MENU

Escrito por • 19/11/2011

o ataque à bomba dágua

a bomba dágua estava em springfield, IL, EUA. automática, controlada por um sistema SCADA [supervisory control and data acquisition, sistema para aquisição de dados, supervisão e controle]. os SCADA são sistemas usados para monitorar e controlar processos industriais, infraestruturas como água, energia e gás e ambientes [de grande porte, normalmente] como fábricas, aeroportos e estradas.

nem todo sistema SCADA está em rede, mas muitos, como a bomba dágua lá de illinois, estão. porque, em rede, pode-se descobrir o que está rolando na bomba, a centenas ou milhares de quilômetros, no gelo, talvez, de dentro de um muito bem aquecido centro de controle. perto de casa.

image

o problema de estar em rede é conhecido. o sistema SCADA lá da bomba é feito de hardware e software e, como tal e todos os sistemas de hardware e software que estão por aí, tem vulnerabilidades. algumas, desconhecidas. e outras muito bem conhecidas. no caso de SCADA, há muito tempo.

e daí? imagine que você soubesse o endereço da bomba dágua de illinois. como ela está na rede, tem um endereço. alguém, em algum lugar, tem o endereço. e, se um tem, outros terão. por muitos e variados meios. se o "você" que sabe como chegar, pela rede, na bomba de illinois, não tem muito boas intenções… a bomba, e illinois, têm um problema. grande.

que tipo de problemas? alguém, de uma máquina associada a um endereço na internet russa, entrou no SCADA da bomba, assumiu o controle da coisa e passou a ligar e desligar o equipamento até destruí-lo. grandes bombas dágua não resistem a muitas e sucessivas operações de liga-desliga.

bombas como as de illinois são coisas complexas e caras, e um sistema delas chega a 20% do investimento total de uma adutora. perder uma não é brincadeira. "atacar" uma tampouco deveria ser fácil mas, pelo que se vê e ouve, é mais fácil do que invadir certos sistemas financeiros.

ataques a infraestruturas críticas, como foi o caso de illinois, estão se tornando frequentes, mais do que era de se esperar num mundo equilibrado. o problema é que o mundo sempre está meio desequilibrado e há bem mais de um espírito de porco disposto a invadir uma bomba dágua, destruí-la e deixar muita gente a seco por muito tempo.

image

isso do ponto de vista dos indivíduos. mas pode ser pior, porque há um certo tipo de comportamento corporativo que, em tese, poderia estar por trás de ataques a partes de infraestruturas críticas providas pela "competição". ou, ainda pior, há estados [ou parte deles] dispostos a invadir e destruir a infraestrutura de outros.

a estratégia nacional de defesa tem pelo menos parte disso em mente quando diz que… Todas as instâncias do Estado deverão contribuir para o incremento do nível de Segurança Nacional, com particular ênfase sobre…

…as medidas para a segurança das áreas de infraestruturas críticas, incluindo serviços, em especial no que se refere à energia, transporte, água e telecomunicações, a cargo dos Ministérios da Defesa, Minas e Energia, dos Transportes, Integração Nacional e Comunicações, e ao trabalho de coordenação, avaliação, monitoramento e redução de riscos, desempenhado pelo Gabinete de Segurança Institucional da Presidência da República (GSI/PR).

infraestruturas críticas. cada vez mais online. um megaproblema nacional. pra montar, manter e defender. online, também. que o digam todos os que foram atacados e, como a bomba de illinois, destruídos.

image

Artigos relacionados

0 Responses to o ataque à bomba dágua

  1. Bruno Penteado disse:

    Cada vez mais os recursos computacionais se tornam questão de segurança pública.
    Imagino quando existir a Internet of Things em que tudo estará em rede e tudo poderá ser atacado…

  2. Bruno Penteado disse:

    Cada vez mais os recursos computacionais se tornam questão de segurança pública.
    Imagino quando existir a Internet of Things em que tudo estará em rede e tudo poderá ser atacado…

  3. O caminho sem volta e não sabemos onde vai nos levar, talvez, o fim desta civilização! Qto mais se desenvolvem os recursos computacionais menos são o desenvovimentos dos recursos humanos e a mente destes subornadas pela aparente materialização dos beneficios oriundos desse tal progresso.
    As crises institucionais já tendem nas grandes cidades,pois, os recursos gerados não atinge os niveis espectados para resolver os problemas locais.
    O espirito humano precisa de um minimo de conforto familiar, para não se tornar em um monstro destruidor de si próprio!
    A pobreza, o desemprego, o lixo gerado são exponenciais desta evolução corrida pela automatização e concorrência do poder de controlar tudo.
    Que segurança temos?

  4. O caminho sem volta e não sabemos onde vai nos levar, talvez, o fim desta civilização! Qto mais se desenvolvem os recursos computacionais menos são o desenvovimentos dos recursos humanos e a mente destes subornadas pela aparente materialização dos beneficios oriundos desse tal progresso.
    As crises institucionais já tendem nas grandes cidades,pois, os recursos gerados não atinge os niveis espectados para resolver os problemas locais.
    O espirito humano precisa de um minimo de conforto familiar, para não se tornar em um monstro destruidor de si próprio!
    A pobreza, o desemprego, o lixo gerado são exponenciais desta evolução corrida pela automatização e concorrência do poder de controlar tudo.
    Que segurança temos?

  5. Krishnamurti disse:

    Teclado sem letras maiúsculas…

  6. Krishnamurti disse:

    Teclado sem letras maiúsculas…

  7. Romano disse:

    O que mais dizer se insistem no mesmo erro?

    “Speed is the essence of war. Take advantage of the enemy’s unpreparedness; travel by unexpected routes and strike him where he has taken no precautions.”
    Sun Tzu.

  8. Romano disse:

    O que mais dizer se insistem no mesmo erro?

    “Speed is the essence of war. Take advantage of the enemy’s unpreparedness; travel by unexpected routes and strike him where he has taken no precautions.”
    Sun Tzu.

  9. Aécio Lima disse:

    Equipamentos e Sistemas são feitos por homens e de qualquer forma necessitam de sua intervenção para concluir seus objetivos.
    Também necessitam de energia para produzirem seus efeitos.
    Homens criam, homens destroem.

  10. Aécio Lima disse:

    Equipamentos e Sistemas são feitos por homens e de qualquer forma necessitam de sua intervenção para concluir seus objetivos.
    Também necessitam de energia para produzirem seus efeitos.
    Homens criam, homens destroem.

  11. Romano disse:

    Considerando o novo ataque, só para ilustrar o assunto:

    “A message from Joe Weiss:

    September 2011, DOE published the Electricity Sector Cybersecurity Risk Management Process Guideline for comment. The document draws from a significant number of experts, though none are industrial control systems (ICS) experts. The document effectively equates IT and ICS. It references IEC-62443 which is still not a formal document and excludes any mention of ISA99.

    Meanwhile NIST recently published their National Initiative for Cyber Security Education (NICE) Cybersecurity Workforce Framework. The document states: “Consequently, with the exception of select critical support roles that allow cybersecurity professionals to effectively do their work, we did not include occupational specialties related to acquisition, physical security, oversight of critical infrastructure, electrical engineering, and so forth.” This can create, or at least exacerbate, the training and cultural issues that currently divide IT Security and Operations.

    NIST and DOE need to address the unique aspects of industrial control systems as identified in NIST SP80-82. Moreover, NIST SP800-82 needs to be updated to address newer threats to ICSs including threats such as Stuxnet.”

    http://community.controlglobal.com/content/nist-and-doe-still-not-distinguishing-between-it-and-ics

  12. Romano disse:

    Considerando o novo ataque, só para ilustrar o assunto:

    “A message from Joe Weiss:

    September 2011, DOE published the Electricity Sector Cybersecurity Risk Management Process Guideline for comment. The document draws from a significant number of experts, though none are industrial control systems (ICS) experts. The document effectively equates IT and ICS. It references IEC-62443 which is still not a formal document and excludes any mention of ISA99.

    Meanwhile NIST recently published their National Initiative for Cyber Security Education (NICE) Cybersecurity Workforce Framework. The document states: “Consequently, with the exception of select critical support roles that allow cybersecurity professionals to effectively do their work, we did not include occupational specialties related to acquisition, physical security, oversight of critical infrastructure, electrical engineering, and so forth.” This can create, or at least exacerbate, the training and cultural issues that currently divide IT Security and Operations.

    NIST and DOE need to address the unique aspects of industrial control systems as identified in NIST SP80-82. Moreover, NIST SP800-82 needs to be updated to address newer threats to ICSs including threats such as Stuxnet.”

    http://community.controlglobal.com/content/nist-and-doe-still-not-distinguishing-between-it-and-ics

  13. Flávio Silva disse:

    Oi,

    Segundo a WIRED.com foi um engano, segue o link:
    http://www.wired.com/threatlevel/2011/11/water-pump-hack-mystery-solved/

    Até,

    Flávio

  14. Flávio Silva disse:

    Oi,

    Segundo a WIRED.com foi um engano, segue o link:
    http://www.wired.com/threatlevel/2011/11/water-pump-hack-mystery-solved/

    Até,

    Flávio

  15. Romano disse:

    Valeu seu comentário Flávio! Ao mesmo tempo, não invalida as críticas do Joe Weiss, que ficou uma fera com a forma como o caso foi conduzido (conforme extraído do texto do seu “link” e reproduzido abaixo).
    Saudações.

    Joe Weiss says he’s shocked that a report like this was put out without any of the information in it being investigated and corroborated first.

    “If you can’t trust the information coming from a fusion center, what is the purpose of having the fusion center sending anything out? That’s common sense,” he said. “When you read what’s in that [report] that is a really, really scary letter. How could DHS not have put something out saying they got this [information but] it’s preliminary?”

  16. Romano disse:

    Valeu seu comentário Flávio! Ao mesmo tempo, não invalida as críticas do Joe Weiss, que ficou uma fera com a forma como o caso foi conduzido (conforme extraído do texto do seu “link” e reproduzido abaixo).
    Saudações.

    Joe Weiss says he’s shocked that a report like this was put out without any of the information in it being investigated and corroborated first.

    “If you can’t trust the information coming from a fusion center, what is the purpose of having the fusion center sending anything out? That’s common sense,” he said. “When you read what’s in that [report] that is a really, really scary letter. How could DHS not have put something out saying they got this [information but] it’s preliminary?”