Comportement   du   CO 2 ,   de   l’He   et   du   Kr   dans   les   différents  profils  :  spatialisation  verticale  des  variations

Houve momentos que a hipótese de buscar respostas junto a pessoas seria a forma ideal. No entanto, este elemento, como o mais vulnerável na cadeia de análise, foi método descartado. O que melhor se adequou ao desenvolvimento deste estudo foram os atos digitais e seus desdobramentos, fatos e consequências. Para tanto, toda a coleta de dados teve como origem as tecnologias e suas fontes abertas.

Este trabalho carrega em todo seu contexto a multidisciplinaridade. Para tanto, foram coletados dados e informações dos mais diversos canais de mídia especializados em comunicação digital, principalmente, aqueles canalizados sobre os temas Inteligência e Tecnologia, sobre as ameaças, pois delas pudemos tirar conclusões sobre as vulnerabilidades (eventos, relações temporais, comportamentos humanos e socioprofissionais, códigos exploradores e vazamento de dados), bem como os desdobramentos e resultados de atos digitais empreendidos em contraponto às lógicas filosóficas e matemáticas do certo ou errado e do sim ou não, respectivamente.

Firmwares: Vulnerabilidades e Ameaças aos Serviços de Inteligência de Estado e de Inteligência de Segurança Pública

4. Evidências

Os fatos aqui apresentados correspondem à diversidade de ações que visaram à obtenção de prerrogativas administrativas, destruição de instalações, espionagem, vazamento de documentação classificada, obtenção de controle remoto sobre dispositivos, invasão de sistemas essenciais e críticos e interferência em sistemas estratégicos.

Foram selecionados apenas três fatos, de modo a expor o contexto de algumas das vulnerabilidades e das ameaças que podem ser, analogamente, adaptadas aos Serviços de Inteligência e Contrainteligência, bem como ao cidadão comum, que servirão como base para o entendimento e confirmação do quão importante são os firmwares.

4.1. BadUSB

A particularidade deste malware tem como foco quaisquer periféricos que usem conexões Universal Serial Bus (USB) e sustentem firmware em Electrically-Erasable Programmable Read-Only Memory (EEPROM) (e.g. hubs, placas-mãe, adaptadores

de cartões SD, adaptadores SATA, teclados e mouses, webcams, pendrives), de forma,

praticamente, indetectável e intratável. (Nohl, K. & Jakob, L., 2014)

Um pendrive comprometido pode usar interfaces de rede do hospedeiro fazendo com

que se conecte a sites maliciosos disfarçados como sites legítimos, agir como keylogger, com vistas à captura de senhas de acesso privilegiado a sistemas operacionais em infraestruturas tecnológicas críticas.

A tentativa de retirada do código pode requerer abertura do equipamento e uso de engenharia reversa, pois a simples formatação não é solução. A área reservada ao

firmware é protegida por ele mesmo, informando ao sistema operacional que aquela

mídia só é acessível para escrita e leitura na área de armazenamento de dados, não tendo como contar com a proteção de sistemas antivírus, visto que antimalwares não trabalham nesta camada.

4.2. Stuxnet

O worm Stuxnet foi eleito como um dos mais sofisticados tipos de ataques, à época de

seu alastramento pela Internet.

Construído com a finalidade específica de ataque a equipamentos de automação de usinas nucleares padrão Siemens, foi e ainda é exemplo de legítima arma de guerra cibernética.

Usinas nucleares e plantas industriais estratégicas seguem ou deveriam seguir rígidas normas de segurança. A principal delas é a de manter todos os processos de produção automatizados fora do campo de ação da Internet. O National Institute of Standards and Technology (NIST) recomenda a segregação de redes por meio do SP800-82 – Guide to Industrial Control Systems (ICS) Security.

Toda infraestrutura crítica deve ser segregada, justamente para evitar o acesso remoto indevido às instalações lógicas. No entanto, no ano de 2010, a usina nuclear do Irã, denominada Natanz, sofreu ataque que inutilizou algumas de suas centrífugas de enriquecimento de urânio.

RISTI - Revista Ibérica de Sistemas e Tecnologias de Informação

O que se presume é que a ação se deu por meio de conexão de um pendrive comprometido

por código malicioso inserido em seu firmware em um dos computadores da rede

da usina.

O worm não foi detectado por antimalwares e nem pelo portador, inofensivo aos

computadores e aos sistemas operacionais, se espalhou pela rede em busca do computador que continha o supervisório do sistema de automação, por meio do qual são definidos parâmetros de funcionamento dos equipamentos automatizados, bem como o monitoramento do comportamento destes.

Ao detectar a presença de aplicação de controle SCADA denominada STEP7, o malware

apropriou-se de prerrogativas administrativas e promoveu mudanças de valores em variáveis que afetaram diretamente o funcionamento da planta.

Antes que estas mudanças fossem efetuadas, outros parâmetros teriam que ser alterados, tais quais, desligamento de alarmes, memorização e exposição de valores legítimos e inibição de interface entre o supervisório e os firmwares dos equipamentos.

Com o Sistema Supervisório STEP7 da Siemens blindado, executou mais uma de suas funcionalidades, gravando nos firmwares das Programmable Logic Controllers

(PLC) dos equipamentos automatizados, blindando-os também, de forma que não respondessem a qualquer intervenção direta no hardware, assegurando as ações previstas.

Em modo de ataque, aumentou a velocidade de rotação das centrífugas em 40% e por somente 15 minutos, bem como interrompendo o sistema de arrefecimento. Velocidade, tempo e temperatura suficientes para causar danos físicos e tornar a planta inoperante, sem provocar acidente nuclear de maior proporção.

Mesmo que tentassem intervir por meio do sistema supervisório, os valores mostrados correspondiam à normalidade e sem efeito qualquer tentativa de interromper o processo de destruição.

Os procedimentos foram analisados e descritos em detalhes por pesquisadores da empresa Symantec e da Universidade do Arisona (Mueller, P. & Yadegari, B., 2012) (Falliere N., Murchu L. & Chien E., 2011).

4.3. Juniper Networks

Uma das maiores fabricantes de ativos de rede do mundo, a empresa Juniper Networks passou a alvo de investigação pelo Congresso Nacional Americano pelo fato de terem sido descobertas duas falhas embutidas no sistema operacional ScreenOS, firmware dos firewall por ela fabricados.

As falhas foram divulgadas por meio da mídia internacional digital, a partir do dia 17/12/2015, que revelou que eram graves e que davam prerrogativas administrativas máximas ao invasor, além de acesso ao tráfego de dados protegidos por Virtual Private Network (VPN). (NVD - CVE-2015-7754/7755/7756, 2015)

O código malicioso fazia parte do código escrito pela área de software da empresa Juniper e foi tratado pelo FBI e pelo DHS como um backdoor secreto e “não autorizado”.

Firmwares: Vulnerabilidades e Ameaças aos Serviços de Inteligência de Estado e de Inteligência de Segurança Pública

Tratando-se, portanto, de procedimento que levou a empresa a ser suspeita de ter inserido, propositalmente, linhas de código malicioso em seu firmware. Além disto,

estes órgãos de investigação afirmaram não ser possível detectar a intrusão, pelo fato de os históricos de registros poderem ser apagados ou alterados pelo invasor.

Com permissões de administração, o invasor domina o appliance, eliminando rastros de

registros de acesso e a capturar todo o fluxo de dados em texto plano por meio de VPN, guardando-o para posterior análise.

Peculiarmente, as suspeitas recaíram sobre os próprios americanos que dizem não crer que ataque tão sofisticado tenha partido da National Security Agency (NSA) em parceria com Reino Unido ou Israel. Seria caso de se pensar que a NSA, além de espionar todas as comunicações digitais do mundo, ainda o faria “dentro de casa”. Mas, como exercício de contrapropaganda, elegeram as espionagens chinesa e russa como prováveis promotoras do backdoor, mesmo que a empresa tenha sido fundada e estabelecida em

território americano.

Os equipamentos da Juniper eram, utilizados, presumidamente, pelo FBI, DHS, Departamento de Defesa (DoD), Departamento de Justiça (DoJ), Departamento do Tesouro Americano (DoT), dentre outros órgãos de governo em território americano e espalhados pelo mundo. Esta presunção está pautada por inúmeras matérias jornalísticas, publicadas à época, por agências de notícias acreditadas, tais como Reuters e CNN. Além de intrigante, há a declaração expressa do SANS Institute, por meio do Internet Storm Center (ISC), que o código foi mantido no firmware (ScreenOS) do equipamento

ao longo de, ao menos, três anos. Permaneceu nos equipamentos do ano de 2012 até dezembro de 2015, quando o código foi retirado pela Juniper e publicado patch de correção em 22/12/2015. (SANS Institute, 2015)

O caso Juniper pode ser considerado um dos mais graves, pelo tempo de exposição e na proporção que se deu por meio de supostos acessos a infraestruturas governamentais e de segurança nacional, tanto dos EUA quanto de outros tantos presumidos, em função da capilaridade mundial da empresa.