O Stuxnet, como foi veiculado e também comentamos ao longo dos posts, causou uma serie de estragos. Observando a linha do tempo de atuação dele, podemos perceber algumas coisas críticas envolvendo o processo de infecção dele:
- Os 0-day exploits usados;
- Os exploits que já possuíam correções;
- A senha hardcoded no WinCC/Step7;
Enquanto ter uma máquina explorada por um exploits cuja vulnerabilidade já foi corrigida é falha da equipe da empresa explorada, que não atualizou a máquina devidamente, os outros dois casos tem conotação diferente.
Na questão da senha hardcoded, não tenho a menor dúvida de que isso vai contra todas as boas práticas de segurança. Não importa quais controles compensatórios estejam atuando, existem inúmeros esquemas de segurança para evitar o hardcoded, que torna rapidamente o elo mais fraco e o primeiro a ser atacado. Que o diga o Stuxnet. Isso dito, e considerando que InfoSec nao deveria ser novidade para nenhuma empresa de porte da Siemens, minha pergunta é se caberia ação de reparação contra a Siemens, por danos causados pelo Stuxnet, considerando negligência a questão do hardcode da senha.
A parte do 0-day requer uma analise sob um outro ponto. A principal técnica de propagação, baseada em arquivos .lnk craftados, era um 0-day que tinha sido usado anteriormente. Há registros sobre o uso dessa mesma técnica em novembro de 2008, com uma variante do Trojan.Zlob. Ou seja, a técnica era já conhecida "in the wild" por 2 anos !!! O outro 0-day, explorando uma vulnerabilidade do Printer Spooler, foi comentado na edição de abril de 2009 da revista Hakin9 ! Nos dois casos, o fabricante do SO pode ter deixado os usuários na mão por muito tempo, e isso implicou a viabilidade da infecção das máquinas controladoras do PLC, e com isso, os $$$$ de prejuízo. Dai vem a pergunta número 2: caberia reparação contra o fabricante de SO, considerando negligência por não ter consertado em tempo razoável falhas graves divulgadas publicamente ?
Doutores e não doutores, comentem !
Até o próximo post !
8 comentários:
Alô Tony! Tudo beleza? Em princípio, acredito ser possível aplicar à espécie o regime da responsabilidade civil OBJETIVA (sem culpa), com fulcro no art. 927, §único do Código Civil de 2002, haja vista ter havido a conduta (no caso, omissão da Siemens), o efetivo dano (causado pelo malware) e o nexo de causalidade entre estes (ou seja, em função da omissão da firma, o Stuxnet provocou os danos que você expôs nos seus artigos). Abraço, Danilo.
Obrigado, Danilo !
Olá Tony.
Se, por um acaso, a Microsoft fosse responsabilizada, isso daria motivo para que todas as empresas invadidas por este motivo também a processassem.
Gostaria de estar vivo pra ver isso!! :)
t+
Saudações Tony, sou um admirador seu e leio seu blog.
O que me traz aqui hoje é um assunto chamado HELIX hehe.
Bom, pretendo comprar o Helix, mais quando fiz o checkout eles mandaram uma mensagem de que não enviam para o Brasil. Quero saber de si se possui o Helix, tem como me auxiliar me cedendo essa nova versão se tiveres claro. Ou então me indicar uma solução por favor.
Outra ajuda que pretendo é se me podesses arranjar o manual também, agradeço. Aguinado Cristiano aguinaldogc@hotmail.com
Saudações Tony, sou um admirador seu e leio seu blog.
O que me traz aqui hoje é um assunto chamado HELIX hehe.
Bom, pretendo comprar o Helix, mais quando fiz o checkout eles mandaram uma mensagem de que não enviam para o Brasil. Quero saber de si se possui o Helix, tem como me auxiliar me cedendo essa nova versão se tiveres claro. Ou então me indicar uma solução por favor.
Outra ajuda que pretendo é se me podesses arranjar o manual também, agradeço. Aguinado Cristiano aguinaldogc@hotmail.com
Saudações Tony, sou um admirador seu e leio seu blog.
O que me traz aqui hoje é um assunto chamado HELIX hehe.
Bom, pretendo comprar o Helix, mais quando fiz o checkout eles mandaram uma mensagem de que não enviam para o Brasil. Quero saber de si se possui o Helix, tem como me auxiliar me cedendo essa nova versão se tiveres claro. Ou então me indicar uma solução por favor.
Outra ajuda que pretendo é se me podesses arranjar o manual também, agradeço. Aguinado Cristiano aguinaldogc@hotmail.com
Aguinaldo,
Eu não compraria o Helix. Eles não estão com boa fama nem estão fazendo atualizações do sw; pelo menos é o que dizem.
Sugiro poupar seu dinheiro e buscar o CAINE, o DEFT e o OSForensics. Todos 0800 (o OSForensics é beta, por enquanto é de graça).
[]s,
Tony
Valeu Tony muito Obrigada pela dica. Vou seguir seu conselho.
Postar um comentário