Foi descoberta uma vulnerabilidade de buffer overflow que atinge a suíte de produtos, incluindo HMI, CitectSCADA, desenvolvida pela Citect, que permite ao invasor tomar o controle da aplicação e utilizá-la para comprometer a rede de processos, executar shutdowns ou outras manobras não autorizadas. A vulnerabilidade, que, atinge o serviço ODBC do produto, foi descoberta pela Core Security e um patch para solucionar o problema já se encontra disponível.
Se alguém por aí utiliza este produto, certifique-se de fazer uma análise de risco e considerar logo a aplicação deste patch, pois a vulnerabilidade é crítica. Obviamente que ninguém por aí conecta a sua rede SCADA à Internet, certo? Mas mesmo assim, vale a pena considerar a correção.
O que é curioso neste anúncio é o fato de uma empresa como a Core, grande “pesquisadora” de vulnerabilidades do ambiente de TI, estar aplicando recursos para testar e quebrar a segurança de aplicações e produtos para o ambiente industrial. Isso vai de acordo com a tendência atual: os fabricantes de soluções de TI querem entrar neste nicho, mas é preciso que haja o “fato”, ou seja as vulnerabilidades, para justificar os investimentos. Claro que a Core também quer ser reconhecida como especialista no setor, ganhando créditos da comunidade e potenciais clientes para seus serviços de consultoria. Nada de errado nisso, já que o mercado de segurança para a TI tradicional já está abarrotado de fornecedores e a automação é uma área ainda pouco explorada e repleta de oportunidades (e dinheiro!).
Quando falamos de segurança, seja em que área for, temos que cuidar para não misturar mito e realidade, evitar o sensacionalismo, as discussões inflamadas sem base real. O risco é cair no descrédito, como o no conto do menino que sempre inventava histórias e quando finalmente o lobo apareceu, ninguém acreditou nele. A segurança da informação tradicional em TI passou por esta fase, agora quem passa é a segurança em SCADA. Assim como no post abaixo, vou relatar mais um caso pra ser esquecido, pois é sensacionalismo puro. Uma apelação covarde. Vamos a notícia…
Saiu na CNN a seguinte manchete “Mouse click could plunge city into darkness, experts say“, traduzindo “Especialistas alertam: um clique de mouse pode trazer cidades de volta para idade das trevas”, é no mínimo exagerado, para não dizer hilário. A reportagem trata de um vídeo, recém produzido pelo DHS (U.S. Department of Homeland Security) que retrata a simulação de um ataque de hackers (no caso com motivações terroristas) contra uma plata crítica para infra-estrutura americana. No vídeo, um gerador entra em pane, produz muita fumaça e vai pelos ares. Até aí seria uma boa simulação, mas as coisas nem sempre são tão simples. Detalhes de como a simulação foi conduzida vazaram na Internet por um dos técnicos que deram consultoria aos testes, mostrando quanta “apelação” foi feita para resultar em algo que desse um noticiário preocupante. Quem reporta isso é o Bruce Schneier em seu blog. Aqui segue uma parte do email divulgado:
“By the way — they were unable to hurt the generator you see in the video but did destroy the shaft that drives it and the power unit. They triggered the event from 30 miles away! Then they extrapolated the theory that a malfunctioning generator can destroy not only generators at the power company but the power glitches on the grid would destroy motors many miles away on the electric grid that pump water or gasoline (through pipelines).“
Ou seja, durante o simulado, não conseguiram danificar o gerador…
E também:
“By the way, the vulnerability they hypothesize is completely bogus but I won’t say more about the details. Gitmo is still too hot for me this time of year. “
Sem comentários, o cara está com medo de revelar mais detalhes com medo de parar em Guantânamo (base militar americana onde são mantidos prisioneiros supostos terroristas).
Olá amigos leitores! Estou voltando aos poucos após este longo (pra mim breve…) recesso. Para aqueles que mandaram email de parabéns pelo filhão, meu muito obrigado. Alías, ele vai indo muito bem. Fazendo o que os bebês fazem de melhor!
Vou começar hoje com um link para o artigo recentemente publicado no site Internet Evolution, sobre “como é fácil invadir uma rede SCADA”. Li o artigo inteiro, mais de uma vez. Mas não porque ele seja bom, mas porque tentei encontrar algo novo ou útil ali, mas nada… Apenas hype, ou seja, um título inflamado – “How to take down the Power Grid” – mais parece uma receita de bolo sobre como criar o caos total e conseguir world domination. Após ler, você vai concluir que… Leia o resto deste post »
No post “Anti-vírus prometem, mas não cumprem” que você pode encontrar aí em baixo, escrevi sobre minha decepção com as ferramentas anti-vírus encontradas no mercado e como os seus desenvolvedores aproveitam-se de súbitas ondas de pânico. Dei o exemplo do Symantec Antibot, uma “nova” ferramenta para atuar junto com o anti-vírus e que promete livrar sua rede de bots e outros malwares. Leia o resto deste post »
Para aqueles que ainda acreditam que as redes industriais são seguras porque se baseiam em protocolos e produtos desconhecidos da grande maioria – principalmente da grande maioria de script kiddies e hackers – aqui vai um alerta: o tema de segurança em rede de processos é cada vez mais freqüente no “sub-mundo” e nas conferências de segurança. Prova disso é o recente talk dado por um cara da TippingPoint na conferência LayerOne 2007. Ele não apresentou nada que já não fosse esperado: que os protocolos modbus e etc são inseguros, que os produtos – PLCs e RTUs inclusos – tem um stack TCP/IP ruim e vulnerável etc. etc. etc… mas teve uma repercussão muito negativa. Veja porque adiante. Leia o resto deste post »
Imaginem que num dia comum, uma manhã de domingo por exemplo, você acorda cedo (domingo? tá bom!), pega o jornal e liga a TV para, dentre outras coisas saber a previsão do tempo para o dia. O telejornal ilustra a narração da previsão do tempo com imagens “ao vivo”, um panorama da Cidade Maravilhosa, e de repente no meio da imagem um cogumelo atômico começa a se formar, atingir o céu, tudo se estremece e a imagem da câmera começa a falhar até sair do ar completamente. Qual seria a sua reação? Fácil imaginar, não? Medo, nervosismo… pânico (principalmente se, pela imagem da TV, em breve aquela explosão vai estar chegando até você ). Por sorte, alguns instantes depois, entrar no ar o repórter para esclarecer que houve algum problema técnico e que nada explodiu e tal. Pede para todos se acalmaram e informa que as causas da imagem estariam sendo esclarecidas.
Pois segundo o site “DarkReading“, foi isso o que aconteceu recentemente na República Tcheca. Na manhã do último domingo, enquanto assistiam ao programa “Panorama”, sobre resorts e estações de ski, os espectadores foram surpreendidos com a imagem de uma nítida e clara explosão nuclear. Como a imagem era ao vivo, a explosão deveria estar ocorrendo naquele mesmo momento, criando um medo geral naqueles que assistiam as imagens. O dano só não foi maior porque o programa é de baixa audiência (claro! numa manhã de domingo oras…) e as imagens foram assistidas por apenas cerca de umas 50.000 pessoas em todo o país. Aqui vai o vídeo:
As investigações mostraram que a “brincadeira” foi criada por um grupo de hackers denominado Ztohoven, um grupo que se autoproclama “artístico”. Os hackers conseguiram invadir a webcam utilizada pelo canal de TV para exibir as imagens e implantaram nela o vídeo modificado. Sem dar detalhes sobre como a invasão ocorreu, o canal se limitou a dizer que eles utilizaram-se da “Internet e outras tecnologias” (aposto que a câmera era wifi). O grupo liberou uma declaração dizendo que tudo não se passava de uma brincadeira, que eles não são terroristas ou grupo político. A polícia investiga.
Que foi uma péssima brincadeira, isso foi, mas ao mesmo tempo genial não? É um super case de segurança para as redes industriais. Tenho visto a adoção em massa de câmeras como essa para monitorar localidades remotas, dentro e fora da planta, tanto para vigilância patrimonial quanto para monitoração operacional (o que é aquela fumaça saindo do compressor?) e aí que mora o perigo. Para a automação de muitos ambientes, mais importante do que garantir a confidencialidade das imagens é garantir que elas sejam íntegras. A imagem de uma câmera que monitora dia-e-noite parte daquele duto por onde passa uma substância tóxica não é exatamente uma imagem confidencial, você há de concordar comigo. Agora, se esta imagem passa a exibir um vazamento que não existe, o operação vai parar o bombeio ou até mesmo a produção, gerando toda a série de transtornos que você pode imaginar, sem ter ocorrido uma necessidade real.
Me arriscaria a dizer que, pior ainda seria uma situação onde o incidente está ocorrendo, mas a imagem não mostra nada, porque foi modificada para informar apenas que tudo está bem. Isso sim seria um prejuízo!
Toda monitoração remota deve ser cercada de muitos cuidados. Imaginar que um simples câmera não pode ser transformada em um vetor de ataque contra a sua planta é ignorar que os operadores são humanos e poucas coisas influenciam tanto as nossas decisões quanto uma imagem. Certifiquem-se em usar câmeras que tenham embutidas no seu software recursos de segurança que permitam a implementação de criptografia, autenticação forte para acessar as imagens e recursos de controle de acesso, como um firewall, para limitar a origem dos endereços que podem se conectar nela. Evitem o uso de câmeras “burras”, mais baratas. E se vocês optarem por usar o recurso de multicast, fazendo streeming das imagens para um certo grupo ao invés do tradicional servidor web com conexão unicast (ih, compliquei? mandem comentários que eu explico o que significa e as diferenças, ok?), certifiquem-se que sua rede está bem configurada para isso, com autenticação no igmp, no PIM(se for o caso)e access-lists adequadas.
Escrito por jcfaial 
Escrito por jcfaial 
Escrito por jcfaial 
). Por sorte, alguns instantes depois, entrar no ar o repórter para esclarecer que houve algum problema técnico e que nada explodiu e tal. Pede para todos se acalmaram e informa que as causas da imagem estariam sendo esclarecidas.
