Ataque informático na Florida quase envenenava a água. Um dia isto rebenta mesmo*
Terça-feira uma estação de tratamento de águas na Florida foi alvo de um ciberataque que fez com que 15 mil pessoas ficassem perigosamente próximas de serem envenenadas.
O(s) autore(s) do ataque tomaram conta dos sistemas informáticos da ETAR de Oldsmar e, em duas violações de segurança seguidas, conseguiram alterar por completo os níveis de soda cáustica utilizada no tratamento das águas.
Desta forma, se nada tivesse sido detetado, a água saída desta estação -- que é bebida por cerca de 15 mil pessoas -- tornava-se venenosa.
Felizmente, um funcionário da estação apercebeu-se (num dos monitores) que os níveis da soda cáustica aplicada estavam bem acima dos aceitáveis e parou manualmente a operação.
Aberta investigação, concluiu-se para já o seguinte: o sistema informático da ETAR estava tão vulnerável que a sua ligação ao exterior -- à internet -- não estava protegida sequer por uma firewall, a mais básica proteção de ligação de rede.
Mais. Os computadores da estação nunca foram atualizados -- continuam a correr Windows 7, que a Microsoft já não suporta. E, para agravar ainda mais a situação, todos os funcionários partilhavam a mesma palavra passe do TeamViewer, um programa de ambiente de trabalho remoto.
A última vez que ouvi uma história de maior desleixo deste género foi quando em tribunal o diretor de segurança informática do Sporting assumiu que a password dos Leões era SCP123!
Este "pequeno" ataque na Florida surge numa altura em que os Estados Unidos ainda estão a tentar medir as repercussões do maior ataque informático da sua história, a violação SolarWinds.
Detetado em meados de dezembro (quando ocorria pelo menos desde março) mas pouco noticiado em Portugal, trata-se de um ataque -- ao que tudo indica, mas difícil de provar para além da "dúvida razoável" -- patrocinado pelo governo russo que atingiu importantes departamentos da administração americana e não só.
Departamento do Tesouro, parte do Departamento do Comércio, a Administração Nacional de Telecomunicações e Informações foram algumas das agências dos EUA invadidos. Mas também departamentos da NATO, do governo britânico e do Parlamento Europeu foram violados.
A quebra de segurança acabou por ser detetada e, através de engenhosas alterações no Windows Defender e no registo do Windows 10 (realizadas remotamente), a Microsoft conseguiu minimizar os estragos.
Mas a questão de base levantada pelos dois problemas permanece.
Do exemplo aparentemente mais pequeno -- que mesmo assim pôs a vida de 15 mil pessoas em risco -- ao mega ataque em que, na realidade, até sabemos quem são os culpados, mas em que parece continuar a haver uma relativa impunidade para quem pratica este tipo de atos, quanto tempo continuará a decorrer até ao dia em que uma destas coisas vão custar vidas?