capítulo vi segurança em redes de computadores …€¦ · • pressão na indústria pela...
TRANSCRIPT
72O Setor Elétrico / Junho de 2010
Apoio
Auto
maçã
o de
sub
esta
ções
Equipe de engenharia da Schweitzer Engineering Laboratories (SEL)
Capítulo VI
Segurança em redes de computadores aplicadas a subestações de energia elétrica
Até a década de 1990, os equipamentos de
automaçãoeproteçãodesubestações,quejá tinhamse
tornadomicroprocessados,aindaestavamforadas redes
decomputadores e compunhamsoluções isoladas, sem
conexão física com a redemundial.As concepções de
segurançaestavamlimitadasa isolarestesequipamentos
em salas climatizadas, em que o acesso era restrito às
pessoas autorizadas; preservação contra incêndios, etc.
Contendoasinvasõesfísicas,osistemaestavaprotegidoe
emcondiçõesadequadasdesegurança.
Existem dois conceitos básicos de segurança que
podemosnosservirdalínguainglesaparamelhordefini-
los:
Safety – São os conceitos aplicados à segurança das
pessoas.Iniciativassãotomadasparamitigarsituaçõesde
riscoquepodem feriro serhumanoou,de formamais
geral, o meio ambiente. Existem normas mundiais que
disciplinamestamatéria,sendoqueaIEC61508eaIEC
61511sãoasmaisconhecidas.
Security – São conceitos aplicados à segurança dos
ativosdeumaempresa.Asinstalações,osequipamentos,
osnegócios,osfaturamentoseoslucros.Paraestecaso,
podemoscitaranormaIEC62351.
A consequência de invasões em uma rede de
computadores de uma empresa de energia elétrica
estámais ligada ao conceitode “security”.Apesarde a
segurançadaspessoastambémestarexpostaaorisco,este
artigoestáfocadonasegurançadosativosdasempresas
e na continuidade de fornecimento de energia elétrica,
preservando os requisitos de qualidade definidos pela
AgênciaNacionaldeEnergiaElétrica(Aneel).
Comocrescimentoexponencialdautilizaçãoda
tecnologia TCP/IP e internet no mundo moderno, a
automaçãodesubestaçõesnãoficouimune.Hoje,os
novosprojetosadotamTCP/IPdeformaampla,totale
irrestrita.
Éevidentequeosproblemasdesegurançaemredes
decomputadorespassaramaintegraraspreocupaçõesdos
profissionaisdetecnologiadeautomação,conhecidacomo
TA.Nestecontexto,foiadotadaaterminologia“invasãoou
ataqueeletrônico“(nocontextodeTIéconhecidocomo
“invasãoouataquecibernético”).
As ameaças de invasão pormeios eletrônicos estão
aumentando por diversos fatores sociais, políticos e
tecnológicos.
Nosdiasatuais,existemváriosfatoresquecontribuem
paraoaumentodenossaspreocupações:
• De mainframes e protocolos proprietários, passamos
pararedesdistribuídaseprotocolosabertos.Interligaçãode
redesoriginalmenteisoladaspormeiodestesprotocolos;
•Pressãonaindústriapelaautomatizaçãoecortedecustos
paramantermargemdelucros;
• Legislação Nacional, Operador Nacional do Sistema
(ONS) e Agência Nacional de Energia Elétrica (Aneel).
O consumidor tem o direito de acessar dados das
concessionáriasdeserviçopúblicos(servidoresWeb);
•Aumento da capacidade e complexidade do Sistema
InterligadoNacional (SIN), de geração e transmissãode
energia.Paradoxalmente,aumentasuafragilidade;
• Aumento vertiginoso da interconectividade a sites
remotospormeiodemodemsdiscadosouinternet;
•Instabilidadenomercadodetrabalhonasempresasde
energia,causadospelacompetiçãoedesregulamentação;
•Aumentodeincidentes–China,GoogleeIntel;
• Rápido aumento da população com habilidades e
conhecimentosconsistentesemredesdecomputadores;
•Disseminaçãodeliteraturaeferramentasdehackerspela
73O Setor Elétrico / Junho de 2010
Apoio
internet;
• Aumento do número de países com iniciativas sustentadas pelo
governode“contramedidas”àinvasãoouataqueseletrônicos.
Invasão ou ataque eletrônico É o acesso à subestação via linhas telefônicas ou outros meios
eletrônicos para manipular ou causar distúrbios nos Dispositivos
Eletrônicos Inteligentes (IEDs). Estes IEDs incluem relés digitais,
registradores de faltas, equipamentos de diagnósticos, oscilógrafos,
equipamentos de automação, Unidades de Aquisição e Controle
(UACs),UnidadesTerminaisRemotas(UTRs),computadoresservidores
dasubestação,ControladoresLógicosProgramáveis(CLPs)einterfaces
decomunicação.
A extensão dos “ataques eletrônicos” ainda é desconhecida,
pois poucas empresas possuem IntrusionDetection System (IDS). E
aquelasquedetectamtêmpoucavontadededivulgar,poisseriauma
publicidadenegativa.
Aindaassim:
•25%dasempresasusamalgumtipodeIDS;
•17%destasreportaramtentativasdeinvasãoeletrônica.
Os invasores sabem como abrir válvulas, apertar botões, abrir/
fechar disjuntores, então é de se supor que, se eles invadirem o
sistema,queiramfazerisso.É,portanto,necessárioeinadiávelumato
deresponsabilidadeparacomasociedadeemgeraleconsumidores
discutirasameaçaseestudarosmétodosdemitigaçãodosriscos.
A segurança deve ser uma atitude empresarial. Uso de senhas,
váriosníveisdeacessoeauditoriade loginsdevemserutilizadosde
formacuidadosa,apesardeaumentarosprocedimentosburocráticos.
Vamosrelacionarabaixoalgunsitensquedevemsercuidadosamente
consideradosnoplanejamentoenadefiniçãodapolíticadesegurança.
Citamostermosimportantes,aindasementrarnosdetalhesdecadaum
deles:
- Tecnologia TCP/IP – Transmissão de pacotes
•Sniffers – Ethereal – Wireshark.
•Avaliaçãoderiscos.Operigovemdedentro.
- Firewalls. Software ou software + hardware
•Filtrodepacotes–Política“negartudo”ou“permitirtudo”
efazerasexceçõesàregra.
•Filtrodeaplicações–proxy.
Event Logging – Syslog;
Intrusion Detection Systems (IDS);
Intrusion Prevention Systems (IPS);
Condições de alarmes.
74O Setor Elétrico / Junho de 2010
Apoio
Figura 1 – Cenário de uma invasão.
Auto
maçã
o de
sub
esta
ções
-Roteadores –proveem IDS, IPS, Event Logging, controledeacesso
porIP,PortNumber,gerenciamentodeseparaçãodetráfego,perímetro
eletrônicodesegurançaeIEEE1613.
-Controledeacesso,switchesoupontodeacessowireless.
•IEEE802.1XRemoteAuthenticationDialInUserService
(Radius)–Passaporteparaentrarnarede.MACAddress.
•TACACS–TerminalAccessControler–AccessControlSys.
-Switchescomoalternativadesegurança.VLAN–IEEE802.1Q,CoS
-802.1P,RSTP–802.1W.
-VirtualPrivateNetwork(VPN)–criptografia–autenticação.
•InternetProtocolSecurity(IPsec)–RFC4301,4302,4303.
- IEEE 1613 – Standard Environmental and Test Requirement for
Communication Networking Devices in Electric Power Substations.
Imunidadeecompatibilidadeeletromagnética–IEC61850-3.
A área de segurança de redes é uma ciência e vários órgãos
internacionaispropõemsugestõesdecomportamentooumedidasque
asempresasdevemobservar.Umadelasé:
IEEE 1402-2000 – Guia para segurança física e eletrônica de subestações
do sistema de potência.
Itensdealertaquefragilizamarede:
•Errosgrosseiros,confusãoeomissão.Resetsacidentaisde relésde
proteção,imperíciaounegligêncianamanutençãodarede;
• Fraudes, roubos, atividades criminais, hacker, attacker e intruder.
Motivaçãoeconômica–prejuízosdeUS$123milhõesanuais;
•Empregadosdescontenteseinescrupulosos,retaliaçãoeinsiders;
• Curiosidade, ignorância, invasões por recreação ou maliciosa e
hackers;
• Espionagem industrial. Em 1999, os prejuízos foram de US$ 60
milhões;
•Códigomalicioso:malware,vírus,worms,cavalosdetróia,bombas
relógio,etc.quecrescemexponencialmente;
•Abriranexoeclicaremlinksdee-mailsdesconhecidos;
•Programasqueprometemaumentaravelocidadedesuarede,mas
estãoroubandoinformações;
•Contramedidasaataqueseletrônicosfinanciadospelosgovernosde
váriospaíses.
A subestação como o ponto mais vulnerável de todo sistema elétrico Avaliação de riscos
A subestaçãodeenergiaelétricaéumpontovulnerável,porque
permitemacessoremotoepoucaspossuemmecanismosdeproteção,
IDS, IPSoufirewalls, comoagravantequeuma falhapodeassumir
proporçõesnacionais.
Linhasdecomunicaçãoentre subestações,centrosdecontrolee
computadoresderedecorporativasãodeconhecimentopúblico.
TodososIEDssãosuscetíveisaataques.Pormeiodeumaconexão
telefônica, um profissional pode “resetar” o dispositivo, ou mudar
oseu“ajuste”.Um“intrusoeletrônico”pode“discar”emumaporta
desprotegidaecolocaro“controladordedisjuntor”emumnívelde
tolerância alto a controles, permitindo telecomandos.Tambémpode
colocar o equipamento em condições muito sensíveis, acima das
operaçõesnormais,equecausam“shutdown”paraautoproteção.
Observamos na Figura 1 o cenário provável de uma invasão
eletrônica.Usandoum“programadiscador”,ointrusofazumavarredura
nosnúmerosacimaeabaixodonúmerotelefônicodasubestação,que
édeconhecimentopúblico,procurandoporrespostademodems.Pode
usartambémumaplicativodePing,pesquisandomilharesdeIPsacima
eabaixodoIPdaconcessionária,queédeconhecimentopúblico.
Quando uma provável conexão é identificada, são emitidos
múltiplos“enters”,“pontosdeinterrogação”,“help”and“hello”,para
conseguir informaçõesdo tipodaconexão.Quandoéconseguidoo
diálogode“login”,ointrusousa“engenhariasocial”paradeterminara
senha.Oulançaumataquecom“dicionários”oude“forçabruta”.
Quandoaconexão forcompletada,o intrusoestádentrodeum
IED,controladorouScada.Podefazershutdown,mudarajustes,juntar
informaçõesparafuturosataques,“plantar”códigosmaliciosos,etc.Este
ataqueclássicopodesersomadoàengenhariasocialeaoutrosque
exemplificamosnaFigura2.
Engenhariasocialéaaçãodeumapessoamalintencionadaquese
fazpassarporumaoumaispessoas,enganandooscolaboradoresde
umaorganização.Estapessoautilizanomesdeusuárioseadministrador
coletadas previamente. Com isso, consegue obter informações
privilegiadas,comosenhas,ou induzirpessoasaexecutaraçõesque
enfraqueçamasegurança,comoexecutarumtrojan.
O método mais simples, mais usado e mais eficiente que os
engenheirossociaisutilizamparadescobrirumasenhaéperguntando.
Se o colaborador da empresa estiver despreparado, há possibilidade
deseobtercomsucessoarespostapositivaàperguntacerta,assim,o
engenheirosocialiráganharacesso,controlareconseguirmaisacesso.
Muitosataquesdeengenhariasocialsãocomplicados,envolvem
diversas etapas e planejamento elaborado, além de combinar o
76O Setor Elétrico / Junho de 2010
Apoio
Figura 2 – Métodos de ataque.
Auto
maçã
o de
sub
esta
ções
conhecimentodamanipulaçãoedatecnologia.
O início, namaioria das vezes, dá-se pormeio de pesquisa na
internetsobreainstituiçãoouoalvodeataque.Depossedealgumas
informações, o ataque é preparado, podendo ser feito por telefone,
ousepassandoporumfuncionárioterceirizadoqueprestaserviçosà
organização.
Contramedidas A prevenção é a melhor política. Descrevemos resumidamente
algunsmétodos:
Autenticação – Dispositivosautorizadosautenticamunsaosoutros,
trocando “chaves” – equivalente à senha. Gateway pode autenticar
novosdispositivosqueentramnarede.
•Smartcards–geramasenhaemtemporealeelaéenviadanaredee
podeserinterceptada;
•Verificaçãodaintegridade–equivalenteaochecksum;
•Etiquetadetempoevitaataquesde“replays”;
•Criptografia–algoritmossimétricoseassimétricos,chavesduplas;
•PKI–PublicKeyEncryption;
•IPsec–criptografaospacotesTCP/IP;
•AlgoritmosDiffie-Hellman–assimétricos.
•Nãopodeestaratreladaasoftwaresouahardwaresespecíficos;
•Nãopodehaverexceçãoaindivíduosougrupos.
Alémdaspolíticas,osinvestimentossãoindispensáveis.Énecessário
equiparseusistemacomrecursosdehardwareesoftware.
Fazempartedoconjuntodedispositivosdesegurança(hardware
ou softwares) as lans virtuais, firewalls e criptografia (certificados
digitais).Sobreaslansvirtuais,jádedicamosumcapítulointeiroquando
abordamosasarquiteturasderede.
Firewalls Responsável pela defesa do computador ou rede. Controla o
acessoaosistemapormeioderegrasefiltragemdedados.Filtragem
depacotes–redespequenasoumédiasquedefinemqueendereços
IPspodemtransitarnarede.Porexemplo,serviçosliberados(e-mail)ou
bloqueados(ICQ).
•Windows–ZoneAlarm–www.zonealarm.com;
•Linux–IPTables–www.iptables.org;
•TrabalhanascamadasIP(endereços)eTCP(serviços);
• Controle de aplicações – (exemplos SMTP, FTP, HTTP) – instalados
em servidores conhecidos como proxy. Mais seguro, não permite a
comunicaçãodiretadocomputadorcomainternetetudopassapeloproxy;
•Permiteacompanhamentodetráfegoderede;
•Recursosdelogs;
•Ferramentasdeauditoria.
Exemplos e sugestões:
•As portasTCP que podem ser liberadas e continuar mantendo a
segurançadasuaredesão:portadeFTP,HTTP,HTTPSeserviçode
e-mail,comooBlackBerry3101.Bloqueieaporta110 (POP3)caso
oservidordecorreionãoautilize.Estaportapermitequeosusuários
de sua redepossambaixarmensagens particulares utilizando algum
softwaredecorreioeletrônico,sendoqueamaioriadosservidoresde
e-mailtrabalhaapenasutilizandoSMTPeIMAP.
•Eviteregrasexcessivasetestecadaumadelas.Asregrasdeexterna
parainternasãomuitoimportantes.Coloqueumaparacadaserviçode
suarede.Porexemplo:jamaislibereaporta23ou21quenãosejam
redirecionadosparaoservidorcorrespondente.Tambémnãofazsentido
liberaroserviçoHTTPS(443)deexternapara internasenãopossuir
algumservidorquetenhaSSLativo.
•Muitasempresaspossuemusuáriosqueprecisamenviararquivospara
ReceitaFederal.Nestecaso,identificaraqualIPeportaqueoprograma
da Receita Federal está tentando se conectar (netstat-aon) e liberar
somenteesseIPeportaespecífica.
Criptografia e certificados digitaisSymmetric Key Algorithms – amesmachavesecretaéusadapelo
transmissorereceptor.Usadohámilharesdeanos,éamesmachave
paracriptografaredescriptografareusamenosrecursoscomputacionais
Elaboração da política de segurança Quaisrecursosserãoprotegidos?Aquaisameaçasestamossujeitos?
Quaisasvulnerabilidadesquepodemconcretizarasameaças?
Considerarositensaseguir:
•Quemtemautoridadeparadefinirefazercumprir?
•Meiosdedivulgaçãodapolítica;
• Política de senhas, requisitos de formação (número mínimo de
caracteresalfanuméricos)eperíododevalidade;
•Direitoseresponsabilidadesdosusuários;
•Direitoseresponsabilidadesdoprovedorderecursos;
•Açõesprevistasnocasodeviolaçãodapolítica;
•Apoiodaadministraçãosuperioréfundamental;
•Periodicamenterevisada;
Métodos de Ataque - Contramedidas.
Autenticação - Verificação - Criptografia.
Apesardasmedidasdesegurança,suamensagempodesofrerataques:1.Interrupçãodoserviço-jamming2.Spoofing3.Homemnomeio4.Replay
TRANSMISSORReiescreveuma
mensagemparaseucomandante
1.Inundarsisternacommensagenssemnexo.(Bloquearaestradacompause
pedras
TRANSMISSÃOMensageirolevaamensgemnoterritóriohostil
3.Alguéminterceptaamensagememudaseu
conteúdo,semconhecimentodotransmisssoroudoreceptor.
4.Umamensagemverdadeira"deslocar15Kmaoeste",serepetidacausaerroenorme.
RECEPTORComandantedecampointerpretaamensagemetomaasaçõesapropriadas
2.Alguémsefazpassarpelorei,emandauma
mensagemfalsa.
77O Setor Elétrico / Junho de 2010
Apoio
Figura 3 – Criptografia e certificados digitais em subestações de energia elétrica.
*Equipe de engenharia da Schweitzer Engineering Laboratories (SEL)
CONTINUA NA PRÓXIMA EDIÇÃOConfira todos os artigos deste fascículo em www.osetoreletrico.com.br
Dúvidas, sugestões e comentários podem ser encaminhados para o e-mail [email protected]
queoAsymmetric.Énecessáriocombinarachavecomantecedência.
Exemplos:PGPeSSL.
Asymmetric Key Algorithms – Chavesdiferentesparacriptografar
edescriptografar. É criadoumparde chaves –umapública eoutra
secreta. Mensagens criptografadas com a chave pública só podem
ser descriptografadas pela chave secreta.As chaves são relacionadas
matematicamente,maséimpossívelderivarachavesecretadachave
pública.Oalgoritmofoidemonstradonadécadade1970porWhitfield
DiffieeMartinHellman.
Problema central – Confiançaqueachavepúblicaécorretaeque
realmentepertenceàpessoaouentidadequeafirmapossuí-laenãofoi
modificadaporintrusosmaliciosos.
IPSec – combinadiferentestecnologiasparaprovermaiorsegurança,
comoummecanismodetrocadechavesdeDiffie-Hellman;criptografia
dechavepúblicaparaassinaras trocasdechavedeDiffie-Hellman,
garantindo,assim,aidentidadedasduasparteseevitandoataquesdo
tipoman-in-the-middle(emqueoatacantesefazpassarpelaoutraparte
emcadaumdossentidosdacomunicação);algoritmosdeencriptação
paragrandesvolumesdedados,comooDES(DataEncryptionStandard);
algoritmosparacálculodehash(restodeumadivisão,detamanhofixo)
comutilizaçãodechaves,comoHMACcombinadocomosalgoritmos
dehash tradicionais,comooMD5ouSHAautenticandoospacotes
ecertificadosdigitaisassinadosporumaautoridadecertificadora,que
agemcomoidentidadesdigitais.
Comoconsideraçõesfinais,poderíamosrelacionarosdispositivos
(hardwareesoftware)quenosauxiliariamnaproteçãodenossasredes.
Alistadedispositivoséextensa.
CitamososswitchesRuggedCommeGarretCommeGatewaySEL,
queincluemtodatecnologiadesegurançadecriptografiaecertificados
digitais,IPSECnassubestações.