Off topic: Automação Industrial e Segurança

O co-autor deste blog me enviou um ótimo link sobre o infame Stuxnet. Junto a este, já havia visto sobre o assunto aqui e aqui, indicados por ex-colegas de trabalho.

Li e decidi comentar . O comentário, pode ser lido abaixo, pois não consegui incluir na lista de comentários do link indicado acima.

Existe uma lenda sobre um dono de bicicleta que por excesso de segurança, utilizava uns vinte cadeados para protegê-la.

Certo dia um “hacker” esperto decidiu roubá-la. Aproveitou um momento de distração do zeloso dono e colocou mais um cadeado junto dos outros vinte.

O dono, ao chegar e após abrir os vinte cadeados notou que havia um cadeado que não possuia a chave, afinal eram tantos que ele deduziu ter esquecido uma delas. Não quis trancar novamente vinte cadeados antes de voltar em casa para pegar a suposta chave esquecida. Aproveitando deste momento singular, o “hacker” destrancou o que ele havia adicionado e levou a bicicleta.

As pessoas depois de um certo tempo, acabam se acostumando com as “altas proteções” referenciadas e requisitadas pelos respectivos departamentos de marketing e acabam se esquecendo que, se tirarmos todos os programas, o equipamento restante é uma pastilha de sílicio dotada de capacidade de chaveamento automático de circuitos elétricos.

Software “não existe”, é apenas planejamento aplicado.

Não entender isto é um erro muito comum entre usuários nascidos na geração-janelas, que atribuo ao alto teor de abstração promovido por mímicas de sistemas “desenhados” como “pastas”, “áreas de segurança”, “senhas”, “ponteiro de mouse”, etc.

Eliminando esta “capa”, um “PLC” possui seu sistema operacional dedicado e não possui (ainda) softwares detetores de rootkits ou scanners real-time, pois pesaria bastante no seu tempo de resposta, a exemplo do que fazem com os desktops, esbanjando preciosos ciclos de máquinas, desperdiçados para corrigir falhas de segurança neste amontoado de “gambiarras” ocultas sob janelas coloridas.

As avaliações de segurança, quando são feitas, ocorrem nas estações de trabalho antes do “download” e a infecção se dá ali, na deficiência natural (defective by design) de um sistema operacional “fraco por natureza”, sendo a sua maior fraqueza justamente ser fechado.

As “backdoors” sempre existirão, sejam físicas ou “abstratas” e os portadores destes “malwares“, serão sempre os sistemas FECHADOS, pois ninguém em sã consciência pode ou consegue facilmente “disassemblar” um sistema operacioanal para ver se ele está portando código indesejável e, mesmo se o fizer, incorrerá em crime, pois engenharia reversa é contra as normas ditadas pelas EULAs da vida.

Resta então confiar nos fabricantes ou fornecedores de “anti-vírus” e na sua capacidade de detectar erros em tempo hábil – o que nem sempre é possível – devido a complexidade e limitação de recursos. Por “maior do mundo” que uma empresa seja, há limites reais de quem pode e não pode ver o código do sistema e nem sempre quem deveria ver, vê. Ou, no pior caso, quem já viu pode deixar de poder ver e se tornar um “cracker” a qualquer tempo.

Basta observar como as redes e sites fechados são invadidos e sabotados com frequência.

Leve isto para um ambiente de missão crítica e verá que os usuários de ambientes-janela são, cada vez mais,  os que os manipulam, descuidadamente, como se fossem seus desktops, induzidos pela mímica maléfica das janelas, mouses e figurinhas que os “modernos desktops” os condicionaram.

Também há a pirataria e trabalho sério andando juntos nestes ambientes. Vamos ser sinceros… Quem compra, ou tem dinheiro, para software AutoCAD, Rockwell, Siemens, DeltaV, GE, Yokogawa? Quem tem ou gasta dinheiro com “hot stand-by“, “fieldbuses“, “Open”Processes, wireless, testes com “OPC“?

Os integradores e prestadores de serviços contratados a “preços módicos”? Com toda esta carga tributária?

Bem, ficam abertas as perguntas, aguardando respostas honestas!

Enquanto isto vamos assistindo a explosões de reatores, vazamentos de cloro, vazamentos de petróleo no mar, quedas de aviões…

O Stuxnet? Ahhh! Mais um “mero probleminha” a ser tratado com um ou dois memorandos e políticas de HAZOP!!!

Anúncios

Deixe um comentário

Faça o login usando um destes métodos para comentar:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s