Exclusivo: hacker revela como foi identificar brechas no sistema da Fiocruz

Views: 438
0 0
Read Time:5 Minute, 12 Second

Um pesquisador de segurança independente, que preferiu ser identificado como “Hacker do Bem”, encontrou vulnerabilidades em um sistema de controle e armazenamento de vacinas da Fundação Oswaldo Cruz (Fiocruz), instituição carioca que está produzindo vacinas contra a COVID-19 com os insumos da Oxford/AstraZeneca.

Através de um relatório enviado à Fiocruz, que a The Hack teve acesso, o pesquisador explica que conseguiu acesso a um banco de dados com informações do gerenciamento de vacinas (estufas e freezers), de pesquisas além de dados e credenciais de funcionários. Com acesso ao sistema, era possível desligar freezers e alterar controles, revelar dados como e-mail, senha e telefone de funcionários.

“Mesmo com um mecanismo de segurança e firewall foi possível mapear os serviços com técnicas de bypass de firewall [e com isso] visualizar informações internas, como freezers que refrigeram as vacinas e realizam medições, informações de estufas e freezers, com a possibilidade de deletar vários controles“, escreve o pesquisador no relatório.

Banco de dados nomeado "Armazenamento de Vacinas" é um dos que estava vulnerável e disponível na internet. Foto: Hacker do Bem
Banco de dados nomeado “Armazenamento de Vacinas” estava vulnerável e disponível na internet. Foto: Hacker do Bem

As vulnerabilidades foram corrigidas imediatamente após o envio do relatório, na segunda-feira, dia 12 de abril, informou a Fiocruz em comunicado à imprensa. No relatório, o “Hacker do Bem” fez questão de lembrar que a equipe responsável por desenvolver os sistemas da Fiocruz não deve ser penalizada pelas falhas, já que “falhas acontecem e podem ser difíceis de encontrar”. Pediu apenas que fossem corrigidas.

“Gostaria de pedir o bom senso e compreensão de todos. O departamento de tecnologia responsável pelo sistema não deve ser ‘apedrejado’ e de forma alguma penalizado, pois falhas ocorrem e falhas como essa podem ser difíceis de serem encontradas. Peço e apenas para que as falhas sejam corrigidas“, escreve.

Aqui, o pesquisador indica informações de dispositivos como freezers e medidores de refrigeração de vacinas. Foto: Hacker do Bem.
Aqui, o pesquisador indica informações de dispositivos como freezers e medidores de refrigeração de vacinas. Foto: Hacker do Bem.

Posicionamento oficial

Embora tenha corrigido as vulnerabilidades imediatamente após a identificação dos problemas, a empresa reconhece a legitimidade do relatório, mas diz que o banco de dados é, na realidade, um servidor em Rondônia para testes de monitoramento de temperatura de freezers e “se encontra em fase de desenvolvimento, utilizando inclusive registros fictícios em sua base de dados”.

“Cabe esclarecer que a vulnerabilidade encontrada não guarda qualquer relação com a infraestrutura de tecnologia da informação de Bio-manguinhos, unidade da Fiocruz localizada no Rio de Janeiro e responsável pela produção da vacina de Oxford-AstraZeneca“.

A unidade de Bio-manguinhos possui uma infraestrutura computacional destinada exclusivamente à produção de vacinas, segue as boas práticas nacionais e internacionais de segurança da informação e passa por frequentes auditorias de diversos organismos de controle“, escreve um porta-voz da Fiocruz à The Hack, por e-mail.

O processo

A The Hack conseguiu, com exclusividade, uma entrevista com o pesquisador anônimo responsável por identificar as vulnerabilidades, para entender como foi o processo de identificação e produção do relatório até o envio à Fiocruz.

Ele explica que começou a investigar os sistemas da Fiocruz por estar preocupado com as ondas de ataques conta laboratórios e empresas farmacêuticas, principalmente as ligadas à pesquisa, desenvolvimento e produção das vacinas contra COVID-19.

“Comecei com um ‘information gathering’ coletando algumas informações, como ranges de IPs, domínios, etc. Nada muito diferente do que deve ser feito para mapear informações. Utilizei um script que automatizei em python/shell script, no começo do ano, para identificar portas abertas, serviços, domínios, subdiretórios, rotas […] Nenhum segredo de estado até aí. Mas durante essa análise, notei alguns webservers, bancos de dados e APIs…“, diz.

Embora os sistemas encontrados tivessem firewalls e outras ferramentas de segurança inicial configuradas, esse firewall poderia ser facilmente quebrado com bypass, ou seja, com técnicas para contornar e desviar dessas ferramentas de segurança superficial.

“Me assustei bastante ao ver que o serviço vulnerável estava diretamente ligado a parte de armazenamento de vacinas, controles de equipamentos como, freezers, estufas, ultra-freezers, e alguns dispositivos de Internet das Coisas (IoT) que acredito serem de monitoração e alertas”.

Informações confidenciais dos responsáveis pelos sistemas também ficam expostas. Foto: Hacker do Bem.
Informações confidenciais dos responsáveis pelos sistemas também ficam expostas. Foto: Hacker do Bem.

Neste momento, o pesquisador resolveu organizar um relatório e enviar à empresa responsável, já que as informações disponíveis ali poderiam causar um vazamento de dados e até um comprometimento na produção das vacinas e consequentemente problemas maiores.

“Foi uma decisão que me fez perder o sono, não acho legal ‘apontar’ falhas, e nem me acho no direito de tal ação, me meter em assuntos alheios, afinal ninguém é perfeito. Mas depois do que vi, e sabendo que aquilo poderia gerar problemas e afetar a vida de muitas pessoas, entrei num grande dilema ético. Não sei se foi a melhor decisão, até pedi desculpas à Fiocruz, mas achei que fosse o mais correto a se fazer“, comenta sobre suas reflexões antes de enviar o relatório.

Após o envio, a empresa retornou dizendo que bloqueou as exposições ao serviço e mitigou a falha que dava acesso à elevação de privilégios e movimentação lateral. Também agradeceram o trabalho do pesquisador por identificar e avisar sobre as falhas. “A Fiocruz foi bastante competente. Não foram negligentes e as falhas foram corrigidas rapidamente“, comenta.

No entanto, o pesquisador não acredita no posicionamento oficial da empresa, que gerou comentários de internautas raivosos em matérias de outros portais. “Alguns podem dizer que é fakenews, outros podem dizer que era um ambiente de testes. Acho difícil, pois tinham dados reais de funcionários, logs de sistemas desde 2020. Quem testa um sistema por tanto tempo assim? […] Sei muito bem o que vi“, explica.

É importante lembrar que em momento nenhum seu objetivo foi prejudicar alguém ou causar algum dano. Muito pelo contrário, o pesquisador agradece o trabalho da Fiocruz na produção das vacinas e pede que o público também os respeite nessa missão de salvar vidas.

O importante é que a falha foi corrigida de forma rápida e competente […] A ideia aqui não é apontar dedos e sim tornar um sistema que é tão importante para a população mais seguro. Afinal nossas vidas dependem deles. É um trabalho importante e a causa é nobre“, conclui.

FONTE: THE HACK

POSTS RELACIONADOS