Fabricantes de Sistemas de Controle Industrial são Pressionados por Especialistas de Segurança

Através de um relatório publicado a partir do blog Wired Threat Level, um grupo de prestadores de serviços de segurança, publicou exploits para vulnerabilidades de segurança encontrados em componentes usados ​​em sistemas de controle industrial, que poderiam ser usados para comprometer ou prejudicar esses sistemas. De forma controversa, o grupo não informou aos fornecedores sobre essas falhas antes de fazer o anúncio, não dando-lhes nenhuma oportunidade de fornecer aos seus clientes os patches necessários para as correções das vulnerabilidades.

O grupo, que inclui os pesquisadores de segurança conhecidos como Dillon Beresford, Ruben Santamarta e Peterson Dale, afirmou que sua intenção é mostrar às empresas que operam com infra-estruturas críticas, o quão fácil é invadir seus sistemas. Os pesquisadores dizem que tem a esperança de gerar um alerta similar ao que gerou à comunidade SCADA, seguido do lançamento do Firesheep no ano passado.

Para quem não sabe ou simplesmente não lembra dele, Firesheep foi um add-on do Firefox, que foi capaz de roubar cookies pertencentes a outros usuários que compartilham uma rede Wi-Fi, e utilizá-los para efetuar login em sites da Web. Por causa de seu alto nível de facilidade de utilização, muitos sites consideraram o risco de uso generalizado como suficientemente elevado para que eles se sentissem obrigados a mudar de HTTP ( sem a criptografia de comunicação), para HTTPS com criptografia SSL.

A situação vigente envolve controladores lógicos programáveis, ​​fabricados pela General Electric, Rockwell Automation, Modicon Schneider, Koyo Eletronic e Schweitzer Engineering. De acordo com informações divulgadas pelo grupo, as vulnerabilidades incluem backdoors, senhas hard-coded e falta de autenticação ao carregamento de código. Alguns desses dispositivos, tais como o modelo da GE, tem atuação no mercado que já atinge a marca dos 20 anos.

Além de tudo isso, os pesquisadores disseram que não haviam informado com antencedência aos fabricantes, sobre a existência dessas vulnerabilidades de segurança que tinham descoberto, pois queriam evitar o mesmo tipo de dificuldades que Beresford havia experimentado em relação à Siemens no ano passado; Beresford viu-se forçado a cancelar uma palestra sobre vulnerabilidades em produtos da companhia, após a intervenção da mesma. De acordo com Dale Peterson, os fabricantes já tinham conhecimento de muitas das vulnerabilidades que já foram reveladas, mas simplesmente haviam "escolhido" conviver com elas.

Nesta sequência de fatos, o grupo tem recebido algumas críticas por publicar a existência das vulnerabilidades. O chefe do DHS' Control Systems Security Programme observou que, enquanto eles promoverem a divulgação de vulnerabilidades, eles acreditam que, uma vez que tenha ocorrido, uma solução para o problema estará disponível. O especialista em segurança Ralph Langner, do sistema SCADA, disse que a mídia dos EUA declarou que, enquanto ele esperasse por um resultado positivo para o experimento, não teria publicado as façanhas desta forma.


Saiba Mais:

[1] US-CERT http://www.us-cert.gov/control_systems/index.html
[2] Threat Level http://www.wired.com/threatlevel/201...cada-exploits/
[3] Heise Online http://www.h-online.com/security/new...s-1418921.html