Com o mérito de ter sido o primeiro livro lançado especificamente sobre o tema de segurança em redes e sistemas SCADA, este texto traz uma excelente introdução sobre o assunto, principalmente para gestores e gerentes tanto de TI quanto de automação industrial. O autor tem no currículo alguns best-sellers em Segurança da Informação e utiliza-se de sua experiência na condução do texto, apresentando conteúdo para “quem é de Segurança da Informação e quer conhecer um pouco sobre e SCADA” e também “para quem é de SCADA é quer conhecer um pouco sobre Segurança da Informação”.
Como apresentar um pouco da cada mundo é uma tarefa muito grande, e o espaço em um livro um recurso escasso, o autor deixa um pouco a desejar no detalhamento mais profundo de cada item, porém ele cita referências para quem desejar pesquisar mais a fundo. O livro não traz uma abordagem técnica, e aqueles que gostam de arranhar bits podem ficar um pouco desapontados. Por outro lado, os exemplos práticos de implementação de redes SCADA ilustram a importância que estes ambientes têm, não só para as empresas, mas também para a nossa vida cotidiana. Só achei que gastar papel com fórmulas relativas ao processo químico de refino do benzeno, por exemplo, um contra-senso. Melhor seria aproveitar este espaço para mais discussões sobre auditoria, controle de acesso e etc. Leia o resto deste post »
Fundada pelo DHS (U.S Department of Homeland Security, algo como Ministério da Segurança Interna), o US-CERT (U.S Computer Emergency Readiness Team) junto através do seu programa CSSP – Control Systems Security Program – lançou um curso on-line e gratuito para que engenheiros, técnicos e operadores de automação tenham uma introdução aos conceitos básicos a cerca de segurança digital que afetam diretamente as rede de supervisão e controle. O curso não é destinado para profissionais de segurança da informação, que poderão achar os tópicos muito superficiais, mas é um excelente material introdutório para o pessoal que só agora está tendo que encarar mais estes desafios no seu dia-a-dia. O curso é em inglês, mas em linguagem simples, logo, com um pouco de calma e a ajuda do pai-dos-burros – nosso amigo dicionário – não vai ser difícil entender.
Inscrevam-se e depois postem aqui nos comentários o que acharam.
Após algumas aquisições que fortaleceram e consolidaram a sua presença, e porque não a liderança, no mercado de segurança de redes de controle e automação industrial, a Verano mudou seu nome para Industrial Defender. Junto com a mudança a empresa reorganizou sua oferta de produtos e serviços, cobrindo agora desde serviços de consultoria e diagnóstico, passando pela implementação de projetos de proteção até serviços de monitoração de eventos, ao melhor estilo MSSP. A Industrial Defender conta com um firewall específico para redes industriais que vale a pena uma olhada. Ainda não tive a oportunidade de testar o produto e resta saber se ele tem mesmo funções específicas ou é apenas mais um firewall comum instalado num hardware padrão industrial.
Conseqüência do grande black-out que atingiu mais de 50 milhões de pessoas nos EUA e Canadá em agosto de 2003, o “Energy Policy Act of 2005″ foi criado para obrigar as empresas fornecedoras de energia no atacado (bulk), similar ao nosso SNI (Sistema Interligado Nacional) operado pelo ONS (Operador Nacional do Sistema Elétrico), a respeitarem padrões de qualidade e confiabilidade no seu fornecimento. A lei autorizou também a criação de uma agência auto-reguladora da confiabilidade, e assim o FERC aprovou que a NERC (North American Energy Reliability Corporation) assuma este fim. Leia o resto deste post »
Imaginem que num dia comum, uma manhã de domingo por exemplo, você acorda cedo (domingo? tá bom!), pega o jornal e liga a TV para, dentre outras coisas saber a previsão do tempo para o dia. O telejornal ilustra a narração da previsão do tempo com imagens “ao vivo”, um panorama da Cidade Maravilhosa, e de repente no meio da imagem um cogumelo atômico começa a se formar, atingir o céu, tudo se estremece e a imagem da câmera começa a falhar até sair do ar completamente. Qual seria a sua reação? Fácil imaginar, não? Medo, nervosismo… pânico (principalmente se, pela imagem da TV, em breve aquela explosão vai estar chegando até você ). Por sorte, alguns instantes depois, entrar no ar o repórter para esclarecer que houve algum problema técnico e que nada explodiu e tal. Pede para todos se acalmaram e informa que as causas da imagem estariam sendo esclarecidas.
Pois segundo o site “DarkReading“, foi isso o que aconteceu recentemente na República Tcheca. Na manhã do último domingo, enquanto assistiam ao programa “Panorama”, sobre resorts e estações de ski, os espectadores foram surpreendidos com a imagem de uma nítida e clara explosão nuclear. Como a imagem era ao vivo, a explosão deveria estar ocorrendo naquele mesmo momento, criando um medo geral naqueles que assistiam as imagens. O dano só não foi maior porque o programa é de baixa audiência (claro! numa manhã de domingo oras…) e as imagens foram assistidas por apenas cerca de umas 50.000 pessoas em todo o país. Aqui vai o vídeo:
As investigações mostraram que a “brincadeira” foi criada por um grupo de hackers denominado Ztohoven, um grupo que se autoproclama “artístico”. Os hackers conseguiram invadir a webcam utilizada pelo canal de TV para exibir as imagens e implantaram nela o vídeo modificado. Sem dar detalhes sobre como a invasão ocorreu, o canal se limitou a dizer que eles utilizaram-se da “Internet e outras tecnologias” (aposto que a câmera era wifi). O grupo liberou uma declaração dizendo que tudo não se passava de uma brincadeira, que eles não são terroristas ou grupo político. A polícia investiga.
Que foi uma péssima brincadeira, isso foi, mas ao mesmo tempo genial não? É um super case de segurança para as redes industriais. Tenho visto a adoção em massa de câmeras como essa para monitorar localidades remotas, dentro e fora da planta, tanto para vigilância patrimonial quanto para monitoração operacional (o que é aquela fumaça saindo do compressor?) e aí que mora o perigo. Para a automação de muitos ambientes, mais importante do que garantir a confidencialidade das imagens é garantir que elas sejam íntegras. A imagem de uma câmera que monitora dia-e-noite parte daquele duto por onde passa uma substância tóxica não é exatamente uma imagem confidencial, você há de concordar comigo. Agora, se esta imagem passa a exibir um vazamento que não existe, o operação vai parar o bombeio ou até mesmo a produção, gerando toda a série de transtornos que você pode imaginar, sem ter ocorrido uma necessidade real.
Me arriscaria a dizer que, pior ainda seria uma situação onde o incidente está ocorrendo, mas a imagem não mostra nada, porque foi modificada para informar apenas que tudo está bem. Isso sim seria um prejuízo!
Toda monitoração remota deve ser cercada de muitos cuidados. Imaginar que um simples câmera não pode ser transformada em um vetor de ataque contra a sua planta é ignorar que os operadores são humanos e poucas coisas influenciam tanto as nossas decisões quanto uma imagem. Certifiquem-se em usar câmeras que tenham embutidas no seu software recursos de segurança que permitam a implementação de criptografia, autenticação forte para acessar as imagens e recursos de controle de acesso, como um firewall, para limitar a origem dos endereços que podem se conectar nela. Evitem o uso de câmeras “burras”, mais baratas. E se vocês optarem por usar o recurso de multicast, fazendo streeming das imagens para um certo grupo ao invés do tradicional servidor web com conexão unicast (ih, compliquei? mandem comentários que eu explico o que significa e as diferenças, ok?), certifiquem-se que sua rede está bem configurada para isso, com autenticação no igmp, no PIM(se for o caso)e access-lists adequadas.
Todos falam no PAC, Programa de Aceleração do Crescimento, que enfim promete nos tirar desta inércia e lançar o nosso país numa posição de liderança econômica sólida. Basicamente, o PAC consiste, muito certamente, no investimento em ações de infraestrutura, como a revitalização de portos, ferrovias, construção de térmicas e hidrelétricas, gasodutos, telecomunicações, enfim, tudo o que as empresas precisam para garantir um crescimento investindo com a certeza de que não vai faltar energia, transporte etc.
Então se planeja algumas refinarias e pólos petroquímicos, mais plataformas e polidutos, algumas térmicas e hidrelétricas, mas vamos deixar de lado o fato de que o crescimento econômico do Brasil incomoda muita gente e isso representa um risco, cuja história recente do século XX nos ensinou que pode terminal mal? Vamos deixar de lado que a segunda metade do século XX pra cá foi de paz, pois não lembro agora de nenhuma guerra entre duas democracias neste período. De paz? De paz não, de conflitos não-bélicos. Não estou me referindo a guerra-fria. Me refiro a conflitos quase diários travados nos tribunais da OMC e outras instituições; aos conflitos que ocorrem nas mesas de negociação por investimentos estrangeiros; nos conflitos que ocorrem na especulação financeira que destrói bolsas, quebra empresas e gera desemprego. Leia o resto deste post »
No primeiro post, de fato, quero apresentar algo que aprendi e uso para guiar meus pensamentos sempre que me deparo com discussões sobre problemas ou soluções para redes industriais: não pense sobre SCADA com TI em mente! Isso mesmo, esqueça, por um instante, tudo que você aprendeu ao longo dos anos sobre segurança de perímetros, firewalls, IPS/IDS, normas como ISO 17799 e suas afilhadas e pense nisto: errar na segurança de uma rede industrial pode custar vidas humanas e em alguns casos, milhares delas. Leia o resto deste post »
Bom, é isso aí amigos: Antes tarde do que nunca! Até agora resisti a tentação de criar um blog próprio para compartilhar as idéias e tal. Achava até então que não era necessário, já que existem excelentes canais Internet afora e sempre que possível, faço minha contribuição, postando comentários, respondendo a perguntas e enquetes, enviando sugestões, enfim, participando. Desde que Internet é Internet (é até mesmo antes disso ) participo de várias listas de discussão, nacionais e internacionais. Daí, pensei “blog pra quê?” e a resposta veio com a vontade de falar sobre um assunto, infelizmente, muito ausente na comunidade de segurança da informação brasileira: a segurança em sistemas de supervisão e controle de plantas industrias, para os íntimos, SCADA e DCS.
Está acontecendo tanta coisa nesta área mundialmente e por aqui não vejo nada sobre este assunto, agora que ele deveria ser prioridade, já que o PAC (Programa de Aceleração do Crescimento) está no forno.
Este vai ser meu objetivo principal, mas é lógico que um blog não pode ser sacal, pra quem lê e nem para quem escreve, logo, vez ou outra se pipocar por aqui um “desvio de assunto”, me perdoem! Vou tentar me conter ao máximo.
Obrigado pela visita e espero tê-lo sempre por aqui no blog.
Escrito por jcfaial 
Escrito por jcfaial 
Escrito por jcfaial 
). Por sorte, alguns instantes depois, entrar no ar o repórter para esclarecer que houve algum problema técnico e que nada explodiu e tal. Pede para todos se acalmaram e informa que as causas da imagem estariam sendo esclarecidas.
) participo de várias listas de discussão, nacionais e internacionais. Daí, pensei “blog pra quê?” e a resposta veio com a vontade de falar sobre um assunto, infelizmente, muito ausente na comunidade de segurança da informação brasileira: a segurança em sistemas de supervisão e controle de plantas industrias, para os íntimos, SCADA e DCS.
