24/9/2014

Os Perigos do Acesso Remoto a Sistemas SCADA

Blog de Segurana da Informao | Mdulo

Security
Gesto de Riscos e Segurana da Informao

Os Perigos do Acesso Remoto a Sistemas

SCADA
20 de setembro de 2013
Marcelo Branquinho

Infraestrutura Crtica

gesto de vulnerabilidades, SCADA

Introduo
Os sistemas de controle e superviso possuem funcionalidades que permitem uma gesto mais
flexvel atravs do acesso remoto. Hoje em dia possvel supervisionar e controlar uma planta de
automao, por exemplo, atravs de um tablet ou um celular utilizando uma rede sem fio gratuita.
O acesso remoto aos sistemas de controle permite a rpida atuao em casos urgentes, alm da
dramtica reduo de custos em viagens para reparos em equipamentos em localidades distantes.
Uma das principais funcionalidades da tecnologia de acesso remoto tornar possvel o acesso
simultneo de vrios usurios a sistemas SCADA via redes locais ou pela internet sem a necessidade
da instalao de programas nos dispositivos usados (o acesso feito atravs de browsers como o
Microsoft Internet Explorer, por exemplo).
Os celulares, tablets e computadores que no utilizam o sistema operacional Windows so dotados
de aplicativos cliente do protocolo RDP que oferece suporte para acesso remoto a outros tipos de
protocolos e sistemas operacionais1.

http://segurancadainformacao.modulo.com.br/os-perigos-do-acesso-remoto-a-sistemas-scada

1/6

24/9/2014

Os Perigos do Acesso Remoto a Sistemas SCADA

Figura 1: Tablet executando IHM SCADA

Os riscos do acesso remoto a sistemas de controle
Se por um lado o acesso remoto traz muitos benefcios em termos de produtividade e eficincia para
as indstrias, por outro lado ele tambm abre portas para ataques externos, maliciosos ou no.
Existem alguns pontos crticos nas solues de acesso remoto que devem ser observados:
Autenticao fraca: a grande maioria dos aplicativos de mercado disponibiliza o acesso
remoto com autenticao baseada na dupla Usurio e Senha. Este tipo de autenticao a
mais fraca que existe e pode ser atacada de diversas formas que vo desde ataques de fora
bruta instalao de keyloggers nas mquinas dos usurios remotos atravs de malware
personalizado. J imaginaram o que aconteceria se algum invasor conseguisse obter as
credenciais de acesso remoto a um sistema SCADA?
Uso de mquinas no confiveis: uma boa prtica de segurana garantir que os
computadores que acessam remotamente a rede de automao tenham atualizados os
patches e solues de antivrus. Dentro do permetro de redes corporativas e de controle
relativamente simples estabelecer polticas que evitem que mquinas desatualizadas
(vulnerveis) no tenham acesso rede. Mas e se o usurio remoto utilizar mquinas que no
esto cobertas pela poltica de segurana da rede da empresa? Quem pode garantir que uma
mquina remota est livre de malware que contaminar a rede de controle durante o acesso
remoto ou roubar as credenciais de acesso do usurio?
Uso de redes no confiveis: a Internet e as redes wi-fi pblicas so canais de transmisso de
dados completamente promscuos. Estas redes no possuem trfego de dados criptografados
e podem ser espionadas (atravs de sniffers) por atacantes que roubaro as credenciais de
acesso.
Modems permanentemente habilitados: muitos fabricantes de solues de automao
disponibilizam modems para comunicao direta com a planta de automao de seus
clientes. Com isto conseguem atuar rapidamente em caso de falhas nos sistemas de controle
e restabelecer sistemas com problemas. A boa prtica manda que os modems sejam ligados
http://segurancadainformacao.modulo.com.br/os-perigos-do-acesso-remoto-a-sistemas-scada

2/6

24/9/2014

Os Perigos do Acesso Remoto a Sistemas SCADA

somente durante o perodo de tempo em que o fabricante esteja atuando no sistema, e que
sejam desligados logo aps. O risco ocorre quando o cliente se esquece de desligar (ou
desconectar) o modem aps um acesso remoto deixando o equipamento pronto para receber
chamadas externas. Os atacantes utilizam software para war dialing e realizam ataques
fazendo uso destas conexes desprotegidas.

Figura 2: Software para War Dialing

Tecnologias vulnerveis: o protocolo RDP usado em conexes remotas extremamente
vulnervel. Existem inmeros ataques que exploram as vulnerabilidades do RDP2,
principalmente em verses mais antigas, sendo o mais comum deles o ataque do homem do
meio (MITM Man In The Middle). Alm disso, o Internet Explorer o browser mais vulnervel
do mercado e um grande facilitador para a maioria dos ataques via Metasploit (ferramenta
open source usada em anlises de vulnerabilidades e testes de invaso mas que em muitas
vezes utilizada como plataforma para ataques por crackers).
Baixo nvel de detalhamento em trilhas de auditoria: a falta de mecanismos de autenticao
fortes baseados em mltiplos fatores faz com que a nica trilha de auditoria gravada durante
um acesso remoto seja a identificao do usurio que est acessando. Mas como garantir que
a pessoa que est acessando a planta quem realmente diz ser? E se tiver acontecido um
roubo de identidade, que recursos teremos para descobrir a autoria de um ataque caso ele
seja realizado por um acesso remoto?
Ataques documentados
Nos dias atuais os ataques a sistemas SCADA so amplamente divulgados na internet, expondo ao
mundo em tempo real o acontecimento de crimes cibernticos. A base de dados pblica mais
completa sobre incidentes de segurana em sistemas de controle o RISI (Repository of Industrial
Security Incidents3). No RISI existem diversos casos de ataques que foram realizados atravs da
explorao de mecanismos de acesso remoto a redes industriais. Existem diversos exemplos no livro
Protecting Industrial Control Systems from Electronic Threats4.
Um dos casos melhor documentados ocorreu em novembro de 2011. O alvo do ataque foi o sistema
de controle de guas5 da cidade de Springfield, no estado do Illinois (EUA).
http://segurancadainformacao.modulo.com.br/os-perigos-do-acesso-remoto-a-sistemas-scada

3/6

24/9/2014

Os Perigos do Acesso Remoto a Sistemas SCADA

Este ataque comeou com um roubo de credenciais de acesso atravs da invaso da rede corporativa
do integrador do sistema de controle de guas. Depois de roubada a base de credenciais, os
atacantes escolheram seu primeiro alvo e atravs do acesso remoto invadiram o sistema de controle
e executaram comandos indevidos para desligar a estao principal do sistema de controle e destruir
uma bomba na planta de automao.
A anlise forense revelou que os atacantes j haviam acessado a planta por muitas vezes desde os
trs meses que antecederam o incidente com a bomba, somente para estudar o sistema. Os ataques
parecem ter sido realizados atravs de computadores com endereos IP baseados na Rssia. At o
momento ainda desconhecido se os atacantes conseguiram roubar as credenciais de acesso a
outros sistemas de controle mantidos pelo mesmo fabricante e existe a possibilidade de que novos
ataques semelhantes sejam realizados em outros sistemas de controle.
Controles compensatrios
Os benefcios que o acesso remoto traz s indstrias so to grandes que impensvel abandonar
esta tecnologia. Mas como utiliz-la de forma segura?
Os principais padres de segurana de redes de automao detalham alguns controles
compensatrios que podem aumentar bastante o nvel global de segurana de sistemas de controle
com acesso remoto. Os principais controles so os seguintes:
Senhas fortes para o acesso remoto: as senhas utilizadas por usurios do acesso remoto
devem ser fortes, possuindo pelo menos 8 caracteres e possuindo letras maisculas e
minsculas, nmeros e caracteres especiais. Polticas de senha devem ser utilizadas e o
acesso bloqueado em caso de muitas tentativas sem sucesso.
Uso de duplo fator de autenticao: recomenda-se o uso de outros mecanismos de
autenticao complementares senha. Biometria e tokens OTP (one time password) so
exemplos de mecanismos que fazem com que mesmo que um atacante consiga descobrir um
usurio e senha vlidos para um acesso remoto, ele no consiga estabelecer a conexo por
no possuir o segundo fator de autenticao. Estes mecanismos tambm eliminam a
possibilidade de um usurio negar a autoria de um ataque realizado com o uso suas
credenciais de acesso.
Uso de mquinas confiveis: recomendvel estabelecer controles que garantam que
somente mquinas com patches e solues de antivrus atualizadas e de acordo com a
poltica de segurana da empresa possam acessar os sistemas de controle remotamente.
Uma boa prtica a empresa fornecer para os usurios remotos mquinas da empresa
(preferencialmente laptops) j configuradas com as solues de segurana especificadas na
poltica de segurana corporativa e bloquear qualquer outro acesso remoto que no seja
proveniente destas mquinas.
Uso de redes seguras: uso de solues de VPN (Virtual Private Network) para garantir a
criptografia do canal de comunicao e evitar ataques por sniffing.
Regras rgidas para o uso de Modems na rede de automao: os modems da rede de
automao devero ser controlados atravs de autorizaes por escrito. Sempre que um
modem tiver que ser habilitado dever existir um pedido associado, assinado pelo
responsvel pelo sistema de controle. Neste pedido devero existir campos de data e hora
para o momento em que o modem foi habilitado e a janela de tempo pelo qual ele poder ser
usado (ao trmino do uso o modem dever ser desligado).
Existem algumas solues de mercado que j incorporam muitos destes controles compensatrios
http://segurancadainformacao.modulo.com.br/os-perigos-do-acesso-remoto-a-sistemas-scada

4/6

24/9/2014

Os Perigos do Acesso Remoto a Sistemas SCADA

com custo relativamente baixo.

Concluso
Imagine o que aconteceria se um atacante atacasse um sistema de controle de uma estao de
tratamento de guas e alterasse o set point responsvel pela vazo dos reagentes qumicos que so
misturados para purificar a gua que bebemos? Isto poderia potencialmente envenenar a gua de
regies inteiras e comprometer a sade de toda a populao, causando o caos6.
Eventos como o aparecimento do Worm Stuxnet mostram que os atacantes esto desenvolvendo
ataques cada vez mais sofisticados contra sistemas de controle e superviso. O acesso remoto uma
das vulnerabilidades mais interessantes sob o ponto de vista dos atacantes por permitir que eles
realizem ataques sem sair de suas casas e causar destruio sem a necessidade de uma arriscada
invaso fsica s instalaes.
ponto mandatrio para empresas que possuam sistemas de controle a garantia da segurana no
acesso remoto e controles compensatrios devem ser usados para este objetivo.
REFERNCIAS
1
Artigo Operao Remota de Plantas de Minerao e Saneamento, escrito por Carlos Eduardo
Gurgel Paiola, Alexandre Roberto Granito, Cludia Souza de Oliveira e Diogo Lopes Gomes e
publicado na revista Intech Amrica do Sul, nmero 138, 2011.
2
Artigo sobre as vulnerabilidades do protocolo RDP, disponvel em
http://www.securiteam.com/windowsntfocus/5EP010KG0G.html .
3

Website do RISI (Repository of Industrial Security Incidents) http://www.securityincidents.org

4
Weiss, Joseph, Protecting Industrial Control Systems from Electronic Threats, ISBN: 978-160650-197-9, May 2010, Momentum Press.
5
Reportagem sobre a invaso na estao de guas nos EUA, disponvel em
http://www.techweekeurope.co.uk/news/us-water-utility-attacked-via-scada-network-46576 .
6
Palestra Tcnica Cyber-Terrorismo e a Segurana das Infra-estruturas crticas disponvel na
seo de segurana da automao no site da TI Safe Segurana da Informao, link
http://www.slideshare.net/tisafe/ .
Marcelo Branquinho
Diretor Executivo da TI Safe Segurana da Informao que, em parceria com a Mdulo, entrega uma
soluo de gesto integrada para monitoramento de riscos operacionais e cibernticos em
infraestruturas crticas.
Engenheiro de sistemas e computao formado pela UERJ com MBA em gesto de negcios.
Especialista em segurana da automao, membro da ISA e integrante do comit internacional da
norma ANSI/ISA-99 que estabelece as melhores prticas de segurana para redes de automao e
SCADA.
http://segurancadainformacao.modulo.com.br/os-perigos-do-acesso-remoto-a-sistemas-scada

5/6

24/9/2014

Os Perigos do Acesso Remoto a Sistemas SCADA

Like

Share

Share

Tweetar

http://segurancadainformacao.modulo.com.br/os-perigos-do-acesso-remoto-a-sistemas-scada

6/6