Sistemas de Automação (SCADA)
Segurança e Computação Forense
Sistemas SCADA (Supervisory Control and Data Acquisition) são o coração digital de infraestruturas críticas: energia, água, transportes, manufatura pesada. Por décadas, operaram isolados (air-gap), comunicando-se por protocolos proprietários e hardware dedicado. A partir dos anos 2000, a convergência com redes corporativas (IT) e a adoção de tecnologias padrão (TCP/IP, Windows, software comercial) trouxeram ganhos de eficiência, mas abriram a porteira para ameaças cibernéticas com potencial de dano físico .
🏭 Arquitetura Típica de um Sistema SCADA
Um ambiente SCADA moderno é composto por três camadas principais: (1) Centro de Controle – servidores de supervisão, bancos de dados históricos (historian) e interfaces homem-máquina (HMIs); (2) Redes de Comunicação – Ethernet, rádio, linhas seriais, protocolos como Modbus, DNP3, IEC 61850; (3) Dispositivos de Campo – CLPs (Controladores Lógicos Programáveis), RTUs (Unidades Terminais Remotas), sensores e atuadores que interagem diretamente com o processo físico .
O cenário de ameaças é grave e crescente. Somente em 2023, foram registrados 68 ataques cibernéticos públicos com consequências físicas em sistemas de controle industrial . Quase 31% das organizações relataram seis ou mais intrusões em ambientes OT, contra apenas 11% no ano anterior . Em 2025, identificaram-se cerca de 70 mil dispositivos OT acessíveis publicamente na internet, muitos com firmware desatualizado e interfaces SCADA expostas .
⚡ Casos emblemáticos que marcaram a segurança SCADA
🔩 Stuxnet (2010)
O marco zero da ciberguerra. Malware ultracomplexo que visou centrífugas de enriquecimento de urânio no Irã. Explorou 4 vulnerabilidades zero-day no Windows, propagou-se via USB e atacou CLPs Siemens S7, alterando a velocidade de rotação enquanto exibia valores normais na HMI .
📌 Análise forense: recuperação de binários do malware, engenharia reversa do código, identificação de blocos de controle modificados nos CLPs. Pela primeira vez, a forense precisou ir além dos PCs e analisar a lógica dentro do controlador .
⚡ Ataque à rede elétrica da Ucrânia (2015)
Primeiro apagão causado por ciberataque. Atacantes (Sandworm) usaram phishing para entrar na rede corporativa, moveram-se lateralmente até a rede OT e abriram disjuntores via acesso legítimo às HMIs, deixando 230 mil pessoas sem luz .
📌 Análise forense: coleta de imagens de servidores e estações, identificação do malware BlackEnergy3 e do módulo KillDisk. A investigação combinou evidências de IT e OT, revelando o uso de ferramentas nativas (VNC, VPN) pelos invasores .
⚠️ Triton/Trisis (2017)
Ataque a uma planta petroquímica na Arábia Saudita. O malware visava Sistemas Instrumentados de Segurança (SIS) da Triconex, com potencial para desativar proteções e causar explosão ou vazamento tóxico .
📌 Análise forense: extração de memória e firmware dos controladores SIS, engenharia reversa do código malicioso capaz de reprogramar a lógica de segurança. Enfatizou a necessidade de incluir todos os subsistemas no escopo forense .
🛢️ Colonial Pipeline (2021)
Ransomware DarkSide atingiu a rede corporativa do maior duto de combustível dos EUA. A operação foi interrompida preventivamente, gerando caos no abastecimento da costa leste .
📌 Análise forense: investigação focou na intrusão inicial (VPN sem MFA), na propagação do ransomware e na verificação de que o malware não atingiu a rede OT. Expôs fragilidades na segregação entre IT e OT .
🔍 Desafios da Computação Forense em Ambientes SCADA
📋 Abordagem Forense para SCADA (baseada em NIST SP 800-86 e ISO 27037)
1. Coleta: priorizar dados voláteis (memória RAM, cache de CLP, tráfego de rede ativo). Utilizar sensores passivos, port mirroring, e, quando possível, interfaces de diagnóstico (JTAG, serial) .
2. Preservação: hashing (SHA-256) de imagens de disco, configurações e firmware. Documentação rigorosa da cadeia de custódia, incluindo data/hora e responsável .
3. Exame: análise de logs do historian, imagens de memória de estações de engenharia, extração de blocos de lógica de CLPs .
4. Análise: correlação temporal entre eventos de IT e OT, reconstrução da cadeia de ataque (ex: spear-phishing → movimento lateral → comando SCADA) .
5. Relato: laudo pericial em linguagem acessível para operadores, engenheiros e juristas, com linhas do tempo e evidências técnicas .
| Ferramenta | Uso em SCADA | Origem |
|---|---|---|
| FTK Imager / EnCase | Aquisição de imagens de servidores e estações de engenharia | IT adaptado |
| Wireshark + dissectores ICS | Captura e análise de tráfego Modbus, DNP3, IEC 104 | Código aberto |
| GRASSMARLIN | Mapeamento passivo de redes OT e identificação de ativos | NSA |
| Claroty / Nozomi | Monitoramento contínuo e visibilidade de redes OT (também usadas pós-incidente) | Comercial |
| Volatility | Análise de memória RAM de estações de controle | Código aberto |
| Ferramentas de engenharia reversa (Ghidra, IDA) | Análise de firmware de CLPs e RTUs (ex: caso Triton) | Código aberto/Comercial |
Normas como a IEC 62443 (segurança em camadas, desenvolvimento seguro) e os guias do NIST (SP 800-82, SP 800-86) fornecem a base para programas de segurança e procedimentos forenses . A ABNT NBR ISO/IEC 27037 orienta a identificação, coleta e preservação de evidências digitais, sendo adaptável para ambientes OT .
📡 Alerta 2025: Vulnerabilidades no Rapid SCADA
Pesquisadores da Claroty descobriram sete vulnerabilidades (uma crítica, duas alta gravidade) no Rapid SCADA, sistema de código aberto usado em pequenas e médias indústrias. As falhas permitiam execução remota de código, leitura de arquivos confidenciais e escalação de privilégio . Até o momento, os desenvolvedores não lançaram patches, e dezenas de instâncias continuam expostas na internet. A CISA recomendou desconectar o sistema da rede até correção .
Para o profissional de TI, OT ou Direito, a compreensão da forense SCADA é vital. A cadeia de custódia precisa ser impecável, os procedimentos documentados e a cooperação entre engenheiros de processo e peritos deve ser estreita. Ataques como Stuxnet, Ucrânia e Triton mostraram que o mundo físico pode ser manipulado por comandos digitais, e a prova técnica é a única forma de responsabilizar agressores e prevenir recorrências.
