Como hackear uma indústria química e ficar rico

Os pesquisadores ciberfísicos de segurança Marina Krotofil e Jason Larsen apresentaram no Black Hat sua pesquisa sobre hackers que se infiltraram em fábricas de produtos químicos. A palestra foi fascinante.

O inacreditável não é hackear uma fábrica de produtos químicos em si. Especialmente quando sabemos que instalações de enriquecimento de urânio, precisão de rifles, ou milhares de Jeeps já foram hackeados, não fica dúvida que as instalações de produtos químicos possam ser invadidas também. Até hoje não é conhecida nenhuma estrutura inviolável no mundo, então porque as fábricas de produtos químicos deveriam ser exceção?

Em sua palestra, Krotofil explicou em profundidade como os hackers poderiam e deveriam fazer para tomar o controle da rede de computadores da indústria. O primeiro aprendizado desta pesquisa: o resultado da invasão não precisa ser óbvio.

Existem várias maneiras de explorar uma fábrica de produtos químicos hackeada. Apenas uma delas é realmente evidente: os invasores podem parar a fábrica. Neste caso, o ataque seria facilmente percebido.

A maneira mais sofisticada seria ajustar cuidadosamente processos químicos, a fim de tornar os produtos menos rentáveis e a empresa menos competitiva. Por exemplo, os hackers podem modificar o processo para reduzir a qualidade do produto e/ou taxa de pureza do produto. E quando o assunto é química, o parâmetro que mais importa é a pureza.

Por exemplo, o paracetamol com pureza de 98% custa cerca de apenas 1 euro por quilograma. Já o com pureza de 100% tem custo estimado de mais de 8000 euros por quilograma. É este tipo de manipulação que um hacker pode fazer para ganhar muito dinheiro, principalmente, financiado por concorrentes da fábrica de produtos químicos.

Mas não é tão fácil assim invadir e manipular um sistema ciberfísico e esta é a segunda lição desta pesquisa. Uma fábrica de produtos químicos é muito complexa, e normalmente seus processos dependem uns dos outros. Se alguma alteração mínima acontecer em uma etapa, a seguinte será impactada. Para atingir determinados objetivos, é necessário entender todas essas inter-relações.

Primeiro de tudo, você precisa de um químico ou farmacêutico -e um excelente. Em segundo lugar, será necessário seu próprio laboratório para realizar experimentos. Foi assim que os desenvolvedores do Stuxnet fizeram. Eles usaram algumas centrífugas de enriquecimento de urânio durante o desenvolvimento desta famosa ameaça.

Se você não tiver sua própria fábrica de produtos químicos ou laboratório, então você precisará construir um modelo de software e realizar experimentos lá. Além disso, entender o equipamento e como o software funciona é pré-requisito. Surpreendentemente, a melhor arma de um hacker, neste caso, é a Internet e as redes sociais. Afinal, se existe está disponível online. Inclusive, informações oficiais podem estar divulgadas.

Mesmo após encontrar um bom químico, organizar todos os modelos de informação e de software necessários, talvez você ainda não possa controlar os processos químicos que deseja. É fato que a indústria farmacêutica e de produtos químicos em geral não foram construídas para serem facilmente hackeadas. E a preocupação com a segurança é tanta que muitos processos são incorporados para assegurar a qualidade do produto e da linha de produção.

É por isso que essas interferências precisam ser guiadas por dados diretos. Por exemplo, você não pode medir a pureza do produto em si, mas pode estimar a temperatura ou pressão. A complexidade de hackear um complexo químico não é superestimada. No entanto, se você tem bastante tempo e recursos, tudo é possível.

Simplificando, por um lado, é muito difícil hackear sistemas ciberfísicos complexos. Por outro lado, é possível, e se este for o caso, não é fácil para as empresas de detectarem as atividades maliciosas.

Como Kim Zetter escreveu no livro ‘Countdown to Zero Day’ sobre o Stuxnet, originalmente esta ameaça não foi projetada para destruir centrífugas de enriquecimento de urânio, mas para reduzir a “qualidade” de combustível nuclear. E se uma pessoa muito poderosa foi paciente o suficiente e não tivesse insistido em efeito mais rápido, o malware poderia ter ficado despercebido.