
Autor: Siegfried Müller
Fundador e proprietário da MB Connect Line GmbH
Membro do TeleTrusT (Associação Federal para IT Security da Alemanha) e delegado da Alemanha no ECSO (European Cyber Security Organisation).
Tradução: Paolo Capecchi
Diretor da Westcon Instrumentação Industrial Ltda
Introdução
Com os esforços de digitalização das empresas, novos produtos e serviços são desenvolvidos diariamente. O novo mercado de digitalização oferece um enorme potencial para novas soluções em vários setores da indústria. É fácil comprar hardware de baixo custo e combiná-lo com aplicativos de código aberto disponíveis gratuitamente. Junte alguns patches de Linux, Raspberry PI e MQTT – e mais um produto para IoT está pronto para ser usado ou até mesmo vendido. Mas… e como fica a segurança de TI?
É fácil imaginar que muitos desses novos produtos e dispositivos estejam conectados diretamente à Internet ou que até mesmo estabeleçam uma ponte entre a Internet e a rede interna da empresa. Por outro lado, sabe-se que as conexões com redes públicas são pontos sensíveis onde somente devem ser usados dispositivos confiáveis. Mas… essa confiança é justificada quando se trata de dispositivos criados apenas pensando na funcionalidade, sem levar em conta nenhuma diretriz de segurança e sem uma estrutura de segurança por detrás?
Aqui cabe uma analogia com a segurança funcional (Functional Safety): hoje em dia, não é mais concebível desenvolver uma máquina sem a análise de risco apropriada ou que os dispositivos de segurança instalados nela não tenham a certificação adequada em termos de Functional Safety (SIL3, Type 4, etc). Na verdade, as normas (IEC 61496, IEC 61508, EN ISO 13849, etc.) regulam a forma como os componentes de segurança devem ser projetados e aplicados.
A tecnologia da informação (TI) ainda não conta com tais regulamentos, mas métodos comparáveis existem e são conhecidos como Security by Design ainda que pouquíssimo utilizados.
Teste de Invasão é a solução para tudo?
Os testes de intrusão são um método para avaliações parciais dos níveis de segurança. Eles são usados para ataques direcionados a sistemas a fim de descobrir vulnerabilidades de segurança. Existem testes manuais e automáticos, utilizados principalmente em combinação. Isso pode ser um bom esforço para determinar o nível de segurança. O resultado é que, muitas vezes, descobre-se que há inúmeras vulnerabilidades para consertar. E então começa a tomar forma a conhecida “colcha de retalhos”, que leva a resultados quase sempre medíocres que comprometem a segurança. Sem ancorar a segurança da informação nos fundamentos do projeto do dispositivo, como prescreve o conceito Security by Design, é quase impossível consertar os pontos fracos na superfície. É por isso que os Pen Tests devem ser realizados periodicamente – pelo fabricante e pelo usuário do sistema. Esses testes podem ser executados por empresas especializadas nesse tipo de avaliação ou por meio de softwares customizados.
Segurança desde o início
Por definição, Security by Design significa segurança desde o início. Existem diferentes interpretações para essa afirmação. Para algumas pessoas, tudo se resume ao desenvolvimento de software seguro. Na minha opinião, o software seguro também requer certos elementos importantes de hardware de segurança. Basicamente, o conceito é levar em conta a segurança das informações durante o processo de desenvolvimento de um produto. Muitos fabricantes de dispositivos de segurança aplicam este conceito, que já é conhecido há muito tempo. A maioria dos fabricantes de máquinas também conhece o procedimento, já que se baseia no Machinery Directive (legislação da União Europeia relativa à segurança em máquinas e equipamentos).
No início, há uma análise de risco, um procedimento que é familiar para a maioria dos usuários no ambiente de automação e que deve ser realizado em todos os projetos de instalações industriais. Você pensa: como a máquina deve funcionar e como proteger isso? Essa também é a base do Security by Design. Primeiro você determina a finalidade do produto, como é usado e quais funções ele deve ter.
Security by Design – exemplo em um roteador industrial
Tomemos como exemplo um roteador industrial, que é uma interface entre a TI do escritório e a produção. Claro que só isso não é suficiente para definir esse dispositivo. Temos que especificar exatamente quais serviços e aplicativos devem estar disponíveis no roteador, como VPN e webserver, por exemplo.
A avaliação de risco começa nas interfaces para o exterior. Isso inclui interfaces de hardware, como Ethernet e USB, além das interfaces com o usuário, como o webserver. Cada uma dessas interfaces será definida independentemente e baseada nos padrões de segurança cibernética ISA/IEC 62443, que definem os requisitos mínimos de segurança.
O próximo passo é estudar a motivação ou o objetivo de um possível invasor – desde os amadores até hackers profissionais que trabalham para governos, com orçamentos vultosos. Dependendo do nível de proteção a ser alcançado, é claro, aumentam os requisitos e gastos com segurança. Se esta parte for concluída com sucesso, teremos a estrutura dos requisitos para o roteador.
Os pilares do conceito Secure by Design
O conceito de segurança do roteador baseia-se em quatro pilares: Secure Boot, Secure Element, Secure Firmware e Patch Management.
Secure Boot
O primeiro requisito é criar um conceito de inicialização segura. O objetivo aqui é garantir que somente o software certificado pelo fabricante possa ser iniciado pelo roteador. Isto foi resolvido com o princípio denominado Trusted Root Chain (Cadeia de Raiz Confiável). A âncora da confiança é a base, que consiste de uma ROM de inicialização (Ready Only Memory), que só pode gravada uma única vez, com nosso certificado e gerenciador de inicialização durante a produção em nossa empresa. Somente o software aplicativo que se identifica por meio de um certificado correspondente pode ser iniciado. Mesmo com acesso total aos sistemas internos do roteador, um invasor jamais poderá alterar o certificado ou o carregador de inicialização (boot loader) a fim de iniciar um firmware manipulado e falso. Na segunda etapa, o boot loader compara o firmware na memória FLASH com o certificado e pode, assim, determinar se ele foi realmente assinado pela MB Connect Line. Se isso estiver correto, o sistema operacional é iniciado, caso contrário, o sistema para. Quaisquer manipulações resultantes de um eventual ataque nunca serão permanentes, pois após cada reinicialização do roteador, somente o firmware original é iniciado. Um ponto essencial do conceito é impedir que um firmware manipulado possa ser instalado no roteador. Graças a isso, é impossível que um invasor assuma o controle do sistema permanentemente.
Elemento Seguro
Depois que o sistema foi iniciado com segurança, ele também precisa acessar uma memória de leitura/escrita. É preciso armazenar em algum lugar as configurações específicas do usuário, como senhas e certificados de VPN. Para este propósito é criada uma área criptografada na memória FLASH.
O princípio é familiar para o usuário da área administrativa que, ao iniciar o computador, deve digitar uma senha já armazenada na BIOS do PC. Aqui a senha é usada para desencriptar a unidade de disco rígido. Se alguém encontrar ou roubar um computador nessa condição, não poderá acessar os dados do disco rígido. O mesmo vale para o roteador do nosso exemplo: se o invasor conseguir acesso à sua memória FLASH, ainda assim ele não poderá ler nenhum dado.
Seria impraticável inserir uma senha sempre que se inicializasse o roteador. Surge, então, o Secure Element (elemento seguro) para ajudar-nos nessa questão. O Secure Element é um componente de hardware separado (chip) que armazena todas as senhas, chaves e certificados. Durante as verificações, só responde com “sim” ou “não”. Isto é, uma solicitação é feita através de uma senha com hash (hashed password) e, se estiver correta, o dispositivo responderá com um “sim”. Somente nesse caso, o repositório de segurança com os dados do usuário é liberado com uma chave do Secure Element.
Firmware Seguro
O terceiro pilar do conceito Secure by Desing é o firmware seguro. Mas… como o firmware pode ser seguro? É importante mencionar que não existe cem por cento de segurança, mas deve-se fazer o máximo possível a fim de salvaguardar. Em primeiro lugar, é importante dar ao desenvolvedor o conhecimento necessário sobre o desenvolvimento de software seguro. Esse é um processo que demanda tempo e só pode ser alcançado com muitos treinamentos e workshops. Como fabricantes de componentes e soluções de segurança, temos trabalhado nesse tema por vários anos e estamos constantemente investindo no aprimoramento do conhecimento dos nossos desenvolvedores e todos os funcionários.
Um de nossos desenvolvedores de software também passou por uma certificação específica denominada T.P.S.S.E. (TeleTrust Professional for Secure Software Engineering) e é um processo para o desenvolvimento de software seguro, que precisa passar por uma recertificação a cada três anos. Isso já estabelece as bases para um desenvolvimento seguro. Com esse conhecimento, em um processo de seleção clássico, pode-se primeiro determinar quais aplicativos precisam ser integrados ao firmware. Especificamente, trata-se da chamada “userland” do ambiente Linux embarcado.
Na distribuição padrão do Embedded Linux, que geralmente é fornecida junto com o hardware, há muitos programas implementados, mas, dependendo da aplicação, apenas 20% deles são usados. Os restantes 80% são inúteis, mas representam potenciais gateways adicionais para ataques.
Nossa “userland” contém apenas o que é realmente necessário. O próximo passo é examinar a implementação específica dos aplicativos. Por exemplo, como funciona a autenticação para o Webserver ou como as páginas da Web serão criadas. Claro que esta é uma tarefa muito extensa e todos os aplicativos devem ser examinados em profundidade. Além disso, é preciso verificar também a configuração desses aplicativos.
A criação de um aplicativo deve sempre seguir o lema “Security by Default”, o que significa que os recursos de segurança devem estar ativados por padrão. Por exemplo, nas interfaces da Web, o HTTPS deve estar ativado em lugar do HTTP. Da mesma forma, não devem ser usadas as senhas padrão. É preferível fornecer para cada dispositivo uma senha gerada aleatoriamente.
Patch Management (gerenciamento de correções)
atualizado e deliberadamente focamos nossos ajustes no chamado “kernel mainline”. O ideal seria ter atualizações diárias, o que significa que todos os dias os aplicativos seriam verificados quanto a alterações na comunidade. Caso haja uma alteração, ela será imediatamente integrada em um novo firmware. Esta compilação diária é automatizada e funciona praticamente de um dia para o outro. Em seguida são executados testes automáticos com o firmware. No final, o firmware será publicado manualmente e não automaticamente. A decisão final é feita por um humano. É importante que todo esse processo, até o momento da implantação (distribuição do firmware), seja compulsoriamente especificado e executado.
Conclusão
Os desenvolvedores são principalmente especialistas em suas respectivas áreas e em seu campo de aplicação. Eles raramente, ou quase nunca, consideraram a questão da segurança em seu processo de desenvolvimento e, quando a consideram, geralmente o fazem de forma marginal. Isto não é uma acusação, mas uma constatação. Isto, entretanto, inevitavelmente cria vulnerabilidades de segurança no software ou nos produtos. Os hackers tentam insistentemente obter acesso aos sistemas por meio dessas vulnerabilidades de segurança. Este artigo, no entanto, também deixou claro que o setor de automação já tem muita experiência em lidar com diretrizes e sua aplicação – por exemplo, em Safety, onde a implementação é baseada em uma análise prévia. Isso é algo positivo. As normas e padrões, como a ISA/IEC 62443, têm reconhecimento internacional e impacto crescente em dispositivos e soluções futuras. No entanto, a segurança ainda não é um produto, mas um processo que deve ser vivido.
Sobre a MB Connect Line
A MB connect line GmbH foi fundada em 1997 e, desde o início, tem focado no “Made in Germany”. A sede está localizada na cidade bávara de Dinkelsbühl e conta também com uma subsidiária localizada em Warrenville, Illinois, USA.
Como empresa independente de médio porte, a MB Connect Line é líder no segmento de soluções para comunicações profissionais via Internet, em especial, na conexão segura para manutenção remota de máquinas e sistemas de controle, coleta de dados e comunicação M2M.
Nos primeiros anos, os modems industriais foram o seu principal produto. Com o avanço veloz do processo de digitalização da cadeia produtiva, desde o planejamento e desenvolvimento até a produção e o transporte até o usuário final, o foco tornou-se a comunicação segura, priorizando a proteção de dados contra acesso não autorizado, manipulação e reconhecimento.
A base do sucesso da MB Connect Line como fornecedora de tecnologia para o futuro está no seu quadro de especialistas muito bem qualificados, que passam por programas de treinamento contínuo em tecnologia da informação.
Totalmente comprometida com o desenvolvimento de produtos e serviços de alta segurança para seus clientes, a MB Connect Line garante uma resposta rápida e confiável ao surgimento de novas vulnerabilidades de segurança.
Para alcançar esse objetivo, a empresa é membro ativos de entidades como TeleTrusT – Federal Association IT Security e.V., ECSO – European Cyber Security Organisation (ESCO) e também Cluster Mechatronics & Automation Bayern e.V.
Os produtos são desenvolvidos sob as diretrizes definidas pelo TeleTrusT, o que a habilita a exibir o selo “Security Made in Germany”. O TeleTrusT é uma rede de excelência, que inclui membros do mundo todo, dos segmento industrial, ciência e administração, bem como organizações parceiras de temas relacionados.
Além disso, a MB Connect Line é membro da Alliance for Cybersecurity e trabalha ativamente com o Federal Office for Information Security (BSI), órgão do governo alemão. Por essa razão seus engenheiros de desenvolvimento conseguem ser proativos e neutralizar as novas ameaças de segurança muito rapidamente.
Ninguém pode garantir 100% de segurança o tempo todo, mas a MB Connect Line pode fornecer o mais alto nível de segurança possível de ser alcançado. Testes de invasão manuais e automáticos realizados pela empresa BSI Secuvera em nosso portal de acesso remoto mbCONNECT24 V2 garantem aos nossos clientes o mais elevado nível de segurança.
O uso de tecnologias de código aberto em nosso portal mbCONNECT24 permite garantir a maior segurança possível aos nossos clientes. Nossos sistemas de manutenção remota funcionam com certificados X.509, OpenSSL e TLS-Encryption até 2048 bits. Nossos servidores estão localizados em centros de alta segurança na Europa e nos EUA.
Para mais informações, visite: https://www.mbconnectline.com/en/
Clique aqui para fazer o download do artigo completo em PDF
LEIA MAIS