Ataques básicos de phishing e ferramentas que estão facilmente disponíveis na Internet é tudo o que é necessário para se comprometerem sistemas industriais, afirma o responsável pela ciber-segurança do Departamento Americano de Energia e Reservas de Petróleo.

No congresso ISC Security que se realizou em Atlanta, Chris Shipp afirmou que ataques sofisticados com o Stuxnet não são necessários para se penetrar e comprometer os sistemas de controlo industriais. Nesta lista incluem-se os sistemas utilizados para se operarem estações de produção de energia, nomeadamente as nucleares e hidroeléctricas.

Shipp afirmou que já se deparou com mais de uma situação em que os sistemas foram comprometidos, utilizando-se para o efeito ataques básicos de phishing e ferramentas que os atacantes conseguiam encontrar no site Metaspoit.

O mesmo responsável afirma que muitos sistemas de controlo industrial continuam ligados à Internet, através de redes empresariais – em muitos casos para receberem actualizações ou por outras razões ligadas à produção. Isto claro, torna-as vulneráveis.

Uma demonstração neste evento revelou como um simples ataque de phishing seguido da instalação de um keylogger foi suficiente para para se obter controlo de uma estação de trabalho e ganhar-se acesso a sistemas vulneráveis.

Muitas estações eléctricas utilizam sistemas de rede baseados em Windows, ao invés de sistemas proprietários. Isto significa que os atacantes poderão aceder às mesmas através de um sistema operativo que já lhes é familiar.

Deixe uma resposta

O seu endereço de email não será publicado. Campos obrigatórios marcados com *

*