As lições do ataque ao ConecteSUS

por | dez 10, 2021 | Segurança da Informação

Parece uma insanidade dizer isso, mas talvez a única forma inequívoca de recuperar essa base seria que o cidadão que precisar do ConecteSUS para algo visite seu posto com o cartão físico de vacinação para recadastrar seus dados.

Começamos a sexta-feira de uma forma singular: Durante a madrugada todos os dados de vacinação do Ministério da Saúde parecem ter sido copiados e apagados. Não quero aqui duvidar da capacidade de nenhuma equipe de segurança. Os incidentes tem acontecido diariamente com diversos tipos de empresa. Por mais que reconheçamos os esforços das equipes de segurança, o atacante tem sempre uma vantagem, ele só precisa de um ponto fraco para cumprir seu objetivo.

Durante a madrugada o site apresentava a seguinte mensagem: “dados internos dos sistemas foram copiados e excluídos”. O e-SUS Notifica, Sistema de Informação do Programa Nacional de Imunização (SI-PNI), ConecteSUS e funcionalidades como a emissão do Certificado Nacional de Vacinação Covid-19 e da Carteira Nacional de Vacinação Digital também foram afetados e se encontra sem possibilidade de acesso. Quem entrou no site até pouco antes das 7:00 de hoje viu a seguinte mensagem.

Depois deste horário a situação do site é de total desconexão.

Verifiquei várias imagens compartilhadas do Conecte SUS sem nenhum registro de vacinação, além de meu próprio aplicativo não mostrar nenhuma vacina. Em tempo, não porque eu tenha me recusado a vacinar, elas estavam ali ontem.

Um outro fato me chamou a atenção. Achei um post do Instagram de Manuela D´avila indignadíssima, já pondo a culpa no governo Bolsonaro e no Queiroga, porque haviam alterado seus dados no aplicativo do SUS, isso na quinta-feira aproximadamente às 17:00. Tem gente que não tem senso de humor 🙂

Na sexta-feira às 10:35 a CNN divulgou polícia federal havia identificado que os atacantes não haviam acessado os dados de saúde. Difícil imaginar qual dos dois está falando a verdade, a não ser que sejam incidentes isolados em menos de 12 horas.

No início deste ano, a rede do Ministério da Saúde já havia sido alvo de um ataque virtual. Não houve vazamento de informações nem qualquer dano ao sistema, segundo a pasta, mas o hacker deixou um recado sobre o que pensa da segurança dos dados do órgão. “ESTE SITE ESTÁ UM LIXO!”, afirmava a mensagem, escrita em letras maiúsculas, que ficou visível no FormSUS – um serviço do DataSUS que reúne informações de pacientes da rede pública de saúde. “Qualquer criança consegue invadir este excremento digital, causar lentidão e até estragos maiores”, escreveu o invasor. O hacker mandou também recados ao presidente: “Favor levar a sério os assuntos de segurança da informação. Bolsonaro!, dá um jeito aí ! (sic)”.

Em novembro do ano passado, o Estadão revelou que cerca de 16 milhões de brasileiros que tiveram diagnóstico suspeito ou confirmado de covid ficaram com seus dados pessoais e médicos expostos na internet durante quase um mês por causa de um vazamento de senhas de sistemas do Ministério da Saúde. A exposição de dados não foi causada por ataque hacker nem por falha de segurança do sistema. Eles ficaram abertos após um funcionário do Hospital Albert Einstein divulgar uma lista com usuários e senhas que davam acesso aos bancos de dados.

No mês seguinte, o problema se repetiu. Uma nova falha de segurança no sistema de notificações de covid deixou expostos na internet, por pelo menos seis meses, dados pessoais de mais de 200 milhões de brasileiros. Mais uma vez, o problema foi causado pela exposição indevida de login e senha de acesso ao sistema que armazena os dados cadastrais de todos os brasileiros no Ministério da Saúde.

Vamos explorar este fato e especular um pouco:

1)    O que sabemos

Não encontrei referências anteriores ao LAPSUS$, mas eles deixaram um contato em uma conta do Telegram “caso queiram o retorno dos dados”. O Site Tecmundo diz que o grupo é formado por colombianos e um espanhol, e que eles modificaram o registro MX do DNS – isso significa que qualquer e-mail enviado para um endereço saude.gov acabaria nas mãos dos atacantes

2)    O que está sendo feito

  • Acionar o Gabinete de Segurança Institucional (GSI)
  • Acionar a Polícia Federal
  • Procurar backups não comprometidos (Provavelmente)

3)    Impactos na privacidade

  •  Privacidade – Dados de saúde são dados sensíveis, e indicam por exemplo se uma pessoa foi vacinada por comorbidade, o que pode trazer danos ao titular.
  • A ANPD se pronunciou no final da tarde do mesmo dia do incidente: “Diante da repercussão sobre o incidente de segurança ocorrido no site do ConecteSUS, do Ministério da Saúde, a Autoridade Nacional de Proteção de Dados informa que está ciente e já está acompanhando o caso. O Ministério da Saúde foi notificado pela ANPD para prestar esclarecimentos, conforme determina a Lei Geral de Proteção de Dados. O Gabinete de Segurança Institucional – GSI e a Polícia Federal serão contatados para que possam cooperar com a investigação e a fiscalização.”

4) Perda de Mobilidade – Sem estes dados, os cidadãos vacinados não poderão visitar outros países ou sentar em um restaurante em São Paulo, exceto os paulistas, que tem seu próprio sistema.

5)    Qual a melhor prática de recuperação

O Lapsus$ Group, que assume a autoria do ataque cibernético, diz houve um ataque de RANSOMWARE e que 50 terabytes de informações foram retirados do sistema e estão em posse do grupo. “Nos contate caso queiram o retorno dos dados”. O Problema é que, mesmo se o governo pudesse pagar um resgate para bandidos, não podemos mais confiar na integridade desses dados.

Os atacantes geralmente criptografam os backups e depois partem para os dados de produção. Caso não seja encontrado um Backup “razoável”, recuperar os dados com os atacantes não é uma opção, pois nunca saberemos o quanto eles foram modificados. Mesmo encontrando um backup, não sabemos há quanto tempo os atacantes estão dentro da rede e o quanto eles modificaram os dados antes dessa madrugada.

Parece uma insanidade dizer isso, mas talvez a única forma inequívoca de recuperar essa base seria que o cidadão que precisar do ConecteSUS para algo visite seu posto com o cartão físico de vacinação para recadastrar seus dados. Fica ai um pensamento para os críticos do comprovante de voto impresso. A auditabilidade é uma propriedade da Integridade de dados, que é parte do tripé da segurança da informação CID (Confidencialidade, Integridade e Disponibilidade) e apesar de as ameaças serem diferentes, nenhum sistema é invulnerável. O Bom gestor de risco tem que acreditar sempre no risco, o gestor que repousa tranquilo está mais perto do incidente.

Fica ai a lição, em uma época que confiamos o direito de ir e vir das pessoas a um aplicativo com uma vacina, e os votos a um sistema totalmente computadorizado sem nenhum lastro em outra mídia, temos que lembrar que por melhor que seja, nenhum sistema é impenetrável.

Visibilidade e Análise de Rede Industrial

Quando o ambiente de Rede Industrial sinaliza uma instabilidade as respostas devem ser rápidas e definitivas para isolar e resolver o problema. A Análise de Tráfego consiste em identificar os tempos de respostas e os detalhes específicos no tráfego dos servidores,...

As 05 lições aprendidas com os Cyber Ataques ao setor elétrico

A segurança na área de OT (Operation Tecnology) faz referência ao software, hardware, as práticas e serviços implantados para proteger a infraestrutura, pessoas e a operação de todo o ambiente industrial.À medida que TI e a OT convergem e a indústria 4.0 avança para...