72O Setor Elétrico / Junho de 2010

Apoio

Auto

maçã

o de

sub

esta

ções

Equipe de engenharia da Schweitzer Engineering Laboratories (SEL)

Capítulo VI

Segurança em redes de computadores aplicadas a subestações de energia elétrica

Até a década de 1990, os equipamentos de

automaçãoeproteçãodesubestações,quejá tinhamse

tornadomicroprocessados,aindaestavamforadas redes

decomputadores e compunhamsoluções isoladas, sem

conexão física com a redemundial.As concepções de

segurançaestavamlimitadasa isolarestesequipamentos

em salas climatizadas, em que o acesso era restrito às

pessoas autorizadas; preservação contra incêndios, etc.

Contendoasinvasõesfísicas,osistemaestavaprotegidoe

emcondiçõesadequadasdesegurança.

Existem dois conceitos básicos de segurança que

podemosnosservirdalínguainglesaparamelhordefini-

los:

Safety – São os conceitos aplicados à segurança das

pessoas.Iniciativassãotomadasparamitigarsituaçõesde

riscoquepodem feriro serhumanoou,de formamais

geral, o meio ambiente. Existem normas mundiais que

disciplinamestamatéria,sendoqueaIEC61508eaIEC

61511sãoasmaisconhecidas.

Security – São conceitos aplicados à segurança dos

ativosdeumaempresa.Asinstalações,osequipamentos,

osnegócios,osfaturamentoseoslucros.Paraestecaso,

podemoscitaranormaIEC62351.

A consequência de invasões em uma rede de

computadores de uma empresa de energia elétrica

estámais ligada ao conceitode “security”.Apesarde a

segurançadaspessoastambémestarexpostaaorisco,este

artigoestáfocadonasegurançadosativosdasempresas

e na continuidade de fornecimento de energia elétrica,

preservando os requisitos de qualidade definidos pela

AgênciaNacionaldeEnergiaElétrica(Aneel).

Comocrescimentoexponencialdautilizaçãoda

tecnologia TCP/IP e internet no mundo moderno, a

automaçãodesubestaçõesnãoficouimune.Hoje,os

novosprojetosadotamTCP/IPdeformaampla,totale

irrestrita.

Éevidentequeosproblemasdesegurançaemredes

decomputadorespassaramaintegraraspreocupaçõesdos

profissionaisdetecnologiadeautomação,conhecidacomo

TA.Nestecontexto,foiadotadaaterminologia“invasãoou

ataqueeletrônico“(nocontextodeTIéconhecidocomo

“invasãoouataquecibernético”).

As ameaças de invasão pormeios eletrônicos estão

aumentando por diversos fatores sociais, políticos e

tecnológicos.

Nosdiasatuais,existemváriosfatoresquecontribuem

paraoaumentodenossaspreocupações:

• De mainframes e protocolos proprietários, passamos

pararedesdistribuídaseprotocolosabertos.Interligaçãode

redesoriginalmenteisoladaspormeiodestesprotocolos;

•Pressãonaindústriapelaautomatizaçãoecortedecustos

paramantermargemdelucros;

• Legislação Nacional, Operador Nacional do Sistema

(ONS) e Agência Nacional de Energia Elétrica (Aneel).

O consumidor tem o direito de acessar dados das

concessionáriasdeserviçopúblicos(servidoresWeb);

•Aumento da capacidade e complexidade do Sistema

InterligadoNacional (SIN), de geração e transmissãode

energia.Paradoxalmente,aumentasuafragilidade;

• Aumento vertiginoso da interconectividade a sites

remotospormeiodemodemsdiscadosouinternet;

•Instabilidadenomercadodetrabalhonasempresasde

energia,causadospelacompetiçãoedesregulamentação;

•Aumentodeincidentes–China,GoogleeIntel;

• Rápido aumento da população com habilidades e

conhecimentosconsistentesemredesdecomputadores;

•Disseminaçãodeliteraturaeferramentasdehackerspela

73O Setor Elétrico / Junho de 2010

Apoio

internet;

• Aumento do número de países com iniciativas sustentadas pelo

governode“contramedidas”àinvasãoouataqueseletrônicos.

Invasão ou ataque eletrônico É o acesso à subestação via linhas telefônicas ou outros meios

eletrônicos para manipular ou causar distúrbios nos Dispositivos

Eletrônicos Inteligentes (IEDs). Estes IEDs incluem relés digitais,

registradores de faltas, equipamentos de diagnósticos, oscilógrafos,

equipamentos de automação, Unidades de Aquisição e Controle

(UACs),UnidadesTerminaisRemotas(UTRs),computadoresservidores

dasubestação,ControladoresLógicosProgramáveis(CLPs)einterfaces

decomunicação.

A extensão dos “ataques eletrônicos” ainda é desconhecida,

pois poucas empresas possuem IntrusionDetection System (IDS). E

aquelasquedetectamtêmpoucavontadededivulgar,poisseriauma

publicidadenegativa.

Aindaassim:

•25%dasempresasusamalgumtipodeIDS;

•17%destasreportaramtentativasdeinvasãoeletrônica.

Os invasores sabem como abrir válvulas, apertar botões, abrir/

fechar disjuntores, então é de se supor que, se eles invadirem o

sistema,queiramfazerisso.É,portanto,necessárioeinadiávelumato

deresponsabilidadeparacomasociedadeemgeraleconsumidores

discutirasameaçaseestudarosmétodosdemitigaçãodosriscos.

A segurança deve ser uma atitude empresarial. Uso de senhas,

váriosníveisdeacessoeauditoriade loginsdevemserutilizadosde

formacuidadosa,apesardeaumentarosprocedimentosburocráticos.

Vamosrelacionarabaixoalgunsitensquedevemsercuidadosamente

consideradosnoplanejamentoenadefiniçãodapolíticadesegurança.

Citamostermosimportantes,aindasementrarnosdetalhesdecadaum

deles:

- Tecnologia TCP/IP – Transmissão de pacotes

•Sniffers – Ethereal – Wireshark.

•Avaliaçãoderiscos.Operigovemdedentro.

- Firewalls. Software ou software + hardware

•Filtrodepacotes–Política“negartudo”ou“permitirtudo”

efazerasexceçõesàregra.

•Filtrodeaplicações–proxy.

Event Logging – Syslog;

Intrusion Detection Systems (IDS);

Intrusion Prevention Systems (IPS);

Condições de alarmes.

74O Setor Elétrico / Junho de 2010

Apoio

Figura 1 – Cenário de uma invasão.

Auto

maçã

o de

sub

esta

ções

-Roteadores –proveem IDS, IPS, Event Logging, controledeacesso

porIP,PortNumber,gerenciamentodeseparaçãodetráfego,perímetro

eletrônicodesegurançaeIEEE1613.

-Controledeacesso,switchesoupontodeacessowireless.

•IEEE802.1XRemoteAuthenticationDialInUserService

(Radius)–Passaporteparaentrarnarede.MACAddress.

•TACACS–TerminalAccessControler–AccessControlSys.

-Switchescomoalternativadesegurança.VLAN–IEEE802.1Q,CoS

-802.1P,RSTP–802.1W.

-VirtualPrivateNetwork(VPN)–criptografia–autenticação.

•InternetProtocolSecurity(IPsec)–RFC4301,4302,4303.

- IEEE 1613 – Standard Environmental and Test Requirement for

Communication Networking Devices in Electric Power Substations.

Imunidadeecompatibilidadeeletromagnética–IEC61850-3.

A área de segurança de redes é uma ciência e vários órgãos

internacionaispropõemsugestõesdecomportamentooumedidasque

asempresasdevemobservar.Umadelasé:

IEEE 1402-2000 – Guia para segurança física e eletrônica de subestações

do sistema de potência.

Itensdealertaquefragilizamarede:

•Errosgrosseiros,confusãoeomissão.Resetsacidentaisde relésde

proteção,imperíciaounegligêncianamanutençãodarede;

• Fraudes, roubos, atividades criminais, hacker, attacker e intruder.

Motivaçãoeconômica–prejuízosdeUS$123milhõesanuais;

•Empregadosdescontenteseinescrupulosos,retaliaçãoeinsiders;

• Curiosidade, ignorância, invasões por recreação ou maliciosa e

hackers;

• Espionagem industrial. Em 1999, os prejuízos foram de US$ 60

milhões;

•Códigomalicioso:malware,vírus,worms,cavalosdetróia,bombas

relógio,etc.quecrescemexponencialmente;

•Abriranexoeclicaremlinksdee-mailsdesconhecidos;

•Programasqueprometemaumentaravelocidadedesuarede,mas

estãoroubandoinformações;

•Contramedidasaataqueseletrônicosfinanciadospelosgovernosde

váriospaíses.

A subestação como o ponto mais vulnerável de todo sistema elétrico Avaliação de riscos

A subestaçãodeenergiaelétricaéumpontovulnerável,porque

permitemacessoremotoepoucaspossuemmecanismosdeproteção,

IDS, IPSoufirewalls, comoagravantequeuma falhapodeassumir

proporçõesnacionais.

Linhasdecomunicaçãoentre subestações,centrosdecontrolee

computadoresderedecorporativasãodeconhecimentopúblico.

TodososIEDssãosuscetíveisaataques.Pormeiodeumaconexão

telefônica, um profissional pode “resetar” o dispositivo, ou mudar

oseu“ajuste”.Um“intrusoeletrônico”pode“discar”emumaporta

desprotegidaecolocaro“controladordedisjuntor”emumnívelde

tolerância alto a controles, permitindo telecomandos.Tambémpode

colocar o equipamento em condições muito sensíveis, acima das

operaçõesnormais,equecausam“shutdown”paraautoproteção.

Observamos na Figura 1 o cenário provável de uma invasão

eletrônica.Usandoum“programadiscador”,ointrusofazumavarredura

nosnúmerosacimaeabaixodonúmerotelefônicodasubestação,que

édeconhecimentopúblico,procurandoporrespostademodems.Pode

usartambémumaplicativodePing,pesquisandomilharesdeIPsacima

eabaixodoIPdaconcessionária,queédeconhecimentopúblico.

Quando uma provável conexão é identificada, são emitidos

múltiplos“enters”,“pontosdeinterrogação”,“help”and“hello”,para

conseguir informaçõesdo tipodaconexão.Quandoéconseguidoo

diálogode“login”,ointrusousa“engenhariasocial”paradeterminara

senha.Oulançaumataquecom“dicionários”oude“forçabruta”.

Quandoaconexão forcompletada,o intrusoestádentrodeum

IED,controladorouScada.Podefazershutdown,mudarajustes,juntar

informaçõesparafuturosataques,“plantar”códigosmaliciosos,etc.Este

ataqueclássicopodesersomadoàengenhariasocialeaoutrosque

exemplificamosnaFigura2.

Engenhariasocialéaaçãodeumapessoamalintencionadaquese

fazpassarporumaoumaispessoas,enganandooscolaboradoresde

umaorganização.Estapessoautilizanomesdeusuárioseadministrador

coletadas previamente. Com isso, consegue obter informações

privilegiadas,comosenhas,ou induzirpessoasaexecutaraçõesque

enfraqueçamasegurança,comoexecutarumtrojan.

O método mais simples, mais usado e mais eficiente que os

engenheirossociaisutilizamparadescobrirumasenhaéperguntando.

Se o colaborador da empresa estiver despreparado, há possibilidade

deseobtercomsucessoarespostapositivaàperguntacerta,assim,o

engenheirosocialiráganharacesso,controlareconseguirmaisacesso.

Muitosataquesdeengenhariasocialsãocomplicados,envolvem

diversas etapas e planejamento elaborado, além de combinar o

76O Setor Elétrico / Junho de 2010

Apoio

Figura 2 – Métodos de ataque.

Auto

maçã

o de

sub

esta

ções

conhecimentodamanipulaçãoedatecnologia.

O início, namaioria das vezes, dá-se pormeio de pesquisa na

internetsobreainstituiçãoouoalvodeataque.Depossedealgumas

informações, o ataque é preparado, podendo ser feito por telefone,

ousepassandoporumfuncionárioterceirizadoqueprestaserviçosà

organização.

Contramedidas A prevenção é a melhor política. Descrevemos resumidamente

algunsmétodos:

Autenticação – Dispositivosautorizadosautenticamunsaosoutros,

trocando “chaves” – equivalente à senha. Gateway pode autenticar

novosdispositivosqueentramnarede.

•Smartcards–geramasenhaemtemporealeelaéenviadanaredee

podeserinterceptada;

•Verificaçãodaintegridade–equivalenteaochecksum;

•Etiquetadetempoevitaataquesde“replays”;

•Criptografia–algoritmossimétricoseassimétricos,chavesduplas;

•PKI–PublicKeyEncryption;

•IPsec–criptografaospacotesTCP/IP;

•AlgoritmosDiffie-Hellman–assimétricos.

•Nãopodeestaratreladaasoftwaresouahardwaresespecíficos;

•Nãopodehaverexceçãoaindivíduosougrupos.

Alémdaspolíticas,osinvestimentossãoindispensáveis.Énecessário

equiparseusistemacomrecursosdehardwareesoftware.

Fazempartedoconjuntodedispositivosdesegurança(hardware

ou softwares) as lans virtuais, firewalls e criptografia (certificados

digitais).Sobreaslansvirtuais,jádedicamosumcapítulointeiroquando

abordamosasarquiteturasderede.

Firewalls Responsável pela defesa do computador ou rede. Controla o

acessoaosistemapormeioderegrasefiltragemdedados.Filtragem

depacotes–redespequenasoumédiasquedefinemqueendereços

IPspodemtransitarnarede.Porexemplo,serviçosliberados(e-mail)ou

bloqueados(ICQ).

•Windows–ZoneAlarm–www.zonealarm.com;

•Linux–IPTables–www.iptables.org;

•TrabalhanascamadasIP(endereços)eTCP(serviços);

• Controle de aplicações – (exemplos SMTP, FTP, HTTP) – instalados

em servidores conhecidos como proxy. Mais seguro, não permite a

comunicaçãodiretadocomputadorcomainternetetudopassapeloproxy;

•Permiteacompanhamentodetráfegoderede;

•Recursosdelogs;

•Ferramentasdeauditoria.

Exemplos e sugestões:

•As portasTCP que podem ser liberadas e continuar mantendo a

segurançadasuaredesão:portadeFTP,HTTP,HTTPSeserviçode

e-mail,comooBlackBerry3101.Bloqueieaporta110 (POP3)caso

oservidordecorreionãoautilize.Estaportapermitequeosusuários

de sua redepossambaixarmensagens particulares utilizando algum

softwaredecorreioeletrônico,sendoqueamaioriadosservidoresde

e-mailtrabalhaapenasutilizandoSMTPeIMAP.

•Eviteregrasexcessivasetestecadaumadelas.Asregrasdeexterna

parainternasãomuitoimportantes.Coloqueumaparacadaserviçode

suarede.Porexemplo:jamaislibereaporta23ou21quenãosejam

redirecionadosparaoservidorcorrespondente.Tambémnãofazsentido

liberaroserviçoHTTPS(443)deexternapara internasenãopossuir

algumservidorquetenhaSSLativo.

•Muitasempresaspossuemusuáriosqueprecisamenviararquivospara

ReceitaFederal.Nestecaso,identificaraqualIPeportaqueoprograma

da Receita Federal está tentando se conectar (netstat-aon) e liberar

somenteesseIPeportaespecífica.

Criptografia e certificados digitaisSymmetric Key Algorithms – amesmachavesecretaéusadapelo

transmissorereceptor.Usadohámilharesdeanos,éamesmachave

paracriptografaredescriptografareusamenosrecursoscomputacionais

Elaboração da política de segurança Quaisrecursosserãoprotegidos?Aquaisameaçasestamossujeitos?

Quaisasvulnerabilidadesquepodemconcretizarasameaças?

Considerarositensaseguir:

•Quemtemautoridadeparadefinirefazercumprir?

•Meiosdedivulgaçãodapolítica;

• Política de senhas, requisitos de formação (número mínimo de

caracteresalfanuméricos)eperíododevalidade;

•Direitoseresponsabilidadesdosusuários;

•Direitoseresponsabilidadesdoprovedorderecursos;

•Açõesprevistasnocasodeviolaçãodapolítica;

•Apoiodaadministraçãosuperioréfundamental;

•Periodicamenterevisada;

Métodos de Ataque - Contramedidas.

Autenticação - Verificação - Criptografia.

Apesardasmedidasdesegurança,suamensagempodesofrerataques:1.Interrupçãodoserviço-jamming2.Spoofing3.Homemnomeio4.Replay

TRANSMISSORReiescreveuma

mensagemparaseucomandante

1.Inundarsisternacommensagenssemnexo.(Bloquearaestradacompause

pedras

TRANSMISSÃOMensageirolevaamensgemnoterritóriohostil

3.Alguéminterceptaamensagememudaseu

conteúdo,semconhecimentodotransmisssoroudoreceptor.

4.Umamensagemverdadeira"deslocar15Kmaoeste",serepetidacausaerroenorme.

RECEPTORComandantedecampointerpretaamensagemetomaasaçõesapropriadas

2.Alguémsefazpassarpelorei,emandauma

mensagemfalsa.

77O Setor Elétrico / Junho de 2010

Apoio

Figura 3 – Criptografia e certificados digitais em subestações de energia elétrica.

*Equipe de engenharia da Schweitzer Engineering Laboratories (SEL)

CONTINUA NA PRÓXIMA EDIÇÃOConfira todos os artigos deste fascículo em www.osetoreletrico.com.br

Dúvidas, sugestões e comentários podem ser encaminhados para o e-mail redacao@atitudeeditorial.com.br

queoAsymmetric.Énecessáriocombinarachavecomantecedência.

Exemplos:PGPeSSL.

Asymmetric Key Algorithms – Chavesdiferentesparacriptografar

edescriptografar. É criadoumparde chaves –umapública eoutra

secreta. Mensagens criptografadas com a chave pública só podem

ser descriptografadas pela chave secreta.As chaves são relacionadas

matematicamente,maséimpossívelderivarachavesecretadachave

pública.Oalgoritmofoidemonstradonadécadade1970porWhitfield

DiffieeMartinHellman.

Problema central – Confiançaqueachavepúblicaécorretaeque

realmentepertenceàpessoaouentidadequeafirmapossuí-laenãofoi

modificadaporintrusosmaliciosos.

IPSec – combinadiferentestecnologiasparaprovermaiorsegurança,

comoummecanismodetrocadechavesdeDiffie-Hellman;criptografia

dechavepúblicaparaassinaras trocasdechavedeDiffie-Hellman,

garantindo,assim,aidentidadedasduasparteseevitandoataquesdo

tipoman-in-the-middle(emqueoatacantesefazpassarpelaoutraparte

emcadaumdossentidosdacomunicação);algoritmosdeencriptação

paragrandesvolumesdedados,comooDES(DataEncryptionStandard);

algoritmosparacálculodehash(restodeumadivisão,detamanhofixo)

comutilizaçãodechaves,comoHMACcombinadocomosalgoritmos

dehash tradicionais,comooMD5ouSHAautenticandoospacotes

ecertificadosdigitaisassinadosporumaautoridadecertificadora,que

agemcomoidentidadesdigitais.

Comoconsideraçõesfinais,poderíamosrelacionarosdispositivos

(hardwareesoftware)quenosauxiliariamnaproteçãodenossasredes.

Alistadedispositivoséextensa.

CitamososswitchesRuggedCommeGarretCommeGatewaySEL,

queincluemtodatecnologiadesegurançadecriptografiaecertificados

digitais,IPSECnassubestações.