Sensores e outros dispositivos nas extremidades das redes das empresas serão os elos mais fraco da cadeia, obrigando a integração entre a TI e a TO (tecnologia operacional).
Nos próximos anos, veremos uma verdadeira explosão de objetos inteligentes conectados. Serão milhões e milhões de sensores, câmeras e atuadores, fazendo com que tenhamos uma Internet com mais coisas do que pessoas conectadas. Essa Internet das coisas nos permitirá compreender melhor os complexos sistemas que compõem nossa sociedade e nosso planeta. Mas, por outro lado, abrirá novas brechas no quesito segurança. Cada um destes sensores poderá ser, potencialmente, um ponto de vulnerabilidade, onde um código mal intencionado pode ser inserido, afetando a segurança dos sistemas.
Com um mundo cada vez mais interconectado, um vírus de software pode afetar a operação de redes integradas de energia elétrica e causar blackouts que afetem a economia de um país. Já se começou a falar em guerra cibernética. A primeira aconteceu na Estônia, em 2007, quando a Internet do país foi derrubada depois que um monumento a soldados soviéticos da Segunda Guerra Mundial foi transferido do centro da capital, Tallin, para um cemitério. Sites de órgãos do governo, bancos e jornais foram atacados e saíram temporariamente do ar.
Já aconteceram diversos casos. Em 2003, um malware denominado SQL Hammer desabilitou a segurança de uma usina nuclear americana no estado de Ohio (http://www.securityfocus.com/news/6767). Em agosto de 2008, quando tropas russas invadiram a Geórgia, vários sites e servidores do governo deste país foram derrubados por pesados ataques DDoS.
Mais recentemente, um verme chamado de Stuxnet atacou usinas nucleares no Irã. Sua ação foi devastadora. Infectou mais de 30 mil computadores e deixou a usina de Bushehr inoperante por várias semanas. Na prática, o Stuxnet representou uma quebra de paradigmas, pois abriu uma nova classe de malwares: os que atacam sistemas de controle industriais.
Não está claro se o Stuxnet é um exemplar de uma nova arma da chamada cyberwarfare (guerra cibernética). Mas, é indiscutível que este sofisticado software teve por trás muitos recursos financeiros. Na minha opinião, estamos às portas de vermos mais e mais ataques deste tipo, acionados por crackers apoiados por governos ou organizações terroristas.
O Stuxnet consite basicamente de um grande arquivo .dll que deve primeiro ser inserido em um computador tradicional, como um PC, para daí atacar os sistemas industriais. A sua infecção deu-se, acredita-se, por um drive USB. Uma boa descrição do vermeencontra-se na Wikipedia. O Stuxnet provou que é perfeitamente possível corromper o firmware e o software que rodam em sistemas SCADA e dispositivos PLC. Descrições mais detalhada de SCADA (Supervisory Control And Data Acquisition) e PLC (Programmable Logic Controller) podem ser vistas no Wikipedia.
Não é a toa que o governo americano criou o Cyber Command para coordenar as atividades de defesa no cyberspace.
No meu ver, ainda estamos longe de uma verdadeira guerra cibernética, quando todos os sistemas de um país (energia, comunicações, transporte, financeiro, etc) poderão ser derrubados, mas existem elementos críticos que podem ser atacados e, uma vez, derrubados, afetarem a economia e o bem estar dos cidadãos.
Por exemplo, uma rede elétrica inteligente (smart grid) usa chips em todos os seus pontos, da usina aos medidores inteligentes nas residências e edifícios. Todos estes pontos precisam ser mantidos de forma segura, pois um ataque a rede elétrica pode simplesmente paralisar todo um país.
De maneira geral, podemos imaginar um cenário onde os ataques poderão ocorrer tanto nos limites das redes, nos sensores (que podem assumir múltiplas formas como medidores de temperatura ou vibração no solo, à câmeras de segurança), como nos servidores que coletam e analisam as informações geradas por este sensores.
Do lado dos servidores já temos muita coisa em termos de segurança. Afinal, há dezenas de anos que estas máquinas estão por aí e diversos softwares e processos de segurança já foram criados para garantir níveis de segurança adequados. Por outro lado, os sensores e outros dispositivos nas extremidades das redes tendem a ser os elos mais fracos da cadeia. É necessário colocar mecanismos de segurança que indiquem que os sensores estejam funcionando adequadamente, e que não estejam contaminados por algum vírus.
Além disso, em um mundo cada vez mais móvel, com smartphones e tablets se multiplicando a cada minuto, mais pontos de acesso, nem sempre seguros, são inseridos nas redes de informação das empresas.
Os equipamentos nas pontas, como sensores e outros dispositivos, estavam anteriormente desconectados das redes das empresas. Funcionavam de forma isolada, mas agora, cada vez mais conectados, precisam ser monitorados de perto. Por serem considerados “atípicos”, não são gerenciados por TI, mas pelas próprias áreas usuárias, que de maneira geral não implementam políticas e mecanismos de segurança e controle adequados.
Este é um espaço que as áreas de segurança e de TI das empresas devem começar a olhar com atenção. Na verdade, cada vez mais os sensores se parecem com os sistemas que a área de TI está acostumada a usar. Anteriormente podiam se escudar atrás de sistemas proprietários fechados e desconhecidos, mas agora começam a usar mais intensamente sistemas operacionais como Linux ou Windows e podem se integrar aos sistemas das empresas pela Internet.
Não é impossível imaginar um futuro onde cada sensor terá seu próprio endereço IP (estamos falando de IP v6…) e, portanto, podendo ser diretamente acessível. Se deixados desprotegidos, podem ser um ponto de ataque que chegará ao coração dos sistemas da corporação.
O que podemos fazer? Não podendo mais proteger os sistemas industriais da forma tradicional, isolando-os da rede e escudados por sistemas e protocolos proprietários e fechados, temos que começar a olhar estes sistemas, que compõem o universo que chamamos de tecnologia operacional, de forma mais abrangente.
Embora muitos sensores sejam altamente especializados e nem todos possam ser acessados por redes de comunicação (muitos são conectados via interfaces seriais proprietários), parte signficativa deles já pode e está sendo conectada aos sistemas de informação. Além disso, muitos equipamentos são entregues como appliances.
Neste caso, o único a fazer um upgrade ou inserir um código que corrija um problema de segurança é o próprio fornecedor da tecnologia. Muitas vezes estes fornecedores não atualizam os appliances com patches de segurança que cobrem vulnerabilidades. O Stuxnet, por exemplo, utilizou-se de brechas de vulnerabilidades no Windows que já haviam sido detetadas e corrigidas, mas não tinham sido aplicadas no appliance que operava o sistema de controle da usina.
A área de TI já está acostumada a lidar com fornecedores de hardware e software e, portanto, deve também se envolver na gestão do ciclo de vida destes equipamentos. Na verdade, as políticas de gestão de rede e segurança da informação criadas para os sistemas de TI devem ser ampliadas para abranger os sensores (tecnologia operacional) que começam a se conectar às redes da empresa.
Pouco a pouco damos os primeiros passos na integração entre a TI (tecnologia da informação) e a TO (tecnologia operacional). E abre-se um novo desafio para os profissionais de segurança de sistemas e redes, que agora devem também interagir com os sistemas da tecnologia operacional.
(*) Cezar Taurion é diretor de novas tecnologias aplicadas da IBM Brasil, editor do primeiro blog da América Latina do Portal de Tecnologia da IBM developerWorks e colunista da COMPUTERWORLD - ctaurion@br.ibm.com