Ataque às infraestruturas críticas

Ficção e realidade muitas vezes  cruzam-se e uma ameaça até agora teórica e muitas vezes ficcionada tornou-se realidade quando 225.000 ucranianos foram deixados às escuras por um ataque a uma das companhias elétricas do país no último Natal.

Os hackers atacaram a companhia Prykarpattyaoblenergo ao final de tarde do dia 23 de dezembro, fazendo uso do acesso obtido para desarmar os disjuntores e encerrar várias subestações remotamente.

No total, cerca de 30 subestações foram incapacitadas, incluindo aquelas que alimentavam o centro de controlo da companhia, obrigando os técnicos a reparar a situação às escuras.

Mesmo ao final de meses, os sistemas informáticos da companhia ucraniana não estão ainda completamente reparados, uma vez que o killdisk de malware usado no ataque apagou ficheiros cruciais

Os buracos do sistema

Executar um ataque com este nível de sofisticação requer quantidades significativas de tempo e energia. A boa notícia é que incapacitar infraestruturas do calibre de uma estação elétrica é muito difícil.

O impacto da obra cinematográfica London Has Fallen nos cidadãos ingleses está a causar algum alarme social, pelo menos ao ponto de justificar que um porta-voz do GCHQ, ( a NSA do Reino Unido) tenha declarado à televisão pública BBC que "não se deve exagerar o perigo para os sistemas de controlo conectados diretamente à internet."

Ao empregar a palavra "exagerar", as autoridades estão na verdade a dizer que um ataque a infraestruturas críticas é difícil mas possível.
E a dificuldade na tomada de controlo por hackers de um destes sistemas (para além de ultrapassar as defesas do IT)  está na necessidade dos atacantes  obterem primeiro informação sobre os  processos internos específicos do alvo a atacar.
Estes diferem completamente de indústria para indústria, e mesmo de instalação para instalação, uma vez que quase não existe standarização nos sistemas de controlo industrial, ao contrário do que acontece no IT.

O software base pode ser similar mas os “piratas” têm de escrever um código específico e único de cada instalação ou rede de instalações.

Isto foi sem dúvida verdade na Ucrânia. Relatórios do ataque revelam que os hackers responsáveis passaram meses no processo de obter acesso aos sistemas informáticos de Prykarpattyaoblenergo de forma a que a execução pudesse ser o mais eficaz possível.

O grupo ganhou acesso ao levarem funcionários com acessos privilegiados a abrir anexos “armadilhados” em e-mails concebidos de forma a parecerem ser provenientes de amigos e colegas dos alvos.

Política de dados

Existem outras formas de obter acesso a sistemas de controlo industriais (ICS) uma vez que muitos estão expostos online.  Sistemas SCADA (Supervisory Control and Data Acquisition) são utilizados de forma a supervisionar instalações e a maquinaria industrial. Num estudo recente foram detectados 80.000 tipos diferentes de ICSs diretamente conectados à internet, logo de alguma forma passiveis de serem atacados

Comparar a segurança standard dos logic controlers encontrados em sistemas ICS com os atuais sistema operativos da Windows ou Apple seria o equivalente a ter toda a vulnerabilidade de um Windows 95 exposto na Internet.

Por essa razão, muitos destes sistemas vulneráveis foram separados fisicamente da rede IT e foram postos simplemente offline, o que também não é muito produtivo e fez recuar 20 anos algumas instalações, mas obviamente é mais seguro.

Alguns fabricantes de hardware de controlo industrial estão a atualizar o software que controla o seu equipamento de forma a torná-lo mais seguro. Alguns chegaram mesmo a fazer o seu upload para dispositivos pré-existentes de forma a reforçar a sua segurança, mesmo que os seus clientes não o tenham requerido o update.

Novas competências

No Reino Unido, onde se desenrola a acção do filme “London Has Fallen” , já existem organizações que  certificam hackers éticos de forma a trabalharem para redes corporativas e governamentais

A Crest (www.crest-approved.org ) está presentemente a conduzir estudos sobre a segurança das componentes computorizadas da infraestrutura do Reino Unido.

Os resultados revelam práticas de segurança nestas indústrias e organizações essenciais, de forma a determinar se os hackers éticos que testam as defesas digitais iriam necessitar de novas skills para encontrar todos os potenciais bugs e vulnerabilidades.

A surpresa para este nova organização sem fins lucrativos foi a atitude de muitas das companhias que controlam a infraestrutura do Reino Unido não considerarem a possibilidade de poderem ser atacadas. Isto apesar de muitas empresas de segurança que investigam violações de dados frequentemente encontrarem provas de que criminosos e hackers contratados se movimentam nas networks industriais.

Muralha Digital

A maior vulnerabilidade é a conexão à Internet do IT empresarial insuficientemente protegido, o que possibilita o acesso as tecnologias operacionais críticas.

As tecnologias operacionais (OT) correspondem à maquinaria no setor ou numa fábrica que mantém um processo em movimento ou ajuda a gerir a instalação remotamente.

A vasta maioria de ataques têm como alvo o IT empresarial e a partir daí um hacker pode agir como um utilizador legítimo para controlar o ICS ou as OT.

Há uma razão pela qual os hackers escolhem este método: porque é muito mais fácil tirar partido das fraquezas do IT empresarial e porque existem muitas ferramentas disponíveis para download, e muito mais know-how disseminado, que podem ser utilizados para esse propósito criminoso.

Uma empresa com boas defesas contra ameaças dirigidas aos seus sistemas corporativos irá ser bem sucedida em prevenir ataques contra instalações e maquinaria operadas remotamente.