Nos despedimos de esta semana con un post de Pedro Quirós acerca de seguridad en SCADA, tan de moda estos días gracias a Stuxnet y a los medios de comunicación generalistas. Que pasen un buen fin de semana y vengan todos con las pilas recargadas para los últimos días previos al puente (sobre todo aquellos que no lo tengan ;)
A día de hoy hay pocos procesos productivos que no tengan una alta dependencia del ámbito TIC. Si bien en muchas organizaciones el número de usuarios de oficina es relativamente bajo y la complejidad es muy reducida, muchas veces disponen de entornos productivos con líneas de montaje que están controladas por equipos Scada. Estos equipos son auténticos ordenadores que controlan la operatividad y la eficiencia de las líneas de montaje o fabricación. Infraestructuras tan críticas con la nuclear, eléctrica, de alimentación, distribución de agua o de transporte usan entornos Scada a gran escala. Generalmente se consideran entornos seguros dado que suelen estar separados en áreas de la red diferenciadas, o incluso su propia subred. Muchos gestores las consideran “redes seguras” porque “no tienen acceso a internet”, además de considerarlos “entornos de bajo riesgo” dado que son entornos propietarios con un número muy limitado de expertos. Así que sus principales bazas eran el desconocimiento y el aislamiento.
Sin embargo no es necesario tener acceso directo a internet para presentar un problema, pues, como lamentablemente todos sabemos, hay otras muchas formas de infectar un equipo. En primer lugar, para un control de la producción en tiempo real, es necesario el envío de información desde cada uno de los equipos a un centro de control, que puede estar expuesto, con lo que exponemos a todo nuestro entorno productivo. Por otro lado no dejan de surgir ataques, especialmente virus como el ya famoso Stuxnet, que ataca directamente a entornos de producción en plataforma Siemens. El método de contagio es una simple llave USB, que a primera vista no representaba ninguna amenaza porque en entornos Microsoft no se detectaba ningún tipo de virus. Otros ataques típicos son el fingerprinting a través del puerto TCP 502, ataques a implementaciones ICCP, etc. Muchas veces estos entornos son especialmente vulnerables dado que los equipos de control utilizan sistemas operativos con soporte descontinuado, dado que “para el uso que se les da, no necesitan nada mas”. Este motivo explica por qué podemos encontrar PLCs que son auténticos agujeros de seguridad.
Es importante entender que un entorno SCADA no es un entorno seguro “per se”, requiere de la misma atención -o más- que un equipo de oficina, y que el simple aislamiento no resuelve la seguridad. La monitorización desde el punto de vista de la seguridad es indispensable. Ya es hora de empezar a contemplar estos equipos como una capa más en nuestra infraestructura dado que, como todos sabemos, una organización es tan segura como su eslabón mas débil. ¿Qué medidas habéis tomado en vuestras organizaciones?
Hola,
Muy acertado este post.
En sistemas industriales, que pueden formar parte de infraestructuras críticas, cuyos procesos son controlados y monitorizados con sistemas SCADA, no es aceptable establecer el aislamiento como medida de seguridad, y mucho menos cuando, al parecer, en la práctica estos equipos no están tan aislados, ni mucho menos:
http://www.elladodelmal.com/search/label/scada
Con un poco de “suerte” podemos vivir otro “Gran apagón”.