Sicherheitsexperte Robert Graham entschieden, dass die Blackouts von 2005 und 2007 von Hackern verursacht wurden, warnte aber, dass Angreifer, yeah, Stromausfälle verursachen - und ohne große Schwierigkeiten, weil die Energiekonzerne sich nicht von den Problemen wissen, in Ihrem Netzwerk Computer- s. Diese angeblichen Angriffe wurden durch das Netz der US-Fernsehsender CBS auf "60 Minutes" Anfang des Monats bekannt gegeben.
Die ONS am Montag Nachmittag bestätigt (16), die ihre Corporate Network gehackt erlitt am späten Donnerstag. Allerdings entschied der Gerichtshof, dass der Blackout, der 18 Staaten am Dienstag (10) traf von Computer-Hacking verursacht wurde. Die ONS zitiert das Ministerium für Bergbau und Energie, die bekräftigt, dass der Stromausfall durch Kurzschluss verursacht wurde .
Robert Graham, von der G1 gehört, ist Gründer und Geschäftsführer der Sicherheitsfirma Errata Security. Der Spezialist für Sicherheits-Analyse, führt es Penetration Testing (Pen-Tests), eine Art von "Hacking" von den Unternehmen berechtigt, die Sicherheit des Netzes selbst zu überprüfen. Graham hat umfangreiche Erfahrung in der Stromwirtschaft und im Jahr 2006, referierte über das Thema in der Sicherheitskonferenz Black Hat, einer der bedeutendsten in der Welt, als Teil des Forschungsteams X-Force bei Internet Security Systems (ISS), jetzt Teil von Riesen IBM.
Bestreitung
Als Reaktion auf das, was durch die "60 Minutes", Graham schrieb in seinem Blog : "wie ein Stift-Tester, ich weiß, dass [das nordamerikanische Stromnetz] unsicher ist. Ich Sicherheitsbewertung von Energieunternehmen. Ich weiß, ich kann das Internet und verursachen Stromausfälle zu hacken. "
Trotz der Schwachstelle , hat Robert Graham nicht glauben, dass Stromausfälle durch Hacker verursacht wurden. Um die Behauptung, dass Brasilien angegriffen worden zu untermauern, "60 Minutes" Geheimdienstler und die Armee in den Vereinigten Staaten verwiesen wird. Diese Quellen, anonym, nicht die Experten zu überzeugen.
"Ich habe viele Erfahrungen mit US-Geheimdiensten hatte. Sie neigen dazu, jedes Gerücht im Zusammenhang mit Hackern zu verfälschen, haben eine extreme Paranoia und wird leicht als "Tatsache" Dinge, für die es wenig oder gar keine Beweise in Betracht gezogen werden ", sagt Graham. "In anderen Bereichen, die sie machen einen guten Job der Unterscheidung von Fakt und Fiktion, aber es scheint wie alles, was Hacking erschreckt sie geht."
Der Spezialist glaubt nicht, dass das Fehlen von elektrischen Netzwerken ein großes Problem ist. "Es besteht ein Risiko. Hacker werden schließlich dazu führen, einen großen Blackout. Im großen Plan der Dinge ist aber nicht so wichtig. Blackouts durch zufällige Fehler verursacht wird immer eine größere Bedrohung sein. Mitgliedsnationen explodierenden Übertragungsleitungen, Pumpe, immer wird eine größere Bedrohung sein. Regulatory arm wird immer eine größere Bedrohung sein ", schrieb er in seinem Blog.
Graham glaubt, dass die Geschichte von den "60 Minutes" ist nur "Propaganda", um die Idee, dass das elektrische System mehr staatliche Eingriffe erfordert, um ihre Sicherheit zu erhöhen verkaufen - die, wie er sagte, nicht lösen das Problem.
Verwundbarkeit
Foto: Die Reproduktion
Beispiel für die grafische Benutzeroberfläche eines SCADA-Systems. (Foto: Reproduktion)
In einem Interview mit G1, sagte der Spezialist er glaube nicht, dass Angriffe auf das elektrische System passieren. Und sagt, er habe keine Ahnung, warum es nicht passiert. "Ich mache viele Tests, und manchmal bin ich sehr überrascht, dass mein Mandant nicht gehackt wurde", sagt er. Wie andere grundlegende Dienstleistungen wie Wasser und Gas wird Strom abastamento überwacht und gesteuert von Systemen wie SCADA (Supervisory Control and Data Acquisition oder "Systems Monitoring and Data Acquisition") bekannt.
Für Unternehmen wird das SCADA immer aus dem Internet oder anderen Netzwerken, die Angriffe von außen verhindern würden isoliert. In der Erfahrung der Spezialisten, ist dies nicht der Fall.
Obwohl die Erfahrung von Graham ist in den Vereinigten Staaten, gibt es keinen Grund zu glauben, dass die Situation ganz anders in Brasilien ist - darunter einige der Steuersystemen verwendet gibt es auch hier verwendet. Die Rede von einem Experten gemacht auf Black-Hat- Konto von mehreren Fällen, in denen der Kunde - in diesem Fall, ein Energie-Unternehmen - sagte, er sei sicher, weil das SCADA-Netzwerk isoliert. Graham bewiesen das Gegenteil, oft einen einfachen Zugriff auf offene Wireless-Netzwerk, und die Suche nach Systemen, die die Brücke zwischen den Netzen.
In einem Fall, kann der Computer, die den Netzwerk Steuerung verbunden mit einem Abstand von zehn Jahren beeinträchtigt werden. Der Computer wurde nie aktualisiert.
Dies liegt daran, die Eigenschaften eines SCADA-Systems ist, dass durch die Teil der kritischen Infrastruktur, aber nur selten aktualisiert werden. "So können Sie alle Arten von Geräten siehe Computer Fremden, der wurde vor 20 Jahren installiert und nie bewegt ", sagt der Experte. Er sagte, die Systeme, die steuern Computer unter Windows 95 "gemeinsame" sind.
Manchmal werden spezielle Geräte für die Aufgabe eingesetzt. Sie sind noch unsicherer als herkömmliche Computer, sondern die Tatsache, dass sie schwer benutzerdefinierte Angriffe sind. Leider kann der Hacker bekommen Informationen über das eigene Netzwerk.
"In der Theorie würde der Hacker Insider-Wissen benötigen. In der Praxis sind die Handbücher im Internet und gibt es günstige gebrauchte Geräte, die auf eBay zu kaufen. Nach unserer Erfahrung werden die Informationen auf den Computern im Unternehmensnetzwerk benötigt werden. Dann, wenn wir dort ankamen, haben wir alle Informationen, um in das Control-Netzwerk zu hacken ", sagt der Experte.
Der Glaube, dass diese isolierten Systeme sind auch führt sie dazu, eine schwache oder null-Authentifizierung verwenden. Die Herausforderung ist darauf zurückzuführen, in der Control-Netzwerk zu gelangen, da das System selbst ist nicht sicher.
Ein weiterer Irrtum, warnt Graham, ist, dass Kriminelle nicht erhalten kann Informationen über SCADA. In der Tat bieten die Anbieter solcher Technologien verschiedene Daten über sie im Internet. Darüber hinaus Marketing-Materialien mit "Erfolgsgeschichten" verraten, was das von rund Lieferanten von Energie verwendet wird. Dieses öffentliche Dokument der General Electric zum Beispiel zeigt, dass der Staat Wasserkraftwerk Company of São Francisco (CHESF) Einsatz eines Monitoring-Produkt mit dem Namen macht Universal-Relais .
