domingo, 29 de maio de 2011

O Stuxnet e a responsabilidade civil

Neste que é o ultimo(?) post da série Stuxnet, quero colocar algumas indagações e duvidas de ordem jurídica. Sei que alguns leitores militam no Direito e poderão contribuir.

O Stuxnet, como foi veiculado e também comentamos ao longo dos posts, causou uma serie de estragos. Observando a linha do tempo de atuação dele, podemos perceber algumas coisas críticas envolvendo o processo de infecção dele:

- Os 0-day exploits usados;
- Os exploits que já possuíam correções;
- A senha hardcoded no WinCC/Step7;

Enquanto ter uma máquina explorada por um exploits cuja vulnerabilidade já foi corrigida é falha da equipe da empresa explorada, que não atualizou a máquina devidamente, os outros dois casos tem conotação diferente.

Na questão da senha hardcoded, não tenho a menor dúvida de que isso vai contra todas as boas práticas de segurança. Não importa quais controles compensatórios estejam atuando, existem inúmeros esquemas de segurança para evitar o hardcoded, que torna rapidamente o elo mais fraco e o primeiro a ser atacado. Que o diga o Stuxnet. Isso dito, e considerando que InfoSec nao deveria ser novidade para nenhuma empresa de porte da Siemens, minha pergunta é se caberia ação de reparação contra a Siemens, por danos causados pelo Stuxnet, considerando negligência a questão do hardcode da senha.

A parte do 0-day requer uma analise sob um outro ponto. A principal técnica de propagação, baseada em arquivos .lnk craftados, era um 0-day que tinha sido usado anteriormente. Há registros sobre o uso dessa mesma técnica em novembro de 2008, com uma variante do Trojan.Zlob. Ou seja, a técnica era já conhecida "in the wild" por 2 anos !!! O outro 0-day, explorando uma vulnerabilidade do Printer Spooler, foi comentado na edição de abril de 2009 da revista Hakin9 ! Nos dois casos, o fabricante do SO pode ter deixado os usuários na mão por muito tempo, e isso implicou a viabilidade da infecção das máquinas controladoras do PLC, e com isso, os $$$$ de prejuízo. Dai vem a pergunta número 2: caberia reparação contra o fabricante de SO, considerando negligência por não ter consertado em tempo razoável falhas graves divulgadas publicamente ?

Doutores e não doutores, comentem !

Até o próximo post !

8 comentários:

danpos disse...

Alô Tony! Tudo beleza? Em princípio, acredito ser possível aplicar à espécie o regime da responsabilidade civil OBJETIVA (sem culpa), com fulcro no art. 927, §único do Código Civil de 2002, haja vista ter havido a conduta (no caso, omissão da Siemens), o efetivo dano (causado pelo malware) e o nexo de causalidade entre estes (ou seja, em função da omissão da firma, o Stuxnet provocou os danos que você expôs nos seus artigos). Abraço, Danilo.

Tony Rodrigues disse...

Obrigado, Danilo !

Giancarlo disse...

Olá Tony.

Se, por um acaso, a Microsoft fosse responsabilizada, isso daria motivo para que todas as empresas invadidas por este motivo também a processassem.

Gostaria de estar vivo pra ver isso!! :)

t+

Bem Vindo ao Meu Mundo disse...

Saudações Tony, sou um admirador seu e leio seu blog.
O que me traz aqui hoje é um assunto chamado HELIX hehe.
Bom, pretendo comprar o Helix, mais quando fiz o checkout eles mandaram uma mensagem de que não enviam para o Brasil. Quero saber de si se possui o Helix, tem como me auxiliar me cedendo essa nova versão se tiveres claro. Ou então me indicar uma solução por favor.
Outra ajuda que pretendo é se me podesses arranjar o manual também, agradeço. Aguinado Cristiano aguinaldogc@hotmail.com

Bem Vindo ao Meu Mundo disse...

Saudações Tony, sou um admirador seu e leio seu blog.
O que me traz aqui hoje é um assunto chamado HELIX hehe.
Bom, pretendo comprar o Helix, mais quando fiz o checkout eles mandaram uma mensagem de que não enviam para o Brasil. Quero saber de si se possui o Helix, tem como me auxiliar me cedendo essa nova versão se tiveres claro. Ou então me indicar uma solução por favor.
Outra ajuda que pretendo é se me podesses arranjar o manual também, agradeço. Aguinado Cristiano aguinaldogc@hotmail.com

Bem Vindo ao Meu Mundo disse...

Saudações Tony, sou um admirador seu e leio seu blog.
O que me traz aqui hoje é um assunto chamado HELIX hehe.
Bom, pretendo comprar o Helix, mais quando fiz o checkout eles mandaram uma mensagem de que não enviam para o Brasil. Quero saber de si se possui o Helix, tem como me auxiliar me cedendo essa nova versão se tiveres claro. Ou então me indicar uma solução por favor.
Outra ajuda que pretendo é se me podesses arranjar o manual também, agradeço. Aguinado Cristiano aguinaldogc@hotmail.com

Tony Rodrigues disse...

Aguinaldo,

Eu não compraria o Helix. Eles não estão com boa fama nem estão fazendo atualizações do sw; pelo menos é o que dizem.

Sugiro poupar seu dinheiro e buscar o CAINE, o DEFT e o OSForensics. Todos 0800 (o OSForensics é beta, por enquanto é de graça).

[]s,

Tony

Bem Vindo ao Meu Mundo disse...

Valeu Tony muito Obrigada pela dica. Vou seguir seu conselho.