Análise: É possível hackear e destruir redes elétricas, e isso serve como alerta

Fred Kaplan

  • Andrew Burton/Getty Images/AFP

    30.out.2012 - Blecaute atinge Manhattan, em Nova York, após a passagem do furacão Sandy; hoje, ameaça de apagão pode vir também por um ataque hacker

    30.out.2012 - Blecaute atinge Manhattan, em Nova York, após a passagem do furacão Sandy; hoje, ameaça de apagão pode vir também por um ataque hacker

Hackers russos desenvolveram uma ciberarma que pode afetar redes elétricas, segundo uma reportagem publicada nesta semana. Na verdade, a ferramenta não é nova (ela existe em várias formas há uma década), mas suas implicações são tão assustadoras quanto as manchetes sugerem. 

O primeiro teste de uma arma dessas, vale a pena notar, foi realizado pelo governo dos Estados Unidos. Em 4 de março de 2007, o Departamento de Energia realizou um experimento, chamado de teste Aurora em gerador, para ver se um hacker poderia destruir um objeto físico por meios estritamente cibernéticos.

O teste foi ideia de Michael Assante, na época o diretor de segurança da American Electric Power, que fornece eletricidade para milhões de clientes por todo o Sul, Meio-Oeste e parte da Costa Leste. 

Poucos anos antes, Assante, como oficial da Marinha, trabalhou em comissões do governo que estudavam a vulnerabilidade da infraestrutura crítica do país: o sistema bancário e financeiro, transportes, telecomunicações, gás e petróleo, fornecimento de água e, sim, energia elétrica. O funcionamento dessa infraestrutura era administrado cada vez mais por sistemas de controle automatizados, o que várias comissões alertaram ser vulneráveis a ciberataques.

Quando Assante foi contratado pela American Electric Power e informou seus novos colegas sobre esse risco, eles não acreditaram nele. Segundo eles, alguém poderia hackear uma usina elétrica ou uma rede e causar um breve apagão, mas um técnico substituiria o disjuntor e a energia seria restaurada.

Assante concebeu um teste para provar que estavam errados. Ele instalou um gerador elétrico de 2,25 megawatts, pesando 27 toneladas, dentro de uma câmara no Laboratório Nacional de Idaho. Um técnico em tecnologia da informação produziu um malware (com apenas 21 linhas de código) e o inseriu em um relé digital. O código abriu um disjuntor no sistema de proteção do gerador, então o fechou pouco antes do sistema responder, dessincronizando suas operações.

Quase instantaneamente, o gerador sacudiu, algumas partes explodiram e ele expeliu uma fumaça branca, depois uma imensa nuvem de fumaça preta. A máquina foi destruída. Várias autoridades em Washington monitoraram o teste e, graças ao YouTube, o restante do mundo também pôde assistir. 

Esse teste ocorreu pouco antes do Stuxnet, a operação conjunta americana e israelense que destruiu as centrífugas no reator nuclear de Natanz no Irã, por meio de um hackeamento do sistema de controle e então acelerando ou desacelerando a velocidade com que giravam. O teste Aurora foi o que convenceu várias autoridades céticas de que um ciberataque (a simples inserção de um malware) podia não apenas manipular um computador, mas destruir um objeto controlado por um computador. 

A ferramenta russa, conhecida como CrashOverride, Industroyer ou Electrum, não funciona precisamente da mesma forma que o malware no teste Aurora. Em algumas aplicações, a versão russa envia comandos que abrem disjuntores quando deveriam estar fechados; em outras, os circuitos são desenergizados por uma série de meios. 

A Rússia realizou um ataque desses contra a rede elétrica no oeste da Ucrânia, primeiro em 2015 e mais recentemente em dezembro passado. O detalhe moderno é que, na década que se passou desde o Aurora e o Stuxnet, os russos (e presumivelmente algumas outras nações, como os Estados Unidos) descobriram como hackear esses sistemas por meio de várias rotas, caso a primeira que tentem esteja bloqueada.

A ideia básica, entretanto, é a mesma e esse tipo de vulnerabilidade existe em todos os sistemas que são dirigidos ou monitorados por controles automatizados, isto é, quase todos os sistemas que compõem nossa infraestrutura crítica. 

Mas uma boa notícia, ao menos em parte, é que quase toda nação com tecnologia avançada seguiu o mesmo caminho que abrimos ao inserir esses controles nas fundações de nossa vida socioeconômica. Michael Assante, que atualmente é diretor do Instituto SANS, uma organização de treinamento de cibersegurança, me disse: "A maioria dos sistemas de energia elétrica conta com as mesmas tecnologias de sistema de controle disponíveis por meio de vendedores globais".

Até mesmo componentes mais antigos, fabricados localmente, ele diz, "geralmente atuam da mesma forma e costumam compartilhar as mesmas vulnerabilidades que as soluções padrão disponíveis no mercado". 

Em outras palavras, enquanto há 20 anos os americanos eram os únicos no planeta vivendo em casas de vidro digitais, agora grande parte do mundo também vive nelas, inclusive os russos (e os chineses e, como soubemos com o Stuxnet, os iranianos).

Em consequência, sem que ninguém tomasse uma decisão estratégica a respeito, todos nós entramos em um estado de "destruição mútua assegurada" quando se trata de grandes ciberataques. Assim como o impasse nuclear que durou décadas, se o Lado A atacar o Lado B, então o Lado B contra-atacará o Lado A, de modo que ambos os lados podem ser dissuadidos a atacar um ao outro. 

Os russos desligaram a rede elétrica do oeste da Ucrânia em parte por saberem que a Ucrânia não dispunha de capacidade de contra-atacar. Esse não seria o caso se os russos desativassem parte da grade elétrica dos Estados Unidos. Mas isso não é motivo para alívio. Diferente de ataques com mísseis, cujo arco da trajetória pode ser rastreado precisamente, ciberataques são difíceis de localizar; pode demorar até que se descubra a origem do ataque e, mesmo assim, nem sempre fica claro quem o lançou.

Antes da realização de um ataque em retaliação, seria bom saber o alvo apropriado. Grandes guerras surgem de pequenos desentendimentos. E há o problema dos agentes inamistosos (terroristas, criminosos e encrenqueiros) que desejam simplesmente perturbar a ordem existente e têm uma boa ideia de como cobrir seus rastros. 

Enquanto isso, 10 anos depois do teste Aurora (que apenas confirmou os relatórios das comissões formadas 10 anos antes dele), pouquíssimas empresas privadas que possuem ou operam nossa infraestrutura crítica tomaram medidas para se protegerem contra esse tipo de ataque. Alguns setores deram enormes passos, principalmente os bancos (e por um bom motivo: os bancos precisam de seu dinheiro e de sua confiança, e sempre possuem dinheiro para contratação de grandes equipes de especialistas em cibersegurança).

Ciberataques são ocorrências cotidianas e a cibersegurança é uma peça central do seu modelo de negócios. Mas esse não é o caso das companhias elétricas, cujos executivos veem os ciberataques como um risco hipotético. Muitos deles também calcularam que o custo de prevenção de um ataque é quase tão alto quanto o custo de conserto após um ataque (além das medidas preventivas poderem realmente não impedir um), de modo que por que se dar ao trabalho de fazer tamanho investimento? 

Quando o medo de ciberataques primeiro se materializou, o conselheiro de cibersegurança do presidente Bill Clinton tentou impor regulações obrigatórias de cibersegurança às empresas de infraestrutura crítica. Essas tentativas foram rejeitadas pelos lobistas e pelos conselheiros econômicos da Casa Branca. Agora estamos vivendo com as consequências e com uma nova forma de risco que muitos dos responsáveis estão ignorando a seu próprio, e nosso, risco.

Tradutor: George El Khouri Andolfato

Veja também

UOL Cursos Online

Todos os cursos