Informe: ¿Podemos aprender de incidentes de seguridad en sistemas SCADA?

noviembre 6, 2013 § 1 comentario

El Programa de Seguridad Cibernética de la OEA/CICTE se complace en compartir con Ustedes la traducción al español del documento “¿Podemos aprender de incidentes de seguridad en sistemas SCADA?” preparado por la Agencia Europea de Seguridad de las Redes y de la Información (ENISA). Versión en Español, traducción no oficial del documento original (ENISA/UE).
 
Versión en español ; (traducción no oficial de ENISA/UE).
Documento original (en inglés).

Fuente: OAS

Anuncios

La Protección de Infraestructuras Críticas y la Ciberseguridad Industrial

septiembre 27, 2013 § 1 comentario

Ignacio Paredes, Responsable de Estudios e Investigación del Centro de Ciberseguridad Industrial (CCI)

Algunas normativas disponen cuáles son los sectores que contienen infraestructuras que deben ser protegidas, pero no especifican diferencias sobre cómo abordar la protección en distintos sectores, delegando esto en estándares reconocidos o guías de buenas prácticas.

Los acontecimientos ocurridos durante los últimos años, desde los ataques del 11 de septiembre de 2001 a los actos de ciberespionaje realizados por distintos estados, pasando por las amenazas de Anonymous, Wikileaks y los efectos de malware como Stuxnet, han llevado a la mayoría de los gobiernos a incluir en sus agendas el desarrollo de estrategias y medidas de protección para garantizar la seguridad de sus infraestructuras críticas.

Este hecho ha causado que ciertos conceptos, hasta hace poco restringidos a ámbitos profesionales muy especializados, tengan lugares destacados en los medios de comunicación y se hayan convertido en expresiones de uso común. Dos de estos ejemplos son ‘Protección de Infraestructuras Críticas (PIC)’ y ‘Ciberseguridad Industrial (CI)’, que aunque en muchas ocasiones son utilizados como sinónimos, poseen diferencias significativas.

El término ‘infraestructura crítica’ es empleado por los gobiernos para describir activos esenciales para el funcionamiento de la sociedad y la economía. Por tanto, la Protección de las Infraestructuras Críticas nace debido a la consciencia que adquieren los gobiernos, de la necesidad de proteger una serie de infraestructuras necesarias para garantizar el funcionamiento de los servicios esenciales para los países. Con el fin de cubrir esta necesidad, los gobiernos han desarrollado legislaciones que establecen las medidas de seguridad que los propietarios y operadores de las infraestructuras deben implantar para afirmar su seguridad. Por otra parte, estas leyes disponen cuáles son los sectores que contienen infraestructuras que deben ser protegidas, pero no especifica diferencias sobre cómo abordar la protección en distintos sectores, delegando esto en estándares reconocidos o guías de buenas prácticas específicas de cada sector.

La Ciberseguridad Industrial es el conjunto de prácticas, procesos y tecnologías, diseñadas para gestionar el riesgo del ciberespacio derivado del uso, procesamiento, almacenamiento y transmisión de información utilizada en las organizaciones e infraestructuras industriales, utilizando las perspectivas de personas, procesos y tecnologías. Existen muchos tipos de industrias, y la mayor parte de ellas utilizan sistemas de control similares para desarrollar sus procesos. Estos dispositivos son el principal objeto de la Ciberseguridad Industrial.

Diferencias fundamentales

Por tanto, la diferencia fundamental entre PIC y CI es que, aunque una buena parte de los sectores definidos por la Protección de Infraestructuras Críticas estarán abarcados por la Ciberseguridad Industrial, existen otros sectores en los que no existen los sistemas de control mencionados anteriormente y, por tanto, no estarían dentro del ámbito de actuación de la CI. Como contrapartida, la Ciberseguridad Industrial abarca un ámbito mayor que la Protección de Infraestructuras Críticas, ya que la mayor parte de las instalaciones industriales existentes en el mundo, no están catalogadas como infraestructuras críticas y, por tanto, no están sujetas a la legislación PIC.

Sin embargo, existen múltiples puntos de encuentro entre ambos conceptos. Uno de ellos es el impulso que para las medidas de Ciberseguridad Industrial en las organizaciones ha supuesto la necesidad de implantar medidas para alcanzar el cumplimiento legal PIC. Esta es una de las principales causas de aparición de un negocio relativamente nuevo en el que aún existe un gran recorrido por hacer y que requerirá la formación y esfuerzo de muchos profesionales especializados.

Fuente: Red Seguridad

Ciberseguridad Industrial: Causas y consecuencias

septiembre 6, 2013 § Deja un comentario

Desde el 2010, cuando Stuxnet fue descubierto, los sistemas industriales se volvieron el foco de muchos especialistas de seguridad con el fin de evaluar su seguridad y su potencial vulnerabilidad a ataques externos. A su vez se comenzaron a detectar posteriores ataques a estas infraestructuras, como fueron las amenazas Flame y Duqu que, si bien en teoría no fueron ataques dirigidos como lo fue Stuxnet, afectaron a sistemas industriales. Tres años después de la llegada del malware a las industrias, ¿mejoró la seguridad industrial de las infraestructuras críticas?

Si bien nos gustaría pensar que así fue, lamentablemente seguimos encontrando ejemplos de que a esta industria le falta mejorar en lo que a seguridad informática se refiere. La semana pasada tuvimos la suerte de participar de la capacitación en Ciberseguridad Industrial organizada por ISSA Argentina, a cargo de Samuel Linares e Ignacio Paredes del Centro de Ciberseguridad Industrial de España. Durante las tres jornadas se vio un claro ejemplo de esto: los sistemas operativos utilizados por estos sistemas críticos siguen siendo obsoletos. Ya sean los PLC (Programmable Logic Controllers), las HMI (Human Machine Interfaces) o los sistemas SCADA (Supervisory Control And Data Acquisition), muchos de ellos aún poseen sistemas operativos como Windows XP, Windows 2000, Windows 98 e incluso, en algunos entornos todavía se utilizan Windows 3.11.

Esto denota que no existe una clara política de actualización de los sistemas operativos que controlan estas infraestructuras. Pero sería injusto culpar solo a las industrias de esto ya que las empresas que desarrollan el hardware industrial (PLC, HMI, SCADA, RTU, etc.) poseen una política muy estricta sobre el cambio o actualización de los sistemas operativos que controlan su hardware. Aunque sea difícil de creer, la postura de los creadores de estas soluciones es la prohibición del cambio o actualización de los sistemas operativos que las controlan ya que caso contrario no pueden garantizar su correcto funcionamiento, y como consecuencia, no brindarán soporte sobre las mismas si son “alteradas”. Estos casos son más comunes de lo que uno piensa en estos entornos y todavía estas situaciones son más frecuentes de lo que uno puede imaginar.

Algo que también llama sumamente la atención es que los desarrolladores de los dispositivos PLC suelen exigir al comprador, es decir la industria, que dicho dispositivo tenga acceso directo a Internet para poder realizar tareas de mantenimiento al mismo. Esto presenta un importante riesgo de seguridad (si no es gestionado correctamente) ya que dicho acceso se encuentra disponible 24×7 y podría permitir el ingreso de personal no autorizado. La política del desarrollador podría contemplar la posibilidad de que el acceso se otorgue cuando se requiera realizar soporte o que la comunicación se realice por medio de una comunicación segura como una VPN.

Adicionalmente, hoy en día los firewalls utilizados por las empresas son aquellos basados en reglas, es decir, que le indican a dos equipos cuándo hablar o no por un canal determinado, pero no analizan el tráfico que por allí transcurre por tratarse de protocolos “no conocidos” por este. Los protocolos industriales (DNP 3.0, OPC, OPC UA, ICCP, Modbus, etc) son muy sencillos de interpretar y no es para nada complejo agregar esta capacidad a los firewalls actuales. Si bien ya existen algunos desarrolladores de firewalls industriales que están comenzando a implementar dispositivos con estas capacidades, el cambio de este hardware en las industrias es muy lento ya que poseen fechas de amortización muy alta, lo que implica que podrían recién llegar a cambiarse de hoy a 20 años o más.

Por último, pero no menos importante, percibimos un problema social dentro de las industrias. En primer lugar, el sector corporativo y el industrial de la misma empresa suelen manejarse como dos entidades distintas, generando grandes problemas de comunicación y como consecuencia problemas de seguridad considerable. En segundo lugar, algunos miembros del sector industrial en muchos casos suele guiarse por una política cuestionable desde el punto de vista de la seguridad, el tradicional “si funciona, no lo toques“. Esto presenta varios problemas de seguridad ya que la falta de actualización y revisión de estos sistemas podría generar una falla de los mismos o incluso un acceso por un usuario malicioso.

A modo de contexto, las industrias que utilizan estos sistemas pueden ser aquellas que potabilizan el agua para una ciudad, generan y distribuyen la electricidad, manejan las compuertas de un dique o se encargan de la distribución del gas natural, entre otras. Esto nos demuestra lo crítico de estos sistemas y los riesgos que pueden ocurrir si alguno de ellos falla o es vulnerado.

Si bien se realizaron algunos cambios en algunas industrias en pos de una mejor seguridad industrial, aún falta mucho trabajo por realizar dentro de este sector, y la concientización sobre esta temática es un punto clave. Seguramente en los próximos años la seguridad industrial seguirá ganando terreno como un factor clave en términos de seguridad de la información.

Fuente: ESET Latinoamérica

Mapa de Ruta de la Ciberseguridad Industrial

julio 5, 2013 § Deja un comentario

Desde el 1 de Julio, está disponible para su descarga el Mapa de Ruta de la Ciberseguridad Industrial en España 2013-2018, documento desarrollado por el Centro de Ciberseguridad Industrial que pretende ser la primera pieza de los cimientos sobre los que construir una cultura de la Ciberseguridad Industrial destinada a mejorar la seguridad de las instalaciones industriales en España.

El documento ha sido desarrollado desde el conocimiento, la experiencia, el consenso y la máxima representatividad de los principales actores, públicos y privados, de la industria del país. Para ello, durante los últimos meses, se ha seguido un proceso participativo de construcción y mejora continua con distintas iteraciones de revisión de contenidos en las que se recibieron casi 400 aportaciones de contenido que fueron consensuadas en el documento que hoy se publica.

En el documento, una vez realizada una introducción sobre su propósito, contexto e implicados principales, se desarrolla un análisis desde las perspectivas de la cultura de Ciberseguridad Industrial; la medida, análisis y reducción de los riesgos, así como la mitigación de sus impactos; la detección y gestión de incidentes; la colaboración y coordinación de las labores y actores necesarios y por supuesto, la investigación, desarrollo e innovación en este ámbito.

Para cada una de esas perspectivas se desarrollan en profundidad las distintas amenazas, desafíos, obstáculos y prioridades que las caracterizan, identificando una serie de hitos a corto (2013-2014), medio (2015-2016) y largo plazo (2017-2018) y las acciones necesarias para su consecución, incluyendo descripción, responsabilidades, fecha límite e indicadores asociados.

Es el primer documento de este tipo que se desarrolla en nuestro idioma y aspira a convertirse en la referencia que guíe los esfuerzos encaminados a la mejora de la protección de las infraestructuras industriales en España y sirva como ejemplo a otros países de nuestro entorno.

Fuente: Revista Cloud Computing

Honeypot para rastrear ataques a sistemas de infraestructuras críticas

julio 2, 2013 § Deja un comentario

Desde hace un tiempo se están utilizando Honeypots y Honeynets para atraer a posibles atacantes a una red falsa con el fin de estudiar dichos ataques. Aunque este tipo de red existen y se implementan desde hace mucho tiempo, ahora también se están comenzando a implementar en sistemas de control industriales.

Los atacantes suelen morder el anzuelo y terminan explotando vulnerabilidades en sistemas ICS o SCADA de monitoreo. Sin embargo, aún está en estudio si los ataques en el mundo real ocurren debido a las mismas circunstancias. ¿Cuántas veces fallan las estaciones de bombeo, ocurren apagones, se detienen ascensores y se apagan sistemas HVAC porque un atacante está en una red apagando y prendiendo el sistema?

ICS-CERT dio a conocer su informe trimestral [PDF] y observó un aumento importante en el número de ataques de fuerza bruta contra infraestructuras críticas. En 2012, ICS-CERT dijo que respondió a 198 incidentes de infraestructuras críticas, un número que ya se ha superado este año fiscal que comenzó en octubre de 2012 y terminó en mayo 2013. Energía sigue siendo el sector más afectado con 53 por ciento de los ataques dirigidos, en comparación con el 41 por ciento el año pasado. La industria manufacturera es el próximo con 17 por ciento.

Billy Rios, que ha encontrado y reportado varias vulnerabilidades relacionadas, dijo que su organización ha puesto en marcha honeypots que le permite capturar una serie de nuevos ataques dirigidos.

“Vemos ataques específicos a sistemas de gestión de edificios, ataques de fuerza bruta y exploits para sistemas específicos, no sólo un simple análisis de Nessus o Nmap. Vemos direcciones IP corriendo detrás nodos de salida Tor, saben exactamente lo que estaban buscando y están literalmente, tratando de obtener acceso.”

Recientemente, dos investigadores de Noruega y Dinamarca desplegaron un ICS trampa llamada Conpot (Open Source), que fue configurada para imitar un controlador lógico programable Siemens (PLC), así como un panel de operador. Ahora que ha estado en línea por un tiempo y ha sido rastreado por los motores de búsqueda, el equipo está empezando a recoger más datos y pruebas de que los atacantes están rastreando y focalizándose en ICS y SCADA, y que no todos estos intentos se originan a partir de análisis automatizados, sino orientados y dirigidos.

“Los adversarios parecen probar blancos fáciles y utilizan la ayuda de los motores de búsqueda para encontrar a sus víctimas”, dijo Lukas Rist, un miembro de la Honeynet Project y uno de sus creadores, junto con Johnny Vestergaard. “Si la búsqueda tiene éxito, tratan de acceder a lo mínimo esfuerzo cuando sea necesario”.

Eso significa que la explotación de cualquier número de incumplimiento conocido o combinaciones de nombre de usuario-contraseña débil posible.

ICS-CERT, por su parte, insta a los operadores a compartir los datos de ataque, especialmente los indicadores de compromiso. La organización cuenta con un portal seguro donde comparte las últimas direcciones IP que participan de los ataques. Las alertas provocan que otros puedan investigar sus propias redes en busca de ataques.

Cristian de la Redacción de Segu-Info

Investigadores controlan sistema SCADA de Google Australia

mayo 7, 2013 § Deja un comentario

Decenas de miles de sistemas SCADA se encuentran conectados a Internet y ahora Google está en el punto de mira luego de que dos investigadores de seguridad han descubierto que podían cortar fácilmente el sistema de gestión del edificio del Pyrmont en Sydney, Australia, los cuales utilizan el novedoso diseño y estilo propio llamado Google Wharf-7.

Google Australia utiliza un sistema de gestión del edificio basado en Tridium Niagara AX, una plataforma sobre la cual se ha demostrado que tiene vulnerabilidades de seguridad graves. Aunque Tridium ha lanzado un parche para el sistema, Google no lo había aplicado y esto permitió a los investigadores obtener la contraseña administrativa(“anyonesguess”) y acceder a los paneles de control.

El panel brinda la posibilidad de “anular activos”, “anular alarmas”, “diagrama de la LAN” y la “gestión de claves”.

Los investigadores reportaron la vulnerabilidad a Google. “No queremos gestionar el dispositivo aunque es muy frágil”, dijo Billy Rios, investigador de la firma de seguridad Cylance, quien trabajó en el proyecto con su colega Terry McCorkle.

Los dos investigadores han descubierto numerosas vulnerabilidades en el sistema AX Niagara y otros sistemas de control industrial en los últimos dos años. En enero, demostraron un ataque 0-Day de explotación remota que, combinado con un error de escalada de privilegios podrían darle “root” en la plataforma del sistema.

Cristian de la Redacción de Segu-Info

SCADA: Herramientas de seguridad para WINCC y PLCs S7

mayo 3, 2013 § Deja un comentario

En este post tratare sobre tres herramientas muy interesantes para el análisis de seguridad y fortalecimiento de redes en SCADA Siemens y PLC´s S7, ya que el SCADA WINCC junto con los PLC´s de la serie S7 son los más usados en la automatización industrial.

PLCScan

Herramienta programada en python, para la exploración dispositivos PLC de la serie S7 a través del protocolo ModBus/tcp.

Ejemplo de usos:

plcscan.py 192.168.0.1
plcscan.py --timeout 2 192.168.0.1:102 10.0.0.0/24
plcscan.py --hosts-list hosts.txt

Ejemplos de resultados:

192.168.0.1:102 S7comm (src_tsap=0x100, dst_tsap=0x102)
Module : 6ES7 151-8AB01-0AB0 v.0.2
Basic Hardware : 6ES7 151-8AB01-0AB0 v.0.2
Basic Firmware : v.3.2.6
Unknown (129) : Boot Loader A
Name of the PLC : SIMATIC 300(xxxxxxxxx)
Name of the module : IM151-8 PN/DP CPU
Plant identification :
Copyright : Original Siemens Equipment
Serial number of module : S C-BOUVxxxxxxxx
Module type name : IM151-8 PN/DP CPU

Más información y descarga:
https://code.google.com/p/plcscan/

wincc_harvester

Un modulo para Metasploit que permite acceder a datos sensibles de la base de datos de Siemens SIMATIC WinCC, datos como: usuarios, roles, PLC.

Intalación en Metasploit
Copiar el archivo “wincc_harvester.rb” en “/opt/metasploit/msf3/modules/auxiliary/admin/scada /”.
El uso auxiliar en “/admin /SCADA /wincc_harvester”

Más información y descarga:
https://github.com/nxnrt/wincc_harvester

OPC Server para PLC S7 Siemens

El OPC server para PLCs S7 de Siemens ofrece conectividad a la familia de PLC´s S7 (S7-200, S7-300, S7-400 y S7 serie 1200) a través de Ethernet. Permite el acceso a datos en vivo de Siemens S7, este servidor es asequible, permite ponerlo en marcha de inmediato sin la complejidad de otros paquetes de software.

Entres sus características destacan:

  • La función de detección automática para los adaptadores NetLink-MPI Hilscher sin la necesidad de software de configuración adicional.
  • Puede importar símbolos de proyectos de Simatic STEP 7 para la configuración simple de etiquetas.
  • Configuración del sistema “en vivo” sin pérdida de datos, no requiere reinicio del servidor.
  • Permite trabajar en modo offline para ayudar a la integración de sistemas.
  • Redundancia a nivel de dispositivo.
  • Fácil configuración paso a paso basada en un asistente.
  • Permite conceder y denegar el acceso a etiquetas basándose en el inicio de sesión del usuario.

Más información y descarga:
http://www.matrikonopc.com/downloads/442/index.aspx

Fuente: Gurú de la Informática

¿Dónde estoy?

Actualmente estás explorando la categoría scada en Seguridad Informática.