Uma nova solução para evitar “Supply Chain Attacks” e garantir a integridade do firmware/software instalado em ambientes OT / Críticos

Foi em novembro de 2014, quando publicámos este artigo no qual explicávamos como a APT Dragonfly tinha sido capaz de:

1. Aceder às áreas de download de firmware das empresas Mesa Imaging (fornecedor de câmaras utilizadas para visão guiada de veículos em ambientes industriais), eWon e MB Connect (fornecedores de soluções para acesso remoto e telegestão de ambientes industriais).
2. Modificar o software/firmware (principalmente drivers) legítimo e os certificados emitidos pelos fabricantes, incluindo no firmware um malware malicioso (um troiano em particular).
3. Proporcionar aos utilizadores o acesso a este firmware “modificado”, de forma que a infeção se realizava através do download e instalação do referido firmware não legítimo.

A astúcia do grupo APT, juntamente com, provavelmente, a ausência de procedimentos e sistemas que permitissem comparar a função Hash primigénia fornecida pelo fabricante com a que se obteria após descarregar o firmware, fizeram com que diferentes empresas dos setores farmacêutico, alimentar, de bebidas e águas fossem infetadas.

Este tipo de ataques, conhecido como “Supply Chain Attack”, é cada vez mais comum. De facto, no último relatório publicado pela ENISA (ENISA Landscape 2018), faz-se menção em várias ocasiões a este tipo de ameaça.

Com o objetivo de evitar este tipo de ataques, o fundador da Tofino Eric Byres, em colaboração com o DHS (Department of Homeland Security), criou uma nova empresa chamada Adolus que desenvolveu uma solução denominada FACT (Framework for Analysis and Coordinated Trust).

Como funciona o FACT?

De forma resumida, o FACT funciona assim:

1. Os fabricantes que desenvolvem software ou dispositivos que contêm firmware/software subscrevem o serviço aDolus (através da solução FACT).
2. As empresas (utilizadores finais) que utilizam estes software/dispositivos podem validar as correções e atualizações de software novos antes de os instalar em equipamentos críticos.

Na figura seguinte, acessível aqui, resume-se como funciona o FACT.

A) Os “Vendors” criam um Digital Fingerprint

Os fabricantes certificados pela Adolus criam uma “digital fingerprint” do software/firmware legítimo que desenvolveram. A transferência desta “digital fingerprint” é realizada através de uma comunicação encriptada para o servidor da Adolus.

B) O FACT verifica a autenticidade do firmware/software

Dentro do FACT, verifica-se a autenticidade dos arquivos remetidos e guarda-se no que se denomina “Trust Repository”.

A partir do Trust Repository, procede-se à análise e à compreensão aprofundada dos subcomponentes do software e se contém vulnerabilidades.

C) O “Asset Owner” comprova a integridade do firmware/software que pretende instalar.

Dentro do FACT, o utilizador descarrega o firmware/software que pretende incorporar/atualizar no seu ambiente crítico ou de produção da forma habitual (DVD, download, ISO, etc.).
Com o firmware/software descarregado, acede ao FACT e, com a ferramenta cliente, cria a sua própria “digital fingerprinting” do referido firmware/software.

D) O FACT realiza a comparação entre ambos os Digital Fingerprints

O FACT compara a digital fingerprint do fabricante (localizada no Trust Repository) com o digital fingerprinting gerado pelo utilizador.
Se coincidirem, o software/firmware é legítimo; caso contrário, foi modificado ou alterado. Além disso, o FACT fornece uma pontuação do grau de segurança do firmware/software, fornecendo uma análise das principais vulnerabilidades encontradas.

Quer ver um exemplo?

A seguir, podemos ver um exemplo de como se realiza este fluxo na Adolus.

1. Um utilizador tem de atualizar o firmware de um PLC da Rockwell. Fornecem-lhe este ficheiro “PN-85386.bin” para o efeito. É fiável?

2. No FACT observa-se que o ficheiro possui um certificado emitido pelo fabricante.

3. No caso seguinte, observa-se que o firmware que se pretende analisar é composto por submódulos que contêm vulnerabilidades específicas, não sendo recomendável a sua instalação.

Sem dúvida, as consultoras/engenheiras contam com uma excelente solução para garantir que o software/firmware que é implementado em ambientes críticos não foi manipulado. Em paralelo, é absolutamente necessário contar com um modelo de controlo no qual tenham sido concebidas e escritas políticas e procedimentos específicos que padronizem a forma de trabalhar quando for necessário atualizar ou incorporar novo software/firmware em ambientes OT.