Na quinta-feira (12/11), Maycon Vitali relatou no blog Hack´n Roll sua experiência ao acessar o site da ONS e descobrir que um ataque do tipo "SQL injection" poderia ser feito a partir da tela de autenticação do Sistema de Administração de Contratos de Transmissão (SACT).
Mais sobre o apagão nacional
> Uso de celular congestiona redes
> Acesso a portais móveis cresce 4x
> Em 2 dias, Procon registra 329 casos
"Procurei algo que ligasse o site a uma tentativa de ataque e vi um sistema de controle. Percebi que havia um link para administração de contratos de transmissão, com necessidade de login e senha. Coloquei aspas simples no campo e deu crash pra mim", relata Vitali.
Um ataque do tipo "SQL injection" permite que usuários maliciosos injetem "comandos de dados na aplicação para conseguir acesso a todas as informações que está no banco de dados" mantidos pelas empresas com suas informações próprias, explica o diretor da Associação Brasileira de Segurança da Informação e colunista do IDG Now!, Denny Roger.
Segundo Roger, uma das formas de "dar um 'tranco' na aplicação para saber se a mesma está vulnerável" é inserir as aspas no campo de autenticação, método relatado por Vitali para descobrir a brecha no site da ONS.
O blogueiro explica que invasões de bancos de dados por meio de ataques do tipo "SQL injection" podem ser fáceis, dependendo da técnica explorada pelo invasor. "A (brecha) que divulguei é uma meio chata e difícil, mas não é impossível" promover um ataque por ali.
Após a publicação da descoberta e da reverberação do post, a ONS corrigiu a falha. Vitali, porém, afirma que descobriu uma segunda falha, desta vez no sistema de recuperação de senha dos usuários cadastrados no sistema da ONS, que já foi reportada ao órgão, mas ainda estava ativa na sexta-feira (13/11).
Procurado pela reportagem, o ONS afirmou "que não existe conexão do site com a rede de operação" e que os comandos são feitos por voz de uma usina para outra conectada ao Sistema Interligado Nacional (SIN).
O órgão afirmou que não houve invasão da rede operativa e não soube detalhar que tipo de informações ou ferramentas o ONS no sistema com a brecha.
Em entrevista ao IDG Now! no dia seguinte ao apagão, o diretor do Departamento de Segurança da Informação e Comunicações da Presidência da República, Raphael Mandarino, minimizou a possibilidade de ataque à rede, embora tenha admitido que se trate de "um assunto que não se pode dizer 'não'".
Fonte: IDG Now!
Nenhum comentário:
Postar um comentário