O DefCon Lab produz conteúdo próprio para publicação, mas temos como filosofia compartilhar os dados que produzimos e o espaço do blog para parcerias. Hoje vamos publicar excelente material que o líder (C4pt41n) do time de pesquisadores brasileiros do Data Group nos enviou sobre vulnerabilidades em solução de Industrial Control Systems (ICS), no âmbito de Sistemas de Supervisão e Aquisição de Dados (SCADA).
O Data Group já havia publicado artigo aqui no Lab sobre bombas de combustível em postos de gasolina. A pesquisa também foi realizada no contexto da Internet das coisas (Internet of Things – IoT), que também é um tema de interesse do Lab, já abordado em artigos sobre Smart TVs, Turbinas Eólicas e câmeras de aeroportos brasileiros.
A pesquisa do Data Group se refere ao mapeamento em escala global de equipamentos (como o PowerLogic) de usinas geradoras e distribuição de energia elétrica da empresa Schneider Electric. Por meio de consultas aos buscadores Censys, Shodan e ZoomEye, foi possível identificar 936 equipamentos em diversos países, conforme o gráfico a seguir:
Os resultados, ainda que parciais em relação ao total, indicam a adesão de soluções de automação industrial em países que, no senso comum, não seriam reputados como líderes em segmentos de tecnologia.
Conforme já discutido no post IoT – internet of threats? – é comum a ausência ou o baixo nível de segurança nesses dispositivos, o que torna o problema muita mais grave quando a subversão do dispositivo por agentes maliciosos tem potencial de provocar efeitos cinéticos no mundo real, como a interrupção do fornecimento de energia ou mesmo danificar equipamentos e infraestruturas.
Soluções como a da Schneider Electric geralmente são implementadas devido a maior facilidade de acesso e de uso do equipamento por meio de interface web amigável, o que torna o gerenciamento do dispositivo muito mais módico e conveniente, contudo, em regra, são também essas mesmas funcionalidades os pontos mais vulneráveis.
Por serem utilizadas na distribuição de energia, se a solução da Schneider Electric for manipulada por meio dessas interfaces, configurações como voltagem podem ser modificadas. Essa alteração num processo industrial, associada a ausência de solução para continuidade do negócio, pode provocar a interrupção do fornecimento de energia e da atividade industrial em si.
O acesso a interfaces de controle e supervisão não requerem autenticação ou permissões especiais. Aparentemente é possível, inclusive, enviar comandos para os referidos equipamentos e, dessa forma, interferir remotamente na sua operação.