Escolar Documentos
Profissional Documentos
Cultura Documentos
Firmwares
Vulnerability and threats to state intelligence and public security intelligence services
IV. EVIDÊNCIAS O que se presume é que a ação se deu por meio de conexão
de um pendrive comprometido por código malicioso inserido
Os fatos aqui apresentados correspondem à diversidade de em seu firmware em um dos computadores da rede da usina.
ações que visaram à obtenção de prerrogativas administrativas,
destruição de instalações, espionagem, vazamento de O worm não foi detectado por antimalwares e nem pelo
documentação classificada, obtenção de controle remoto sobre portador, inofensivo aos computadores e aos sistemas
dispositivos, invasão de sistemas essenciais e críticos e operacionais, se espalhou pela rede em busca do computador
interferência em sistemas estratégicos. que continha o supervisório do sistema de automação, por meio
do qual são definidos parâmetros de funcionamento dos
Foram selecionados alguns, dentre inúmeros, de modo a equipamentos automatizados, bem como o monitoramento do
expor o contexto de algumas das vulnerabilidades e das comportamento destes, obtendo dados por meio de sistema
ameaças que podem ser, analogamente, adaptadas aos Serviços Supervisory Control and Data Acquisition – SCADA.
de Inteligência e Contrainteligência, bem como ao cidadão
comum e que servirão como base para o entendimento e Ao detectar a presença de aplicação de controle SCADA
confirmação do quão importante são os firmwares. denominada STEP7, o Stuxnet se apropriou de prerrogativas
administrativas e promoveu mudanças de valores em variáveis
A. BadUSB que afetaram diretamente o funcionamento da planta.
A particularidade deste malware tem como foco quaisquer Antes que estas mudanças fossem efetuadas, outros
periféricos que usem conexões Universal Serial Bus – USB e parâmetros teriam que ser alterados, tais quais, desligamento de
sustentem firmware em Electrically-Erasable Programmable alarmes, memorização e exposição de valores legítimos e
Read-Only Memory – EEPROM (e.g. hubs, placas-mãe, inibição de interface entre o supervisório e os firmwares dos
adaptadores de cartões SD, adaptadores SATA, teclados e equipamentos.
Com o Sistema Supervisório STEP7 da Siemens blindado, época, por agências de notícias acreditadas, tais como Reuters e
executou mais uma de funcionalidades, gravando nos CNN.
firmwares das Programmable Logic Controllers – PLC dos
Além de intrigante, há a declaração expressa do SANS
equipamentos automatizados, blindando-os também, de forma
que não respondessem a qualquer intervenção direta no Institute, por meio do Internet Storm Center – ISC que o
código foi mantido no firmware (ScreenOS) do equipamento
hardware, assegurando a ação prevista. [6][7][8][9]
ao longo de, ao menos, três anos. Permaneceu nos
Entrou, por fim, em modo de ataque, aumentando a equipamentos do ano de 2012 até dezembro de 2015, quando o
velocidade de rotação das centrífugas em 40% e por somente código foi retirado pela Juniper e publicado patch de correção
15 minutos, bem como interrompendo o sistema de em 22/12/2015. [13]
arrefecimento. Velocidade, tempo e temperatura suficientes
O Caso Juniper pode ser considerado um dos mais graves,
para causar danos físicos e tornar a planta inoperante, sem
provocar acidente nuclear de maior proporção. pelo tempo de exposição e na proporção que se deu por meio
de supostos acessos a infraestruturas governamentais e de
Mesmo que tentassem intervir por meio do sistema segurança nacional, tanto dos EUA quanto de outros tantos
supervisório, os valores mostrados correspondiam à presumidos, em função da capilaridade mundial da empresa.
normalidade e sem efeito qualquer tentativa de interromper o
processo de destruição. V. CONSIDERAÇÕES
C. Juniper Networks Lidamos com dados críticos, sensíveis e íntimos
armazenados em infraestruturas tecnológicas críticas de Estado
Uma das maiores fabricantes de ativos de rede do mundo, a e de Segurança Pública, bem como em lares.
empresa Juniper Networks passou a alvo de investigação pelo
Congresso Nacional Americano pelo fato de terem sido Os assuntos debatidos até então, por mais que chancelados
descobertas duas falhas embutidas no sistema operacional por especialistas e personagens políticos com melhor adesão ao
ScreenOS, firmware dos firewall por ela fabricados. tema, acabaram por gerar mais papel.
As falhas foram divulgadas por meio da mídia internacional Temos potencial humano e ferramentas para levar a cabo
digital, a partir do dia 17/12/2015, que revelou que eram graves todas as propostas de trabalho neste documento dispostas.
e que davam prerrogativas administrativas máximas ao invasor, Falta, para tanto, vontade política e resistência ao lobby das
além de acesso ao tráfego de dados protegidos por Virtual indústrias estrangeiras, bem como atrelar aquisição de
Private Network – VPN. [10][11][12] equipamentos sensíveis a produtos fabricados com regras bem
estabelecidas e claras. Inteligência de Estado e a Inteligência de
O código malicioso fazia parte do código escrito pela área Segurança Pública são áreas de atuação que têm em comum
de software da empresa Juniper e foi tratado pelo FBI e pelo produzir conhecimento para suas esferas de atuação em auxílio
DHS como um backdoor secreto e “não autorizado”. Tratando- à tomada de decisão. Às Contrainteligências, atribui-se a
se, portanto, de procedimento que levaou a empresa a ser proteção do conhecimento produzido, bem como até a
suspeita de ter inserido, propositalmente, linhas de código eliminação da inteligência adversa.
malicioso em seu firmware. Além disto, estes órgãos de
investigação afirmaram não ser possível detectar a intrusão, Entes em plena atividade nos mundos real e virtual tendem
pelo fato de os históricos de registros poderem ser apagados ou a se render ao meio digital como ferramenta para,
alterados pelo invasor. principalmente, armazenamento, tratamento e consultas a base
de dados.
Com permissões de administração, o invasor passa a
dominar o appliance, eliminando rastros de registros de acesso Os problemas apresentados nos obrigam a ponderar sobre a
e a capturar todo o fluxo de dados em texto plano por meio de prejudicialidade ocasionada pelas exigências legais para as
VPN, guardando-o para posterior análise. operações de inteligência e contrainteligência, quando se veem
delimitadas pela conformidade, bem como sobre o contingente
Peculiarmente, as suspeitas recaíram sobre os próprios mundial que investe em ilicitudes digitais transnacionais e no
americanos que dizem não crer que ataque tão sofisticado tenha grau de sofisticação de suas ações, rasos em legislação e
partido da NSA em parceria com Reino Unido ou Israel. Seria penalidades, ao menos intimidantes, que são iminentemente
caso de se pensar que a NSA, além de espionar todas as cabíveis diante do alto nível de risco à humanidade e à
comunicações digitais do mundo, ainda o faria “dentro de coletividade, além do desprovimento de entendimento
casa”. Mas, como exercício de contrapropaganda, elegeram as adequado, de recursos financeiros e de vontade política.
espionagens chinesa e russa como prováveis promotoras do
backdoor, mesmo que a empresa tenha sido fundada e Os fatos apresentados serviram como base para o
estabelecida em território americano. entendimento e confirmação de quão importante são os
firmwares e o quanto devem ser usados como referência para
Os equipamentos da Juniper eram, utilizados, ações de Estado no sentido de estabelecer parâmetros para
presumidamente, pelo FBI, DHS, Departamento de Defesa aquisição de ativos de rede e incitar a comunidade mundial ao
(DoD), Departamento de Justiça (DoJ), Departamento do consenso sobre a necessidade de leis transnacionais que
Tesouro Americano (DoT), dentre outros em território possam alcançar a criminalidade digital, exigindo cumprimento
americano e espalhados pelo mundo. Esta presunção esta de leis e cláusulas contratuais severas que possam intimidar e
pautada por inúmeras matérias jornalísticas, publicadas à
penalizar de forma exemplar aqueles que usam das limitações nacionais, além de completar lista de ações de Segurança
alheias para a obtenção de vantagens ilícitas. Nacional.
Além disto, há como fazer com que as empresas deixem de Expomo-nos, desnecessariamente, às vulnerabilidades
ser pressionadas a adulterar suas linhas de código, em função importadas, sem que ocorra homologação lógica de
dos interesses do Estado. Se promoverem a educação do equipamentos de uso profissionais e domésticos.
cidadão digital de modo que use de ferramentas para se
proteger, tal qual o uso de VPN e criptografia em suas Se prestássemos mais atenção em nossos cientistas e no
corpo técnico formal e informal, provido de imensurável
comunicações, o Estado, por sua vez, se veria obrigado a
capacidade e conhecimento, poderíamos utilizar o potencial
realizar suas operações de inteligência de modo menos
ostensivo, mais ético, em conformidade e melhor controlado. deste capital humano aliado aos conhecimentos e experiências
disponíveis em Vales da Eletrônica, unindo esforços para a
Pode parecer ingênuo, mas, no caso da Estônia, é provável construção de produtos de qualidade e menos vulneráveis.
que não desejem roteadores domésticos vulneráveis, visto que
Estaríamos providos de hardware e software de qualidade,
foi um dos primeiros países a passar por onda de “ataques” [14]
Distributed Denied of Service – DDoS no mundo. A bem como manteríamos o controle sobre as tecnologias
desenvolvidas em território nacional, com vistas à garantia da
infraestrutura tecnológica do país teve que ser interrompida por
conta de volume de acesso aos seus servidores. Pode ser conformidade e auditabilidade de firmwares assinados
digitalmente e integridade por criptografias nacionais.
justificativa para exigirem appliances menos suscetíveis ao
mau uso por terceiros, evitando o “fogo amigo”. Os próprios firmwares cuidariam de acionar gestores de
infraestruturas tecnológicas sobre a disponibilidade,
Com a falta de investimento e fomento em C&T e
desenvolvimento de tecnologias nacionais, a maior parte dos integridade, confidencialidade e autenticidade do código do
sistema operacional desenvolvido para appliances nacionais,
países é composta por simples consumidores de tecnologias
estrangeiras, sem se dar conta das vulnerabilidades e ameaças remetendo-nos à ideia de “quem vigia quem vigia quem
vigia?”.
que estão ou estarão embarcadas.
Talvez, pensar em compartimentação, no viés contrário ao
VI. CONCLUSÃO da origem da Internet, passa a plausível, visto a tendência de
Do menor ao maior potencial de risco, podemos avaliar criação de fronteiras digitais, face a intervenções digitais
cenário simplista como o de uma câmera de vigilância tornada desregradas contra nações e seus cidadãos
inoperante a um mais complexo como a tomada de controle de
Nesse meio-tempo, as Atividades de Inteligência merecem
uma usina de força ou de uma aeronave ou de um míssil.
ser rotuladas de serviços de arapongagem e bisbilhotagem
Meios para mitigar, temos: educação, disciplina e instrução. digitais, enquanto políticos, juristas e pensadores esboçam
Se promovermos estas ações dentro de nossos lares e em tentativas “standalone” de consenso sobre legalidade ou
nossos ambientes de trabalho, já nos encontraremos menos um ilegalidade de tais ações, enquanto Agências de Inteligência
passo atrás, diante dos atuais níveis de fragilidade. Para isto, desprezam e extrapolam suas linhas doutrinárias, violando a
temos normas que sugerem boas práticas para os diversos intimidade de cidadãos e soberanias nacionais.
níveis de responsabilidade que envolvem as tecnologias das
Este tema é discutido tecnicamente ou politicamente. Não
informações e meios computacionais: COBIT, coleção
se percebe quaisquer movimentos que nos remetam a um ponto
ISO/IEC 27000, CMMI, ISO/IEC 9126-1, ISO/IEC 25000,
concreto e que contemplem a multidisciplinaridade de ações,
SWEBOK, dentre outras.
visto que, praticamente, exauriram o assunto, isoladamente,
Negligenciar é algo facilmente inteligível quando definimos nestas esferas.
como “deixar de cuidar ou não dar a devida atenção”, desde
Como regras não são definidas ações transfronteiriças
que o agente tenha conhecimento das possíveis adversidades
perpetradas por organizações criminosas e terroristas,
imprimidas na qualidade daquilo que produz, adquire ou
continuarão sem limites e ganhando larga dianteira contra
utiliza.
aqueles que empreendem pelo cumprimento de regras sociais e
A educação formal carece de iniciação digital e de valores princípios morais e éticos nos mundos real e virtual.
morais e éticos. Educamos mal, formal e digitalmente.
Entregamos tecnologias e não transferimos conhecimento AGRADECIMENTOS
suficiente para que as manipulem com responsabilidade. À esposa e filhos.
Temos que ser cautelosos, diante da inevitável digitalização REFERÊNCIAS BIBLIOGRÁFICAS
do mundo e empreender formação adequada e de vanguarda a
[1] R. Girão, "Analfabetismo digital e responsabilidade objetiva", Estado de
todos os envolvidos nos procedimentos investigatórios e Minas, Caderno Direito & Justiça, p. 8, 2011.
interpretativos dos fatos e das leis, para que não incorramos em [2] R. Girão, "Firmware", Linkedin, 2016. [Online]. Available:
frequentes erros. https://pt.linkedin.com/pulse/firmwares-entrevista-concedida-%C3%A0-
revista-security-report-gir%C3%A3o. [Accessed: 14- Jan- 2018].
Firmwares, pequenos, mas eficientes sistemas operacionais,
[3] R. Girão, Conference, "Palestra Regilberto Girão - Segurança digital em
deveriam ser melhor tratados, ser foco constante de instâncias camadas – Digital layered security”, Slideshare.net, 2017. [Online].
técnicas e motivação à Pesquisa e Desenvolvimento – P&D Available: https://www.slideshare.net/bhackconference/palestra-
regilberto-giro-segurana-digital-em-camadas-digital-layered-security. [9] "NVD - CVE-2010-2772", Nvd.nist.gov, 2010. [Online]. Available:
[Accessed: 14- Jan- 2018]. https://nvd.nist.gov/vuln/detail/CVE-2010-2772. [Accessed: 14- Jan-
[4] T. Herold, D. Verma, C. Lubert, R. Cloutier, “An obsolescence 2018].
management framework for system baseline evolution—Perspectives [10] "NVD - CVE-2015-7754", Nvd.nist.gov, 2015. [Online]. Available:
through the system life cycle”. System Engineering, vol. 12, pp. 1–20. https://nvd.nist.gov/vuln/detail/CVE-2015-7754. [Accessed: 14- Jan-
2009 [Online]. Available: 2018].
https://pdfs.semanticscholar.org/bd53/bb33876e3aec683a97ba23181894 [11] "NVD - CVE-2015-7755", Nvd.nist.gov, 2015. [Online]. Available:
7dac24b9.pdf [Accessed: 14- Jan- 2018]. https://nvd.nist.gov/vuln/detail/CVE-2015-7755. [Accessed: 14- Jan-
[5] K. Nohl, L. Jakob, "BadUSB-On accessories that turn evil." Black Hat 2018].
USA (2014). [Online]. Available: https://srlabs.de/wp- [12] "NVD - CVE-2015-7756", Nvd.nist.gov, 2015. [Online]. Available:
content/uploads/2014/07/SRLabs-BadUSB-BlackHat-v1.pdf. [Accessed: https://nvd.nist.gov/vuln/detail/CVE-2015-7756. [Accessed: 14- Jan-
14- Jan- 2018]. 2018].
[6] P. Mueller, B. Yadegari, “The Stuxnet worm”, CSc 466-566 Computer [13] "The other Juniper vulnerability - CVE-2015-7756 - SANS Internet
Security 2012, Resources, 2012, [Online] Available: Storm Center", SANS Internet Storm Center, 2015. [Online]. Available:
http://www2.cs.arizona.edu/~collberg/Teaching/466- https://isc.sans.edu/forums/diary/The+other+Juniper+vulnerability+CVE
566/2012/Resources/presentations/2012/topic9-final/report.pdf. 20157756/20529/. [Accessed: 14- Jan- 2018].
[Accessed: 14- Jan- 2018].
[14] K. Ruus, "Cyber War I: Estonia Attacked from Russia",
[7] N. Falliere, L. Murchu and E. Chien, "W32.Stuxnet Dossier", Europeaninstitute.org, 2008. [Online]. Available:
Symantec.com, 2011. [Online]. Available: https://www.europeaninstitute.org/index.php/42-european-
https://www.symantec.com/content/en/us/enterprise/media/security_resp affairs/winterspring-2008/67-cyber-war-i-estonia-attacked-from-
onse/whitepapers/w32_stuxnet_dossier.pdf. [Accessed: 14- Jan- 2018]. russia?author=Kertu%20Ruus. [Accessed: 14- Jan- 2018].
[8] "NVD - CVE-2010-2568", Nvd.nist.gov, 2010. [Online]. Available:
https://nvd.nist.gov/vuln/detail/CVE-2010-2568. [Accessed: 14- Jan-
2018].