Por IDG News Service
Publicada em 27 de julho de 2010 às 07h30
O malware é o primeiro voltado a sistemas de controle Scada e traz novas questões sobre a segurança da infraestruturas norte-americana.
A descoberta da semana passada de um sofisticado malware que tem como alvo um controle de software feito pela Siemens AG tem renovado preocupações antigas em relação à vulnerabilidade da estrutura de energia elétrica dos Estados Unidos frente a ataques cibernéticos.
O programa de malware, chamado Struxnet, é desenvolvido para se aproveitar de uma falha 0-day do Windows para encontrar e roubar dados industriais sobre os sistemas Scada (Supervisory Control and Data Acquisition) executando o software Simatic WinCC ou PCS 7, da Siemens.
O Struxnet é o primeiro software malicioso de conhecimento público escrito especificamente para explorar vulnerabilidades em um sistema Scada.
“Ele pode ser uma prova-de-conceito para mostrar que sistemas de controle podem ser atacados” intencionalmente, afirmou o diretor de mercados de infra-estruturas críticas da companhia de segurança NitroSecurity Inc, Eric Knapp.
Os sistemas Scada são utilizados para controlar equipamentos críticos em companhias de energia, construção de fábricas, estações de tratamento de água e operações com energia nuclear. Geralmente, esses sistemas executam redes segmentadas que não são diretamente conectadas à Internet, dificultando o acesso externo.
Mas analistas têm avisado há muito tempo que os sistemas Scada – especialmente os mais velhos – possuem algumas falhas que podem ser exploradas.
Um exemplo foi demonstrado por pesquisadores no Idaho National Laboratory, três anos atrás. Em um experimento fictício, chamado de Aurora, pesquisadores demonstraram como um hacker poderia utilizar um simples modem de conexão discada para explorar uma vulnerabilidade capaz de destruir fisicamente uma turbina de energia.
O potencial para este tipo de ataque tem crescido recentemente conforme mais sistemas Scada – incluindo alguns em grandes companhias públicas de energia – estão integrando suas redes com links diretos para a Internet. Em um acontecimento de grande repercussão no ano passado, o The Wall Street Journal relatou que ciberespiões da Rússia, China e outras companhias já usaram estas vulnerabilidades para penetrar nas redes elétricas dos Estados Unidos.
O programa Struxnet parece ter sido criado para roubos industriais, afirmou Knapp. No entanto, o Trojan também poderia ter sido facilmente desenvolvido para sabotar um Scada. Na verdade, é possível que os criadores do malware tenham mais truques em sua manga., completou.
O administrador de segurança de produtos da McAfee, Ryan Permeh, observou que o esforço de desenvolvimento do Struxnet provavelmente levou muito tempo, destacando a importância do objetivo dos desenvolvedores. Além disso, Permeh afirmou que o código malicioso foi assinado digitalmente com certificados válidos, que permitem ao Struxnet desviar de softwares de segurança.
Os certificados digitais utilizados no Struxnet foram originalmente criados por duas companhias de Taiwan. Permeh diz que os desenvolvedores do malware roubaram os certificados diretamente das companhias ou compraram de alguém que o fez. O custo por esse tipo de certificado pode ser de até 500 mil dólares neste tipo de mercado.
O surgimento de ameaças como o Struxnet eleva a necessidade de uma vigilância federal maior sobre questões de cibersegurança no setor de infraestrutura, afirmou o parceiro de administração da Applied Control Solutions, Joseph Weiss.
Até agora já ocorreram 170 interrupções de serviço relacionadas a computadores, incluindo três que causaram grandes interrupções regionais, afirmou Weiss. É difícil saber com certeza se alguma delas veio de um ciberataque, por causa da falta de recursos para colher provas nesse ramo, completou Weiss.
“Os progressos para assegurar sistemas de controle foram quase mínimos”, afirmou Weiss, autor do livro “Protecting Industrial Control Systems from Electronic Threats”, publicado neste ano. Ele diz que o progresso é congestionado principalmente pela falta de compressão dos desafios específicos associados com a segurança de sistemas de controle industriais contra ciberameaças.
“Crackear um sistema de controle não requer ciência avançada”, afirmou Weiss. “Proteger um requer.”
(http://idgnow.uol.com.br/seguranca/2010/07/26/trojan-struxnet-renova-preocupacoes-com-ataques-a-infraestrutura-dos-eua)
A descoberta da semana passada de um sofisticado malware que tem como alvo um controle de software feito pela Siemens AG tem renovado preocupações antigas em relação à vulnerabilidade da estrutura de energia elétrica dos Estados Unidos frente a ataques cibernéticos.
O programa de malware, chamado Struxnet, é desenvolvido para se aproveitar de uma falha 0-day do Windows para encontrar e roubar dados industriais sobre os sistemas Scada (Supervisory Control and Data Acquisition) executando o software Simatic WinCC ou PCS 7, da Siemens.
O Struxnet é o primeiro software malicioso de conhecimento público escrito especificamente para explorar vulnerabilidades em um sistema Scada.
“Ele pode ser uma prova-de-conceito para mostrar que sistemas de controle podem ser atacados” intencionalmente, afirmou o diretor de mercados de infra-estruturas críticas da companhia de segurança NitroSecurity Inc, Eric Knapp.
Os sistemas Scada são utilizados para controlar equipamentos críticos em companhias de energia, construção de fábricas, estações de tratamento de água e operações com energia nuclear. Geralmente, esses sistemas executam redes segmentadas que não são diretamente conectadas à Internet, dificultando o acesso externo.
Mas analistas têm avisado há muito tempo que os sistemas Scada – especialmente os mais velhos – possuem algumas falhas que podem ser exploradas.
Um exemplo foi demonstrado por pesquisadores no Idaho National Laboratory, três anos atrás. Em um experimento fictício, chamado de Aurora, pesquisadores demonstraram como um hacker poderia utilizar um simples modem de conexão discada para explorar uma vulnerabilidade capaz de destruir fisicamente uma turbina de energia.
O potencial para este tipo de ataque tem crescido recentemente conforme mais sistemas Scada – incluindo alguns em grandes companhias públicas de energia – estão integrando suas redes com links diretos para a Internet. Em um acontecimento de grande repercussão no ano passado, o The Wall Street Journal relatou que ciberespiões da Rússia, China e outras companhias já usaram estas vulnerabilidades para penetrar nas redes elétricas dos Estados Unidos.
O programa Struxnet parece ter sido criado para roubos industriais, afirmou Knapp. No entanto, o Trojan também poderia ter sido facilmente desenvolvido para sabotar um Scada. Na verdade, é possível que os criadores do malware tenham mais truques em sua manga., completou.
O administrador de segurança de produtos da McAfee, Ryan Permeh, observou que o esforço de desenvolvimento do Struxnet provavelmente levou muito tempo, destacando a importância do objetivo dos desenvolvedores. Além disso, Permeh afirmou que o código malicioso foi assinado digitalmente com certificados válidos, que permitem ao Struxnet desviar de softwares de segurança.
Os certificados digitais utilizados no Struxnet foram originalmente criados por duas companhias de Taiwan. Permeh diz que os desenvolvedores do malware roubaram os certificados diretamente das companhias ou compraram de alguém que o fez. O custo por esse tipo de certificado pode ser de até 500 mil dólares neste tipo de mercado.
O surgimento de ameaças como o Struxnet eleva a necessidade de uma vigilância federal maior sobre questões de cibersegurança no setor de infraestrutura, afirmou o parceiro de administração da Applied Control Solutions, Joseph Weiss.
Até agora já ocorreram 170 interrupções de serviço relacionadas a computadores, incluindo três que causaram grandes interrupções regionais, afirmou Weiss. É difícil saber com certeza se alguma delas veio de um ciberataque, por causa da falta de recursos para colher provas nesse ramo, completou Weiss.
“Os progressos para assegurar sistemas de controle foram quase mínimos”, afirmou Weiss, autor do livro “Protecting Industrial Control Systems from Electronic Threats”, publicado neste ano. Ele diz que o progresso é congestionado principalmente pela falta de compressão dos desafios específicos associados com a segurança de sistemas de controle industriais contra ciberameaças.
“Crackear um sistema de controle não requer ciência avançada”, afirmou Weiss. “Proteger um requer.”
(http://idgnow.uol.com.br/seguranca/2010/07/26/trojan-struxnet-renova-preocupacoes-com-ataques-a-infraestrutura-dos-eua)
