Especialistas da equipe Incite durante a Pwn2Own Miami — Foto: Divulgação/ZDI
A competição de segurança Pwn2Own, que distribui prêmios em dinheiro a especialistas que demonstram falhas de segurança inéditas, realizou em Miami uma edição do evento focada em sistemas de controle industrial.
Organizado pela Zero Day Initiative da Trend Micro, o evento pagou US$ 280 mil (cerca de R$ 750 mil) a quatro equipes de especialistas que conseguiram explorar vulnerabilidades nesse tipo de software.
Sistemas de Supervisão e Aquisição de Dados (chamados de SCADA, na sigla em inglês) são usados para monitorar e controlar a automatização de máquinas em linhas de produção e em serviços como energia elétrica e tratamento de água.
Vulnerabilidades e erros nesses sistemas têm potencial para causar danos físicos aos equipamentos e até colocar a vida de pessoas em risco.
Embora esse tipo de equipamento normalmente não precise de acesso à internet — o que reduz a exposição e a viabilidade de ataques no mundo real —, deslizes na administração das redes ou na segurança física das empresas podem acabar criando pontes de acesso indesejadas.
Nos três dias de competição, os participantes conseguiram realizar 23 ataques (em 25 tentativas) contra produtos de empresas como Triangle Microworks, Rockwell Automation, Inductive Automation, OPC Foundation e Schneider Electric.
Diversas falhas demonstradas permitiriam que um hacker obtivesse totalmente o controle dos sistemas atacados. Em muitas das demonstrações, o sistema de controle continuou funcionando como se nada tivesse acontecido — evitando alertas que denunciariam a presença do invasor.
A Pwn2Own permite que especialistas concorram em times ou individualmente. Nesta edição em Miami, quatro equipes e quatro indivíduos disputaram o título de "Master of Pwn", concedido ao grupo ou indivíduo que apresentar mais falhas graves e inéditas.
A vitória ficou com o Incite Team, formado por Steven Seeley e Chris Anastasio. Eles demonstraram seis ataques e faturaram US$ 80 mil.
Outras duas equipes, "Flashack Team" e Instituto Horst-Görtz, levaram US$ 75 mil cada. O quarto grupo, da empresa de segurança Claroty, ficou com US$ 50 mil.
Os quatro especialistas que participaram individualmente — Ben McBride, Fabius Artrel, Michael Stepankin e Lucas Georges — não receberam nenhum prêmio em dinheiro. Eles conseguiram demonstrar ataques e pontuaram na competição, mas as falhas usadas não eram inéditas.
Todas as vulnerabilidades usadas na Pwn2Own precisam ser inéditas e mantidas em sigilo. As informações são repassadas apenas aos fabricantes dos produtos.
Dessa forma, os problemas podem ser corrigidos antes que hackers os utilizem em ataques reais.
Dúvidas sobre segurança, hackers e vírus? Envie para g1seguranca@globomail.com