Hacker invade Windows 7 sem firewall e quase envenena água de uma cidade

A cidade de Oldsmar, na Flórida, quase teve seu sistema de água “hackeado”. Um invasor acessou um dos computadores da estação de tratamento da região e tentou envenenar a água aumentando o nível de hidróxido de sódio (NaOH). Não parece ter sido uma ação complexa: o computador invadido rodava o Windows 7 sem nenhum tipo de firewall.

• Falha grave permite invadir Microsoft, Apple, Tesla e mais 30 empresas
• Novo vazamento expõe 100 milhões de números de celular no Brasil

Windows 7 (imagem por: Sean MacEntee/Flickr)

O incidente ocorreu na última sexta-feira (5) e poderia ter afetado a vida de todos os 15 mil habitantes de Oldsmar. O invasor conseguiu entrar em um PC com o Windows 7 e, dentro dele, abriu o TeamViewer (ferramenta para acesso remoto) para ter acesso ao sistema que controla a estação de tratamento.

A ferramenta foi instalada nos computadores dos operadores justamente para permitir que eles modifiquem ou consultem o sistema de maneira remota. Faltou planejamento para esse procedimento: todos os PCs foram configurados com a mesma senha de acesso ao TeamViewer.

Parecia que o intruso sabia o que estava fazendo. A sua única ação nos cerca de cinco minutos em que ficou ali consistiu em aumentar a concentração de hidróxido de sódio na água de 100 para 11.100 partes por milhão.

Mais conhecido como soda cáustica, o hidróxido de sódio é usado para ajustar a alcalinidade e remover metais pesados da água, por exemplo. Mas, nos níveis errados, o produto pode causar envenenamento.

Por sorte, um funcionário que monitorava o sistema viu o cursor do mouse do seu computador se mover sozinho e, com isso, imediatamente percebeu que havia algo errado. Sem perder tempo, ele corrigiu o nível de hidróxido de sódio para o patamar adequado.

Mesmo que o funcionário não tivesse percebido a invasão em tempo hábil, a mudança levaria entre 24 e 36 horas para afetar o abastecimento de água, tempo suficiente para a mudança no nível de hidróxido de sódio ser detectado e reajustado.

Mas a invasão chama atenção para a importância de os departamentos de TI de qualquer tipo de organização seguirem recomendações de segurança triviais.

O ataque à estação de tratamento de água na Flórida teve vários facilitadores: uso de um sistema operacional defasado e não mais atualizado (Windows 7), ausência de um firewall (e outros recursos de segurança) em um computador com acesso a um sistema crítico e compartilhamento de uma única senha do TeamViewer entre os funcionários.

Ataques do tipo não são inéditos

Não é a primeira vez que uma estação de tratamento de água teve seus sistemas acessados indevidamente. Em 2000, na Austrália, um funcionário insatisfeito usou um equipamento roubado para acessar o controle do sistema da estação e liberar 800 mil litros de água não tratada na rede de abastecimento de água potável.

Em 2011, um hacker divulgou imagens para mostrar que tinha acesso ao sistema de tratamento de água de uma estação em Illinois. Em 2016, a Verizon relatou que um grupo hacker conseguiu invadir uma empresa de tratamento de água que utilizava — olha só — software desatualizado.

Com informações: Bleeping Computer, Ars Technica.