Monthly Archives: novembro 2011

Convenção sobre o Cybercrime será discutida esta semana, apesar de controvérsias em todo o mundo.

European Council

European Council

Delegados de todo o mundo estarão reunidos na França nesta semana para discutir o único tratado internacional que lida com crimes cibernéticos, tratado este que sofreu sob o fogo cerrado de alguns países, mas que foi defendido por outros como um instrumento fundamental no combate ao crime eletrônico.
Na próxima quarta-feira ocorrerá o 10º aniversário da Convenção sobre o Cibercrime, também conhecida como Convenção de Budapeste.
O tratado, que foi aberto para assinaturas em Novembro de 2001, estabelece diretrizes para leis e procedimentos que deveriam lidar com a criminalidade na Internet.
O tratado criou uma base para a criação de leis em todo o mundo, exigindo que os países que aderissem ao mesmo tratassem de forma uniforme o cibercrime, além de obrigar a criação de redes de contatos entre forças policiais que estivessem disponíveis 24 horas por dia/sete dias por semana.
A Convenção é supervisionada pelo Conselho da Europa, uma organização fundada em 1949, que também supervisiona a Convenção Europeia dos Direitos Humanos.
Países integrantes do Conselho da Europa podem assinar o tratado e, uma vez que a sua legislação nacional esteja em conformidade com o mesmo, podem ratificá-lo.
Países de fora do conselho são convidados a aderir ao tratado.
Até agora 32 países ou ratificaram ou aderiram e outros 15 países assinaram o tratado mas não o ratificaram, justamente o caso do Brasil.
Outros oito países foram convidados a aderir.
O ritmo nos últimos 10 anos tem sido lento, mas não inédito para um tratado internacional.
Alguns países como a Rússia não assinaram o tratado, sendo que suas autoridades expressaram preocupação sobre suas disposições ao alegar que violaria as normas do direito internacional e a soberania das nações.
Rússia, junto com China, Tadjiquistão e Uzbequistão enviaram uma carta em setembro à ONU pedindo uma resolução sobre um código de conduta no ciberespaço, o que poderia incluir disposições destinadas a interromper o uso da Internet por terroristas.
Muitos países, dentre os quais os Estados Unidos, viram a proposta russa com desconfiança, acreditando que poderia ser motivada por uma intenção de criar um instrumento legal que poderia ser invocado para reprimir injustamente dissidentes que utilizassem a internet.
As intenções expressas na proposta da Rússia, no entanto, não estão necessariamente em desacordo com a Convenção de Budapeste, segundo afirmou Alexander Seger, chefe de proteção de dados e da divisão de cibercrime do Conselho da Europa.
A Convenção de Budapeste concentra-se no crime, não no que chamou de “cyber questões” entre Estados-nações no que diz respeito à segurança nacional, motivo pelo qual talvez seja necessário negociar um código de conduta.
Provavelmente seria quase impossível se negociar um tratado, como a Convenção de Budapeste hoje porque as negociações seriam muito difíceis, alegou Seger, que ainda acrescentou que a convenção é uma das melhores ferramentas disponíveis para enfrentar a ameaça de cibercriminalidade.
O tratado tem sido essencial para que sejam estabelecidas regras básicas uniformes para lidar com crimes cibernéticos, os quais quase sempre envolvem criminosos de outros países, alertou Pedro Verdelho, um promotor que investigou o cibercrime por 11 anos e ensinou criminalidade informática e direito penal no Centro de Estudos Judiciários em Lisboa.
Segundo Verdelho, se você não tem os instrumentos legais, não pode cooperar.
A maioria dos incidentes relacionados à cibercrimes na Austrália são quase todos originários de ataques de fora daquele país, alertou Neil Gaughan, Comissário Assistente e Gerente nacional de operações de crimes de alta tecnologia para a Polícia Federal Australiana (AFP).
A “A.F.P.” troca informações quase que diariamente com forças policiais de fora da Austrália sobre questões ligadas à cibercriminalidade, motivo pelo qual entende que o tratado facilitou esta tarefa.
A Austrália espera aderir ao tratado logo depois que alterar sua legislação para que fique em conformidade com o tratado.
Para que seja possível a abertura de um processo relacionado à cybercrime num país, e necessário que a conduta incriminada naquela também seja crime em qualquer outro país que esteja envolvido nas apurações, justamente um dos objetivos da convenção.
O tratado também determina que tipo de procedimentos de investigações são permitidas, tais como interceptação de dados ou pesquisas em computadores.
A conferência deste ano sobre o tratado, que vai até terça-feira da próxima semana em Estrasburgo, terá a participação de Howard Schmidt, Coordenador de Cibersegurança dos Estados Unidos, James Brokenshire, Ministro de Assuntos Internos, Criminalidade e Segurança do Reino Unido e Robert McLelland, da Procuradoria Geral da Austrália.
Alexander Seger antecipou que o comitê da convenção do cibercrime deverá começar seus trabalhos discutindo sobre recomendações para a criação de regras mais claras sobre como dados podem ser acessados em “Data Centers”, ou seja, “computação em nuvem”.
Alexander Seger alertou que, atualmente, com a “computação em nuvem”, as agências de segurança ainda não sabem onde os dados estão efetivamente localizados, afirmando que as discussões poderiam girar em torno de questões a respeito de como as outras partes devem ser informadas e que tipo de prova eletrônica obtida será admissível nos tribunais.
Ainda segundo Seger, a comissão poderá, eventualmente, emitir recomendações não vinculativas, denominadas “Soft-law Instrument”, além de poder decidir acrescentar disposições sobre o próprio tratado como um protocolo, o que exigiria a ratificação pelas nações.
Por fim, Seger alertou que as conversações deverão demonstrar que os defensores da Convenção de Budapeste “não são estáticos”.

Fonte: Jeremy Kirk, IDG News Service

Nos bastidores do departamento de informática judiciária da Argóvia – Suiça

Conheça os bastidores do Departamento de Investigação Criminal do Cantão Suíço, instituição que criou o Serviço de Informática Judiciária, unidade especializada para atuar com a criminalidade praticada pela internet e os crimes relacionados ao uso da tecnologia.

Fonte: SF/swissinfo.ch

Estaremos participando do Security Leaders 2011!

Security Leaders 2011

Security Leaders 2011

Outra Concessionária de água nos Estados Unidos teria sido atingida por ataque hacker.

Tela de Sistema S.C.A.D.A. para controle de água.Imagens publicadas na internet sugerem que hackers podem ter ganho acesso não autorizado a computadores que controlam uma instalação de tratamento de água, segundo uma afirmação que suscita preocupações adicionais sobre a segurança da infraestrutura crítica dos Estados Unidos.
Cinco imagens de computador postadas na sexta-feira pretendem mostrar a interface de usuário usada para monitorar e controlar equipamentos no Departamento de Água e Esgoto da cidade de South Houston, Texas.
Elas foram postadas por alguém que se chamaria “pr0f” e seriam a resposta aos comentários feitos por um porta voz do Departamento de Segurança Interna dos Estados Unidos sobre um artigo que indicava que a infraestrutura crítica norte americana estava em risco ao relatar um ataque a uma concessionária de água.
Segundo o porta voz do Departamento de Segurança Interna dos Estados Unidos o citado ataque não era crível e não havia como corroborar os dados relacionados ao mesmo.
Em sua publicação “pr0f” afirma: “Eu não gosto, imensamente, como o DHS, tende a subestimar e o quão absolutamente FODIDO está o estado da infraestrutura nacional” arrematando ainda que “Eu também vi várias pessoas que duvidavam da possibilidade de que um ataque como esse poderia ser feito”.
“pr0f” passou a postar o que ele alega tratar-se da prova de que computadores conectados à Internet e que controlariam outros equipamentos industriais são facilmente acessíveis por pessoas não autorizadas.
As cinco fotos mostram o que parece ser a “I.H.M.” ou interface homem-máquina, controlando equipamentos altamente sensíveis utilizados pelo Departamento de Água e Esgotos de South Houston.
As fotos seriam de uma interface descrita como um aparelho para monitoramento e controle de plantas da cidade para tratamento de águas residuais, incluindo um gerador de energia e o que parecem ser “ventiladores”, que controlariam o fluxo de ar.
Nenhum órgão de imprensa foi incapaz de confirmar as alegações de que as imagens teriam sido obtidas através do acesso não autorizado do sistema.
Fato é que Autoridades municipais ainda teriam que confirmar ou negar as alegações de “pr0f”, sendo certo que nenhum representante do Departamento de Segurança Interna dos estados Unidos teria feito quaisquer comentários.
A possibilidade de que as capturas de tela dos sistemas de controle industrial da cidade foram feitas por funcionários autorizados para o treinamento ou outros fins e, posteriormente, obtido por “pr0f” é algo que não pode ser descartado.
A postagem vem um dia depois de Joe Weiss, um especialista na segurança de sistemas de controle, ter divulgado o conteúdo de um relatório de 10 de novembro do “Illinois Statewide Terrorism and Intelligence Center”.
Weiss teria alegado que invasores teriam destruído uma bomba de água pertencente a uma companhia regional, após terem acesso a sistemas de controle de supervisão e aquisição de dados que gerenciam as máquinas da concessionária.
Não há confirmação das informações apresentadas no relatório e o mesmo, segundo um porta-voz do “D.H.S.”, estaria sendo investigado por funcionários de sua agência e pelo F.B.I..
Enquanto os eventos ao longo dos últimos dois dias ainda não foram verificados, não há como negar que existe em todo o mundo uma grande quantidade de máquinas usadas em refinarias de gás, usinas e outras instalações industriais que são controladas por computadores, os quais estão conectados à internet.
Fato é que peças essenciais da infraestrutura de muitos países podem vir a ser tomados e sabotados por criminosos que venham a descobrir maneiras de contornar os controles de segurança.
Não se pode perder de vista que funcionários estão frequentemente conscientes deste tipo de risco, mas restrições financeiras e de ordem pessoal, muitas vezes podem superar essas preocupações.
Importante lembrarmos que no Brasil muitas pessoas que estão envolvidas com infraestrutura crítica recebem salários incompatíveis com suas tarefas e estão expostos a influências extremamente negativas.
Segundo Michael Assante, um especialista em segurança “S.C.A.D.A.” e presidente do “National Board of Information Security Examiners”, uma organização sem fins lucrativos focada no treinamento de segurança da força de trabalho, para pessoas com menos recursos disponíveis e orçamentos mais apertados, existem inúmeros sistemas de acesso remoto baseados na web.
Ter controles disponíveis através da internet significa que muitas agências governamentais sem muita verba em seu orçamento não terão que ter engenheiros “S.C.A.D.A.” dedicados em suas instalações, o que permitiria que elas pudessem usar a tecnologia para maximizar os recursos que teriam disponíveis.
Sistemas de Supervisão e Aquisição de Dados, ou abreviadamente SCADA (Supervisory Control and Data Aquisition) são sistemas que utilizam software para monitorar e supervisionar as variáveis e os dispositivos de sistemas de controle conectados através de drivers específicos.
De forma genérica, trata-se de um sistema de supervisão e um tipo de software que permite monitorar e controlar partes ou todo de um processo industrial.
Estes sistemas podem assumir topologia “mono-posto”, cliente-servidor ou múltiplos servidores-clientes. Atualmente tendem a libertar-se de protocolos de comunicação proprietários, como os dispositivos PACs (Controladores Programáveis para Automação), módulos de entradas/saídas remotas, controladores programáveis (CLPs), registradores, etc, para arquiteturas cliente-servidor OPC (OLE for Process Control).
A maioria das empresas no mundo inteiro que utilizam este tipo de sistema alega como principais vantagens para seu uso à qualidade obtida, redução dos custos operacionais, maior desempenho de produção, base para outros sistemas, o que traria grande vantagem competitiva em termos de mercado.
Fato é que no Brasil segurança de infraestrutura crítica tornou-se assunto extremamente nebuloso e na maioria das vezes nem mesmo representa a principal preocupação dos governantes, principalmente com relação a ataques externos.
Diversas concessionárias de água no Brasil utilizam sistemas de controle do tipo “S.C.A.D.A.”, exemplo disto é a Sabesp em São Paulo, a qual supervisiona e controla por intermédio de seu sistema integrado de abastecimento da Região Metropolitana de São Paulo operado por seu Centro de Controle Operacional (CCO), onde são monitoradas quatro mil variáveis de operação como: pressão, vazão, temperatura, níveis de reservatórios e a situação das estações elevatórias.
A Sabesp também faz uso de um sistema denominado “NetControl”, o qual lhe permite planejar e programar, automaticamente, a coleta de amostras, além de acionar um sistema de alarmes quando há resultados fora dos limites estabelecidos por várias regulamentações.
Outra forma de interação remota utilizada pela Sabesp em São Paulo é a “telemedição”, uma solução integrada para gestão do consumo de água que permite o controle e a tomada de ações remotas.
Sistemas como os utilizados pela Sabesp em São Paulo certamente modernizam todo o sistema de captação, tratamento e distribuição de água, mas expõe a necessidade de um maior controle de infraestrutura crítica, a fim de quer problemas como os verificados nos Estados Unidos possam evitados.
Fato é que se não aprendermos com os erros de outros países em dado instante seremos forçados a aprender com nossos próprios erros, o que certamente pode significar o sacrifício de uma boa parte de nossa população.

Hacker ganha acesso não autorizado a sistema de controle de água nos Estados Unidos e consegue destruir uma bomba de uma concessionária.

Scada System

Um Hacker destruiu uma bomba usada por uma concessionária de serviços de água nos Estados Unidos depois de ganhar acesso não autorizado ao sistema de controle industrial utilizado para operar as máquinas, segundo alertou um especialista em segurança de computadores.
Joe Weiss, sócio-gerente da empresa “Applied Control Solutions”, disse que a violação foi provavelmente realizada após o atacante invadir o fabricante do software de controle de supervisão e aquisição de dados usado pela concessionária e furtado nomes de usuários e senhas pertencentes a clientes daquele fabricante. O atacante desconhecido teria utilizado endereços “I.P.” alocados para a Rússia.
Weiss citou um relatório oficial do governo do estado, onde estaria localizado o distrito regional da concessionária. Ele é datado de 10 de novembro, dois dias após a invasão ter sido descoberta. O documento indica que a concessionária havia enfrentando problemas inexplicáveis com o seu sistema informatizado nas semanas que antecederam a violação.
Durante um período de dois a três meses, problemas menores teriam sido observados no acesso remoto ao sistema de controle de água denominado “Scada”, segundo teria afirmado Weiss durante uma entrevista, na qual ele leu uma parte do documento.
Ainda segundo ele, os atacantes foram capazes de queimar uma das bombas de água da concessionária, fazendo com que tanto a bomba como o sistema “Scada”, que a controlava ligasse e desligasse repetidamente.
Weiss disse que teria obtido o relatório sobre a condição de que o nome da companhia de água e o estado onde está localizada não fossem divulgados.
Uma declaração emitida pelo Departamento de Segurança Interna dos Estados Unidos indica que a concessionária estaria localizada em Springfield, no Estado de Illinois.
Weiss publicou minuciosos detalhes do episódio porque queria chamar a atenção para o incidente, o qual, segundo ele, levanta sérias preocupações sobre a capacidade do governo dos Estados Unidos de garantir segurança mínima para sua infraestrutura crítica.
“Este é realmente algo grande, e como algo tão grande, algo não está sendo dito ou não está sendo feito”, teria afirmado Weiss, que ainda acrescentou “que diabos está acontecendo com o Departamento de Segurança Interna? Por que não as pessoas não estão sendo notificadas?”.
Ele disse que desconhece qualquer concessionária de água ou outros operadores que utilizem o “Scada” que estejam sabendo sobre o ataque.
Em um e-mail o porta-voz do Departamento de Segurança Interna do Estados Unidos, Peter Boogaard, teria escrito que o Departamento e o “F.B.I.” estariam reunindo todos os fatos que cercam o relatório sobre uma falha numa bomba de água em Springfield, no Illinois, sendo que não existiriam no momento dados com credibilidade que pudessem corroborar ou indicar algum tipo de risco para as entidades relacionadas a infraestrutura crítica dos Estados Unidos ou algum tipo de ameaça à segurança pública.
Fato é que a imprensa americana foi incapaz de verificar as afirmações contidas no relatório.
Um pesquisador de segurança, sem filiação a Weiss teria afirmado que não existia nenhuma razão óbvia para duvidar que o ataque tivesse ocorrido da forma como foi descrito.
Rick Moy, presidente e CEO da “NSS Labs” teria afirmado que este tipo de notícia não é surpreendente, pois inúmeros sistemas estão conectados à internet como não deveriam estar, tornando este tipo de ataque muito plausível.
Ao longo dos últimos anos, a vulnerabilidade dos sistemas de controle usados para operar centrais elétricas, refinarias, empresas de gás e outros sistemas industriais tem sido enfatizada por uma variedade de eventos.
O principal deles foi o “worm” de computador “Stuxnet” que se infiltrou nos sistemas de controle de centrífugas do Irã e interrompeu o programa nuclear daquele país.
No início deste ano, o pesquisador de segurança Dillon Beresford divulgou “bugs” em sistemas de controle amplamente utilizados, afirmando que os mesmos eram de grande alcance e poderiam afetar todos os países industrializados ao redor do planeta.
Mais recentemente, pesquisadores descobriram um “malware” altamente sofisticado que foi apelidado como “Duqu” e que teria se infiltrado em pelo menos oito tipos de instalações industriais em todo o mundo após explorar uma vulnerabilidade até então desconhecida no Microsoft Windows.
Alguns pesquisadores afirmam que o “Duqu” teria sido criado por pessoas com laços estreitos com o “Stuxnet”.
Weiss disse que ainda existe a possibilidade de que os atacantes que obtiveram as senhas da concessionária de água possam ter obtido outras de vários clientes do fabricante do sistema Scada, deixando aberta a possibilidade de que outras instalações industriais também estariam suscetíveis ou poderiam já ter sido violadas.
Fato é que muitos sistemas de controle industrial dependem de senhas que são codificadas diretamente no hardware, tornando difícil a mudança das senhas furtadas sem causar problemas sérios.
Weiss disse que os objetivos e as identidades dos agressores permanecem um mistério, levantando a possibilidade de que este tipo de ação possa ter sido realizada por algum outro país fazendo reconhecimento de sistemas, hackers que desejavam apenas se divertir ou algum grupo criminoso que desejaria apenas criar um elaborado esquema de extorsão, ressaltando que até poder se encontrar quem fez isso, não há nenhuma maneira de saber qual a sua motivação.