Prisões podem ser vulneráveis a invasões no estilo Stuxnet

É véspera de Natal em uma prisão de segurança máxima quando todas as celas do corredor da morte abrem simultaneamente sem aviso prévio. O que aconteceu? Essa foi a pergunta do carcereiro da prisão na qual aconteceu exatamente esse fato.

Na conferência Hacker Halted Conference, em Miami, no último mês, o grupo formado para responder a essa questão, apresentou os resultados de sua pesquisa em “SCADA and PLC Vulnerabilities in Correctional Facilities” (Vulnerabilidades SCADA e PLC em Estabelecimentos Prisionais). Resumindo: eles descobriram que há inúmeras vulnerabilidades no sistema de controle industrial – muitas vezes relativo ao controle supervisor e a aquisição de dados: SCADA – e controles lógicos programáveis (PCLs) usados nas modernas e automatizadas prisões, que podem ser remotamente exploradas, comprometendo tais sistemas.

“Usando o próprio library de software do PLC, conseguimos destrancar qualquer porta do sistema prisional e também enviar dados falsos de volta para a central e/ou casa de controle, reportando que as portas estavam fechadas e trancadas. Nossos resultados foram melhores do que o esperado”, afirmou John Strauchs em seu blog. Além disso, a equipe disse que a aquisição do hardware e software necessário para sua pesquisa custou apenas US$ 2.500, apesar de que se a pessoa não comprar o software legítimo, esse custo poderia ser reduzido em cerca de US$ 500.

A equipe de pesquisadores foi formada por Strauchs – um ex-funcionário de operações da CIA, que administra engenharia de segurança ou consultoria para mais de 114 projetos de design da indústria de justiça, incluindo14 prisões federais, 23 prisões estaduais e 27 prisões municipais; Tiffany Rad, a presidente da ELCnetworks; e Teague Newman, um consultor de informações de segurança com experiência em testes de penetração.

Um porta-voz da Federal Bureau of Prisons, disse nessa semana que a agência está “ciente da pesquisa e a levando muito a sério”, segundo o The Washington Times. Da mesma forma, a equipe de pesquisadores disse que trabalha com vários fabricantes e agências do governo para identificar as atuais vulnerabilidades e trabalhar em uma solução.

É claro que os especialistas em segurança vinham sendo alertados sobre esse tipo de vulnerabilidade do sistema de controle por anos. Mas foi preciso o Stuxnet acontecer para muitos usuários do sistema de controle se darem conta do potencial risco que estavam correndo, já que muitos sistemas de controle não são projetados para resistir à ameaças que venham da Internet, e nem mesmo instalam correções, apesar de muitos serem executados no Windows.

Ralph Langner – o especialista em segurança alemão que descobriu o Stuxnet – avisou que “qualquer um pode explorar o código para atacar PLCs sem nenhum conhecimento interno”. Diferentemente de um ataque altamente segmentado como o Stuxnet – que foi projetado unicamente para a sabotagem de conversor de drives de alta frequência usados especificamente em instalações de enriquecimento de urânio no Irã – Langner disse que amadores em script podem criar facilmente um ataque PCL sem o entendimento do ambiente de destino.

Para comprovar essa teoria, o sistema de controle de prisão e a equipe de pesquisa PCL reportaram que os três membros aprenderam a “formar uma exploração PCL em apenas algumas horas”, segundo seu relatório, devido à simplicidade de linguagem de programação envolvida. Mas um invasor talvez nem precise se preocupar com isso: “há muitas explorações que estão publicamente disponíveis e podem ser baixadas online como no site exploit-db.com”.

Dada a ameaça potencial postada por um ciberataque ao sistema de controle ou PLCs implantados em prisões, o que deve ser feito? Particularmente, os pesquisadores sugerem oito melhorias, incluindo restringir o uso de mídia física (que pode carregar malware) em instalações, segmentação adequada de redes, melhoria nas práticas de correções, bem como a utilização de procedimentos de segurança reforçada em todas as áreas que dependam de PLCs. Também devem reavaliar os projetos atuais das prisões: “Muitas prisões modernas foram projetadas há 10 anos, antes que esses vetores de ataques fossem conhecidos”.

Em seu blog, Strauchs disse que sempre que possível, os sistemas prisionais não deveriam ser conectados à Internet. “Os sistemas de segurança dos estabelecimentos prisionais não deveriam ter conexões externas, ou se isso não puder ser evitado, as conexões precisam ser salvaguardadas por protocolos de segurança e contramedidas técnicas sistêmicas. Além disso, não deveria haver permissão de usar estações de trabalho para atividades pessoais como checar e-mail privado ou visualizar imagens – o que nossa equipe pode verificar que acontece nas instalações correcionais”.

Felizmente, afirmou Strauchs, as correções parecem estar a caminho. “Acreditamos que os fabricantes estão trabalhando no que podem corrigir e, como resultado, não estamos defendendo a remoção do PLCs dos estabelecimentos, e sim, abordando as vulnerabilidades por meio de conscientização e educação das pessoas que trabalham nesses estabelecimentos”.

Tradução: Alba Milena, especial para o IT Web | Revisão: Thaís Sabatini