Baixe o app para aproveitar ainda mais
Prévia do material em texto
Copyright © ELEKTRO – Eletricidade e Serviços SA. Todos os direitos reservados. Proibida a reprodução total ou parcial, de qualquer forma e por qualquer meio mecâ- nico ou eletrônico, inclusive através de fotocópias e de gravações, sem a expressa per- missão do autor. Todo o conteúdo desta obra é de inteira responsabilidade do autor. Editora Schoba Rua dos Andradas, 834 – Centro – Itu – São Paulo – Brasil CEP: 13.300-170 Fone/Fax: +55 (11) 2429.8990 E-mail: atendimento@gruposchoba.com.br www.editoraschoba.com.br CIP-Brasil. Catalogação na Publicação Sindicato Nacional dos Editores de Livros, RJ S946a Suiama, Danilo Yoshio Avaliação de segurança em medidores eletrônicos / Danilo Yoshio Suiama. - 1. ed. - Salto, SP : Schoba, 2015. 368 p. : il. ; 23 cm. ISBN 978-85-8013-427-8 1. Recursos energéticos - Brasil. 2. Política energética - Brasil. 3. Desenvolvimento sustentável. I. Título. 15-27188 CDD: 333.790981 CDU: 620.91(81) Este livro foi elaborado no âmbito do projeto de P&D denominado “Seguran- ça em Medidores” sob número ANEEL PD-0385-0050/2012, que teve como empresa proponente a ELEKTRO – Eletricidade e Serviços SA. O projeto foi coordenado pela Instituição CPqD – Centro de Pesquisa e Desenvolvimento em Telecomunicações. O conteúdo deste livro reflete a opinião dos autores, com base nos estudos e relatórios produzidos ao longo da pesquisa. Nenhuma parte deste livro pode ser reproduzida, sob qualquer forma, sem prévia autorização dos autores. Coordenador de Pesquisa e Desenvolvimento José Francisco Resende da Silva Gerente do Projeto Danilo Yoshio Suiama Pesquisadores das entidades parceiras Segurança Metrologia Rafael De Simone Cividanes Luiz Damiao Araujo Nelson Uto Roberto Noritaka Ohashi Bruno Alves Pereira Botelho Celso Pinto Saraiva Jefferson Rodrigo Capovilla Rafael de Biasi Ribeiro Parth Bhatt Carlos Daniel Vicente Johny de Souza José Antônio Donizete Rossi Rafael Pereira Rosa Ricardo Henrique Leoni Sérgio Luís Ribeiro Vicente Olímpio Pavan Emilio Tissato Nakamura Idelma Lima Christiane Cuculo Wagner Moreira da Silva Jose Reynaldo Formigoni Filho Pesquisadores da entidade patrocinadora Danilo Yoshio Suiama Emerson Furlaneto Heron Fontana Patrícia Benedito Inácio Dantas Rubens Pinhatti Eric Saldanha Daniel Picchi Entidades parceiras no desenvolvimento da pesquisa CPqD 7 Prefácio Na Elektro adotamos diversas práticas sustentáveis. Nossa atuação é orienta-da por iniciativas que auxiliam na construção de uma sociedade mais justa, garantindo a harmonia entre os aspectos econômicos, sociais e ambientais. Além disso, acreditamos, por meio da nossa Filosofia de Gestão, que é pos- sível construir a Sustentabilidade do negócio por meio de iniciativas focadas na geração de inovação tecnológica e de processos, incentivando, e firmando projetos e ações que visem o mesmo objetivo. O conceito de redes inteligentes (do Inglês Smart City) apresentou uma evolução significativa nos últimos anos, tornando-se atualmente um dos temas mais estudados e aplicados no setor elétrico mundial. Muitos são os desafios para que este tema alcance amplitude e aplicação em larga escala, e os principais deles são: • Tecnológicos; • Regulatórios; • Relação Concessionária, Regulador e Cliente; • Mudanças de processos internos das concessionárias; • Entendimento e aceitação do Cliente. Estes e muitos outros estão na lista dos temas a serem estudados e inseridos em um modelo replicável para o setor elétrico brasileiro. Todavia, um desafio tecnológico nos chama a atenção, os medidores de 8 energia. Neste novo cenário; ambiente em que a comunicação entre o medidor do cliente e concessionária deve ocorrer por canais de frequência, Internet, redes sem fio entre outros; o risco de ataques cibernéticos torna-se uma potencial re- alidade. Com este contexto, o projeto em questão, encara o desafio de estudar a vulnerabilidade de diversos medidores de energia para permitir que fabricantes, distribuidoras de energia e clientes, possam ter maior segurança quanto a estas tentativas de invasão. Dessa forma, por meio de pesquisas, ensaios e a criação de laboratórios para verificação de vulnerabilidades, espera-se selar e ampliar o conhecimento sobre o tema, reduzindo impactos tanto para os clientes como para a distribuidora, garantindo que a segurança, nosso valor número um, também esteja presente no processo de criação das Redes e Cidades Inteligentes. 11 Sumário INTRODUÇÃO ................................................................................. 31 REFERÊNCIAS .................................................................................. 35 1. CONTEXTUALIZAÇÃO SOBRE SEGURANÇA DE MEDIDORES DE ENERGIA ...................................................... 39 1.1 SEGURANÇA EM SMART GRID/SMART METERS ...................... 41 1.1.1 Europa .............................................................................. 41 1.1.2 Estados Unidos ................................................................ 43 1.1.3 Canadá ............................................................................. 44 1.2 ENTIDADES REPRESENTATIVAS EM SEGURANÇA DE SMART GRID .................................................. 45 1.2.1 National Institute of Standards and Technology (NIST) ....... 45 1.2.2 National Electric Sector Cybersecurity Organization Resource (NESCOR) .............................................. 47 1.2.3 Privacy by Design (PbD) ................................................... 49 1.3 CASOS DE ATAQUES CONHECIDOS ......................................... 50 1.3.1 Stuxnet ............................................................................. 50 REFERÊNCIAS .................................................................................. 52 2. VULNERABILIDADES INERENTES ÀS TECNOLOGIAS EXISTENTES NOS MEDIDORES ........................ 55 2.1 VULNERABILIDADES E AMEAÇAS EM MEDIDORES INTELIGENTES ...................................................... 56 2.2 CENÁRIO NACIONAL .................................................................. 56 2.2.1 Propagação de código malicioso ...................................... 57 2.2.2 Exposição da privacidade do usuário ................................ 57 2.2.3 Fraudes de consumo ........................................................ 57 2.3 EXEMPLO DE ATAQUE DE FRAUDE NO CONSUMO .................. 58 2.3.1 Árvore de ataque .............................................................. 58 2.3.2 Ataque de falsificação de medidor (Spoof meter) .............. 61 REFERÊNCIAS .................................................................................. 63 3. ANÁLISE DE AMEAÇAS E POSSÍVEIS ATAQUES NO CENÁRIO BRASILEIRO .......................................... 67 3.1 ANÁLISE DE AMEAÇAS EM SMART METERS ............................ 68 3.2 ATAQUES POSSÍVEIS ................................................................. 70 3.3 MÉTODOS E NORMAS APLICÁVEIS ........................................... 73 3.3.1 Confiabilidade metrológica e segurança de softwares embarcados ........................................ 74 3.3.2 Principais abordagens da regulamentação OIML .............. 74 3.3.3 NIST NISTIR 7823 ............................................................ 74 3.3.4 Regulamento Técnico Metrológico – Brasil ........................ 75 3.3.5 ANEEL – PRODIST – Módulo 5 ......................................... 76 REFERÊNCIAS .................................................................................. 76 4. REQUISITOS DE SEGURANÇA PARA MEDIDORES ELETRÔNICOS .............................................. 79 4.1 OBSERVAÇÕES GERAIS SOBRE REQUISITOS RTM 586 ........... 80 4.2 REQUISITOS DE SEGURANÇA DE HARDWARE ......................... 81 4.2.1 Interfaces desprotegidas (JTAG)........................................ 82 4.2.2 Mecanismos anti-tampering em hardware......................... 82 4.2.3 Verificação de integridade de hardware ............................. 83 4.2.4 Mecanismos anti-engenhariareserva de hardware ............ 83 4.2.5 Ausência de backdoors de hardware ................................ 84 4.2.6 Mecanismo de controle de falhas em hardware ................ 84 4.3 REQUISITOS DE SEGURANÇA DE SOFTWARE ......................... 85 4.3.1 Autenticação ..................................................................... 86 4.3.2 Autorização....................................................................... 86 4.3.3 Registro de logs ................................................................ 87 4.3.4 Detecção de falhas de software (disparo de alarmes de aviso) ..................................................... 87 4.3.5 Armazenamento seguro de dados .................................... 88 4.3.6 Inicialização segura ........................................................... 89 4.3.7 Suporte à criptografia (para transmissão segura e demais serviços) ............................. 89 4.3.8 Autenticidade de firmware embarcado .............................. 90 4.3.9 Integridade do firmware embarcado .................................. 90 4.3.10 Proteção do firmware embarcado (confidencialidade) ..... 91 4.3.11 Falha em estado seguro.................................................. 92 4.3.12 Atualização segura de firmware ...................................... 92 4.3.13 Integridade de dados armazenados e transmitidos ......... 93 4.3.14 Autenticidade de dados transmitidos .............................. 93 4.3.15 Uso estrito de funções documentadas ............................ 94 5. SEGURANÇA METROLÓGICA DE SOFTWARE EMBARCADO EM MEDIDORES ELETRÔNICOS ......................... 97 5.1 METROLOGIA ............................................................................. 99 5.1.1 Bases históricas e definições .......................................... 100 5.1.2 Convenção do metro ...................................................... 102 5.1.3 A Organização básica da estrutura metrológica [10]........ 103 5.1.4 A metrologia no Brasil: O Sinmetro, o Conmetro e o Inmetro ....................................... 104 5.1.5 A estrutura organizacional do Inmetro ............................. 104 5.2 METROLOGIA LEGAL ............................................................... 107 5.2.1 Definições e objetivos ..................................................... 107 5.2.2 Histórico ......................................................................... 108 5.3 REGULAMENTAÇÃO METROLÓGICA DE MEDIDORES DE ENERGIA NO BRASIL ..................................... 113 5.3.1 Histórico ......................................................................... 113 5.3.2 Papéis do Inmetro e da ANEEL na comercialização da energia elétrica ..................................... 113 5.3.3 Medidores eletrônicos de energia.................................... 114 5.3.3.1 A regulamentação de software no âmbito da metrologia legal .................................................. 114 5.3.4 Certificação de medidores: infraestrutura laboratorial do Inmetro ........................................ 114 5.3.4.1 Principais métricas na avaliação do software de medidor eletrônico ........................................... 114 5.3.4.2 Síntese da metodologia de teste adotada como resultado do projeto ......................................... 119 5.3.4.3 Resultados Esperados ................................................. 119 REFERÊNCIAS ................................................................................ 119 6. METODOLOGIA DE AVALIAÇÃO DE SEGURANÇA DE MEDIDORES DE ENERGIA ............................ 123 6.1 OBJETIVOS ............................................................................... 125 6.2 DESCRIÇÃO GERAL E PREMISSAS ......................................... 126 6.3 USO DA BASE DE CONHECIMENTOS ..................................... 128 6.4 USO DO CADERNO DE TESTES ............................................... 131 6.5 APRESENTAÇÃO DAS ETAPAS ................................................ 134 6.5.1 Etapa 1: definição do escopo de aplicação ..................... 135 6.5.2 Etapa 2: execução de testes de homologação ............... 137 6.5.3 Etapa 3: definição de contexto........................................ 139 6.5.4 Etapa 4: descrição do medidor de energia ...................... 141 6.5.5 Etapa 5: Identificação e análise de ameaças ................... 143 6.5.6 Etapa 6: execução dos testes de segurança ................... 145 6.5.7 Etapa 7: Análise de riscos ............................................... 151 6.5.8 Etapa 8: Resultados da MASME ..................................... 156 6.6 USO DA METODOLOGIA NO ÂMBITO DO P&D ........................ 157 REFERÊNCIAS ................................................................................ 159 7. TESTES DE HARDWARE .......................................................... 161 7.1 INFRAESTRUTURA LABORATORIAL ........................................ 161 7.1.1 Ferramentas de uso geral ............................................... 162 7.1.2 Materiais adaptados para apoio nos testes ..................... 162 7.1.3 Ferramentas de software ................................................ 163 7.1.4 Ferramentas de conexão ................................................ 163 7.1.5 Componentes de hardware............................................. 164 7.1.6 Computadores ................................................................ 164 7.1.7 Outros ............................................................................ 164 7.2 ARQUITETURA GERAL DOS MEDIDORES ................................ 165 7.3 PROCEDIMENTO DE SEGURANÇA PARA TESTES DE HARDWARE ....................................................... 171 7.3.1 Descargas eletrostáticas (ESD/EOS) ............................... 171 7.3.2 Manipulação das placas dos medidores ......................... 172 7.3.3 Soldagem e dessoldagem de componentes ................... 173 7.3.4 Testes com medidores ligados ........................................ 173 7.4 ANÁLISE DO INVÓLUCRO ........................................................ 175 7.4.1 Interfaces externas.......................................................... 175 7.4.2 Mecanismos anti violação (anti-tampering) ...................... 176 7.4.2.1 Resistência à violação .................................................. 177 7.4.2.2 Evidência a violação ..................................................... 177 7.4.2.3 Detecção a violação..................................................... 178 7.4.2.3.1 Chaves ..................................................................... 178 7.4.2.3.2 Sensores .................................................................. 179 7.4.2.3.3 Circuitos ................................................................... 179 7.4.2.4 Resposta à violação ..................................................... 180 7.4.2.5 Emissão e imunidade ................................................... 180 7.5 ANÁLISE DA PCB ..................................................................... 181 7.5.1 Análise dos componentes eletrônicos ............................. 182 7.5.1.1 Design do PCB e roteamento ...................................... 184 7.5.1.2 Proteção do barramento .............................................. 186 7.5.1.3 Dispositivos de memória .............................................. 188 7.5.1.4 Fonte de energia .......................................................... 190 7.5.1.5 Clock e timing .............................................................. 190 7.5.1.6 Propriedades das portas de entrada e saída (I/O) ........ 190 7.5.1.7 Armazenamento de informações secretas ................... 191 7.5.1.8 Programação em campo ............................................. 191 7.5.1.8.1 Localização dos pinos de JTAG no chip.................... 193 7.5.1.8.2 Localização dos pinos de JTAG na PCB ................... 196 7.5.1.8.3 Validação da ordem dos pinos .................................. 196 7.5.1.8.4 Escolha do equipamento correto para realizaçãoda conexão ......................................... 198 7.5.1.8.5 Verificar funcionalidades de segurança do microcontrolador .......................................... 199 7.6 CONEXÃO DO PC COM A INTERFACE ÓPTICA DO MEDIDOR ................................................ 200 7.7 ATAQUES SOBRE SISTEMAS EMBARCADOS .......................... 201 7.7.1 Fault Injection Attacks ..................................................... 202 7.7.2 Side Channel Attacks ...................................................... 203 7.7.3 Acesso via interfaces de depuração ................................ 203 7.7.4 Modificação e análise de componentes .......................... 204 REFERÊNCIAS ................................................................................ 204 8. TESTES DE SOFTWARE ........................................................... 209 8.1 ENGENHARIA REVERSA E ATAQUES DIVERSOS SOBRE O FIRMWARE DOS MEDIDORES ....................................... 209 8.1.1 Ferramentas ................................................................... 211 8.1.1.1 Disassemblers ............................................................. 211 8.1.1.2 Descompiladores ......................................................... 215 8.1.1.3 Depuradores ................................................................ 216 8.1.1.4 Monitoramento do sistema .......................................... 217 8.1.1.5 Emuladores e gerenciadores de máquinas virtuais ....... 218 8.1.2 Técnicas anti-engenharia reversa .................................... 219 8.1.2.1 Remoção de informações simbólicas ........................... 219 8.1.2.2 Ofuscamento de código .............................................. 220 8.1.2.3 Ciframento de código .................................................. 222 8.1.2.4 Desempacotamento parcial com sobreposição ........... 222 8.1.2.5 Inserção de elementos para confundir o disassembler 222 8.1.2.6 Detecção de depuradores ........................................... 224 8.1.2.7 Detecção de máquinas virtuais .................................... 225 8.1.2.8 Uso de camada de virtualização .................................. 226 8.1.3 Busca de chaves criptográficas ...................................... 226 8.1.4 Patching ......................................................................... 227 8.2 TESTES LABORATORIAIS EXECUTADOS NO ÂMBITO DO P&D .............................................. 230 8.2.1 Análise do programa de configuração ............................. 230 8.2.2 Análise do mecanismo de proteção via chave de hardware .............................................. 231 8.2.3 Análise do protocolo de autenticação ............................. 233 8.2.4 Análise de dados coletados a partir dos testes de hardware ................................................ 249 REFERÊNCIAS ................................................................................ 252 9. TESTES DE CONFIABILIDADE ................................................ 255 9.1 EQUIPAMENTOS UTILIZADOS .................................................. 256 9.1.1 Padrão trifásico de energia elétrica (excitação do medidor) ............................................................ 256 9.1.2 Medidores eletrônicos de energia elétrica (unidades sob avaliação) .......................................................... 256 9.1.3 Câmara climática (estímulo secundário de teste) ............. 256 9.1.4 Plataforma de emulação National Instruments ................ 257 9.1.5 Simulador ESD ............................................................... 257 9.2 ENSAIOS FUNCIONAIS REFERENTE AO RTM 586 ................... 257 9.2.1 Características básicas do instrumento de medição de energia elétrica ................................................ 257 9.2.2 Identificação do software ................................................ 258 9.2.3 Exatidão dos algoritmos e funções de medição .............. 258 9.2.4 Influência da interface de entrada de dados .................... 258 9.2.5 Proteção contra mudanças acidentais ou não intencionais ................................................. 259 9.2.6 Proteção dos parâmetros ............................................... 259 9.2.7 Carga de software legalmente relevante .......................... 260 9.3 TESTE SOB CONDIÇÕES ADVERSAS DE INSTALAÇÃO DO MEDIDOR ...................................................... 261 9.3.1 Inserção de ondas harmônicas ....................................... 261 9.3.2 Variação da temperatura ................................................. 268 9.3.3 Imunidade à descarga eletrostática ................................. 270 9.3.3.1 Condições específicas ................................................. 270 9.3.3.2 Metodologia ................................................................. 270 9.3.3.3 Resultado .................................................................... 271 10. PROCEDIMENTOS PARA TESTES DE SOFTWARE ............. 273 10.1 PROCEDIMENTOS PARA TESTES DE SEGURANÇA .............. 274 10.2 PROCEDIMENTOS PARA TESTES METROLÓGICOS ............. 283 10.2.1 Procedimentos referentes aos Requisitos Gerais ........... 283 10.2.1.1 Características básicas do instrumento de medição de energia elétrica ................................................ 283 10.2.1.2 Identificação do software ........................................... 285 10.2.1.3 Integridade de software ............................................. 288 10.2.1.4 Exatidão dos algoritmos e funções de medição ......... 289 10.2.1.5 Influência da interface de entrada de dados ............... 290 10.2.1.6 Proteção contra mudanças acidentais/não-intencionais ...................................................... 292 10.2.1.7 Proteção contra mudanças intencionais não autorizadas .................................................... 294 10.2.1.8 Proteção dos parâmetros .......................................... 296 10.2.1.9 Detecção de falha ...................................................... 298 10.2.1.10 Validação do software .............................................. 299 10.2.2 Procedimentos referentes aos Requisitos específicos ... 299 10.2.2.1 Separação das partes legalmente relevantes ............. 300 10.2.2.2 Transmissão dos dados através de redes de comunicação ........................................... 304 10.2.2.3 Carga de software legalmente relevante ..................... 307 10.2.2.4 Arquiteturas baseadas em assinatura digital .............. 311 10.2.2.5 Comportamento dinâmico ......................................... 312 10.2.2.6 Capacidade de processamento ................................. 313 REFERÊNCIAS ................................................................................ 314 11. PROTÓTIPO EMULAÇÃO EM LABVIEW ............................... 317 11.1 FUNCIONALIDADES ............................................................... 318 11.1.1 Aba Home .................................................................... 318 11.1.2 Aba Config .................................................................... 318 11.1.3 Aba Leituras ................................................................. 319 11.1.4 Aba Escritas ................................................................. 321 11.1.5 Aba Ferramentas .......................................................... 322 11.2 DESEMPENHO ....................................................................... 323 11.3 QUEBRA SENHA .................................................................... 324 11.3.1 Script ............................................................................ 325 12. PROTÓTIPO METERGOAT ..................................................... 327 12.1 REQUISITOS FUNCIONAIS DO METERGOAT ......................... 328 12.1.1 Arquitetura de hardware de medidores inteligentes comerciais ............................................ 328 12.1.2 Arquitetura de hardware do MeterGoat ......................... 330 12.1.2.1 Microcontrolador MSP430F5438 e o kit de desenvolvimento.......................................................330 12.1.2.2 Componentes Externos ............................................. 331 12.1.2.3 Mecanismos contra violação de integridade (anti-tampering)................................................. 332 12.1.3 Interfaces acessíveis para ataque.................................. 333 12.1.3.1 Interface JTAG ........................................................... 333 12.1.3.2 Memórias Externas Flash/EEPROM ........................... 333 12.1.3.3 Memória RAM externa ............................................... 333 12.1.3.4 Interface Óptica ......................................................... 334 12.1.3.5 Interface de Rede ...................................................... 334 12.1.3.6 Interfaces de Comunicação ....................................... 334 12.1.4 Vulnerabilidades desenvolvidas no MeterGoat ............... 334 12.1.4.1 Ataque às interfaces desprotegidas ........................... 335 12.1.4.2 Algoritmos criptográficos fracos ................................. 335 12.1.4.3 Uso incorreto da criptografia ...................................... 335 12.1.4.4 Gerenciamento inseguro de chaves criptográficas ..... 335 12.1.4.5 Armazenamento desprotegido de dados ................... 335 12.1.4.6 Comunicação Insegura .............................................. 335 12.1.4.7 Mecanismo fraco de autenticação ............................. 335 12.1.4.8 Falhas de autorização ................................................ 336 12.1.4.9 Ausência de mecanismos de integridade ................... 336 12.1.4.10 Falhas de segurança no desenvolvimento do firmware .............................................. 336 12.1.4.11 Mecanismos fracos de proteção contra violação de integridade .................................. 336 12.2 ASPECTOS DE IMPLEMENTAÇÃO ........................................ 336 12.2.1 Interface com o usuário ................................................ 336 12.2.2 Módulos funcionais de suporte ..................................... 337 12.2.2.1 UART ......................................................................... 337 12.2.2.2 SPI............................................................................. 337 12.2.2.3 LCD ........................................................................... 337 12.2.3 Considerações sobre temporização e interrupções ....... 337 12.3 KIT DE FERRAMENTAS PARA TREINAMENTO ....................... 337 12.3.1 Multímetro ..................................................................... 338 12.3.2 Osciloscópio ................................................................. 338 12.3.3 JTAGulator .................................................................... 338 12.3.4 Bus Pirate ..................................................................... 338 12.3.5 Analisador Lógico ......................................................... 338 12.3.6 GoodFET ...................................................................... 338 12.3.7 MSPFET430UIF ............................................................ 339 12.4 CENÁRIOS DE TREINAMENTO ............................................... 339 12.4.1 Mecanismo de autenticação fraco ................................ 339 12.4.1.1 Vulnerabilidades envolvidas ........................................ 340 12.4.1.2 Ferramentas utilizadas ............................................... 340 12.4.1.3 Fluxo de trabalho ....................................................... 340 12.4.1.4 Recomendações e Boas Práticas .............................. 340 21 Lista de figuras Figura 1: Escopo geral do projeto de P&D “Avaliação de segurança para medidores eletrônicos e de smart metering” ............. 34 Figura 2: Relatório anual dos US Energy Information Administration (EIA) ......................................................... 40 Figura 3: Desenvolvimento de programas de redes inteligentes na Europa (fonte: Esmig & Eurelectric) ............................. 42 Figura 4: Princípios do PbD (fonte: Privacy By Design) ..................... 50 Figura 5: Módulos comuns entre Stuxnet, Flame, Duqu e Gauss (fonte: Kaspersky Lab) .................................... 51 Figura 6: Fraude de consumo – Árvore de ataque [13] .................... 59 Figura 7: Fraude de consumo – Árvore de ataque detalhada [13] ..... 60 Figura 8: Anatomia de um Smart Meter ............................................ 71 Figura 9: Estrutura organizacional do Inmetro ................................. 106 Figura 10: Etapas da MASME ........................................................ 135 Figura 11: Etapa 1 da MASME – Definição do Escopo de Aplicação .137 Figura 12: Criação do Caderno de Testes de Homologação de Segurança ...................................................... 138 Figura 13: Etapa 2 da MASME – Execução de Testes de Homologação ............................................................. 139 Figura 14: Etapa 3 da MASME – Definição de Contexto ................. 140 Figura 15: Etapa 4 da MASME – Descrição de 12.4.2 Mecanismos impróprios de Criptografia ........................ 341 12.4.2.1 Vulnerabilidades envolvidas ........................................ 341 12.4.2.2 Ferramentas utilizadas ............................................... 341 12.4.2.3 Fluxo de trabalho ....................................................... 342 12.4.2.4 Recomendações e Boas Práticas .............................. 342 12.4.3 Gerenciamento incorreto de chave criptográfica ........... 342 12.4.3.1 Vulnerabilidades envolvidas ........................................ 342 12.4.3.2 Ferramentas utilizadas ............................................... 342 12.4.3.3 Fluxo de trabalho ....................................................... 343 12.4.3.4 Recomendações e Boas Práticas .............................. 343 12.4.4 Manipulação incorreta de strings................................... 343 12.4.4.1 Vulnerabilidades envolvidas ........................................ 343 12.4.4.2 Ferramentas utilizadas ............................................... 343 12.4.4.3 Fluxo de trabalho ....................................................... 343 12.4.4.4 Recomendações e Boas Práticas .............................. 344 12.5 EXPANSÕES, TRABALHOS FUTUROS E SUGESTÕES .......... 344 12.5.1 Hardware ...................................................................... 344 12.5.2 Software ....................................................................... 344 12.5.3 Comunicação ............................................................... 344 REFERÊNCIAS ................................................................................ 344 Medidor de Energia ......................................................................... 143 Figura 16: Etapa 5 da MASME – Identificação e Análise de Ameaças ..................................................................... 145 Figura 17: Etapa 6 da MASME – Execução dos Testes de Segurança ................................................................ 147 Figura 18: Subfases da Etapa 6 da MASME ................................... 152 Figura 19: Etapa 7 da MASME – Análise de Riscos ........................ 155 Figura 20: Etapa 8 da MASME – Resultados da MASME ................ 156 Figura 21: Anatomia de um medidor inteligente .............................. 167 Figura 22: Arquitetura simplificada do microcontrolador ................. 168 Figura 23: Regiões de alta tensão na PCB. .................................... 174 Figura 24: Terra flutuante ................................................................ 174 Figura 25: Chave anti-violação. ...................................................... 178 Figura 26: Circuito de proteção Mesh Wall. Fonte: Smtnet. ............ 179 Figura 27: Engenharia reversa da PCB. Fonte: Scancad. ............... 181 Figura 28: Monitoramento de barramentos internos ao chip. .......... 182 Figura 29: Part number de um chip ................................................ 183 Figura 30: Exemplo de chip BGA ...................................................184 Figura 31: Teste de continuidade para GND ................................... 185 Figura 32: Mapeamento dos pinos do chip na PCB ....................... 186 Figura 33: Polímero de proteção da PCB ....................................... 187 Figura 34: Monitoramento do barramento com analisador lógico ... 188 Figura 35: Dump da memória utilizando o bus pirate ...................... 189 Figura 36: Desencapsulamento de chips ........................................ 189 Figura 37: Interface JTAG conectando múltiplos chips ................... 192 Figura 38: Interface JTAG para TI e ARM ........................................ 193 Figura 39: Interface JTAG para TMS320C203 ................................ 194 Figura 40: Interface JTAG para MSP430F5438............................... 195 Figura 41: Ordem da numeração dos pinos ................................... 195 Figura 42: Técnica de busca da interface JTAG na PCB ................. 196 Figura 43: Jtagulator ...................................................................... 197 Figura 44: Resultado do Jtagulator ................................................. 198 Figura 45: Programa para interface com o JTAGjet-c2000 ............. 199 Figura 46: Recursos de segurança presentes no LPC2468 ............ 200 Figura 47: Formato de instrução das arquiteturas Intel 64 e IA-32 ...212 Figura 48: Exemplos de mapeamento entre linguagem assembly e código de máquina na arquitetura Intel. ......................... 213 Figura 49: Código para o exemplo de disassembler. ...................... 214 Figura 50: Código assembly gerado pelo OllyDbg para o exemplo da Figura 49 .............................................. 214 Figura 51: Representação gráfica do assembly gerado pelo IDA free para o exemplo da Figura 49 .......................... 215 Figura 52: Código para o exemplo de descompilação .................... 216 Figura 53: Resultado da descompilação do arquivo Elektro.class ... 216 Figura 54: Inclusão de código com predicado opaco ..................... 221 Figura 55: Funções originais. .......................................................... 221 Figura 56: Funções a() e b() intercaladas em memória. ................... 221 Figura 57: Código original para exemplo de proteção contra varredura linear ...............................................223 Figura 58: Código assembly gerado pelo OllyDbg para o exemplo da Figura 57 .............................................. 223 Figura 59: Código modificado para exemplo de proteção contra varredura linear ................................... 224 Figura 60: Código assembly gerado pelo OllyDbg para o exemplo da Figura 59 .............................................. 224 Figura 61: Código assembly gerado pelo IDA para o exemplo da Figura 59 ............................................. 224 Figura 62: Código adaptado do post original de Rutkowska........... 226 Figura 63: Código para exemplo de patching ................................. 228 Figura 64: Execução do programa listado na Figura 63 .................. 228 Figura 65: Referências no código para mensagem de acesso não autorizado ............................................. 229 Figura 66: Trecho de código responsável pela exibição da mensagem ............................................................ 229 Figura 67: Processo de patching no código da Figura 66 ............... 229 Figura 68: Saída do programa adulterado ...................................... 230 Figura 69: Arquitetura da solução de autenticação via chave de hardware ................................................ 231 Figura 70: Injeção de módulo falso ................................................. 233 Figura 71: Comando #13 enviado pelo cliente para o medidor ....... 235 Figura 72: Comando #11 enviado pelo cliente para o medidor ....... 235 Figura 73: Nomes contendo a palavra “password” ......................... 236 Figura 74: Breakpoint definido e execução do processo................. 237 Figura 75: Processamento do segundo dígito da senha ................. 238 Figura 76: Processamento do primeiro dígito da senha .................. 238 Figura 77: Referências à rotina de exibição de mensagens de erro . 239 Figura 78: Código próximo à montagem de resposta ..................... 240 Figura 79: Desafio recebido do medidor durante o processo de análise ......................................................... 240 Figura 80: Chamada à rotina que monta a resposta ....................... 241 Figura 81: Rotina que monta resposta ............................................ 242 Figura 82: Primeiro octeto do desafio ............................................. 243 Figura 83: Chamada à rotina de atualização de estado. ................. 244 Figura 84: Rotina de atualização de estado .................................... 245 Figura 85: Cálculo final do token .................................................... 246 Figura 86: Resposta final ................................................................ 247 Figura 87: Pseudocódigo do algoritmo que calcula o token de autenticação ............................................... 247 Figura 88: Seleae Logic analyzer conectado ao barramento de uma memória flash ............................................. 250 Figura 89: Sinais capturados durante o boot do medidor. .............. 250 Figura 90: Distribuição de bytes dos dados lidos da memória flash. 251 Figura 91: Visão geral da interface com usuário ............................. 317 Figura 92: Abas de funcionalidades ................................................ 318 Figura 93: Abas Config ................................................................... 319 Figura 94: Controle Comandos de Leitura ...................................... 320 Figura 95: Abas Quadro Recebido ................................................. 320 Figura 96: Quadro Últimas Respostas ............................................ 321 Figura 97: Exemplo de campos editáveis para envio do comando . 321 Figura 98: Controle Comandos de Escrita ...................................... 322 Figura 99: Aba Ferramentas ........................................................... 322 Figura 100: Função Desempenho em execução na opção por TEMPO ...................................................... 323 Figura 101: Função Desempenho finalizada com opção QUANTIDADE ............................................................... 324 Figura 102: Função Quebra Senha em execução com chave encontrada .............................................. 324 Figura 103: Função Script .............................................................. 325 Figura 104: Visão em alto nível da arquitetura de medidores inteligentes .............................................. 329 Figura 105: Arquitetura de alto nível do MeterGoat ......................... 330 Figura 106: MeterGoat e equipamentos auxiliares .......................... 331 Figura 107: Arduino Uno utilizado na demostração de técnicas anti-tampering ......................................... 332 27 Lista de tabelas Tabela 1: Vulnerabilidades em AMI descritas pelo NIST (fonte: NIST) ..46 Tabela 2 (parte 1): Vulnerabilidades em AMI descritas pela NESCOR (Fonte: NESCOR) ........................................ 47 Tabela 2 (parte 2): Vulnerabilidades em AMI descritas pela NESCOR (Fonte: NESCOR) ........................................ 48 Tabela 2 (parte 3): Vulnerabilidades em AMI descritas pela NESCOR (Fonte: NESCOR) ........................................ 49 Tabela 3: Ação x Vulnerabilidade – Fraude ........................................ 62 Tabela 4: Ação x Vulnerabilidade – Outros ........................................ 63 Tabela 5: Resumo dos principais ensaios envolvidos ...................... 118 Tabela 6: Exemplo de Procedimento de Teste contido no CT ......... 132 Tabela 7: Escala de Esforço ............................................................ 148 Tabela 8: Níveis de Segurança do Medidor ..................................... 149 Tabela 9: Estimativa da Probabilidade .............................................153 Tabela 10: Estimativa do Impacto ................................................... 154 Tabela 11: Calculo do Nível de Risco (NR) ...................................... 154 Tabela 12: Erro médio e desvio padrão sem presença de ondas harmônicas ............................................... 261 Tabela 13: Erro médio e desvio padrão com presença de ondas harmônicas ............................................... 262 Tabela 14: Resultados simulação de ondas harmônicas ................. 264 Tabela 15 (parte 1): Resultados simulação de ondas harmônicas .. 265 Tabela 15 (parte 2): Resultados simulação de ondas harmônicas .. 266 Tabela 16: Comparativo da medição de erro sem e com ondas harmônicas ............................................. 267 Tabela 17: Comparativo da medição de erro sem e com ondas harmônicas (cont.) .................................. 268 Tabela 18: Valores de erro médio e desvio padrão em função da temperatura ....................................... 269 Tabela 19: Resultado comparação medições ESD ......................... 271 31 Introdução As tecnologias de smart grid proporcionam um conjunto de benefícios tanto para os consumidores como para as concessionárias de energia elé-trica e o meio ambiente. No caso dos consumidores, possibilita a cobran- ça de tarifa diferenciada por horário (tarifa branca), melhor gestão do consumo residencial (ou comercial) e maior disponibilidade no fornecimento ininterrupto de energia elétrica. Para as concessionárias, entre seus inúmeros benefícios, desta- cam-se a capacidade de gerenciamento remoto, automatização e balanceamento de carga, monitoramento contínuo e maior eficiência operacional. Já para o meio ambiente, as tecnologias de smart grid oferecem benefícios como a redução signi- ficativa dos impactos ambientais oriundos da conservação de energia e da maior integração com geração renovável de energia. Todos esses benefícios são resultados de avanços e inovações tecnológicas que possibilitaram e continuam possibilitando a implantação de arquiteturas de smart grid no Brasil. Contudo, um aspecto da implantação de novas tecnolo- gias merece sempre uma atenção especial: a segurança da informação aplicada ao novo ambiente e às novas tecnologias utilizadas. No caso das tecnologias de smart grid, isso não é diferente. De fato, inúmeras lacunas foram surgindo nos últimos anos, e o tema segurança cibernética em smart grid despontou como um tópico de alta relevância, sobretudo nas principais conferências especializadas na área realizadas no âmbito internacional. Esta preocupação com a segurança da informação em smart grid refletiu em 3332 diversos investimentos no setor de energia, tanto para o robustecimento das tec- nologias adjacentes como em projetos de pesquisa e desenvolvimento. No cenário brasileiro de smart grid, outro fator importante para a aplicação de investimentos foi a meta da agência reguladora Aneel de renovação em massa dos medidores do parque atual, com a substituição dos medidores eletromecânicos convencionais pelos novos smart meters. Estes novos medidores exercem um papel importantís- simo nas redes Advanced Metering Infrastructure (AMI) – das concessionárias de energia, e a opção por um medidor menos robusto, sobretudo nas circunstâncias atuais, pode representar impactos significativos para a concessionária e para todo o setor de energia no Brasil. Em vista desse cenário, foi concebido o projeto de Pesquisa e Desenvolvimento (P&D) “Avaliação de segurança para medidores ele- trônicos e de smart metering” executado com recursos financeiros da Aneel e em parceria da Fundação CPqD com a concessionária de energia Elektro. A implantação de arquiteturas tecnológicas para medição inteligente exige investimentos em segurança cibernética nas redes AMI das concessionárias de energia. Em vista disso, e com o objetivo de estabelecer um plano de investimen- tos em P&D no setor elétrico, o CPqD e a Elektro propuseram um projeto de P&D Aneel com foco no principal ativo das redes smart grid: os smart meters. Em face do cenário nacional de mudança do parque de medidores para atender à resolução da Agência Nacional de Energia Elétrica (ANEEL), uma pergunta rele- vante que as concessionárias de energia no País precisarão estar aptas a responder é: qual o grau de segurança e robustez dos medidores que serão implantados e/ ou substituídos? Uma pesquisa preliminar, com a análise de iniciativas internacionais re- lacionadas a este tema, possibilitou identificar um conjunto de características tecnológicas dos smart meters implantados nos últimos anos em países da Europa, América do Norte e Ásia como parte de seus programas de smart grid. Dentre es- sas características analisadas, uma que exerce papel importante sobre este projeto refere-se às necessidades de customizações dos firmwares embarcados nos medi- dores para cada país, como forma de atender às legislações específicas. Isso resulta na necessidade de equipes locais com foco em desenvolvimento de firmware para medidores inteligentes, inclusive para fabricantes internacionais. Outras destas características tecnológicas podem ser encontradas em [1] e [2]. Este estudo inicial contribuiu para a concepção de um programa nacional, segundo as características e peculiaridades do cenário de medição inteligente no Brasil. Além disso, foi feito um levantamento baseado em um cenário de ataques apresentado no âmbito deste trabalho de P&D [3]. De maneira mais ampla, buscou-se definir meios para que a Elektro e todas as concessionárias do setor de energia no país pudessem avaliar, após a conclusão do projeto de P&D, os me- didores eletrônicos e smart meters sob a ótica de segurança da informação a fim de se tomar decisões mais acertadas com base nos riscos inerentes ao uso de cada modelo oferecido por diferentes fabricantes. Nesse sentido, foram definidos três objetivos principais para o projeto de P&D: a) analisar e identificar vulnerabilidades de segurança aplicáveis aos medi- dores eletrônicos e de smart metering; b) conceber uma metodologia para a avaliação do grau de segurança e con- fiabilidade desses medidores, incluindo requisitos mínimos; c) estabelecer dois laboratórios para certificação de segurança em medidores de energia, um com foco em pesquisa de segurança (CPqD) e outro com foco em testes de segurança (Elektro). O projeto de P&D compreendeu três metas principais que englobam, no total, nove etapas de trabalho. A Figura 1 ilustra essas metas e etapas. O projeto considerou a total sinergia entre os três objetivos acima expostos: o laboratório construído oferece o ambiente e os artefatos técnicos necessários para a realização das avaliações de segurança, que resultam na identificação de vulnerabilidades, enquanto a metodologia implantada oferece uma forma padro- nizada de realizar as avaliações e os testes de segurança mencionados. As etapas da Meta 1 e as etapas da Meta 2 foram executadas em paralelo, a primeira com o objetivo de realizar a contextualização no âmbito de testes de segurança e confiabi- lidade, culminando com o estabelecimento da metodologia adotada, e a segunda com o objetivo de estabelecer um laboratório pioneiro para a condução dos testes de intrusão realizados com os smart meters. A Meta 3 abordou o cerne deste traba- lho de P&D, incluindo as etapas de testes (segurança e confiabilidade de hardware e software), de desenvolvimento do protótipo (MeterGoat e ferramentas relacio- nadas) e de transferência do conhecimento. A Seção 3 apresenta os principais resultados alcançados de acordo com cada uma das metas do trabalho de P&D. 3534 E1: Contextualização do Laboratório E2: Operacionalização do Laboratório E1: Testes de segurança em medidores E3: Desenvolvimento de protótipo de software E2: Testes de confiabilidade em medidores Avaliação de segurança para medidores eletrônicos e de smart metering Meta 1 Metodologia de Avaliação de Segurança em Medidores Meta 2 Estabelecimento do Laboratóriode Certificação de Segurança em Medidores Meta 3 Análises e Testes de Segurança e Confiabilidade em Medidores E1: Levantamento do estado da arte em segurança de medidores E4: Transferência de conhecimento E2: Especificação de testes E3: Metodologia para avaliação de segurança em medidores Figura 1: Escopo geral do projeto de P&D “Avaliação de segurança para medidores eletrônicos e de smart metering” O escopo do projeto de P&D foi, assim, de avaliar a segurança dos medi- dores inteligentes, ativo que exerce um importante papel nas redes smart grid e podem, por esse motivo, causar impactos significativos caso contramedidas não sejam previamente incorporadas à infraestrutura das concessionárias de energia elétrica no Brasil. Para identificar e entender as principais questões relacionadas ao tema segurança da informação aplicada sobre os medidores de energia, foi re- alizado um levantamento das iniciativas nacionais e internacionais que abordam assuntos de segurança cibernética em smart grid. A área de segurança cibernética aborda questões bastante amplas, não levando em consideração apenas os medi- dores, mas também todos os aspectos tecnológicos inerentes a uma infraestrutura de medição avançada AMI. Dessa forma, as pesquisas aqui retratadas buscaram manter o foco nas características dos medidores, muito embora o entendimento da arquitetura geral, num alto nível, fosse também alvo de análise para tornar mais factível a reprodução e criação de testes de intrusão nesses medidores. Já existem diversas normas e recomendações de segurança endereçadas ao am- biente smart grid nos quais aspectos de segurança da informação nos medidores são oportunamente tratados. Um exemplo de destaque são as normas elaboradas pelo National Institute of Standards and Technologies (NIST), subdivididas em um do- cumento de introdução [4] mais três volumes [5] [6] [7], que abordam itens como direcionamentos gerais, segurança, estratégia, arquitetura, requisitos, privacidade e vulnerabilidades. Existe ainda um grupo específico, o Cyber Security Working Group (CSWG), com atividades relacionadas à prevenção, detecção, resposta e recupera- ção de segurança em smart grid. Na Europa também existem algumas iniciativas no tema, com destaque para o documento de recomendações da European Network and Information Security Agency (ENISA), intitulado “Smart Grid Security” [8], cujo foco é específico em segurança cibernética. Outro destaque é o documento do European Committee for Standardization / European Committee for Electrotech- nical Standardization / The European Telecommunications Standards Institute (CEN / CENELEC / ETSI) intitulado “Standards for Smart Grids” [9], cujo foco é mais amplo, mas também aborda características de segurança da informação. Muito embora em alguns pontos seja dada ênfase em aspectos mais técni- cos, o propósito desses documentos normativos é informar necessidades e priori- dades, não descrevendo como realizar ou implantar cada controle. Dessa forma, é possível entender as necessidades e importância das considerações de segurança propostas por esses organismos, e o que se espera para manter as redes inteligen- tes de energia em patamares aceitáveis de riscos de ataques. Levando o assunto para aspectos mais práticos e técnicos, e trazendo o foco mais especificamente para os smart meters, a presente pesquisa pôde identificar diversas publicações, inclusive em conferências hackers, na área de segurança da informação. Nestes eventos, diversos mecanismos de ataques são apresentados, destacando o quão vulnerável esses medidores podem ser, o que enaltece ainda mais a importância de se realizar avaliações de segurança nesses medidores, sobretudo no Brasil, onde está prevista a preparação para substituição em massa de todo parque de medido- res até 2014, segundo resolução da ANEEL [10]. REFERÊNCIAS [1] ENISA – European Network and Information Security Agency, “Smart Grid Security”, July 2012. [2] SEARLE, J.; UtiliSec, “Dissecting Smart Meters”, Black Hat Europe 2012. [3] CIVIDANES, R. et al. Smart Meters Security Assessment in the Brazilian Scenario. In: ENERGY 2013: The Third International Conference on Smart Grids, Green Communications and IT Energy- -aware Technologies, 3., 2013, Lisboa. Proceedings... Lisboa: IARIA 2013. p.167-170 [4] NIST, Cyber Security Working Group, Guidelines for Smart Grid Cyber Security (NISTIR 7628), The Smart Grid Interoperability Panel, Cyber Security Working Group, September 2010 [5] NIST, Cyber Security Working Group, Guidelines for Smart Grid Cyber Security (NISTIR 7628): Vol. 1, Smart Grid Cyber Security Strategy, Architecture, and High-Level Requirements, August 2010 [6] NIST, Cyber Security Working Group, Guidelines for Smart Grid Cyber Security (NISTIR 7628): Vol. 2, Privacy and the Smart Grid, August 2010 36 [7] NIST, Cyber Security Working Group, Guidelines for Smart Grid Cyber Security (NISTIR 7628): Vol. 3, Supportive Analyses and References [8] European Network and Information Security Agency (ENISA), “Smart Grid Security”, July 2012 [9] CEN/CENELEC/ETSI, “Standards for Smart Grids”, May 2011 [10] ANEEL, Agência Nacional de Energia Elétrica, Resolução Normativa 502, disponível em: www. aneel.gov.br/biblioteca. Agosto 2012. 39 1. Contextualização sobre segurança de medidores de energia A implantação da arquitetura de smart grid tem trazido desafios para os go-vernos e empresas do setor de energia elétrica. As vantagens de gerenciar e monitorar o consumo traz ganhos em todas as camadas, desde a pon- deração para a construção de novas usinas elétricas com visão de sustentabilidade e meio-ambiente, com aproveitamento máximo da energia produzida e cons- cientização da população, até a avaliação dos investimentos transformados em ganhos e lucros pelas concessionárias. Mais do que isso, toda a complexidade dos resultados esperados é refletida também na complexidade da própria construção da nova rede e seus componentes: do medidor eletrônico até o centro de controle da concessionária, passando pela automação da distribuição, a interconexão de todos esses elementos requer atenção em todas as camadas, desde a comunicação até os aplicativos. Com toda essa complexidade, segurança física e lógica em todo esse conjunto de sistemas, processos, equipamentos e pessoas são fundamentais para prover eficiência, qualidade e confiança nessa nova arquitetura. Os medidores eletrônicos são parte importante da infraestrutura de medi- ção do smart grid (Advanced Metering Infrastructure, AMI) e demandam especial atenção em sua análise de segurança, por desempenhar funções sensíveis a: 1) localização física (externo a rede da concessionária); 2) registro de uso da energia consumida; 3) transmissão de dados privados; 4) execução de comandos remotos enviados pela central de controle do smart grid, afetando o uso de energia elétrica (preços das tarifas, fator de potência, etc.). 4140 Com a minuta de resolução normativa da Audiência Pública (AP) no 43/201068 [1], cuja definição gerou a Resolução Normativa 512, de 07 de agos- to de 2012 [2], as empresas concessionárias deverão instalar, no prazo de 18 me- ses (a contar da data da resolução), o sistema de medição de energia elétrica das unidades consumidoras do Grupo B. Com um parque de medidores eletromecâ- nicos instalados atualmente, o vetor motivacional para a instalação de medidores eletrônicos no Brasil é o aproveitamento da matriz de energia limpa abundante (em 2010, 86% da energia gerada originou-se de fontes renováveis – hidráulicas, eólica, bagaço de cana-de açúcar [3]). Outras motivações também incrementam as razões para a adoção do sistema inteligente de medição, destacando-se: me- lhora na qualidade do serviço prestado de baixa tensão, redução das perdas no fornecimento de energia, os custos operacionais, dentre outras. Nesse panorama, porém, pouco se tem falado sobre segurança na rede in- teligente no Brasil: iniciativas pequenas e pontuais, acercado tema, são o que se encontra em estudo e desenvolvimento. No entanto, os investimentos nesse assunto em iniciativas internacionais são maiores. Países como Canadá, Austrália e Estados Unidos, além de estarem à fren- te em seus planos de redes inteligentes, demonstram a preocupação das conces- sionárias e também da população coma segurança. Nos EUA, por exemplo, a taxa de medidores inteligentes cresce a cada ano, conforme demonstrado na Figura 2. Smart meter penetration Percent of customers with smart meters Residential 2007 2009 2011 2007 2009 2011 2007 2009 2011 2007 2009 2011 Commercial Industrial All sectors Figura 2: Relatório anual dos US Energy Information Administration (EIA) Com relação à segurança cibernética, sabe-se que confidencialidade e priva- cidade são pontos relevantes, porém não são únicos. Preocupações como fraudes também indicam questões importantes a serem trabalhadas e mitigadas. Em [4], encontram-se relacionados aspectos importantes de segurança em redes inteligen- tes: 1) fraude explorada por vulnerabilidades em configurações “de fábrica” de medidores; 2) exposição dos dados de consumo, afetando a privacidade do consu- midor; 3) regulamentação agressiva para as concessionárias proverem aos consu- midores medidores eletrônicos de baixo custo, com poucos ou nenhum requisito de segurança; 4) impactos nas infraestruturas críticas devido a sistemas de controle e comando dos equipamentos de automação, permitindo desligamentos em massa e provocando interrupção nos serviços, por exemplo; 5) conflitos de interesse en- tre governo (consumo consciente e redução de tarifas) e agentes comercializadores de energia (alto consumo, alto rendimento, alterações nas tarifas); 6) por um lado, o excesso de regulamentação pode prejudicar o sistema; do outro, sua falta pode afetar a interoperabilidade e competição entre os players desse ecossistema. Como se pode observar, a questão da segurança passa por aspectos tecnoló- gicos, regulatórios, e de composição de tarifas, envolvendo todos os participantes do ecossistema: governo, concessionária e consumidor. 1.1 SEGURANÇA EM SMART GRID/SMART METERS 1.1.1 Europa Alguns países começaram suas implantações de redes smart grids para aten- der aos planos governamentais. Países da Comunidade Europeia desenvolvem projetos de pesquisa para preparar a instalação de pelo menos 80% de consu- midores com medição inteligente até 2020, considerando um custo-benefício positivo. Entre os mais avançados, Suécia e Itália se destacam nos programas de smart grid, como pode ser observado na Figura 3. 4342 Figura 3: Desenvolvimento de programas de redes inteligentes na Europa (fonte: Esmig & Eurelectric) A Itália se destaca como o país mais adiantado em smart grid na Europa, com a instalação de aproximadamente 32 milhões de medidores eletrônicos em consumidores de baixa e média potência [5]. Com a implantação de medidores eletrônicos iniciada em 2001, a Telegestore da Enel Distribuzione (concessionária local) continua o projeto mais avançado no conceito de smart grid dentro do con- texto internacional. A arquitetura de AMI nesse projeto é composta de duas par- tes: cada transformador é equipado com um concentrador, que coleciona todos os dados vindos dos medidores individuais via Power Line Communication (PLC), e a comunicação do concentrador para os sistemas é baseada principalmente em GSM/GPRS. Os regulamentos criados pela agência regulatória italiana Autorita per l’Energia Elettrica e il Gas (AEEG) definem como são os requisitos funcionais mínimos e também a segurança dos dados do consumidor que estão nos medi- dores e que são transmitidos, para garantir a disponibilidade em caso de falha. Entre os principais desafios apontados por um estudo inicial da Comissão Europeia para a implantação de redes inteligentes, a segurança recebe destaque na questão da privacidade, manipulação dos dados e ataques cibernéticos. As recomendações gerais fornecidas para o tratamento de privacidade e se- gurança da Comissão são: • Avaliação do impacto na proteção de dados; • Proteção de dados em todas as etapas do ciclo de vida do sistema; • Uso de mecanismos de proteção de dados, como “anonymization”, ou “data minimisation”; • Utilização de padrões de segurança (ISO 27001:2005, NERC CIP, NIS- TIR-7628, entre outros); • Transparência da informação. Em [6], o European Smart Metering Industry Group (ESMIG) e Eletricity for Europe (EURELECTRIC) indicaram que o ano de 2013 seria de concentração de esforços nas questões de regulamentação e leis de proteção, manipulação e segurança de dados. Além da questão de segurança, outro ponto fundamental que tratado e trabalhado pelos países da União Europeia é a interoperabilidade entre redes in- teligentes, o que pode atingir a questão da disponibilidade dos serviços, entre outros aspectos. 1.1.2 Estados Unidos A definição oficial do termo smart grid para o Departamento de Energia dos Estados Unidos, Department of Energy (DOE) é de um sistema que usa comu- nicação multidirecional e disponibiliza tanto o fluxo de energia elétrica quanto de informação para prover, em tempo real, o gerenciamento do fornecimento e demanda de energia elétrica (baseado no U.S. Energy Independence and Security Act of 2007). A estrutura de governo americano definiu a participação de órgãos indica- dos para o desenvolvimento de smart grid daquele país. Os esforços e orçamentos estão divididos em seções do documento de lei Energy Independence and Secu- rity Act (EISA) de 2007, e estabelecem o desenvolvimento, pesquisa e pilotos de implantação, além da criação de uma estrutura de interoperabilidade, esta- belecimento de padrões e desenvolvimento de tecnologias. Neste último, estão envolvidos os seguintes órgãos: • DOE – Department of Energy • NIST – National Institute of Standards and Technology • IEEE – Institute of Electrical and Electronics Engineers • GWAC – Gridwise Architecture Council • FERC – Federal Energy Regulatory Commission • NERC – North American Electric Reliability Corporation 4544 • NEMA – National Electrical Manufacturers Association O NIST define um modelo conceitual da smart grid que norteia todos os demais estudos. O modelo identifica todos os componentes, que, em sua visão, fazem parte desse ecossistema, e estabelece a relação entre eles. Alguns projetos pioneiros não tiveram sucesso: estados como Califórnia e Maryland foram prematuros ao implantar smart grid, instalando medidores sem aferições adequadas ou não considerando programas de inclusão de consumidores para o novo serviço. O resultado inicial foi de insucesso, pois houve várias recla- mações por parte dos consumidores apontando problemas como erros nos valores de consumo (e por consequência, nas contas a pagar). Constataram também que não houve a preocupação em informar aos consumidores as melhorias no serviço. É possível concluir que os Estados Unidos estão se estruturando em smart grid baseado no escopo de componentes e, para cada elemento, são pesquisados e trabalhados conceitos para incrementar a disponibilidade do serviço, evitar per- das, e criar ambiente para novos serviços. Os motivadores para o desenvolvimento de projetos em smart grid nos EUA, além do aumento de consumo de energia elétrica e escassez da matriz fóssil, se pauta também na preocupação com segurança cibernética ou proteção contra ataques em infraestrutura crítica. 1.1.3 Canadá No panorama de países com desenvolvimento de projetos smart grid, o Ca- nadá está se destacando por implantações eficientes, modernas e bem planejadas. O foco do desenvolvimento é o aumento da demanda. As entidades envolvidas nos vários projetos em andamento são órgãos fe- derais, regionais e empresas de energia. A Natural Resources Canada é a empresa federal coordenadora dos desenvolvimentos e das iniciativas que, juntamente com a CanmetENERGY e a Standards Council of Canadá, são responsáveis pelas defini- ções de normas, regulamentos, leis e padrões quesão vigentes nas implementações. Grande destaque do Canadá em relação ao smart grid está na preocupação com a privacidade do consumidor, com a criação de regras de proteção conheci- das pelos princípios do Privacy by Design (PbD). Essa é uma das motivações que levam as empresas concessionárias a incorporarem segurança em seus projetos. 1.2 ENTIDADES REPRESENTATIVAS EM SEGURANÇA DE SMART GRID 1.2.1 National Institute of Standards and Technology (NIST) O NIST, conhecido órgão de padronização americano, discorreu sobre o tema, criando um conjunto de documentos sobre segurança cibernética para smart grid [7]. Os documentos descrevem processos de análise de risco, requisitos de segurança, arquitetura segura, além de uma extensa discussão sobre privaci- dade e tecnologias associadas aos novos tipos de informação e comportamento e também uma análise de classes de potenciais vulnerabilidades e seus impactos na organização. O trabalho é focado em quatro requisitos de segurança: prevenção, detecção, defesa e recuperação. A descrição de possíveis vulnerabilidades do NIST [8] (casos de uso) di- reciona ações a fim de mitigar riscos já analisados em redes smart grid. Essas vulnerabilidades estão categorizadas em dez conjuntos, sendo um específico para AMI (Advanced Measuring Infrastructure), no qual os medidores estão inseridos. Os casos de uso estão descritos assim: categoria ao qual pertence, descrição do cenário, objetivos e requisitos de segurança cibernética e potenciais problemas para os envolvidos. Um substrato dos casos de vulnerabilidades de AMI do NIST está transcritos na Tabela 1. 4746 1. Cenário: Serviço de medição Descrição do cenário: Leitura básica de consumo para geração da fatura de uso de energia elétrica; serviços de medição dependem do tipo do consumidor e sua tarifa, periodicidade de leituras dos dados do medidor, entre outros. Características no smart grid Requisitos e objetivos de segurança cibernética Potenciais questões a serem avaliadas Permite participação ativa do consumidor; permite novos produtos, serviços e mercados; otimização e operação eficiente do consumo. Confidencialidade e privacidade do consumidor são os mais importantes; integridade dos dados é importante, porém, impacto de dado incorreto não impacto é grande; disponibilidade do medidor não é crítico, por ser em tempo real. Privacidade e segurança do consumidor; acessos de terceiros; acesso aos dados do consumidor. 2. Cenário: Detecção de remoção de medidor Descrição do cenário: Medidor deve ser gerenciado e sua remoção não autorizada deve ser detectada. Características no smart grid Requisitos e objetivos de segurança cibernética Potenciais questões a serem avaliadas Otimização e operação eficiente do consumo; resiliência contra ataques e desastres naturais. Redução de roubo de energia; prevenção de instalação de software malicioso no medidor; comprometimento de senhas. Privacidade e segurança do consumidor; acessos de terceiros; acesso aos dados do consumidor. 3. Cenário: Proteção de receita Descrição do cenário: Perdas não técnicas; medidores suspeitos; baixo consumo anômalo; detecção de adulteração física no medidor. Características no smart grid Requisitos e objetivos de segurança cibernética Potenciais questões a serem avaliadas Otimização e operação eficiente do consumo; resiliência contra ataques e desastres naturais. Integridade dos dados do medidor é importante; confidencialidade e privacidade devem ser mantidas; disponibilidade do medidor após o pagamento. Privacidade e segurança do consumidor; acessos de terceiros; acesso aos dados do consumidor. Tabela 1: Vulnerabilidades em AMI descritas pelo NIST (fonte: NIST) 1.2.2 National Electric Sector Cybersecurity Organization Resource (NESCOR) O NESCOR, da Electric Power Research Institute (EPRI) categoriza em [9] cenários de falhas no sistema elétrico em função de vulnerabilidades, descrevendo o modelo de ameaça, critérios, métodos de priorização dos impactos causados e planos de ação para sua mitigação. Toda a base é alimentada por entidades/con- cessionárias, de maneira cooperativa. Baseado em características de implantação de smart grid na Europa, essa lista contempla falhas que podem ocorrer em toda a infraestrutura avançada de medição (Advanced Metering Infrastructure, AMI): medidores, interfaces, canal de comunicação, entre outros elementos. Alguns exemplos de falhas identificadas pelo NESCOR estão representados na Tabela 2. AMI.1: Empregado, com autorização válida, executa comando de desconexão remota inválido. Descrição: Um empregado, interno à concessionária, tem autorização para executar remotamente desconexão em massa de medidores, e isso acontece por algumas das seguintes razões: suborno, descontentamento ou engenharia social. Vulnerabilidades relevantes: ** Processos e sistemas de desconexão inadequados. Impactos: ** Blackouts temporários até o completo reestabelecimento da rede;** Impacto na reputação da concessionária. Formas de Mitigação: ** Esquemas de proteção para detectar desconexões ou reconexões em massa; ** Limitação de acesso às funções sensíveis utilizando algum sistema de controle de acesso baseado em papéis (Role-Based Access Control, RBAC); ** Validação de dados, garantindo serviços de verificação de alterações no sistema; ** Alarmes para as mudanças em determinadas situações pertinentes; ** Logs para rastrear responsáveis por alterações nas configurações; ** Estabelecer regras de “duas pessoas em operações individuais” na realização de alterações sensíveis; ** Determinar um número para desligamento de medidores, dentro de um período de tempo especificado; ** Executar verificação cruzada com o sistema de faturamento para garantir que o cliente tem o status correto antes de proceder com a desconexão. Tabela 2 (parte 1): Vulnerabilidades em AMI descritas pela NESCOR (Fonte: NESCOR) 4948 AMI.2: Empregado, com autorização válida, manipula dados de carga de energia consumidores. Descrição: O sistema de gerenciamento de dados em medidores (Meter Data Management System, MDMS) é acessado por alguém habilitado, que pode realizar alterações em preços de tarifa ou uso de consumidores. Vulnerabilidades relevantes: ** Controles inadequados na instalação, configuração e integridade de sistemas;** Auditoria financeira ineficiente. Impactos: ** Erros na arrecadação;** Cobrança incorreta. Formas de Mitigação: ** Melhorar os métodos de proteção de receita para detectar padrões incomuns de uso de energia; ** Limitação de acesso às funções sensíveis utilizando algum sistema de controle de acesso baseado em papéis (Role-Based Access Control, RBAC); ** Validação de dados, garantindo serviços de verificação de alterações no sistema; ** Proceder com verificações de executáveis usando assinaturas digitais e técnicas de hashing; ** Monitorar o faturamento e tráfego de rede AMI, com foco em dados inesperados ou destinos; ** Implementar um programa rigoroso de auditoria financeira; ** Implementar um programa de gestão de mudança de configuração; ** Limites no acesso aos componentes do sistema de medição; ** Melhorar a segurança física. Tabela 2 (parte 2): Vulnerabilidades em AMI descritas pela NESCOR (Fonte: NESCOR) AMI.3: Acesso inválido usado para instalar software malicioso, habilitando o medidor para controle remoto pela internet. Descrição: Um agente de ameaça adquire um acesso – físico ou lógico – a rede de uma concessionária e instala software malicioso, que permite acesso remoto ao AMI, a partir de qualquer ponto de entrada (internet, p.e.). Vulnerabilidades relevantes: ** Controles inadequados na instalação, configuração e integridade de sistemas;** Gerenciamento de acesso e identificação inadequados. Impactos: ** Potencial risco no acesso indevido em sistemas de comando e controle;** Comprometimento do desempenho dos medidores. Formas de Mitigação: ** Limitação de acesso afunções sensíveis utilizando algum sistema de controle de acesso baseado em papéis (Role-Based Access Control, RBAC); ** Logs para rastrear responsáveis por alterações nas configurações; ** Proceder com verificações de executáveis usando assinaturas digitais e técnicas de hashing; ** Garantir que acesso físico não permita, automaticamente, acesso lógico; ** Acesso a sistemas sensíveis utiliza autenticação multi-fator; ** Garantir segregação da rede e impedir acesso a sistemas de controle que não sejam locais; ** Implementar um programa de gestão de mudança de configuração. Tabela 2 (parte 3): Vulnerabilidades em AMI descritas pela NESCOR (Fonte: NESCOR) 1.2.3 Privacy by Design (PbD) O estudo é baseado nos princípios de privacidade desenvolvidos pelo Pri- vacy by Design (PbD), da Dra Ann Cavoukian, designada Delegada do Ontario´s Information and Privacy, do Canadá. Esses princípios foram criados nos anos 90 com o propósito de avaliar os efeitos sistêmicos e crescentes das Tecnologias de Informação e Comunicação (TIC) para o tema privacidade. A ideia principal é a incorporação do conceito privacidade desde a concepção da tecnologia, do serviço ou sistema e aplicar tais princípios em todas as suas fases de desenvolvimento [10]. A proposta do PbD, portanto, é tornar a privacidade não só um requisito de conformidade à legislação ou regulamentação, mas principalmente, torná-la um requisito padrão (cultura) presente em toda empresa, e garantir assim que toda a informação pessoal sob controle de uma organização seja bem gerenciada. 5150 Como resultado, a empresa que utilizam modelo PbD pode obter a con- fiança do consumidor e sua lealdade, alcançando vantagens competitivas no mer- cado, que são potencializadas pela manutenção de sua marca. Os sete princípios desenvolvidos pelo Privacy by Design, conforme Figura 4, são definidos como: • Pró-atividade em lugar de reatividade; ações preventivas em lugar de re- mediadas (Proactive/Preventative); • Privacidade deve ser requisito padrão (By Default); • Privacidade deve ser incorporada na concepção (Embedded); • Funcionalidade total – soma-positiva/”ganha-ganha” (Positive Sum); • Proteção durante todo o ciclo de vida (Lifecycle Protection); • Visibilidade e transparência (Visibility/Transparency); • Respeito ao consumidor (Respect for Users). Figura 4: Princípios do PbD (fonte: Privacy By Design) 1.3 CASOS DE ATAQUES CONHECIDOS 1.3.1 Stuxnet O caso de maiores proporções políticas em ataques a redes de eletricidade foi o vírus STUXNET, cuja atuação não foi feita diretamente em um ambien- te smart grid, mas demonstrou a fragilidade dos sistemas de gerenciamento e controle de energia elétrica, o sistema Supervisory Control And Data Acquisition (SCADA), nesse caso especificamente da Siemens. Descoberto em 2010, o ataque já havia sido iniciado pelo menos dois anos antes. Tendo como alvo principal usinas de urânio do Irã, foi o incidente mais evidente, até o momento, da criação de artefato para guerra cibernética. Muitos rumores sobre quem são os criadores do vírus foram divulgados, porém, sem confirmações. Entretanto, a descrição de como o vírus se manifestou foi ampla- mente divulgada por entidades reconhecidas, como os laboratórios das empresas de segurança Kaspersky e Symantec. De acordo com a Symantec [11], o ataque, com características específicas de funcionamento, explora quatro vulnerabilida- des zero-day (desconhecidas): o vírus inicia sua atuação em ambiente Windows para alcançar o sistema de controle, passando por técnicas de obstrução de detec- ção de antivírus (utilizando certificados digitais legítimos e de empresas conhe- cidas, porém falsificados), e por fim, tomando controle do ambiente SCADA. Após a descoberta inicial, informações foram divulgadas sobre as caracterís- ticas semelhantes entre o Stuxnet, Flame e Duqu esses últimos também vírus com comportamento similares, não necessariamente direcionados aos sistemas de con- trole do ambiente SCADA. Após isso, com a descoberta de um novo vírus, conhe- cido como Gauss, caracteriza que a criação desses advém da mesma linha de pro- dução (Figura 5) e que falhas distribuídas podem organizar um ataque direcionado a sistemas industriais (como o SCADA). Isso pode indicar que as vulnerabilidades estão sendo exploradas por profissionais que conhecem de tecnologia e segurança da informação, criando ataques cada vez mais sofisticados, independente do alvo. Stuxnet 2009 Suxnet 2010 Duqu Gauss Flame Figura 5: Módulos comuns entre Stuxnet, Flame, Duqu e Gauss (fonte: Kaspersky Lab) 52 REFERÊNCIAS [1] ____, Audiência Pública 043/2010 para informações adicionais acerca de requisitos mínimos para os medidores eletrônicos, www.aneel.gov.br/aplicacoes/audiencia/arquivo/2010/043/documen- to/resolucao_medicao_-_ap_43_2010.pdf. Acessado em 20 de Novemrbo de 2012. [2] ____, Resolução Normativa 512, www.aneel.gov.br/biblioteca/remissiva_legi.cfm?vali- da=103077. Acessado em 20 de Novembro de 2012. [3] ____, Apresentação dos Resultados da Audiência Pública 043/2010, http://www.aneel.gov.br/ cedoc/aren2012502_1.pdf. Acessado em 20 de Novembro de 2012. [4] R. Anderson, S. Fuloria, “Smart meter security: a survey”, Cambridge University, Setembro de 2011. [5] _____, “Experiences on the Regulatory Approaches to the Implementation of Smart Meters AN- NEX 4 – CASE STUDY Smart Meters in Italy”,www.iern.net/portal/page/portal/IERN_HOME/ ICER_HOME/ABOUT_ICER/ICER_at_WFERV/Annex4%20-%20Italy. Acessado em 28 de Ja- neiro de 2013. [6] _____, “ESMIG and EURELECTRIC report on latest Smart Meter developments”, http://www. esmig.eu/documents/ESMIG and EURELECTRIC report on latest Smart Meter developments.pdf/ at_download/file. Acessado em 27 de Janeiro de 2013. [7]_____, “Introduction to NISTIR 7628 Guidelines for Smart Grid Cyber Security”, http://csrc. nist.gov/publications/nistir/ir7628/introduction-to-nistir-7628.pdf. Acessado em 28 de Janeiro de 2013. [8]_____, “Guidelines for Smart Grid Cyber Security: Vol. 3, Supportive Analyses and Referen- ces“,http://csrc.nist.gov/publications/nistir/ir7628/nistir-7628_vol3.pdf. Acessado em 28 de Janeiro de 2013. [9] ____, “Electric Sector Failure Scenarios and Impact Analyses”, Technical Working Group 1, http://www.smartgrid.epri.com/doc/NESCOR_10_25_12.pdf. Acessado em 20 de Novembro de 2012. [10] Cavoukian, A. “Privacy By Design…Take The Challenge”. Janeiro de 2009. [11] _____, “Guidelines for Smart Grid Cyber Security: Vol. 3, Supportive Analyses and Referen- ces“,http://csrc.nist.gov/publications/nistir/ir7628/nistir-7628_vol3.pdf. Acessado em 28 de Janeiro de 2013. 55 2. Vulnerabilidades inerentes às tecnologias existentes nos medidores Tem se observado um aumento tanto nas discussões quanto nos ataques contra as redes inteligentes de energia elétrica. O evento do Stuxnet ainda pode ser considerado um exemplo clássico desse fato [1] [2]. As novas redes inteligentes e consequentemente os medidores inteligentes vieram para re- volucionar a maneira como todos estão acostumados a gerar, consumir e também como pagar a energia elétrica. Essa nova infraestrutura de rede inteligente juntamente com os medidores inteligentes, permitem as concessionárias uma melhor maneira de faturar os seus clientes, que por sua vez, terão a oportunidade de utilizar forma mais racio- nal e econômica à energia. Somente nos EUA, um pacote de estimulo no valor aproximado de U$ 4.5 Bilhões foi empregado entre os anos de 2010 e 2012 no desenvolvimento de novas tecnologias [3], além é claro de valores adicionais empregado pelas próprias concessionárias de energia. Valores e esforços similares também estão sendo empregados em outras partes do mundo. No entanto, as implementações dessas novas redes estão sendo feitas de forma extremamente agressiva para cumprir prazos e acordos junto aos gover- nos. Porém, como tudo tem um preço e neste caso é a segurança que está sendo penalizada, novos e inúmeros dispositivos de uma vasta
Compartilhar