ICS
Eu venho dizendo isso há anos: o antivírus está morto.
Isso pode soar estranho se for a primeira vez que você escuta essa afirmação vindo de mim, ainda mais porque estou há trinta anos no setor, desde o início de tudo relacionado a vírus e antivírus no final dos anos oitenta e início dos anos noventa. No entanto, se nos aprofundarmos um pouco mais no tema AV (RIP) e consultamos algumas fontes autorizadas neste (antigo) campo, a afirmação parece bastante lógica: por um lado, “antivírus” tornou-se soluções de proteção “contra tudo” e, por outro, o vírus, como um tipo particular de programa malicioso, extinguiu-se. Quase. E é aquele aparentemente inofensivo, quase insignificante que acabei de escrever, que causa problemas em cibersegurança atualmente, no final do ano de 2022! E essa é quase a base deste post de hoje…
Sim, vírus. Os últimos remanescentes na Lista Vermelha: onde estão agora e o que estão fazendo…?
Acontece que eles tendem a residir em um dos subcampos mais conservadores da automação industrial: o da tecnologia operacional (OT, sigla em inglês, não confundir com IT). OT é o “hardware e software que detecta ou provoca uma alteração, da supervisão e/ou controle direto de equipamentos, ativos, processos e eventos industriais” (Wikipedia). Basicamente, a OT está relacionada a um ambiente de sistemas de controle industrial (ICS). OT = sistemas de controle especializados em fábricas, usinas de energia, sistemas de transporte, setor de serviços públicos e extração, processamento e outras indústrias pesadas. Sim, infraestrutura e, muitas vezes, infraestrutura crítica. E sim, novamente: é nesta infraestrutura industrial/crítica em que os vírus de computador “mortos” estão vivos e causando: cerca de 3% dos ciberincidentes em computadores OT são causados por esse tipo de malware.
Mas como?
Na verdade, a resposta que já lhe dei: a OT, pelo contrário, a sua aplicação na indústria, é muito conservadora. Se há um campo que acredita firmemente no velho ditado “se não está quebrado, não conserte!”, é o OT. A espinha dorsal deste campo é a estabilidade, não as últimas tendências. Novas versões, melhorias e até mesmo atualizações (por exemplo, software) são vistas com ceticismo, desdém e até medo! Na verdade, a tecnologia operacional em sistemas de controle industrial é comumente composta de computadores mais antigos que rangem e executam o Windows 2000 (!) , além de uma variedade de softwares obsoletos cheios de vulnerabilidades (também há buracos gigantes em suas políticas de segurança e muitos outros pesadelos para as equipes de segurança de TI). Em suma: o kit do departamento de TI nos escritórios, não na fábrica ou nas instalações auxiliares / técnicas, está otimizado contra todos os vírus de forma constante, e é atualizado e revisado em tempo hábil, além de ser totalmente protegido por soluções modernas de cibersegurança. Enquanto isso, no resto das áreas (OT), o exato oposto acontece; portanto, os vírus sobrevivem e prosperam.
Aqui estão os 10 malwares “old-school” mais difundidos a serem encontrados em computadores ICS em 2022:
O que esse gráfico pode nos dizer?
Em primeiro lugar, preciso destacar que as porcentagens mostradas estão relacionadas a uma fase do “dormência” desses vírus old-school. Mas, de tempos em tempos, eles podem escapar dos limites de um único sistema infectado e se espalhar por toda a rede, levando a uma grave epidemia local. E, em vez de um tratamento completo, geralmente recorre-se a backups antigos, que nem sempre estão “limpos”. Além disso, a infecção pode afetar não apenas computadores ICS, mas também controladores lógicos programáveis (CLPs). Por exemplo, muito antes do aparecimento do Blaster (um worm de prova de conceito capaz de infectar o firmware PLC), o loader Sality já estava presente; bem, quase: não no firmware, mas na forma de um script em arquivos HTML da interface web.
Sim, o Sality pode criar um desastre real em processos de produção automatizados, mas isso não é tudo. Ele pode danificar a memória por meio de um driver malicioso e infectar arquivos e memória de aplicativos, o que pode levar à falha total de um sistema de controle industrial em questão de dias. E no caso de uma infecção ativa, a rede pode cair, já que o Sality vem usando a comunicação peer-to-peer para atualizar a lista de centros de controle ativos desde 2008. É muito complicado que os fabricantes de ICS tenham escrito seu código com esse ambiente de trabalho agressivo em mente.
Em segundo lugar, 0.14% em um mês não parece muito, mas representa milhares de casos de infraestrutura crítica em todo o mundo. É uma pena quando você pensa em como esse risco poderia ser excluído completamente, de forma simples e com os métodos mais fundamentais.
E terceiro, uma vez que a cibersegurança de fábrica é uma peneira, não é de admirar que muitas vezes ouçamos notícias sobre ataques bem-sucedidos de outros tipos de malware, particularmente ransomware (como o caso de infecção por ransomware Snake contra a Honda).
É claro por que as pessoas de OT são conservadoras: o principal para elas é que os processos industriais que monitoram não sofrem interrupções, o que poderia causar novas tecnologias/melhorias/atualizações. Mas e as interrupções causadas por ataques de vírus old-school que permitem congelar no tempo? Precisamente, esse é o dilema enfrentado pelo OT que não se adapta às novas tecnologias, daí os números mostrados no gráfico.
Mas o dilema pode ser coisa do passado com a nossa “pílula”.
O ideal é que haja a capacidade de inovar, melhorar ou atualizar o kit OT sem comprometer a continuidade dos processos industriais. É por isso que, no ano passado, patenteamos um sistema que garante exatamente isso…
Em suma, funciona assim: antes de introduzir algo novo nos processos que DEVEM continuar a funcionar, você os testa em um simulador, um suporte especial que emula funções industriais críticas.
Esta plataforma é composta por uma determinada configuração de rede OT, que alimenta os mesmos tipos de dispositivos utilizados no processo industrial (computadores, PLCs, sensores, equipamentos de comunicação, pacote IoT) e os faz interagir uns com os outros para replicar a fabricação ou outro processo industrial. No terminal de entrada da plataforma há uma amostra do software testado, que começa a ser monitorado por uma sandbox, que registra todas as suas ações, observa as respostas dos nós da rede, mudanças em seu desempenho, acessibilidade de conexões e muitas outras características atômicas. Os dados recolhidos desta forma permitem construir um modelo que descreva os riscos do novo software, o que por sua vez permite que sejam tomadas decisões informadas sobre a introdução ou não deste novo software e o que deve ser feito com o OT para fechar as vulnerabilidades descobertas.
Mas espere, as coisas ficam interessantes…
Você pode tentar literalmente qualquer coisa no terminal de entrada, não apenas o novo software e as atualizações que serão implantadas. Por exemplo, você pode testar a resiliência contra programas mal-intencionados que ignoram meios externos de proteção e penetram em uma rede industrial protegida.
Essa tecnologia tem muito potencial no campo dos seguros, pois permite que as empresas julguem melhor os riscos cibernéticos para ajustar com mais precisão os prêmios, enquanto os segurados não pagarão demais sem motivo. Além disso, os fabricantes de equipamentos industriais poderão usar a plataforma de teste para certificação de software e hardware de outros desenvolvedores. Se desenvolvermos ainda mais este conceito, tal serviço também seria adaptado aos centros de acreditação específicos da indústria, para não mencionar o potencial de pesquisa nas instituições de ensino!
Mas, por enquanto, vamos voltar à plataforma original…
Evidente que nenhuma emulação pode reproduzir com 100% de precisão toda a variedade de processos em redes OT. No entanto, com base no modelo que construímos com a nossa vasta experiência em mente, já sabemos onde “surpresas” podem ser esperadas após a introdução de um novo software. Além disso, podemos monitorizar de forma fiável a situação com outros métodos, por exemplo, com o nosso sistema de alerta precoce de anomalias, o MLAD (sobre o qual já detalhei aqui), que pode identificar problemas em secções específicas de uma operação industrial com base em correlações diretas ou mesmo indiretas. Isso poderia evitar a perda de milhões, se não bilhões de dólares.
Então, o que está impedindo os responsáveis pela OT de competir para adotar nosso modelo de plataforma?
Bem, talvez, até agora, uma vez que eles são tão conservadores, eles não estão ativamente procurando uma solução como a nossa, pois eles podem não considerá-la necessária (!). Faremos o nosso melhor para promover nossa tecnologia e economizar milhões à indústria, é claro, mas, enquanto isso, gostaria de acrescentar o seguinte: nosso modelo de suporte, embora complexo, se pagará muito rapidamente se adotado por uma grande indústria ou organização de infraestrutura. E não é um modelo de assinatura ou algo assim: você paga uma vez e ele o protege por anos sem investimento adicional (minimizando riscos regulatórios, de reputação e operacionais). Ah, também protegerá o estado emocional das equipes de OT.
Dicas