O programa de TV 60 Minutes da rede americana CBS que foi ao ar em 8 de novembro passado apresentou a reportagem “Guerra Cibernética: Sabotando o Sistema”, em que sugere que apagões no Brasil podem ter sido causados por ataques hacker.
Tudo começou com a seguinte declaração recente do presidente dos EUA Barack Obama, que disse (tradução livre minha):
“Nós sabemos que intrusos cibernéticos sondaram nossa rede elétrica, e em outros países ataques cibernéticos fizeram cidades inteiras mergulhar na escuridão.”
Segundo a CBS, fontes militares dizem que ele se referia ao Brasil, aludindo que ataques de hackers teriam sido causa dos apagões ocorridos no país em 2005 e 2007. O jornalista afirma que os dados foram retirados de uma investigação específica sobre casos de ataques e crimes virtuais contra a infraestrutura de diversos governos. Os ataques seriam semelhantes aos sofridos nos Estados Unidos em 2009. (fonte: INFO Online).
A reportagem da CBS é cheia de sensacionalismo e tem pouco enfoque no embasamento e comprovação técnicos. Mas a notícia vem espalhando temores e sucitando teorias da conspiração, impulsionada pela esteira de sensibilização da população pelo blecaute que atingiu dez estados brasileiros — além do Paraguai — na noite de 10 de novembro.
Teoria da conspiração
Um exemplo do alarde provocado é o artigo A verdade sobre o apagão, por Maycon Maia Vitali, no Blog Hack’n Roll. Nele o rapaz de 23 anos, motivado pelo assunto, fez uma sondagem superficial na internet e encontrou uma vulnerabilidade de segurança em um sistema do Operador Nacional do Sistema Elétrico (ONS) do Brasil.
A falha no site apontada por Vitali foi corrigida na sexta-feira, três dias após o apagão que afetou 18 Estados brasileiros, conforme afirmou o diretor-geral do ONS, Hermes Chipp.
Como bem destaca o blogueiro Jomar Silva, não é porque um sistema de administração de contratos de transmissão da ONS está online que outros sistemas críticos de operação da rede elétrica estarão abertos na internet, nem tampouco supor que a falha simples encontrada pelo rapaz corrobore para comprovar que o sistema de energia elétrica do Brasil em si esteja comprometido e vulnerável a ataque de crackers.
A incursão de Vitali apenas reforça o que todo especialista em segurança da informação diz: não há segurança absoluta, não há sistema 100% seguro.
Autoridades brasileiras da ONS, Aneel (Agência Nacional de Energia Elétrica), Min. Minas e Energia e Presidência já afirmaram categoricamente que os sistemas críticos de operação e controle da rede de energia elétrica do Brasil não estão acessíveis através da Internet e descartam a possibilidade de sabotagem virtual.
Portanto, o post pode ser caracterizado como FUD — acrônimo do inglês Fear, Uncertainty and Doubt, para designar a tática de desinformação que visa desacreditar uma entidade ou fonte, incitando medo, incerteza e dúvida nas pessoas. Mas é um exemplo de como o efeito de histeria se espalha.
Relatórios de tendências
Bem mais concreto é o recente relatório de Tendências na Segurança de Aplicações Web para os dois primeiros trimestres de 2009, divulgado pela empresa Cenzic, especializada em segurança: Web Application Security Trends Report, Q1-Q2 2009, divulgado em 2009-11-09.
Publicado periodicamente desde 2007, o relatório revela que mais de 3,1 mil vulnerabilidades foram identificadas no primeiro semestre deste ano, índice 10% superior ao verificado no segundo semestre de 2008. Desse total, 78% são em aplicativos web. 87% das aplicações analisadas tinham falhas sérias que poderiam expor informações críticas ou confidenciais dos usuários durante transações (fonte: IT Web).
De acordo com a Cenzic, as vulnerabilidades SQL Injection — como a identificada por Maycon Maia Vitali na aplicação web do ONS — e Cross Site Scripting tiveram maior participação nos ataques pela web, com 25% e 17%, respectivamente.
Outro documento, o “Top Cyber Security Risks”, do SANS Institute, publicado em setembro, revela que mais de 60% dos ataques na internet focaram aplicativos web. Isto porque nos últimos anos a quantidade de vulnerabilidades identificadas em aplicações tem sido muito superior àquelas em sistemas operacionais e redes.
Segurança
No mínimo, todo esse assunto é um alerta sobre como as ameças em um mundo tecnológico e conectado vão saindo da ficção científica futurística e galgando a realidade dos dias de hoje.
Mas se há ameaças mil à solta, há também informação, produtos e serviços de sobra para as instituições, governos, empresas e pessoas poderem se instruir, preparar, prevenir, mitigar e reagir às possibilidades e incidências de vulnerabilidades e falhas de segurança em sistemas.
Para se ter uma simples ideia, já existe, há um bom tempo:
- Normas, em especial a família de normas NBR ISO/IEC 27000 sobre gestão e melhores práticas em segurança da informação e gestão de riscos, e a norma (disponível gratuitamente) ISO/IEC 15408 – Common Criteria (CC) de critérios para avaliação de segurança de sistemas de tecnologia da informação (TI).
- Manuais de metodologia para testes e análises de segurança, como o Open Source Security Testing Methodology Manual (OSSTMM), criado por Pete Herzog e provido pelo ISECOM, o Instituto para Segurança e Metodologias Abertas, sem fins lucrativos.
- Cursos, como o brasileiro Hackers Expostos: Técnicas de intrusão em redes corporativas, ministrado por Filipe Balestra na empresa 4Linux.
- Serviços, como os de análise de segurança e testes de invasão oferecidos pela empresa brasileira Módulo Security.
- Informação e ferramentas aos montes, em maior parte disponível de forma pública e aberta na Internet. Um exemplo: Vinte Controles Críticos para Efetiva Cyber Defesa: Consenso de Auditoria e Guidelines, trabalho desenvolvido pela colaboração de diversos experts em segurança, atualizado pelo Center for Strategic and International Studies em 2009-08-10.
O mal existe, mas o bem também. Para dissipar presságios do caos, basta que não apenas os crackers (hackers do mal), mas principalmente as instituições e pessoas de bem se preocupem, envolvam, invistam e ajam seriamente em segurança.