Siemens libera patch para o Simatic WinCC e PCS 7

A Simens liberou um update para o sistema Simatic WinCC, alvo escolhido pelo primeiro vírus escrito para invadir redes SCADA (veja os posts anteriores).  Pela documentação que acompanha o update, parece que por hora, trata-se de uma solução ainda paliativa e provisória.

Extraído das instruções do update:

“This Security Update supports you in protecting your SIMATIC system from malware that is
currently being distributed due to a security breach in the Microsoft Windows operating
system.” Leia o resto deste post »

Uma alternativa ao antívirus?

Acredito que qualquer um com o mínimo de conhecimento sobre redes ou sistemas de controle industrial irá concordar que soluções de segurança que se utilizam de “agentes” de host não são uma boa idéia para máquinas encarregadas de processos de supervisão ou controle. O exemplo mais comum de solução de segurança que utiliza o conceito de agente de host é o antívirus, mas outros são cada vez mais comuns como o IPS de host e agentes de NAC (network admission control) e DLP (data leak protection).

Um dos principais problemas destes agentes é que eles roubam CPU, memória e I/O de máquinas que precisam rodar sistemas praticamente Real-Time. Imagine os seguintes cenários:

• um bloqueio de I/O numa operação de escrita de variável importante do processo na rede impedida porque o agente DLP achou que trata-se de um “vazamento” de informação não permitida;
• um agente antivírus deletou o arquivo do projeto de seu processo porque “identificou” incorretamente que se tratava de um vírus;
• um IPS de host impediu uma conexão OPC entre o cliente e o servidor porque “entendeu” que se trata de um ataque definido em uma de suas assinaturas contra o blaster, sasser ou outros (estes worms exploram falhas no protocolo DCOM que roda via MS-RPC, e o OPC é baseado em DCOM).

São situações bem reais que ocorrem o tempo todo no mundo do escritório. Só que no mundo industrial o efeito pode ser devastador. Daí que as soluções para este ambiente são bastante limitadas e mesmo aplicando-se boas práticas na construção de um forte perímetro entre a rede corporativa e industrial, a segurança ainda não está garantida, como nos mostra o caso do vírus Stuxnet, que se utiliza de drives USB como umas das formas de propagação. Leia o resto deste post »

Mais fatos sobre o vírus Stuxnet

O primeiro vírus especificamente escrito para invadir sistemas SCADA, mas precisamente os sistemas Simatic WinCC e PCS 7, ambos da Siemens, demonstra uma grande e raramente encontrada habilidade no seu desenvolvimento. Coisa de profissional do mais alto nível técnico (não ético ou legal claro). Alguns fatos:

• O vírus usa um exploit até então desconhecido. Em geral, o desenvolvimento de um vírus dá-se depois que a vulnerabilidade torna-se pública, mas neste caso foi o contrário. Só isso já é um sinal do nível de habilidade deste desenvolvedor (ou grupo);
• O vírus instala um rootkit na forma de dois novos drivers de dispositivo no Windows e para ter sucesso mesmo em sistemas configurados para exigir que o driver seja assinado digitalmente, ele utiliza uma assinatura digital associada ao fabricante Realtek Semiconductor, que produz chipsets dos mais diversos, sendo os mais comuns aqueles que equipam a placa de som de placas-mãe da Assus, MSI e muitos outros. A forma como o desenvolvedor do vírus teve acesso as chaves criptográficas da Realtek ainda não está claro, mas especula-se que elas devem ter sido roubadas;
• O pânico que se instalou nos usuários do WinCC se deu basicamente por medo que o vírus executasse alguma rotina perigosa para a planta, um shutdown, alteração de alguma variável importante ou até mesmo bloqueasse o acesso dos operadores ao sistema, deixando a planta em voo cego.  Ninguém quer, neste momento, descartar estas possibilidades, mas uma nova análise do vírus mostra que ele foi desenvolvido mesmo com foco na espionagem industrial. Isso porque ao invadir a máquina, o que ele faz é tentar enviar para um site os arquivos de projetos salvos no sistema, ou seja, toda a lógica e programação dos processos. Tendo acesso a estes arquivos, pode-se descobrir segredos industriais sobre todo o processo de fabricação dos produtos de uma empresa, permitindo a sua cópia e falsificação;

Assim como aconteceu com os clássicos worms blaster e SQLslammer, o Stuxnet em breve irá popular as apresentações e estudos de caso dos mais diversos fabricantes de soluções de segurança. Alguns dirão até que seu produto já oferecia proteção antes mesmo do exploit ser lançado, mas o fato é que quem encontrou o vírus foi uma empresa da Bielorussia até então bem desconhecida, a VirusBlockAda.

Novo vírus usa vulnerabilidade do Windows para atacar redes SCADA

E então a profecia se realiza! O que era apenas uma suposição, bastante provável é verdade, se concretizou: o primeiro vírus especificamente escrito para atacar um sistema SCADA está fazendo vítimas por aí. O vírus, chamado Stuxnet, recentemente descoberto por uma empresa de segurança Russa, explora uma falha grave do Windows “Vulnerability in Windows Shell Could Allow Remote Code Execution” que ainda não possui correção (0-day) disponibilizada pela MS, ou seja, ainda não existe um patch contra ela, mas alguns “workarounds” já estão disponíveis (voltarei a isso mais tarde). Segundo análise, o vírus é capaz de contaminar máquinas rodando Windows 2000, XP, Vista e Windows 7, além das versões Server 2003 e 2008 (humm, peraí.. se eu contei certo, então todas as versões estão vulneráveis!). E como o exploit já é público (existe um PoC publicado usando o protocolo WebDAV como vetor), logo muitas variantes estarão disponíveis, além do clássico “upgrade” na capacidade de infecção dos milhares de botnets que rodam por aí.

O vírus foi encontrado através de pen-drives USB infectados que uma vez inserido numa máquina vulnerável, utiliza a falha (vulnerabilidade) acima para infectá-la, mas uma análise mais detalhada mostrou que o vírus se replica para todos os compartilhamentos de rede disponíveis para escrita que o vírus encontrar (ou seja todos os shares que o usuário possui privilégios de escrita) e a partir destas pastas, pode infectar toda a rede, pois basta que um usuário apenas navegue por uma destas pastas para que sua máquina também seja infectada. Não é preciso clicar ou executar nenhum link ou programa, basta abrir uma pasta que contenha o arquivo com o exploit do vírus para que a contaminação aconteça. Leia o resto deste post »