Endereçando o desafio de compliance/conformidade em um ambiente multiplataforma: Lições dos vírus STUXNET e Flame
Aylton Souza
Virtualization & Private Cloud Lead LATAM
Maio 2013
Com os avanços tecnológicos e sistemas interconectados, diferentes plataformas são a base para importantes elementos da infraestrutura em todo mundo. Incidentes recentes como o Stuxnet (que supostamente afetou usinas nucleares no Irã e atrasou o programa de enriquecimento de urânio e ataques recentes a grandes empresas), talvez seja um bom momento para refletirmos sobre o aprendizado dessas ocorrências. O problema não está restrito a grandes infraestruturas e a lenda urbana de que só as grandes empresas podem ser vítimas desse tipo de ataque – Isso já caiu por terra em tempos da nuvem. Sistemas desatualizados ou falta de um processo de mudança e controle de atualizações adequado são a raiz do problema desde os anos 80, multiplicados pela onipresença de novos componentes tecnológicos desde os caixas de supermercados, semáforos inteligentes, radares e até sistemas críticos de infraestrutura.
O que aprendemos desde o Stuxnet e Flame? Se voltarmos 20-30 anos, já fiz o questionamento anterior sobre o que aprendemos desde o Morris worm nos anos 80 e o diagnóstico é bem similar: O desafio de controlar sistemas multiplataforma e manter conformidade com padrões técnicos ou legais que ajudam a controlar o elo mais fraco da corrente. Tanto o stuxnet quanto o flame foram inseridos de forma quase infantil em sistemas desconectados da Internet: Através de dispositivos de armazenamento USB (os famosos “pen drive”) e nesses incidentes, particularidades desse worm continham instruções que afetaram sistemas importantes usados em várias industrias baseadas em SCADA (supervisory control and data acquisition), padrão de indústria para diversos sistemas críticos usados desde usinas nucleares, passando por empresas de energia, indústria automobilística e muitas outras.
O problema não é novo. Um artigo de 1998 (http://www.issues.org/15.1/robins.htm) já discute o problema numa era onde a Internet ainda engatinhava, redes sociais e phising não existiam nem mesmo em ficção científica. Os sistemas operacionais e ferramentas de gerenciamento e segurança evoluíram muito desde então, mas sem evoluir processos na mesma velocidade, as empresas podem ser reféns de seu próprio conservadorismo. Sistemas operacionais já fora do ciclo de suporte (seja no desktop ou do lado do servidor) sofrem ainda mais por não incorporarem controles a ameaças que simplesmente não existiam à época em que foram criados. O Windows XP e Windows Server 2003, além de muitos sistemas UNIX e mainframes em uso continuam sustentando muitos sistemas importantes. Hora de pensar em atualizar para Windows 7/8 além do Windows Server 2012 e usar recursos existentes da plataforma, além de elementos que podem ajudar a gerir conformidade e segurança em ambientes multiplataforma, incluindo Windows, vários sabores de UNIX (como AIX, HP-UX, Solaris) e Linux. Mais do que o impacto em IT, pensemos no impacto em uma indústria, ou fornecimento de energia ou gás. A facilidade e crescimento dos recursos de automação nos leva também a repensar processos e a forma de manter esses sistemas atualizados e protegidos. No Brasil, um recente caso de sucesso publicado mostra um exemplo de proatividade que protege o gasoduto Brasil-Bolívia e tem importância sumária na nossa matriz energética, usando System Center e também as facilidades dos mais novos sistemas operacionais da Microsoft.
Para mais informações:
Caso de referência Transportadora Brasileira Gasoduto: https://www.microsoft.com/brasil/Casos/interna.aspx?id=1141
Malicious vírus targets SCADA Systems: http://www.homelandsecuritynewswire.com/malicious-virus-targets-scada-systems
Stuxnet: http://en.wikipedia.org/wiki/Stuxnet
Virus target industrial OS, reaches Iran’s nuclear plant: http://readwrite.com/2010/09/27/stuxnet_virus_targets_industrial_os
System Center Process Pack for IT GRC (free) https://technet.microsoft.com/en-us/library/dd206732.aspx
Asset and Compliance in System Center 2012: https://technet.microsoft.com/en-us/library/gg682029.aspx
Conficker: Morris has not left the building: https://blogs.technet.com/b/risco/archive/2009/01/28/conficker-li-es-p-s-guerra-morris-has-not-left-the-building.aspx
Aylton Souza é o Virtualization & Private Cloud Lead da Microsoft para America Latina, baseado na Flórida
Com mais de 25 anos atuando na área de tecnologia e segurança da informação, esteve a frente de grandes projetos no Brasil e em outros países, sendo parte do time de desenvolvimento de soluções de segurança pioneiras nos anos 80 e 90 e participou da construção dos primeiros provedores comerciais no nascimento da Internet no Brasil. Um dos primeiros CISSP na America Latina, recebeu reconhecimentos como o SECMASTER no Brasil por dois anos consecutivos pela melhor contribuição ao setor privado.