O futuro depois da Stuxnet Worm

Epah, este título soa lindamente, não soa? Quando falamos no futuro, quando estabelecemos o antes e o depois de um acontecimento importante – sim, algo designado por Stuxnet Worm tem que ser, com toda a certeza, alguma coisa importante! – quando alguém nos alerta para eventuais condições por causa de uma cousa tão nobre, ou tão levada do diabo, os instintos mais básicos sobrepõem-se e não conseguimos resistir ao apelo: temos que continuar a ler até ao final da sequência. Sim, e é por isso que estão aqui agora, neste momento, à procura da resposta que vai deslindar o incerto e acalmar o lagarto1 : )

Agora mais a sério, e sem pretensiosismo literário, a Stuxnet Worm é, para quem ainda não sabe, a última maravilha da técnica de código malicioso. Uma worm, uma bicheza virulenta com uma capacidade de penetração invulgar, que tem sido considerada a peça de engenharia mais bem concebida até hoje, na classe dos aríetes sem corpo.

A história completa quase desde a nascença, encontram-na na Computer World: está no éter sob o título Is Stuxnet the best malware ever? O resumo, os pontos que considero mais importantes, seguem nestas linhas mais abaixo:

  1. A worm inclui quatro – quatro! – vectores de ataque a vulnerabilidades no Windows desconhecidas (leia-se, que ainda ninguém conhecia, e para as quais, por consequência, ainda não tinham sido produzidas quaisquer actualizações);
  2. A técnica de entrada numa rede corporativa passa pela infecção via discos e canetas USB (admitindo que não era penetrada directamente via Internet, um canal pouco provável com esta worm);
  3. Para além do código dirigido aos sistemas Windows, o programa inclui uma componente para assumir o controlo de sistemas SCADA2 da Siemens, através da utilização de passwords definidas por omissão. O controlo destes sistemas abre a porta à reprogramação de PLCs3, equipamentos responsáveis, por exemplo, pelo controlo de elementos físicos de unidades fabris; e
  4. A sofisticação da Stuxnet Worm sugere que, aparentemente, os recursos necessários para a sua concepção incluíram uma equipa multidisciplinar com recursos muito especializados, e que a componente dirigida aos sistemas SCADA visava uma (ou mais) organizações bem identificadas. Esta composição exige, necessariamente, um financiamento elevado que, alguns arriscam, só está ao alcance de agências governamentais. A suportar esta tese, acresce ainda o facto de 60% das infecções detectadas terem sido localizadas, curiosamente, no Irão...

De que forma, então, é que o futuro vai ser afectado por esta coisa? A resposta mais curta, que reflecte exclusivamente a minha opinião, é... não vai. Ou, melhor, o futuro de algumas organizações até pode vir a ser comprometido mas, de uma perspectiva pessimista sobre o efeito psicológico destas acções, não creio que sejam adoptadas, no curto prazo (nem no médio, já agora) quaisquer medidas adicionais para reforçar as defesas contra estas ameaças. Portanto, não vai ser afectado. There.

Mas... suponhamos que, por alguma ventura, e numa visão mais optimista da realidade, algumas organizações e direcções de IT ficavam mais receosas e que, com o objectivo de mitigar este risco, pretendiam actuar desde já. Como é que podem defender-se de canetas USB marinadas, exploits zero-day, e ataques aos PLCs?

(Continua... amanhã, porque já deu o Vitinho e 'tá na hora de seguir : ) ...)

1 The Lizard Brain, aquela parte do cérebro responsável pela avaliação do risco e pelo definhar da coragem. Mais coisa, menos coisa, bem entendido.
2 Supervisory Control and Data Acquisition. Um sistema de supervisão e controlo industrial.
3 Programmable Logic Controller. Um autómato, controlador de processos industriais, e.g. linhas de montagem e sistemas automatizados.