Uma porcentagem preocupantemente alta de sistemas de controle industrial (ICS, na sigla em inglês) — a tecnologia usada para gerenciar tudo, desde estações de tratamento de água até a Estação Espacial Internacional — é vulnerável a hackers maliciosos, de acordo com testes realizados por uma importante empresa de segurança global.

A Positive Technologies informou nesta quinta-feira (3) que seus pesquisadores conseguiram penetrar 73% das organizações industriais. Em 82% das infiltrações bem-sucedidas, os pesquisadores disseram que era possível “ganhar um ponto de apoio e usá-lo para acessar a rede industrial mais ampla, que continha equipamentos ICS”.

• Banco australiano perde dados de 12 milhões de clientes do jeito mais bizarro possível
• Facebook diz ter demitido engenheiro que usava acesso privilegiado para stalkear mulheres

ICS é um termo que descreve várias tecnologias, como o SCADA (Sistemas de Supervisão e Aquisição de Dados), para controlar sistemas usados em automação industrial por fábricas, usinas de energia, água e estações de tratamento de águas residuais, assim como nas indústrias de petróleo e gás e muitos outros setores.

Embora o uso de equipamentos ICS não seja novo, a expansão da internet e da tecnologia sem fio trouxe um novo nível de conectividade aos ICS, aprimorando sua eficiência e velocidade ao mesmo tempo em que deixa os sistemas cada vez mais vulneráveis ​​a ataques maliciosos.

“Vulnerabilidades que teriam sido corrigidas anos atrás em sistemas comuns muitas vezes permanecem intocadas, porque as organizações têm medo de fazer quaisquer alterações que possam causar paralisações”, afirmou a Positive Technologies em seu relatório. Além disso, os métodos usados ​​pelas indústrias para proteger os ICS, como o “air-gapping” dos equipamentos dos sistemas conectados à internet, muitas vezes não conseguem impedir ataques.

O vetor de ataque mais bem-sucedido explorado para obter acesso à rede de perímetro veio de vulnerabilidades em aplicativos da web, disseram os pesquisadores, incluindo injeção de SQL, uploads arbitrários de arquivos e execução remota de comandos. “Quase todas as empresas usavam senhas de dicionário para sistemas de administração de servidores web ou para acesso remoto via protocolos de gerenciamento, o que permitia continuar o vetor de ataque para obter acesso à LAN [rede local] em um terço dos casos”, afirma o relatório.

Brian Contos, diretor de segurança da informação e diretor estrategista de segurança da Verodin, disse que manter o funcionamento dos ICS é essencial, pois esses sistemas estão instalados “literalmente para manter as luzes acesas”. Isso significa que interromper sua função típica para executar testes de segurança apresenta problemas. “As práticas de segurança que são comuns em TI, como verificação de vulnerabilidades, correções e a introdução de endpoints ou controles de segurança de rede, são frequentemente vistas como um risco muito grande em relação à disponibilidade.”

Em um alerta conjunto emitido no mês passado, o FBI e o Departamento de Segurança Nacional acusaram hackers russos de atacar a rede de energia dos Estados Unidos, usando o mesmo processo descrito pela Positive Technologies — ganhando um ponto de apoio na rede e navegando em direção a sistemas críticos.

“O Departamento de Segurança Nacional e o FBI caracterizam essa atividade como uma campanha de invasão de vários estágios por parte de agentes cibernéticos do governo russo que atacavam redes de pequenas instalações comerciais onde eles montavam malwares, realizavam spear phishing e obtinham acesso remoto a redes do setor de energia”, afirmou o alerta. “Depois de obter acesso, os agentes cibernéticos do governo russo conduziram reconhecimento de rede, movimentaram-se lateralmente e coletaram informações relativas aos Sistemas de Controle Industrial (ICS)”.

Contos disse que, embora os sistemas ICS tenham sido, em sua maioria, baseados no espaço aéreo — ou seja, fisicamente isolados de redes inseguras, como a internet pública —, esse não é mais o caso, mesmo que os dispositivos não tenham sido projetados para se comunicar com redes. Hoje, muitos ICS estão hiperconectados, usando tanto tecnologia herdada quanto moderna, incluindo conexões dial-up, Bluetooth, conexões seriais físicas e muito mais, afirmou Contos. “Existem até aplicativos de celular projetados para ajudar a gerenciar e monitorar dispositivos ICS.”

Na quarta-feira (2), a Tenable, uma empresa de cibersegurança sediada em Maryland, nos EUA, divulgou vulnerabilidades em dois aplicativos amplamente utilizados por fabricantes e usinas elétricas que, segundo a empresa, podem permitir que hackers elevem o acesso em redes contendo dispositivos ICS.

Em 2014, o Departamento de Segurança Nacional confirmou que um sistema de controle de serviços públicos dos EUA foi violado em um sofisticado ataque. Testes forenses revelaram atividade maliciosa anterior na rede também. E, no ano passado, a Coreia do Norte foi acusada de ataques contra empresas norte-americanas que operam sistemas de controle industrial. Em pelo menos um caso, os hackers conseguiram obter acesso à rede de uma empresa de energia dos EUA.

“A segurança não é apenas um problema técnico, mas organizacional”, disse Paolo Emiliani, analista de pesquisa sobre SCADA da Positive Technologies. “Em média, cada empresa que testamos tinha pelo menos dois vetores de penetração. Uma companhia pode ter uma série de instalações muito distantes umas das outras, com apenas um punhado de pessoal de segurança por aí. Isso coloca a equipe de segurança em uma posição difícil: eles precisam permitir que o acesso remoto à área de trabalho faça sua função, mesmo que isso abra brechas de segurança.”

O problema é agravado quando várias equipes são encarregadas de supervisionar os sistemas industriais: as falhas de comunicação aumentam a vulnerabilidade.

“A falta de processos geralmente deixa a cobertura de partes não abordadas dos processos de segurança cibernética apenas nas mãos de seres humanos, e seres humanos cometem erros”, disse Emilani. “Além disso, a arquitetura insegura com ambientes sem correções ou incorrigíveis e sem mecanismos de monitoramento se combinam para formar uma tempestade perfeita para a insegurança das ICS.”

Imagem do topo: AP