sexta-feira, 27 de maio de 2011

Stuxnet e seus estragos

Ainda na nossa serie de posts sobre o Stuxnet, gostaria de comentar e lançar uma discussão sobre o impacto desse malware.

Há algumas coisas que podem ser imediatamente apontadas como tendo impacto negativo, mas outras vieram por tabela e lançam aspectos obscuros no já tenebroso mundo cibernético que estamos vivendo.

O impacto real e mais aparente é, obviamente, o principal motivo pelo qual o malware foi escrito. Ele é uma arma cibernética de sabotagem. Ponto. Os estragos foram contabilizados e há vários gráficos e estudos por aí que mostram como foi impactante nas estruturas de diversos países, mas muito mais nas plantas atômicas iranianas. Alguns gráficos mostram perceptivelmente que o impacto no Irã foi mais do que o dobro do que o segundo mais afetado; em alguns aspectos, foi mais que três vezes pior, ou maior que a soma de todos os outros afetados.

Ok, mas que outros impactos nos trouxe o Stuxnet ?

Ele mudou o cenário de malware. Ao aplicar técnicas novas, rebuscadas e sincronizadas, ele pode ter lançado novas formas e métodos de ataque que em breve estarão disseminados e serão comuns nos malwares, e sem duvida essa nova situação vai requerer mais pesquisas e praticas investigativas diferenciadas. O mecanismo de injeção de código dele, por exemplo, é engenhoso e inovador.Ele também lançou nova onda nos conceitos de guerra cibernética.

Ate onde pude colher informações, nunca tinham usado malware com objetivos de sabotagem de infra-estrutura critica. Isso também com certeza vai cair no lugar comum e vai acontecer com mais freqüência. No ultimo Hackinthebox houve uma palestra indicando como malware pode causar danos físicos ao hardware do computador, fazendo com PCs o que o Stuxnet fez com as centrifugas. A bem da verdade, isso não é nada novo. No inicio dos anos 90, a onda era criar malware que danificava a trilha 0 do disco, detonando-o. Também me lembro de algumas rotinas em assembly cujo objetivo era danificar o monitor, colocando parâmetros incompatíveis nele. Isso tinha parado, mas tudo indica que pode voltar.

Apesar de tudo, o maior impacto indireto das ações do Stuxnet não está no que comentei acima, mas no fato de que algumas das dlls do seu código estavam assinadas com certificados validos. O driver mrxnet.sys, parte do Stuxnet atuando como um rootkit, estava assinado digitalmente com um certificado válido da Realtek. Outros arquivos possuíam a mesma assinatura digital. Em meados de 2010, outros arquivos identificados como parte do código do Stuxnet estavam assinados digitalmente por um certificado válido da empresa JMicron Technology Corp. Vale notar que, fisicamente, ambas estão próximas e isso pode indicar que os certificados foram roubados por alguém com acesso físico às dependências das duas empresas. O quanto essa situação vai trazer de desconfiança nos esquemas de assinatura digital não sabemos ainda. É fato que a validade de todo o processo reside no fato de a chave privada estar muito bem guardada, e não acredito que esse tenha sido o único caso de comprometimento até hoje registrado. A famosa propriedade da assinatura digital conhecida como não-repúdio, onde o emissor não pode negar a autoria do que foi assinado, pode sair arranhada desse caso. Assim como a alegação de insanidade virou moda nos processos americanos e, nos meios digitais, o malware defense ("não fui eu quem fez isso, foi um vírus"), essa pode ser a próxima tese de defesa em documentos assinados digitalmente ("está assinado mas não fui eu, minha chave privada deve ter sido comprometida").

Pronto, mais um problema para resolver. Não devemos esquecer que já está acontecendo no Brasil o projeto da nova carteira de identidade, que já virá com chip e certificado, permitindo o uso em assinaturas digitais. Ahhh, mas tem a revogação do certificado, você pode dizer.
É verdade. O código Stuxnet com assinatura da Realtek foi identificado em 25 de Janeiro de 2010. O certificado foi revogado em 20 de julho. Tire suas conclusões ...

Comentários ?

Até o próximo post !

4 comentários:

Giancarlo disse...

Bacana o post, Tony.

Realmente o Stuxnet veio pra jogar muita coisa mau-cheirosa no ventilador.

Realmente, quando eu achava que estávamos evoluindo nestas questões, exemplos como o Stuxnet me mostram que podemos até ter resolvido algumas coisas (como o uso de assinaturas digitais, por exemplo) mas também criamos outros problemas, como a falta de cuidado que deveremos ter com os certificados.

Agora, como você comentou no caso do Brasil, estamos em um país com grande participação em operações de compra e venda de computadores zumbis e, sinceramente, não vejo a população brasileira com o mínimo de educação digital para isso.

Então, imagine agora a "nave-mãe" do Stuxnet como uma versão distribuída mundialmente e que usará assinaturas digitais de pessoas físicas ou jurídicas descuidadas, causando grande desconfiança em todo esse sistema de assinaturas digitais.

Pode parecer exagero, mas quem imaginava que o Stuxnet chegaria nesse nível?

Só pra concluir, o seu comentário irônico sobre a revogação de certificados acertou na mosca.

Basta ver o caso da RSA que estourou esses dias: um funcionário recebeu e abriu uma planilha do Excel e hackers conseguiram invadir a rede interna da RSA e roubar centenas de chaves privadas relacionadas aos tokens SecurID de vários clientes.

Ontem já li a notícia de que uma dessas chaves pertence a uma empresa fornecedora de armas para o governo americano e que hackers tiveram acesso a documentos confidenciais através desse ataque.

Já escrevi demais. :)

[]s

Anchises disse...

Tony, parabéns pela série de artigos sobre o Stuxnet. Daria para escrever um livro com todos os detalhes dessa história.
Ele foi, sem dúvida nenhuma, um marco na história da segurança da informação. O Stuxnet mostra até que ponto um atacante bem preparado e bem financiado pode chegar para conseguir penetrar em um sistema e causar o estrago que desejar.
Desta vez foi uma usina de enriquecimento de urânio no Irã, amanhã pode ser qualquer outra empresa. (isso sem falarmos das diversas notícias de grandes empresas invadidas que sempre pipocam na mídia - com a diferença que o vetor de ataque nunca antes tinha sido tão analisado e polemizado).
Tenho lá minhas dúvidas se, diante de uma ameaça como essa, conseguiríamos realmente nos proteger.
De qualquer forma, controles de segurança e boas práticas existem para serem implementados, mas no mundo real, já vi muitos casos em que esses controles são deixados de lado para garantir o funcionamento dos sistemas. Afinal, muitos técnicos e executivos tem a visão míope de que o importante é ter tudo funcionando agora, e poucos tem a visão e a preocupação em ter os sistemas funcionando corretamente.

Tony Rodrigues disse...

Pois é, Giancarlo ! Vai virar moda. E a tal empresa está quietinha, ninguém fala nada ...

Tony Rodrigues disse...

Obrigado, Anchises !
Cara, eu infelizmente tenho visto disso direto. Executivos mais interessados em mostrar para Compliance que estão fazendo e Auditores pouco preparados ou sem tempo hábil para conseguir comprovar que só estão enganando. Isso é receita certa para um problemão, é só questão de tempo. O ruim é que, quando o problemão acontecer, a corda vai arrebentar do lado mais fraco e quem vai ficar com fama de incompetente será a área de InfoSec. Veja o caso da Sony ... Quem garante que a turma de lá, que poe a mão na massa, não alertou os executivos para os riscos e receberam como resposta um "Fulano, vc precisa ter mais visão do negócio ..."

[]s,

Tony