Acesso Restrito? Perspectivas Sobre as Demandas de Segurança da Automação Industrial

March 28, 2018

 

 

“Este veio a ser um dos testes de infiltração mais fáceis que já realizei” disse Scott Lunsford, pesquisador da IBM, que em um dia adentrou a rede do sistema operacional de uma usina nuclear nos EUA. Ao voluntariar-se para testar sua segurança, ouviu do dono que seria impossível acessar seus componentes através da internet. Em uma semana possuía controle sobre toda a usina, mostrando a potencial sabotagem do abastecimento de energia de uma grande região, senão a indução de uma catástrofe nuclear. 

 

Que grande parte dos SCADA em operação no mundo todo são antigos e vulneráveis não é novidade. Mesmo 10 anos após o hack de Lunsford, essa é uma questão que continua em pauta. Prestes a adentrarmos a terceira década do século XXI, ainda vivemos a mercê de perigos que nos foram introduzidos no início desse período: o terrorismo e o cyberterrorismo.

O 11 de Setembro de 2001 trouxe um sentimento de medo diferente da guerra. A atual ameaça é soturna e aleatória, porém sempre iminente. E com os conflitos diplomáticos envolvendo potências mundiais e países fortemente militarizados, a tendência é casos cada vez mais recorrentes.

 

 A ascensão da internet, por sua vez, revolucionou o acesso à informação, tornando-se um veículo para boas e más ações. E assim mostrou-se uma grande aliada para não só aqueles que usam malwares com fins de extorsão, mas também aqueles que objetivam destruição e caos. E alguns setores da indústria, principalmente plantas de energia, são estruturas bem convenientes quando se trata de terrorismo.

 

No entanto, ainda não tivemos casos expressivos de incidentes causados por hackers em SCADA. Allan Paller, diretor do Instituto SANS sugere que mesmo que a falta de segurança externa seja atrativa, o conhecimento de engenharia ainda se faz necessário para explodir uma usina, por exemplo. Já Marcus Ranum, da Tenable Security, adverte que a demonstração de poder do hacker que apenas quer extorquir também pode induzir acidentes: “Para ligar uma bomba ou girar uma válvula você não precisa ser um engenheiro de petróleo”.

 

Ainda que danos físicos sejam pouco expressivos, não devem ser utilizados como parâmetros tranquilizadores quando se trata de segurança em SCADA. Paller afirma que casos de extorsão já causaram prejuízos à indústria difíceis de estimar, pois são mantidos em segredo. Possivelmente na casa das centenas de milhões de dólares.

 

Não obstante, empresários do mundo já tiveram a experiência assustadora ao depararem-se com o vírus STUXNET em seus SCADA.  Embora solucionado o caso, o perigo que este malware representou e ainda representa é resultado esperado dentro do contexto em que surgiu, no início de 2010.

 

 Pouca preocupação se tinha com hacks vindos de redes externas, uma vez que SCADA em geral não se comunicam com elas. A surpresa estava em um vírus transmitido por USB, que discretamente se instalou-se e conectou seus alvos, terminais PLC (Programmable Logic Controller), à internet. A partir daí o estrago podia ser feito.

 

As principais teorias apontam que o STUXNET foi criado alvejando o Irã, país com mais casos relatados. Ao atingir PLCs de uma usina nuclear, o vírus dava controle remoto às centrífugas de enriquecimento de urânio. 

 

 

Ainda que tenha infectado Windows no mundo todo sem ter causado efeito algum aos sistemas fora de seu alvo, sua passagem não deve ser negligenciada. Não só seu alcance revela a proporção do dano que uma tecnologia dessas pode causar. Um alvo extremamente volátil como energia nuclear, se estivesse nas mãos de pessoas inexperientes, provavelmente teria terminado em tragédia.

 

Mas do que adianta senhas fortes, redes fechadas e firewalls quando o acesso a um sistema é entregado ao malfeitor espontaneamente? Parece coisa de filme, mas há um outro tipo de habilidade que acaba sendo muitas vezes mais eficiente do que tentar ultrapassar barreiras de segurança a força. Os engenheiros sociais utilizam-se de técnicas como blefe, chantagem, apelo emocional, simpatia e diversas vulnerabilidades desde os tempos mais antigos para enganar as peças mais falíveis de um sistema: as pessoas.

 

WannaCry (2017) é um claro exemplo contemporâneo disso. Um e-mail aparentemente inofensivo e a negligência de um empresário quanto ao suporte de suas máquinas. É assim que um malware já condenado por antivírus meses antes foi utilizado para extorquir dinheiro de empresas no mundo todo. Não há tecnologia que seja capaz de proteger um sistema operacional desatualizado.

 

Certas medidas de segurança parecem exageradas, por basearem em situações extremamente improváveis. Porém a falta de treinamento e responsabilidade na conduta profissional tornam estas situações muito menos hipotéticas. É o caso de Vitek-Boden . Após sua demissão da usina onde trabalhava com tratamento de resíduos, na Austrália no ano de 2000, seu acesso ao sistema não foi bloqueado imediatamente. Isso permitiu que, afim de chantagear seus superiores e recuperar seu emprego, acessasse remotamente o controle da usina e despeja-se lodo tóxico pelos rios da região.

 

A Comunicação é outro ponto crucial em um ambiente laboral. Protocolos rigorosos têm suas razões de existirem, o inverso disso não é uma solução. Mas seu caráter burocrático também pode induzir falhas humanas. A criptografia pode ser uma aliada para amenizar este problema. A técnica, que vem se fortalecendo ao longo dos anos, auxilia diversas áreas, ao permitir trocas de informações com clareza e proteção.  Através de um sistema de chaves públicas e privadas, pacotes contendo dados são enviados e recebidos para destinatários e remetentes definidos, e apenas estes, que conhecem os números que originaram a criptografia daquele pacote são capazes de acessar seu real conteúdo. Por isso, mesmo que interceptados, é quase impossível que sejam revelados.

 

Nos últimos anos, com a democratização da internet e o surgimento de grandes empresas no meio tornaram a superfície da web mais segura, com diversas medidas redundantes para que o usuário médio navegue com segurança. A sua presença no dia-a-dia das pessoas trouxe a demanda por integração de cada vez mais ferramentas por meio da internet, fenômeno conhecido por Internet das Coisas.

 

Essas tecnologias, por sua vez, vêm trazendo um novo momento de vulnerabilidades. Eletrodomésticos, gadgets e derivados, para que tenham preços acessíveis, trabalham com softwares muito básicos e desprotegidos, o que já resultou em eventos com o cyber ataque ao provedor de serviços Dyn, em 2016. Através de um malware chamado Mirai, hackers sequestraram equipamentos como roteadores, babás eletrônicas e câmeras de vigilância para conduzir um acesso em massa à plataforma, gerando a queda de serviços internacionais, como lojas virtuais, portais de mídia, streamers e redes sociais.

Mas por que essa informação é relevante para a indústria? A internet das coisas no meio industrial, também conhecida como Internet Industrial está avançando muito mais rápido, e juntamente com tecnologias de comunicação em nuvem, está direcionando o mundo para sua quarta revolução industrial.

 

 

Alguns acreditam na tecnologia como substituta dos SCADA.  O mais provável é que ambos sejam utilizados cada vez mais de forma complementar, uma vez que SCADA possui características indispensáveis para a indústria não encontradas em IoT. Assim, reúne-se o melhor de dois mundos, com coleta de dados precisa e eficiente em tempo real. Além disso, a redundância na aquisição de dados é mais um fator de verificação do processo.

 

­­A grande questão é o custo em termos de segurança. Uma vez que exista tráfico entre as máquinas e sistemas que controlam e adquire dados e o ambiente externo às usinas, que medidas irão garantir a total integridade de fábricas e usinas de ataques? Uma regulação dos softwares das máquinas dificultaria sua escravização, mas com certeza elevaria os custos da utilização de IoT, eliminando essa vantagem competitiva. E mesmo neste caso, nada impede que equipamentos externos derrubem os componentes da usina sobrecarregando-os com tentativas de acessos aos seus endereços de IP.

 

A esperança pode estar na resiliência das redes. A criatividade dos hackers costuma ser uma das principais dificuldades em questão de segurança. Mas com o avanço dos algoritmos de machine learning e inteligências artificiais, a tendência é que em breve as máquinas estarão competindo em mesmo nível, prevendo seus movimentos e criando obstáculos a partir do aprendizado adquirido em tentativas de invasão anteriores.

 

“Um povo que não conhece a sua história está condenado a repeti-la” A célebre frase proferida por Edmund Burke no século XVIII mantém seu caráter atemporal e universal. Aprender com os erros do passado é importante para se obter avanços em qualquer contexto, não só político. E após décadas de automação industrial, não faltam exemplos dos cuidados que devemos ter com a segurança de SCADA.

 

A prevenção é de longe a mais vantajosa forma de lidar com isso, por isso bons desenvolvedores são cruciais, bem como organização e investimentos em inovação.

A scadaHUB possui experiência em desenvolvimento de SCADA, trazendo há 13 anos ao mercado interfaces e arquiteturas de rede modernas e personalizadas. Saiba mais.

 

 

­

Fontes:

GREENBERG, Andy. America’s Hackable Backbone. Forbes, 2007. Disponível em: <https://www.forbes.com/2007/08/22/scada-hackers-infrastructure-tech-security-cx_ag_0822hack.html#751ac5586819>. Acesso em: 09 mar. 2018.

 

GREENBERG, Andy. Hackers Cut Cities’ Power. Forbes, 2008. Disponível em: < https://www.forbes.com/2008/01/18/cyber-attack-utilities-tech-intel-cx_ag_0118attack.html#673e01d1680b>. Acesso em: 09 mar. 2018.

 

SANGER, David E. Obama Order Sped Up Wave of Cyberattacks Against Iran. The New York Times, 2012. Disponível em: <http://www.nytimes.com/2012/06/01/world/middleeast/obama-ordered-wave-of-cyberattacks-against-iran.html>. Acesso em: 09 mar. 2018.

 

SCHNEIER, Bruce. The Story Behind The Stuxnet Virus. Forbes, 2010. Disponível em: < https://www.forbes.com/2010/10/06/iran-nuclear-computer-technology-security-stuxnet-worm.html#1ac58a5751e8>. Acesso em: 09 mar. 2018.

 

LLOYD, Mike. The Internet Of Things That Can Attack You. Forbes, 2017. Disponível em: < https://www.forbes.com/sites/ciocentral/2017/02/17/the-internet-of-things-that-can-attack-you/#12b7991edda3>. Acesso em: 09 mar. 2018.

 

POUS, Marc. SCADA Is DEAD! Long Live To IoT, 2017. Disponível em:<https://blog.thethings.io/scada-dead-long-live-iot/>. Acesso em: 15 mar. 2018.

 

ADVANTECH AUSTRALIA PTY LTD. Cloud-based SCADA as an IIoT Gateway, 2016. Disponível em: < https://www.processonline.com.au/content/process-control-systems/article/cloud-based-scada-as-an-iiot-gateway-426161346#ixzz57Cc4i7k6>. Acesso em: 15 mar. 2018.

 

GREAT. WannaCry ramsonware used in widespread attacks all over the world, 2017. Disponível em: < https://securelist.com/wannacry-ransomware-used-in-widespread-attacks-all-over-the-world/78351/>. Acesso em: 15 mar. 2018.

 

 

 

 

 

Please reload

Em Destaque

Estudo de Caso SCADA COG COS

March 13, 2018

1/4
Please reload

Publicações Recentes