O DoE (Department of Energy) americano, equivalente do nosso Ministério de Minas e Energia, publicou um excelente relatório sobre o resultado de diversos testes de segurança conduzidos na infraestrutura de energia elétrica (grid) deles. Os testes foram conduzidos pelo Laboratório Nacional de Idaho no perído de 2003 a 2009 e compreendeu 24 ICSs (Industrial Control Systems) operados tanto por empresas privadas, como também aqueles operados pelo governo.
O relatório informa que, por razões óbvias, os detalhes especificos das vulnerabilidades encontradas em cada ICS não podem ser divulgados, porém uma análise geral dos problemas pode e deve servir de base para que outras empresas os utilizem na condução de seus próprios testes.
Um achado interessante do relatório é que a principal vulnerabilidade dos sistemas industriais é a falta de patches, não só do sistema operacional, como também das aplicações. Esse ponto foi classificado como de mais alto risco e é fácil de se explicar: diz a máxima “se tá funcionando, pra quê meter a mão?” ou “não se mexe em time que está ganhando”. A verdade é que tradicionalmente, por um problema cultural, só se tem o hábito de atualizar estes sistemas quando alguma funcionalidade está dando problema, ou seja, quando algo dá “pau”, mas tudo está rodando bem, uma atualização que vem para corrigir uma vulnerabilidade fica em segundo plano. Essa prática, diz o relatório, está sendo mortal para as redes industriais e essa cultura precisa mudar.
O relatório é longo, porém muito interessante, pois ele vai além do óbvio que todos conhecemos. Aqui a lista dos pontos mais críticos:
- Unpatched Published Vulnerabilities
- Use of Vulnerable Remote Display Protocols
- Web HMI Vulnerabilities
- Buffer Overflows in ICS services
- Improper Authentication
- Improper Access Control (Authorization)
- Use of Standard IT Protocols with Clear-text Authentication
- Unprotected Transport of ICS Application Credentials
- ICS Data and Command Message Manipulation and Injection
- SQL Injection
Quero chamar atenção para outro ponto importante, o uso dos displays remotos. Como alguns ambientes são mais dispersos, é fácil encontrar lugares onde o host está numa sala de equipamentos e o seu operador em outra, com acesso via rede. Em geral, este acesso remoto é baseado em VNC ou Remote Desktop quando a plataforma é Windows e X Servers quando baseado em Linux/Unix. Todos estes sistemas pode ser configurados para rodar de forma razoavelmente segura, porém a implementações são feitas geralmente na sua forma padrão e não precisao dizer que isso é o mesmo que dizer “insegura”. O linux por exemplo, é alardeado com sendo mais seguro do que o Windows, porém o protocolo gráfico utilizado nos displays, o “X”, tem mais de 20 anos de existência e acumula um tanto de problemas. O principal deles é a dificuldade que o firewalls tem em lidar com suas portas, que são alocadas de forma dinâmica após uma conexão inicial na porta tcp/6000: ordem cliente-servidor se inverte, e uma nova sessão é criada. Além disso, o X não é encriptado e sua autenticação padrão é fraca ou nula, baseada num mecanismo de confiança dos tempos dos serviços “r” (rhosts, rshell, rlogin, rcommand, rruim… rsrs). Mesmo o xauth (uma forma mais recente de autenticação do X) não é considerada segura o bastante, pois há alguns erros no algoritmo que gera os seus cookies. A melhor solução é tunelar o protocolo X dentro de uma sessão SSH v2, coisa que quase ninguém faz. O item 3 preocupa, pois vemos cada vez mais sistemas HMI migrando para o ambiente Web. O relatório informa que essa migração está sendo feita sem levar em consideração controles contra ataques típicos deste ambiente, como cross-site-scripting, manipulação se cookies e variáveis de sessão etc.
Enquanto o EUA coloca o dedo na ferida, assumem que tem problemas e investem em soluções, por aqui há pouca ou nenhuma notícia sobre iniciativas locais. Eu já li e reli o Procedimentos de Rede do ONS, só para citar um exemplo, e confesso que não encontrei nada relativo a exigências de segurança das redes conectadas a malha do sistema brasileiro. Se tiver algo ali, que eu tenha deixada escapar, alguém por favor me alerte.
