Seguridad informática en entornos industriales
Los centros de producción de las empresas industriales y del sector energético se han podido mantener en los últimos decenios, relativamente protegidos de los ataques. Los sistemas de control industrial (ICS) más utilizados, como SCADA, han sido optimizados para incrementar el rendimiento, y durante este tiempo han permanecido aislados de Internet, dando origen así a los “Air Gap” o cámaras de aire”. Comunicándose mediante protocolos propietarios, tales como Modbus, Profibus, S7 comm o DNP3, en muy pocas ocasiones han sido objetivo de los cibercriminales.
Pero nada es para siempre y la situación ha cambiado. La interconexión de los sistemas de producción responde a la promesa de enormes mejoras en materia de rendimiento, lo que ha forzado a que cada vez más frecuentemente, las empresas hayan tomado la decisión de abrir sus redes. Este enfoque les permite simplificar y centralizar la gestión de su sistema, facilita el suministro de nuevos servicios y contribuye a minimizar los tiempos de parada motivados por asistencias y mantenimiento, así como reducir sus costes.
Conectar estas redes ICS a Internet también ha hecho aparecer amenazas reales. Un pirata que haya logrado acceder a la red, puede infiltrarse en cada una de las diferentes etapas del entorno de producción. Los programas y equipos propietarios utilizados no suelen estar integrados con los sistemas de seguridad y, por tanto, su protección es notablemente menor, por no decir inexistente. Según sean sus objetivos y sus intenciones, el pirata puede comenzar a hacerse con datos sensibles, manipular los procesos de producción, o incluso llegar a sabotear el conjunto de la producción. El potencial de daño de este tipo de ataques es evidentemente mucho más elevado que el de un ataque MITM (Man in the middle, donde atacante es capaz de observar e interceptar mensajes entre las dos víctimas) contra una empresa del sector terciario u otro.
Stuxnet, ahí empezó todo
En el transcurso de estos últimos años se han ido produciendo numerosos ataques de este tipo, siendo Stuxnet el más conocido. En 2010, el programa SCADA saboteó el proyecto de investigación nuclear iraní. Este fue el primer caso probado de cómo un código informático podía provocar daños en los equipos a través de un software malicioso. Después ya otros muchos ataques han sido dirigidos a centros industriales, utilizando a menudo software malicioso creado a medida con funcionalidades pensadas para ICS, como es el caso de Duqu o Havex.
El organismo ICS-CERT, gestionado por el departamento norteamericano de Seguridad interior, y especializado en la protección de infraestructuras críticas, en su informe para el año 2014 ha enumerado toda una serie de datos preocupantes, como es el hecho de que su equipo de análisis haya sido consultado en más de 250 ocasiones para estudiar los ciberataques lanzados sobre objetivos críticos. Una parte importante de estos ataques eran ataques dirigidos, y los piratas se infiltraron en numerosas ocasiones utilizando aquellos servicios de las empresas que se encontraban conectados a internet gracias al uso de programas maliciosos desarrollados a medida. Los cibercriminales han utilizado y utilizan toda una inmensa variedad de técnicas. Según ICS-CERT, el “spear phishing”, una variante de phising en el que los empleados son convencidos para que ejecuten programas maliciosos escondidos en unos correos que parecen provenir de sus superiores en la empresa, ha sido el vector de ataque más popular. Pero otras amenazas no se han quedado atrás, como los ataques a los “watering hole” (abrevadero), una estrategia consistente en sustituir las actualizaciones de los programas en las páginas oficiales de los diseñadores por caballos de Troya, estos también realizados a medida.
La Oficina federal alemana para la seguridad de las tecnologías de la información (BSI) presenta un escenario similar. Su informe anual sobre el estado de la seguridad informática en Alemania en 2014, documenta entre otros, un ataque exitoso a una fundición alemana. Los piratas utilizaron los métodos de spear phising y de ingeniería social para acceder a la red de la empresa víctima. Se infiltraron en el entorno de producción y causaron enormes daños comprometiendo varios de los sistemas de control. El BSI afirma que los cibercriminales contaban con un conocimiento detallado de los sistemas de control industrial y de los procesos de producción, sin olvidarnos obviamente de sus evidentes conocimientos informáticos.
La información tiene una importancia crucial
La guerra cibernética está ya afectando a los centros de producción, pero eso no quiere decir que necesariamente el sector industrial deba renunciar al potencial que la interconectividad le ofrece, ni tampoco que deba ralentizarse la progresión. Los servicios encargados de la seguridad informática deben utilizar los sistemas de seguridad existentes para que las redes puedan conectarse, de modo seguro, a Internet. Pero para que esto pueda tener lugar hay que disponer de informaciones utilizables y detalladas. Igualmente, es necesario que conozcan las vulnerabilidades de sus redes de producción, los vectores de ataque y las herramientas utilizadas por los piratas, lo que les permitirá analizar los ataques, neutralizar los softwares peligrosos y reparar los daños que se hayan producido.
Los expertos en materia de seguridad al intentar unir todas estas informaciones pueden también apoyarse en la experiencia existente y en las redes de información disponibles. En cierto modo, los ataques contra los sistemas industriales son bastante parecidos a los ataques clásicos contra entornos informáticos de las empresas de servicio. Y aunque la protección efectiva de ciertos sistemas ICS pueda estar consolidada, el problema lo tenemos al comprobar que las informaciones disponibles son bastante escasas. Felizmente, la situación está cambiando en este campo. Varias iniciativas innovadoras de seguridad están pensadas para la protección de los entornos industriales, y tienen como claro objetivo el poder suministrar a los profesionales de la seguridad las informaciones que necesitan sobre las amenazas y sus vulnerabilidades.
En ese contexto, el motor de búsqueda Shodan y el proyecto Honeypot Conpot ICS/SCADA son dos de las iniciativas más interesantes.
Shodan: el motor de búsqueda para IdO
El motor de búsqueda Shodan ha sido creado en 2009 por el desarrollador John Matherly, permitiendo a sus usuarios buscar en la red una gran variedad de sistemas conectados a Internet. Contrariamente a los motores orientados a contenido, como Google, Shodan utiliza los escaneos de puertos de direcciones IP disponibles y después reúne e indexa los resultados que recibe. También puede recorrer la Web en búsqueda de servidores o de enrutadores de un determinado tipo, o incluso de terminales que cuenten con una dirección IP, como las cámaras de seguridad o los dispositivos médicos. Los usuarios pueden crear sus búsquedas utilizando una gran variedad de opciones de filtrado, por ejemplo combinando nombres de proveedores, informaciones sobre puertos, códigos o protocolos regionales, a fin de encontrar los servidores SCADA en su país. Shodan es una buena herramienta para localizar las vulnerabilidades o aquellos sistemas mal configurados en el seno de vuestra red. Si una búsqueda revela que uno de los autómatas o uno de los IHM de vuestra empresa es visible en Internet, sabréis de primera mano que uno de vuestros sistemas está probablemente mal configurado y tendréis la oportunidad de corregir este error. Las vulnerabilidades causadas por sistemas no parcheados, puertos abiertos o claves que por defecto no han sido modificadas, también pueden ser reparadas y corregidas de manera sencilla. Sin embargo, si nos encontramos que nuestro sistema aparece en Shodan, es bastante probable que no seamos el único. La proactividad sigue siendo necesaria.
Pero no podemos obviar que este motor de búsqueda cuenta también con detractores. Como casi todas las soluciones que prueban y gestionan vulnerabilidades, Shodan recibe muchas críticas porque también puede ser utilizado como una herramienta que permite el pirateo, lo que es incontestable: herramientas de pirateo con interfaces Shodan existen desde hace mucho tiempo en la red oculta odarknet. Pero la mayoría de los expertos en seguridad están de acuerdo con el hecho de que funciones búsqueda parecidas están igualmente disponibles utilizando botnets. Los profesionales de la seguridad de entornos industriales deberían tener como objetivo el integrar Shodan en su gestión de vulnerabilidades.
Analizar las vulnerabilidades y minimizar la visibilidad de un ICS en Internet es, sin ningún lugar de duda, un primer paso importante en la segurización de los entornos de producción. Pero el recrudecimiento de las amenazas cifradas persistentes y complejas (APT), que son creadas a medida para atravesar las mallas de los sistemas de seguridad existentes, obliga a los equipos encargados de la seguridad de analizar con minuciosidad toda la variedad de amenazas existentes.
Desgraciadamente, no hay mucha información disponible sobre la forma en la que se producen los ataques contra las instalaciones industriales, y en muchas ocasiones estas informaciones son publicadas mucho tiempo después de que el incidente haya tenido lugar. En efecto, hay muy pocos casos documentados y muy pocas informaciones han podido ser obtenidas hasta ahora. La iniciativa de seguridad Conpot tiene como objetivo cambiar esta situación.
Conpot: tarros de miel para el sector industrial
La iniciativa Conpot (abreviación de sistema de control Honeypot) nace dentro del Proyecto Honeynetde mano de un grupo de experimentados profesionales de la seguridad, entre los cuales se encuentra Lukas Rist de Blue Coat Systems. El punto de partida es la creación por todo Internet de sistemas virtuales interactivos que se comporten exactamente igual que servidores ICS o como redes industriales no protegidas. Una vez que estos sistemas están operativos, el desarrollador del sistema honeypot (tarro de miel) no tiene más que esperar a que un pirata ataque el sitio, terminal remoto (RTU) o ICS emulado, pudiendo observar y analizar el ataque en cada una de sus etapas. Por su naturaleza, todos los casos permiten proceder a un análisis útil de su vector de ataque. El interés superior de estos tarros de miel se manifiesta cuando los miembros de esta iniciativa pueden correlacionar los datos de varias decenas de ataques, después analizar sus tendencias y evoluciones, identificar eventuales ejes regionales o temáticos del ataque, y aprovecharse así de la información obtenida.
Habitualmente, para un analista, buscar una anomalía en su red de producción es como buscar una aguja en un pajar. Desplegando Honeypot en su red, todos los hechos que afectan a este terminal son susceptibles de ser “agujas” (por ejemplo, los ataques a dispositivos mal configurados), teniendo bien claro que ningún elemento real estaría en comunicación con este tarro de mie. Este último puede ser visto como una trampa: el tiempo que el pirata informático pase allí atrapado será el tiempo del que dispondremos para segurizar nuestra infraestructura crítica, evitando que se vea a comprometida en su caso.
Cualquier profesional de la seguridad puede contribuir en Conpot. El emulador está disponible como software Open Source en la dirección www.conpot.org. Con esta potente herramienta, cada desarrollador tiene la posibilidad de proyectar un modelo realista y virtual de su entorno, y conectarlo a Internet. De este modo, los responsables de la seguridad en la empresa pueden obtener informaciones muy útiles sobre qué es lo que pueden esperar conectando sus sistemas a Internet, y pueden planificar sus defensas de la manera más conveniente posible.
Conclusión
Los ciberataques contra entornos industriales son un fenómeno real. Estos ataques siguen, en general, los mismos esquemas que los dirigidos contra las empresas clásicas del sector servicios. Una gran mayoría de estos ataques tienen motivaciones profesionales, en principio porque los lamers (o “script kiddies”) no están siendo todavía muy activos en este segmento, pero también porque el enorme potencial de daños (o el valor de los activos) suscita el interés de importantes actores, como organismos gubernamentales, grupos terroristas y ladrones de datos profesionales. Las empresas que buscan segurizar sus redes deben verificar y minimizar la visibilidad de sus sistemas ICS en Internet. Frente al recrudecimiento de las amenazas complejas, es cada vez más importante recolectar el mayor número posible de informaciones sobre ellas. Los equipos de seguridad necesitan informaciones detalladas sobre los vectores de ataque y sobre el total del ciclo vital de las amenazas.
Iniciativas tales como Shodan y Conpot son un buen punto de partida para la recolección de las informaciones necesarias. En paralelo, las empresas deben poner en marcha las mejores prácticas de seguridad y proteger minuciosamente aquellas partes de sus redes accesibles para el público. Soluciones de seguridad dedicadas a los ICS también existen para entornos particularmente sensibles. Por ejemplo, en Blue Coat proponemos la solución de análisis ICS Protection Scanner Station, que protege los sistemas industriales frente a los softwares maliciosos que pueden introducirse a través de periféricos USB. Del mismo modo, la solución Security Analytics Platform Analytics propone un módulo SCADA ThreatBLADE que permite identificar en tiempo real, las actividades potencialmente peligrosas con objetivo en los sistemas SCADA.
El sueño de una solución para la protección de los entornos industriales perfectamente integrada, no será una realidad hasta que el conjunto de las diferentes normas industriales propietarias hayan sido reemplazadas por sistemas informáticos estándar, estos últimos integrados en las arquitectura de seguridad existentes. Las tecnología necesarias para ello (el protocolo de red IPv6, la vigilancia completa de las redes y una gestión rigurosa de medidas correctoras y de vulnerabilidades) existen desde hace ya un tiempo. La etapa siguiente es su puesta en obra completa, lo que todavía puede necesitar de un cierto tiempo en función de los ciclos vitales más largos de los equipos industriales.