blog.dennyroger.com.br

Blogueiro descobre falha no site do órgão que coordena estrutura de transmissão de energia, 2 dias após apagão que atingiu 18 Estados.

Na mesma semana em que um apagão atingiu 18 Estados no Brasil, um blogueiro descobriu e relatou uma falha de segurança no site do Operador Nacional do Sistema (ONS), responsável por coordenar a estrutura responsável pela geração e transmissão de energia elétrica no País. A falha já foi corrigida pelo órgão.

Na quinta-feira (12/11), Maycon Vitali relatou no blog Hack´n Roll sua experiência ao acessar o site da ONS e descobrir que um ataque do tipo “SQL injection” poderia ser feito a partir da tela de autenticação do Sistema de Administração de Contratos de Transmissão (SACT).

“Procurei algo que ligasse o site a uma tentativa de ataque e vi um sistema de controle. Percebi que havia um link para administração de contratos de transmissão, com necessidade de login e senha. Coloquei aspas simples no campo e deu crash pra mim”, relata Vitali.

Um ataque do tipo “SQL injection” permite que usuários maliciosos injetem “comandos de dados na aplicação para conseguir acesso a todas as informações que está no banco de dados” mantidos pelas empresas com suas informações próprias, explica o diretor da Associação Brasileira de Segurança da Informação e colunista do IDG Now!, Denny Roger.

Segundo Roger, uma das formas de “dar um ‘tranco’ na aplicação para saber se a mesma está vulnerável” é inserir as aspas no campo de autenticação, método relatado por Vitali para descobrir a brecha no site da ONS.

O blogueiro explica que invasões de bancos de dados por meio de ataques do tipo “SQL injection” podem ser fáceis, dependendo da técnica explorada pelo invasor. “A (brecha) que divulguei é uma meio chata e difícil, mas não é impossível” promover um ataque por ali.

Após a publicação da descoberta e da reverberação do post, a ONS corrigiu a falha. Vitali, porém, afirma que descobriu uma segunda falha, desta vez no sistema de recuperação de senha dos usuários cadastrados no sistema da ONS, que já foi reportada ao órgão, mas ainda estava ativa na sexta-feira (13/11).

Procurado pela reportagem, o ONS afirmou “que não existe conexão do site com a rede de operação” e que os comandos são feitos por voz de uma usina para outra conectada ao Sistema Interligado Nacional (SIN).

O órgão afirmou que não houve invasão da rede operativa e não soube detalhar que tipo de informações ou ferramentas o ONS no sistema com a brecha.

Em entrevista ao IDG Now! no dia seguinte ao apagão, o diretor do Departamento de Segurança da Informação e Comunicações da Presidência da República, Raphael Mandarino, minimizou a possibilidade de ataque à rede, embora tenha admitido que se trate de “um assunto que não se pode dizer ‘não’”.

Fonte: http://idgnow.uol.com.br/seguranca/2009/11/16/na-semana-do-apagao-blogueiro-descobre-falha-de-seguranca-no-site-da-ons/