aproximadamente 23 minutos, mas é bem didática. É interessante que esses dois assuntos, a possibilidade de invasão do sistema elétrico e a avaliação da segurança da urna eletrônica, exemplificam como o conhecimento em segurança da informação pode ser utilizado para o mal ou para o bem.



A discussão sobre a possibilidade de invasão ao sistema elétrico brasileiro foi fortemente baseada na entrevista com James Lewis, um especialista americano em segurança cibernética do CSIS, Center for Strategic and International Studies, um dos que acreditam nesta possibilidade. Mas note que, quando o repórter questiona de onde ele tirou a informação sobre a veracidade dos ataques cibernéticos no Brasil em 2005 e 2007, ele responde que se baseia no fato de que outras autoridades já haviam dito isso (e cita três delas, incluindo o presidente americano Obama). Ou seja, não há uma fonte real e específica que pode comprovar os fatos, ele simplesmente está repassando o que ele "ouviu dizer por aí". Afinal, nenhuma das pessoas citadas por ele também citaram de que fontes elas obtiveram a informação da suposta invasão.

Nesses últimos dias já vi muitas reportagens sobre esta história do "cyber apagão", ou seja, hackers terem invadido o sistema das operadoras de energia para causar intencionalmente os blackouts de 2005e 2007 ou mesmo o apagão da semana passada (ou blackout, como o governo prefere chamar o fato para desviar a discussão para o aspecto semântico da palavra, e não para a raiz do problema em si). Infelizmente, este assunto tem dado margem a diversos artigos e reportagens na imprensa que, além de não explicar nada, só servem para espalhar mais confusão e falsas verdades nessa história.

Na verdade, até o momento não existe nada que comprove que já tenha ocorrido um "cyber blackout" no mundo, ou seja, um blackout provocado intencionalmente a partir de uma invasão ao sistema de uma empresa do setor. A única verdade dentre as informações publicadas até agora é que um "hacker" brasileiro, Maycon, resolveu investigar o site da Operadora Nacional do sistema (ONS) após ouvir esses boatos e descobriu que a empresa tinha uma aplicação disponível online que, aparentemente, estaria vulnerável a ataques. Não há nenhuma informação clara sobre a importância e criticidade daquele sistema nem sobre a possibilidade deste sistema ter sido invadido. Alguns especialistas em segurança da informação afirmam que a análise realizada pelo Maycon não é suficiente para indicar claramente que existia realmente uma falha que pudesse permitir uma invasão ao sistema (por "invasão", entenda-se como a concretização do acesso não autorizado ao sistema, o equipamento ou a rede da empresa). Além do mais, diversos especialistas em segurança no Brasil com quem já coversei e alguns no mundo acreditam que, embora exista a possibilidade dos sistemas das empresas do setor elétrico estarem vulneráveis, um ataque desse tipo é muito difícil e complexo. Além do mais, as empresas do setor costumam separar fisicamente as redes internas: a rede do escritório e a rede que controla a operação do sistema - e essa rede não costuma ter acesso a Internet. Ou seja, um atacante teria que invadir a rede corporativa da empresa e depois achar uma "brecha" para passar para a rede que controla o sistema elétrico. Além do mais, também é consenso entre os especialistas que as empresas do setor energético no Brasil usam sistemas antigos, e estes sim, dependem pouco do uso de redes de comunicação como as que temos atualmente. Essa preocupação de ataques via rede TCP/IP e via Internet faz mais sentido em países com uma infra-estrutura mais avançada e automatizada, que não é o caso brasileiro atualmente.

De qualquer forma, como a reportagem da Globo News diz, ao final, devemos ver estes acontecimentos como uma oportunidade para iniciarmos a discussão e a prevenção, antes que fiquemos realmente vulneráveis.

Nenhum comentário:

Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.