El experto en seguridad Robert Graham declaró que los apagones de 2005 y 2007 fueron causados por los piratas informáticos, pero advirtió que los atacantes podrían, sí, provocar apagones - y sin mucha dificultad, debido a que las propias compañías energéticas no saben de los problemas en la red equipo s. Estas supuestas agresiones fueron dados a conocer por la red de televisión de EE.UU. CBS en "60 Minutes" a principios de este mes.
La oficina de estadísticas confirmaron el lunes por la tarde (16) que sufrió su red corporativa hackeado la noche del jueves. Sin embargo, descartó que el apagón que afectó a 18 estados el martes (10) fue causado por la piratería informática. La oficina de estadísticas cita el Ministerio de Minas y Energía, la cual confirmó que el apagón fue causado por un cortocircuito .
Robert Graham, escuchado por el G1, es fundador y CEO de la empresa de seguridad Errata Security. Especialista en análisis de seguridad, que realiza las pruebas de penetración (pen-test), una especie de "hacking", autorizado por las empresas para verificar la seguridad de la propia red. Graham tiene una amplia experiencia en el sector eléctrico y, en 2006, dio una conferencia sobre el tema en la conferencia de seguridad Sombrero Negro, uno de los más importantes en el mundo, como parte del equipo de investigación X-Force de Internet Security Systems (ISS), que ahora forma parte de la el gigante IBM.
Lucha
En respuesta a lo dicho por "60 Minutes", Graham escribió en su blog : "como un bolígrafo-tester, sé que [de América del Norte de la red eléctrica] es inseguro. Yo evaluación de la seguridad de las compañías energéticas. Sé que puedo hackear los apagones de Internet y de la causa. "
A pesar de la vulnerabilidad , Robert Graham no cree que los apagones fueron causados por los piratas informáticos. Para fundamentar la afirmación de que Brasil habría sido atacado, "60 minutos" hace referencia a los oficiales de inteligencia y el ejército de los Estados Unidos. Estas fuentes, anónimas, no convence a los expertos.
"He tenido muchas experiencias con agencias de inteligencia estadounidenses. Ellos tienden a distorsionar cualquier rumor relacionado con los piratas, tiene una paranoia extrema y fácilmente será considerado como "hecho" cosas para las que existe poca o ninguna evidencia ", dice Graham. "En otras áreas que hacen un buen trabajo hecho diferencial y la ficción, pero parece que todo lo que implica la piratería asusta a ellos."
El especialista no cree que la falta de redes eléctricas es un gran problema. "Hay un riesgo. Los piratas informáticos el tiempo puede causar un gran apagón. En el gran esquema de cosas, sin embargo, no es tan importante. Los apagones causados por errores accidentales siempre será una amenaza mayor. Los países miembros que explotan las líneas de transmisión, la bomba, siempre será una amenaza mayor. Reguladora pobres siempre será una amenaza más grande ", escribió en su blog.
Graham cree que la historia de los "60 minutos" es sólo "propaganda" para vender la idea de que el sistema eléctrico requiere más intervención del gobierno para aumentar su seguridad - que, según dijo, no va a resolver el problema.
Vulnerabilidad
Foto: Reproducción
Ejemplo de la interfaz gráfica de un sistema SCADA. (Foto: Reproducción)
En una entrevista con el G1, el especialista dijo que no creía que los ataques contra el sistema eléctrico a suceder. Y dice que no tiene idea de por qué esto no sucede. "Yo hago muchas pruebas, y, a veces estoy muy sorprendido de que mi cliente no ha sido hackeado", dice. Al igual que otros servicios básicos como agua y gas, la electricidad abastamento es monitoreado y controlado por los sistemas conocidos como SCADA (Supervisory Control and Data Acquisition o "Sistemas de Control y Adquisición de Datos").
Para las empresas, el sistema SCADA siempre está aislado de la Internet u otras redes, lo que impediría los ataques externos. En la experiencia de los especialistas, este no es el caso.
Aunque la experiencia de Graham es en los Estados Unidos, no hay ninguna razón para creer que la situación es muy diferente en Brasil - incluyendo algunos de los sistemas de control utilizado allí también se utilizan aquí. El discurso pronunciado por un experto en el Sombrero Negro cuenta de varios casos donde el cliente - en este caso, una empresa de energía - dijo que estaba a salvo porque la red SCADA fue aislado. Graham demostró lo contrario, a menudo un simple abierta Acceso a la red inalámbrica y sistemas de búsqueda de que hicieron el puente entre las redes.
En un caso, el equipo que conectado al sistema de control de la red puede ser comprometida con una brecha de diez años. El equipo nunca se ha actualizado.
Esto se debe a las características de un sistema SCADA es que al ser parte de la infraestructura crítica, rara vez se actualiza. "Así que usted puede ver todo tipo de equipamiento informático desconocido, que se instaló hace 20 años y se mudó, nunca ", dice el experto. Dijo que los sistemas de control que los ordenadores que ejecutan Windows 95 son "comunes".
A veces se utilizan equipos específicos para la tarea. Son incluso más inseguros que las computadoras tradicionales, pero el hecho de que son difíciles los ataques personalizados. Por desgracia, el hacker puede obtener información sobre la red propia de la empresa.
"En teoría, el hacker tendría que dentro de los conocimientos. En la práctica, los manuales están en Internet y se puede comprar equipos baratos descartados en eBay. En nuestra experiencia, la información es necesaria en los equipos de la red corporativa. Luego, una vez que llegamos allí, tenemos toda la información para introducirse en la red de control ", dice el experto.
La creencia de que se trata de sistemas aislados, también se les lleva a utilizar una autenticación débil o nula. El reto está prevista la llegada de la red de control, ya que el sistema en sí mismo no es seguro.
Otra idea falsa, Graham advierte, es que los criminales no pueden obtener información acerca de SCADA. De hecho, los proveedores de esta tecnología ofrecen diversos datos sobre ellos en Internet. Además, los materiales de marketing con "historias de éxito" revelar lo que el sistema es utilizado por algunos proveedores de energía. Este documento público de la General Electric, por ejemplo, revela que la estatal Compañía Hidroeléctrica de São Francisco (CHESF) hace uso de un producto de monitorización de llamada relé universal .
