Novo padrão de segurança da informação para a indústria de automação é lançado

A “International Instrument Users’ Association” (WIB) publicou hoje a segunda versão do “Process Control Domain — Security Requirements For Vendors“, definido como o “primeiro padrão internacional a descrever uma série de requisitos e melhores práticas de segurança da informação para fornecedores de sistemas de automação e controle”. O documento é o resultado de uma cooperação entre diversas empresas e organizações, como a Shell, BP, Saudi Aramco, Dow, DuPont e outras. No seu desenvolvimento, diversos padrões e melhores práticas, de diversos setores da automação industrial foram usados como referência. Material da ISA99, NIST 800-53, NISTIR 7628 e requisitos regulatórios como o NERC/CIP foram incorporados nas matrizes de requisitos e divididos e organizados conforme a metodologia SSE-CCM.

O resultado do trabalho é muito interessante, apesar de ter achado muito apelativo do ponto de vista comercial, fazendo referência desnecessárias e produtos de algumas empresas, que por sinal, são membros do comitê de desenvolvimento. Na minha opinião isso não tira a qualidade, mas impacta a neutralidade e independência que este tipo de trabalho deve ter. Por isso, avalie tudo com cuidado antes de qualquer coisa.

Aqui segue o link para o documento: http://www.wib.nl/reportindex/WIB_M2784_PCS_vendorsecurity_v2.pdf

Saudações!

Palestra na ISA Brazil Automation 2010 foi bem recebida

Minha palestra na ISA Brazil Automation 2010 foi muito bem recebida. Muito obrigado a todos que estiveram lá e mais uma vez, me desculpem pela velocidade. Muito assunto para falar em pouco tempo… A feira e congresso ISA Brazil 2010 está sendo realizada no ExpoCenter Norte em São Paulo. Tudo muito bem organizado e com bastante conteúdo, diversos expositores e muitos lançamentos. Se você é do setor, não deve perder: ela termina hoje, então ainda dá tempo de uma visita.

Voltando a palestra, eu queria reforçar que em nenhum momento estive lá com a intenção de denegrir a imagem de nenhuma empresa ou produto. Tudo que é software está sujeito a falhas e vulnerabilidades. É uma questão de estatística. O que difere uma empresa de outra quando o assunto é vulnerabilidades em seus produtos é sua postura em relação a divulgação e orientação dos seus clientes: ela pode optar por ignorar o problema, jogando para cima de outro ou assumir a responsabilidade e atuar de forma rápida para solucioná-lo. Leia o resto deste post »

Tragédia da DeepWater Horizon teria sido causada por falha em computador.

Após o testemunho do eletricista  chefe embarcado na DeepWater ao congresso americano, no dia 23 de julho, alguns sites e jornais estão publicando informações que dariam a entender que uma falha no micro onde rodam os sistemas de automação do processo de drilling teria sido a causa do defeito que levou a explosão e consequente afundamento da plataforma. Na explosão, 11 pessoas morreram.

Michael Williams, o eletricista chefe, disse em seu testemunho que os alarmes de segurança eram desativados durante a noite para não acordar a tripulação porque o sistema estava gerando muitos falso-positivos. Disse também que algumas semanas antes do evento, ele foi chamado para atender um problema de travamento no computador do driller e segundo a equipe, o equipamento apresentava uma bsod (blue screen of death – terror dos administradores de Windows NT  e 2000) e congelava constantemente, ficando assim durante longo tempo. Segundo os jornalistas, isso impediu que os responsáveis pelo drilling recebessem informações crucias para impedir o incidente. Leia o resto deste post »

Microsoft libera patch para corrigir vulnerabilidade dos arquivos LNK/Atalho

A vulnerabilidade que permitiu a disseminação do vírus Stuxnet, que afeta sistemas SCADA, e agora equipa o portfolio de um sem número de outros malwares, já possui um patch de correção, lançado de forma emergencial pela Microsoft. A empresa, que a alguns anos resolveu concentrar o lançamento de patches em lotes mensais, resolveu lançar a correção fora deste ciclo devido a sua criticidade e a grande ploriferação de novos vírus baseados nela. Com a publicação de alguns exploits e a introdução de um módulo dentro do framework predileto dos script kiddies, o Metasploit, arquivos .lnk e .pif para explorar a vulnerabilidade começaram a pipocar por toda parte. Leia o resto deste post »

Relatório do DoE: infraestrutura do sistema elétrico americano é vulnerável a cyber ataques.

O DoE (Department of Energy) americano, equivalente do nosso Ministério de Minas e Energia, publicou um excelente relatório sobre o resultado de diversos testes de segurança conduzidos na infraestrutura de energia elétrica (grid) deles. Os testes foram conduzidos pelo Laboratório Nacional de Idaho no perído de 2003 a 2009 e compreendeu 24 ICSs (Industrial Control Systems) operados tanto por  empresas privadas, como também aqueles operados pelo governo.

O relatório informa que, por razões óbvias, os detalhes especificos das vulnerabilidades encontradas em cada ICS não podem ser divulgados, porém uma análise geral dos problemas pode e deve servir de base para que outras empresas os utilizem na condução de seus próprios testes.

Um achado interessante do relatório é que a principal vulnerabilidade dos sistemas industriais é Leia o resto deste post »

Siemens libera patch para o Simatic WinCC e PCS 7

A Simens liberou um update para o sistema Simatic WinCC, alvo escolhido pelo primeiro vírus escrito para invadir redes SCADA (veja os posts anteriores).  Pela documentação que acompanha o update, parece que por hora, trata-se de uma solução ainda paliativa e provisória.

Extraído das instruções do update:

“This Security Update supports you in protecting your SIMATIC system from malware that is
currently being distributed due to a security breach in the Microsoft Windows operating
system.” Leia o resto deste post »

Uma alternativa ao antívirus?

Acredito que qualquer um com o mínimo de conhecimento sobre redes ou sistemas de controle industrial irá concordar que soluções de segurança que se utilizam de “agentes” de host não são uma boa idéia para máquinas encarregadas de processos de supervisão ou controle. O exemplo mais comum de solução de segurança que utiliza o conceito de agente de host é o antívirus, mas outros são cada vez mais comuns como o IPS de host e agentes de NAC (network admission control) e DLP (data leak protection).

Um dos principais problemas destes agentes é que eles roubam CPU, memória e I/O de máquinas que precisam rodar sistemas praticamente Real-Time. Imagine os seguintes cenários:

• um bloqueio de I/O numa operação de escrita de variável importante do processo na rede impedida porque o agente DLP achou que trata-se de um “vazamento” de informação não permitida;
• um agente antivírus deletou o arquivo do projeto de seu processo porque “identificou” incorretamente que se tratava de um vírus;
• um IPS de host impediu uma conexão OPC entre o cliente e o servidor porque “entendeu” que se trata de um ataque definido em uma de suas assinaturas contra o blaster, sasser ou outros (estes worms exploram falhas no protocolo DCOM que roda via MS-RPC, e o OPC é baseado em DCOM).

São situações bem reais que ocorrem o tempo todo no mundo do escritório. Só que no mundo industrial o efeito pode ser devastador. Daí que as soluções para este ambiente são bastante limitadas e mesmo aplicando-se boas práticas na construção de um forte perímetro entre a rede corporativa e industrial, a segurança ainda não está garantida, como nos mostra o caso do vírus Stuxnet, que se utiliza de drives USB como umas das formas de propagação. Leia o resto deste post »

Mais fatos sobre o vírus Stuxnet

O primeiro vírus especificamente escrito para invadir sistemas SCADA, mas precisamente os sistemas Simatic WinCC e PCS 7, ambos da Siemens, demonstra uma grande e raramente encontrada habilidade no seu desenvolvimento. Coisa de profissional do mais alto nível técnico (não ético ou legal claro). Alguns fatos:

• O vírus usa um exploit até então desconhecido. Em geral, o desenvolvimento de um vírus dá-se depois que a vulnerabilidade torna-se pública, mas neste caso foi o contrário. Só isso já é um sinal do nível de habilidade deste desenvolvedor (ou grupo);
• O vírus instala um rootkit na forma de dois novos drivers de dispositivo no Windows e para ter sucesso mesmo em sistemas configurados para exigir que o driver seja assinado digitalmente, ele utiliza uma assinatura digital associada ao fabricante Realtek Semiconductor, que produz chipsets dos mais diversos, sendo os mais comuns aqueles que equipam a placa de som de placas-mãe da Assus, MSI e muitos outros. A forma como o desenvolvedor do vírus teve acesso as chaves criptográficas da Realtek ainda não está claro, mas especula-se que elas devem ter sido roubadas;
• O pânico que se instalou nos usuários do WinCC se deu basicamente por medo que o vírus executasse alguma rotina perigosa para a planta, um shutdown, alteração de alguma variável importante ou até mesmo bloqueasse o acesso dos operadores ao sistema, deixando a planta em voo cego.  Ninguém quer, neste momento, descartar estas possibilidades, mas uma nova análise do vírus mostra que ele foi desenvolvido mesmo com foco na espionagem industrial. Isso porque ao invadir a máquina, o que ele faz é tentar enviar para um site os arquivos de projetos salvos no sistema, ou seja, toda a lógica e programação dos processos. Tendo acesso a estes arquivos, pode-se descobrir segredos industriais sobre todo o processo de fabricação dos produtos de uma empresa, permitindo a sua cópia e falsificação;

Assim como aconteceu com os clássicos worms blaster e SQLslammer, o Stuxnet em breve irá popular as apresentações e estudos de caso dos mais diversos fabricantes de soluções de segurança. Alguns dirão até que seu produto já oferecia proteção antes mesmo do exploit ser lançado, mas o fato é que quem encontrou o vírus foi uma empresa da Bielorussia até então bem desconhecida, a VirusBlockAda.

Novo vírus usa vulnerabilidade do Windows para atacar redes SCADA

E então a profecia se realiza! O que era apenas uma suposição, bastante provável é verdade, se concretizou: o primeiro vírus especificamente escrito para atacar um sistema SCADA está fazendo vítimas por aí. O vírus, chamado Stuxnet, recentemente descoberto por uma empresa de segurança Russa, explora uma falha grave do Windows “Vulnerability in Windows Shell Could Allow Remote Code Execution” que ainda não possui correção (0-day) disponibilizada pela MS, ou seja, ainda não existe um patch contra ela, mas alguns “workarounds” já estão disponíveis (voltarei a isso mais tarde). Segundo análise, o vírus é capaz de contaminar máquinas rodando Windows 2000, XP, Vista e Windows 7, além das versões Server 2003 e 2008 (humm, peraí.. se eu contei certo, então todas as versões estão vulneráveis!). E como o exploit já é público (existe um PoC publicado usando o protocolo WebDAV como vetor), logo muitas variantes estarão disponíveis, além do clássico “upgrade” na capacidade de infecção dos milhares de botnets que rodam por aí.

O vírus foi encontrado através de pen-drives USB infectados que uma vez inserido numa máquina vulnerável, utiliza a falha (vulnerabilidade) acima para infectá-la, mas uma análise mais detalhada mostrou que o vírus se replica para todos os compartilhamentos de rede disponíveis para escrita que o vírus encontrar (ou seja todos os shares que o usuário possui privilégios de escrita) e a partir destas pastas, pode infectar toda a rede, pois basta que um usuário apenas navegue por uma destas pastas para que sua máquina também seja infectada. Não é preciso clicar ou executar nenhum link ou programa, basta abrir uma pasta que contenha o arquivo com o exploit do vírus para que a contaminação aconteça. Leia o resto deste post »

MS08-030: Vulnerabilidade afeta o stack Bluetooth do Windows XP e Vista

Quem usa dispositivos equipados com a tecnologia de comunicação wireless baseada no protocolo Bluetooth, em plataformas Windows, deve ficar atento para uma importante vulnerabilidade recém divulgada pela Microsoft. A falha, permite que dispositivos rodando Windows XP ou Vista equipados com interface bluetooth executem código malicioso remotamente. Quem aplicou o patch original, deve observar que foi lançado um novo update, ou seja, um “patch para o patch” original!

Rede de sensores, e equipamentos que emulam portas seriais através de RFCOMM podem ser prováveis canditados ao patch, uma vez que alguns rodam código da MS internamente, e outros são realmente 100% baseados em Windows. Consultem seus fornecedores sobre a possibilidade de aplicar a correção e, antes de tudo, testem antes de colocar em produção.