Update: Fui contactado pelo Tiago Rosado e o comentário dele aparece no fim deste artigo. Agradeço o esclarecimento.
Se há algo que todas as empresas já assumiram, ou deviam ter assumido, é que nenhuma delas está imune à força e criatividade de grupos de hackers como o Anonymous. Este problema é muito semelhante às questões levantadas pela piratearia. Em vez de criarmos legislação para o combater, devemos é compreender os desafios e encontrar as respostas para conseguirmos conviver com o bom e mau que da Internet.
Nos Estados Unidos, Harry Reid está a tentar passar uma nova legislação que passa a responsabilidade, de avaliar quais as empresas que são criticas para a infraestrutura americana funcionar sem interrupções, para o DHS (Department of Homeland Security). Mas o problema está é nesta abordagem que se preocupa mais com a forma de combater a falta de segurança cibernauta em vez de avaliar o que está mal de raiz.
Enquanto os políticos fazem o que melhor sabem fazer, discutir, peritos na área de segurança estão cada vez mais nervosos com os verdadeiros riscos inerentes às empresas que controlam as mais básicas das infraestruturas nos Estados Unidos. E não é de forma alguma descabido, nós pensarmos no mesmo para Portugal. Mas onde está o nosso debate?
O receio é que um ataque poderá acontecer a qualquer momento e as consequências muito piores que qualquer ataque que já aconteceu. Aliás, as consequências são tão graves que os políticos preferem não falar no assunto, por menos dessa forma.
O maior risco está nos sistemas mais vulneráveis – SCADA. Uma espécie de código nos computadores que gerem os serviços de energia, da água, dos aeroportos, dos caminhos de ferro, etc. – estes sistemas registam os dados, controlam o funcionamento de maquinaria e controlam e mantem o melhor funcionamento perante parâmetros pré definidos.
Uma das maiores preocupações é o fato de estes sistemas estarem online e ligados de forma a serem acedidos e ligados através de sistemas de comunicação online. Muitos destes sistemas são considerados críticos para que os principais sistemas funcionem para nos garantir água, gás e eletricidade. Outros controlam e mantem a segurança no ar, nas linhas de comboio e nas nossas estradas.
Todos estes sistemas estão ligados a controlos de SCADA, e caso estes mesmos sejam atacados, o serviço poderá ser comprometido ou até desativado.
Project Basecamp é um grupo de peritos na área de segurança que começaram recentemente a entrar (hack) nestes sistemas sem a devida autorização e o que encontraram é chocante. Os computadores utilizados têm inúmeros problemas de raiz. Por exemplo, as passwords estão hardcoded – ou seja as palavras chave de acesso a estes sistemas estão programadas no próprio sistema de forma a que nenhuma das pessoas tenha possibilidade das alterar. Imagine então se elas forem publicadas o que poderá acontecer, e o que não consegue acontecer – uma rápida alteração das mesmas.
Mas nada disto pode ser considerado um problema de segurança cibernauta, mas sim uma falha técnica de quem os produziu. O problema é que a maioria destas vulnerabilidades já são conhecidas há anos mas como as pessoas que lá trabalhavam tinham assinado um NDA (non-disclosure agreement), foram sempre impedidas de falar sobre estes problemas. O raciocínio das empresas foi sempre que caso alguém falasse nestas vulnerabilidades, estaria assim a dar informação perigosa ao “inimigo”. Mas presentemente o “inimigo” é diferente e pode vir de qualquer lado, país ou até governo. Em vez de ir para guerra com um país, não será mais fácil e mais barato desligar-lhe as infraestruturas criticas?
Finalmente, parece que começa-se a debater este tema mas daí a resolve-lo ainda vai muito, especialmente numa cultura de cortes orçamentais.
Por cá? Não sei. Ainda não ouvi debaterem este problema. Provavelmente ainda estamos na fase de negação onde o segredo minimiza o risco, até o dia.
Update: Tiago Rosado Nuno por cá já se debate o problema há muito tempo, desde conversas informais sobre infosec – Confraria IT & Security – passando pelo primeiro congresso de CSIRT nacional realizado o ano passado à mais recente conferência realizada pela OSCOM sobre o estado da cibersegurança nacional com a participação de várias personalidades do foro técnico, militar, juridico e policial.
Leave a Reply