72

O Setor Eltrico / Junho de 2010

Apo

io

Automao de subestaes

Equipe de engenharia da Schweitzer Engineering Laboratories (SEL)

Captulo VI

Segurana em redes de computadores aplicadas a subestaes de energia eltrica

At a dcada de 1990, os equipamentos de

automaoeproteodesubestaes,quej tinhamse

tornadomicroprocessados,aindaestavamforadas redes

decomputadores e compunhamsolues isoladas, sem

conexo fsica com a redemundial.As concepes de

seguranaestavamlimitadasa isolarestesequipamentos

em salas climatizadas, em que o acesso era restrito s

pessoas autorizadas; preservao contra incndios, etc.

Contendoasinvasesfsicas,osistemaestavaprotegidoe

emcondiesadequadasdesegurana.

Existem dois conceitos bsicos de segurana que

podemosnosservirdalnguainglesaparamelhordefini-

los:

Safety So os conceitos aplicados segurana das

pessoas.Iniciativassotomadasparamitigarsituaesde

riscoquepodem feriro serhumanoou,de formamais

geral, o meio ambiente. Existem normas mundiais que

disciplinamestamatria,sendoqueaIEC61508eaIEC

61511soasmaisconhecidas.

Security So conceitos aplicados segurana dos

ativosdeumaempresa.Asinstalaes,osequipamentos,

osnegcios,osfaturamentoseoslucros.Paraestecaso,

podemoscitaranormaIEC62351.

A consequncia de invases em uma rede de

computadores de uma empresa de energia eltrica

estmais ligada ao conceitode security.Apesarde a

seguranadaspessoastambmestarexpostaaorisco,este

artigoestfocadonaseguranadosativosdasempresas

e na continuidade de fornecimento de energia eltrica,

preservando os requisitos de qualidade definidos pela

AgnciaNacionaldeEnergiaEltrica(Aneel).

Comocrescimentoexponencialdautilizaoda

tecnologia TCP/IP e internet no mundo moderno, a

automaodesubestaesnoficouimune.Hoje,os

novosprojetosadotamTCP/IPdeformaampla,totale

irrestrita.

evidentequeosproblemasdeseguranaemredes

decomputadorespassaramaintegraraspreocupaesdos

profissionaisdetecnologiadeautomao,conhecidacomo

TA.Nestecontexto,foiadotadaaterminologiainvasoou

ataqueeletrnico(nocontextodeTIconhecidocomo

invasoouataqueciberntico).

As ameaas de invaso pormeios eletrnicos esto

aumentando por diversos fatores sociais, polticos e

tecnolgicos.

Nosdiasatuais,existemvriosfatoresquecontribuem

paraoaumentodenossaspreocupaes:

De mainframes e protocolos proprietrios, passamos

pararedesdistribudaseprotocolosabertos.Interligaode

redesoriginalmenteisoladaspormeiodestesprotocolos;

Pressonaindstriapelaautomatizaoecortedecustos

paramantermargemdelucros;

Legislao Nacional, Operador Nacional do Sistema

(ONS) e Agncia Nacional de Energia Eltrica (Aneel).

O consumidor tem o direito de acessar dados das

concessionriasdeserviopblicos(servidoresWeb);

Aumento da capacidade e complexidade do Sistema

InterligadoNacional (SIN), de gerao e transmissode

energia.Paradoxalmente,aumentasuafragilidade;

Aumento vertiginoso da interconectividade a sites

remotospormeiodemodemsdiscadosouinternet;

Instabilidadenomercadodetrabalhonasempresasde

energia,causadospelacompetioedesregulamentao;

AumentodeincidentesChina,GoogleeIntel;

Rpido aumento da populao com habilidades e

conhecimentosconsistentesemredesdecomputadores;

Disseminaodeliteraturaeferramentasdehackerspela

73

O Setor Eltrico / Junho de 2010

Apo

io

internet;

Aumento do nmero de pases com iniciativas sustentadas pelo

governodecontramedidasinvasoouataqueseletrnicos.

Invaso ou ataque eletrnico o acesso subestao via linhas telefnicas ou outros meios

eletrnicos para manipular ou causar distrbios nos Dispositivos

Eletrnicos Inteligentes (IEDs). Estes IEDs incluem rels digitais,

registradores de faltas, equipamentos de diagnsticos, oscilgrafos,

equipamentos de automao, Unidades de Aquisio e Controle

(UACs),UnidadesTerminaisRemotas(UTRs),computadoresservidores

dasubestao,ControladoresLgicosProgramveis(CLPs)einterfaces

decomunicao.

A extenso dos ataques eletrnicos ainda desconhecida,

pois poucas empresas possuem IntrusionDetection System (IDS). E

aquelasquedetectamtmpoucavontadededivulgar,poisseriauma

publicidadenegativa.

Aindaassim:

25%dasempresasusamalgumtipodeIDS;

17%destasreportaramtentativasdeinvasoeletrnica.

Os invasores sabem como abrir vlvulas, apertar botes, abrir/

fechar disjuntores, ento de se supor que, se eles invadirem o

sistema,queiramfazerisso.,portanto,necessrioeinadivelumato

deresponsabilidadeparacomasociedadeemgeraleconsumidores

discutirasameaaseestudarosmtodosdemitigaodosriscos.

A segurana deve ser uma atitude empresarial. Uso de senhas,

vriosnveisdeacessoeauditoriade loginsdevemserutilizadosde

formacuidadosa,apesardeaumentarosprocedimentosburocrticos.

Vamosrelacionarabaixoalgunsitensquedevemsercuidadosamente

consideradosnoplanejamentoenadefiniodapolticadesegurana.

Citamostermosimportantes,aindasementrarnosdetalhesdecadaum

deles:

- Tecnologia TCP/IP Transmisso de pacotes

Sniffers Ethereal Wireshark.

Avaliaoderiscos.Operigovemdedentro.

- Firewalls. Software ou software + hardware

FiltrodepacotesPolticanegartudooupermitirtudo

efazerasexceesregra.

Filtrodeaplicaesproxy.

Event Logging Syslog; Intrusion Detection Systems (IDS); Intrusion Prevention Systems (IPS); Condies de alarmes.

74

O Setor Eltrico / Junho de 2010

Apo

io

Figura 1 Cenrio de uma invaso.

Automao de subestaes -Roteadores proveem IDS, IPS, Event Logging, controledeacesso

porIP,PortNumber,gerenciamentodeseparaodetrfego,permetro

eletrnicodeseguranaeIEEE1613.

-Controledeacesso,switchesoupontodeacessowireless.

IEEE802.1XRemoteAuthenticationDialInUserService

(Radius)Passaporteparaentrarnarede.MACAddress.

TACACSTerminalAccessControlerAccessControlSys.

-Switchescomoalternativadesegurana.VLANIEEE802.1Q,CoS

-802.1P,RSTP802.1W.

-VirtualPrivateNetwork(VPN)criptografiaautenticao.

InternetProtocolSecurity(IPsec)RFC4301,4302,4303.

- IEEE 1613 Standard Environmental and Test Requirement for

Communication Networking Devices in Electric Power Substations.

ImunidadeecompatibilidadeeletromagnticaIEC61850-3.

A rea de segurana de redes uma cincia e vrios rgos

internacionaispropemsugestesdecomportamentooumedidasque

asempresasdevemobservar.Umadelas:

IEEE 1402-2000 Guia para segurana fsica e eletrnica de subestaes

do sistema de potncia.

Itensdealertaquefragilizamarede:

Errosgrosseiros,confusoeomisso.Resetsacidentaisde relsde

proteo,imperciaounegligncianamanutenodarede;

Fraudes, roubos, atividades criminais, hacker, attacker e intruder.

MotivaoeconmicaprejuzosdeUS$123milhesanuais;

Empregadosdescontenteseinescrupulosos,retaliaoeinsiders;

Curiosidade, ignorncia, invases por recreao ou maliciosa e

hackers;

Espionagem industrial. Em 1999, os prejuzos foram de US$ 60

milhes;

Cdigomalicioso:malware,vrus,worms,cavalosdetria,bombas

relgio,etc.quecrescemexponencialmente;

Abriranexoeclicaremlinksdee-mailsdesconhecidos;

Programasqueprometemaumentaravelocidadedesuarede,mas

estoroubandoinformaes;

Contramedidasaataqueseletrnicosfinanciadospelosgovernosde

vriospases.

A subestao como o ponto mais vulnervel de todo sistema eltrico Avaliao de riscos

A subestaodeenergiaeltricaumpontovulnervel,porque

permitemacessoremotoepoucaspossuemmecanismosdeproteo,

IDS, IPSoufirewalls, comoagravantequeuma falhapodeassumir

proporesnacionais.

Linhasdecomunicaoentre subestaes,centrosdecontrolee

computadoresderedecorporativasodeconhecimentopblico.

TodososIEDssosuscetveisaataques.Pormeiodeumaconexo

telefnica, um profissional pode resetar o dispositivo, ou mudar

oseuajuste.Umintrusoeletrnicopodediscaremumaporta

desprotegidaecolocarocontroladordedisjuntoremumnvelde

tolerncia alto a controles, permitindo telecomandos.Tambmpode

colocar o equipamento em condies muito sensveis, acima das

operaesnormais,equecausamshutdownparaautoproteo.

Observamos na Figura 1 o cenrio provvel de uma invaso

eletrnica.Usandoumprogramadiscador,ointrusofazumavarredura

nosnmerosacimaeabaixodonmerotelefnicodasubestao,que

deconhecimentopblico,procurandoporrespostademodems.Pode

usartambmumaplicativodePing,pesquisandomilharesdeIPsacima

eabaixodoIPdaconcessionria,quedeconhecimentopblico.

Quando uma provvel conexo identificada, so emitidos

mltiplosenters,pontosdeinterrogao,helpandhello,para

conseguir informaesdo tipodaconexo.Quandoconseguidoo

dilogodelogin,ointrusousaengenhariasocialparadeterminara

senha.Oulanaumataquecomdicionriosoudeforabruta.

Quandoaconexo forcompletada,o intrusoestdentrodeum

IED,controladorouScada.Podefazershutdown,mudarajustes,juntar

informaesparafuturosataques,plantarcdigosmaliciosos,etc.Este

ataqueclssicopodesersomadoengenhariasocialeaoutrosque

exemplificamosnaFigura2.

Engenhariasocialaaodeumapessoamalintencionadaquese

fazpassarporumaoumaispessoas,enganandooscolaboradoresde

umaorganizao.Estapessoautilizanomesdeusurioseadministrador

coletadas previamente. Com isso, consegue obter informaes

privilegiadas,comosenhas,ou induzirpessoasaexecutaraesque

enfraqueamasegurana,comoexecutarumtrojan.

O mtodo mais simples, mais usado e mais eficiente que os

engenheirossociaisutilizamparadescobrirumasenhaperguntando.

Se o colaborador da empresa estiver despreparado, h possibilidade

deseobtercomsucessoarespostapositivaperguntacerta,assim,o

engenheirosocialirganharacesso,controlareconseguirmaisacesso.

Muitosataquesdeengenhariasocialsocomplicados,envolvem

diversas etapas e planejamento elaborado, alm de combinar o

76

O Setor Eltrico / Junho de 2010

Apo

io

Figura 2 Mtodos de ataque.

Automao de subestaes conhecimentodamanipulaoedatecnologia.

O incio, namaioria das vezes, d-se pormeio de pesquisa na

internetsobreainstituioouoalvodeataque.Depossedealgumas

informaes, o ataque preparado, podendo ser feito por telefone,

ousepassandoporumfuncionrioterceirizadoqueprestaservios

organizao.

Contramedidas A preveno a melhor poltica. Descrevemos resumidamente

algunsmtodos:

Autenticao Dispositivosautorizadosautenticamunsaosoutros,

trocando chaves equivalente senha. Gateway pode autenticar

novosdispositivosqueentramnarede.

Smartcardsgeramasenhaemtemporealeelaenviadanaredee

podeserinterceptada;

Verificaodaintegridadeequivalenteaochecksum;

Etiquetadetempoevitaataquesdereplays;

Criptografiaalgoritmossimtricoseassimtricos,chavesduplas;

PKIPublicKeyEncryption;

IPseccriptografaospacotesTCP/IP;

AlgoritmosDiffie-Hellmanassimtricos.

Nopodeestaratreladaasoftwaresouahardwaresespecficos;

Nopodehaverexceoaindivduosougrupos.

Almdaspolticas,osinvestimentossoindispensveis.necessrio

equiparseusistemacomrecursosdehardwareesoftware.

Fazempartedoconjuntodedispositivosdesegurana(hardware

ou softwares) as lans virtuais, firewalls e criptografia (certificados

digitais).Sobreaslansvirtuais,jdedicamosumcaptulointeiroquando

abordamosasarquiteturasderede.

Firewalls Responsvel pela defesa do computador ou rede. Controla o

acessoaosistemapormeioderegrasefiltragemdedados.Filtragem

depacotesredespequenasoumdiasquedefinemqueendereos

IPspodemtransitarnarede.Porexemplo,serviosliberados(e-mail)ou

bloqueados(ICQ).

WindowsZoneAlarmwww.zonealarm.com;

LinuxIPTableswww.iptables.org;

TrabalhanascamadasIP(endereos)eTCP(servios);

Controle de aplicaes (exemplos SMTP, FTP, HTTP) instalados

em servidores conhecidos como proxy. Mais seguro, no permite a

comunicaodiretadocomputadorcomainternetetudopassapeloproxy;

Permiteacompanhamentodetrfegoderede;

Recursosdelogs;

Ferramentasdeauditoria.

Exemplos e sugestes:

As portasTCP que podem ser liberadas e continuar mantendo a

seguranadasuaredeso:portadeFTP,HTTP,HTTPSeserviode

e-mail,comooBlackBerry3101.Bloqueieaporta110 (POP3)caso

oservidordecorreionoautilize.Estaportapermitequeosusurios

de sua redepossambaixarmensagens particulares utilizando algum

softwaredecorreioeletrnico,sendoqueamaioriadosservidoresde

e-mailtrabalhaapenasutilizandoSMTPeIMAP.

Eviteregrasexcessivasetestecadaumadelas.Asregrasdeexterna

parainternasomuitoimportantes.Coloqueumaparacadaserviode

suarede.Porexemplo:jamaislibereaporta23ou21quenosejam

redirecionadosparaoservidorcorrespondente.Tambmnofazsentido

liberaroservioHTTPS(443)deexternapara internasenopossuir

algumservidorquetenhaSSLativo.

Muitasempresaspossuemusuriosqueprecisamenviararquivospara

ReceitaFederal.Nestecaso,identificaraqualIPeportaqueoprograma

da Receita Federal est tentando se conectar (netstat-aon) e liberar

somenteesseIPeportaespecfica.

Criptografia e certificados digitaisSymmetric Key Algorithms amesmachavesecretausadapelo

transmissorereceptor.Usadohmilharesdeanos,amesmachave

paracriptografaredescriptografareusamenosrecursoscomputacionais

Elaborao da poltica de segurana Quaisrecursosseroprotegidos?Aquaisameaasestamossujeitos?

Quaisasvulnerabilidadesquepodemconcretizarasameaas?

Considerarositensaseguir:

Quemtemautoridadeparadefinirefazercumprir?

Meiosdedivulgaodapoltica;

Poltica de senhas, requisitos de formao (nmero mnimo de

caracteresalfanumricos)eperododevalidade;

Direitoseresponsabilidadesdosusurios;

Direitoseresponsabilidadesdoprovedorderecursos;

Aesprevistasnocasodeviolaodapoltica;

Apoiodaadministraosuperiorfundamental;

Periodicamenterevisada;

Mtodos de Ataque - Contramedidas.

Autenticao - Verificao - Criptografia.

Apesardasmedidasdesegurana,suamensagempodesofrerataques:1.Interrupodoservio-jamming2.Spoofing3.Homemnomeio4.Replay

TRANSMISSORReiescreveuma

mensagemparaseucomandante

1.Inundarsisternacommensagenssemnexo.(Bloquearaestradacompause

pedras

TRANSMISSOMensageirolevaamensgemnoterritriohostil

3.Alguminterceptaamensagememudaseu

contedo,semconhecimentodotransmisssoroudoreceptor.

4.Umamensagemverdadeira"deslocar15

Kmaoeste",serepetidacausaerroenorme.

RECEPTORComandantedecampointerpretaamensagemetomaasaesapropriadas

2.Algumsefazpassarpelorei,emandauma

mensagemfalsa.

77

O Setor Eltrico / Junho de 2010

Apo

io

Figura 3 Criptografia e certificados digitais em subestaes de energia eltrica.

*Equipe de engenharia da Schweitzer Engineering Laboratories (SEL)

CONTINUA NA PRXIMA EDIOConfira todos os artigos deste fascculo em www.osetoreletrico.com.br

Dvidas, sugestes e comentrios podem ser encaminhados para o e-mail redacao@atitudeeditorial.com.br

queoAsymmetric.necessriocombinarachavecomantecedncia.

Exemplos:PGPeSSL.

Asymmetric Key Algorithms Chavesdiferentesparacriptografar

edescriptografar. criadoumparde chaves umapblica eoutra

secreta. Mensagens criptografadas com a chave pblica s podem

ser descriptografadas pela chave secreta.As chaves so relacionadas

matematicamente,masimpossvelderivarachavesecretadachave

pblica.Oalgoritmofoidemonstradonadcadade1970porWhitfield

DiffieeMartinHellman.

Problema central Confianaqueachavepblicacorretaeque

realmentepertencepessoaouentidadequeafirmapossu-laenofoi

modificadaporintrusosmaliciosos.

IPSec combinadiferentestecnologiasparaprovermaiorsegurana,

comoummecanismodetrocadechavesdeDiffie-Hellman;criptografia

dechavepblicaparaassinaras trocasdechavedeDiffie-Hellman,

garantindo,assim,aidentidadedasduasparteseevitandoataquesdo

tipoman-in-the-middle(emqueoatacantesefazpassarpelaoutraparte

emcadaumdossentidosdacomunicao);algoritmosdeencriptao

paragrandesvolumesdedados,comooDES(DataEncryptionStandard);

algoritmosparaclculodehash(restodeumadiviso,detamanhofixo)

comutilizaodechaves,comoHMACcombinadocomosalgoritmos

dehash tradicionais,comooMD5ouSHAautenticandoospacotes

ecertificadosdigitaisassinadosporumaautoridadecertificadora,que

agemcomoidentidadesdigitais.

Comoconsideraesfinais,poderamosrelacionarosdispositivos

(hardwareesoftware)quenosauxiliariamnaproteodenossasredes.

Alistadedispositivosextensa.

CitamososswitchesRuggedCommeGarretCommeGatewaySEL,

queincluemtodatecnologiadeseguranadecriptografiaecertificados

digitais,IPSECnassubestaes.