Esta semana hacemos público el segundo informe relativo a la Protección de Infraestructuras Críticas, en este caso focalizado en los aspectos prácticos de dicha protección en España. El planteamiento es sencillo: tras la publicación, hace un tiempo, del primer informe en el que se analizaban los aspectos normativos de la PIC, especialmente en nuestro país, decidimos comprobar de forma aproximada cual era el estado real de seguridad de las infraestructuras críticas españolas. Para ello nos planteamos un análisis generalista en ningún momento dirigido mediante pruebas no hostiles (obvio) y el uso de herramientas no avanzadas; de otra forma, queríamos saber dónde podría llegar un atacante sin un objetivo específico ni conocimientos o herramientas avanzadas, sencillamente con algo de tiempo y una conexión a internet.
Para ello, identificamos una serie de firmas asociadas a sistemas de control fabricantes, modelos concretos… a operadores de infraestructuras críticas o estratégicas, a estas infraestructuras en general… y las complementamos con más información de dichas infraestructuras, como datos WHOIS o direccionamientos públicos. Con estos datos, nuestro amigo SHODAN y su estupenda API, podemos empezar a buscar entornos asociados a IICC en España que sean accesibles desde Internet.
¿Son estos entornos realmente vulnerables? No tienen por qué serlo, pero para nosotros que se llegue con un simple navegador a un sistema de control, por poner sólo un ejemplo, es francamente preocupante. Vamos, que es cuestión de tiempo, por no decir otra cosa. ¿Están estos entornos asociados a infraestructuras críticas o estratégicas? Tampoco tienen por qué, yo puedo montarme un SCADA en casa o puede estar desplegado en una infraestructura no crítica. Por ello se ha realizado, con los resultados ya normalizados obtenidos de forma automática en las búsquedas anteriores, un trabajo considerable para reducir el número de falsos positivos, que había y muchos. Y por fin, sobre estos datos ya procesados, nos ponemos a analizar lo que hemos obtenido. Ojo, no se trata de un estudio estadístico y sobre este tema insistimos más de una vez, aunque alguno no haya querido verlo así con una muestra seleccionada cuidadosamente, con una metodología estadísticamente perfecta ni con nada parecido. Mucho más mundano: queríamos pegar un vistazo a las IICC en España, con las premisas indicadas antes.
¿El resultado? Sin ser ese estudio estadístico al que nos referimos, y considerando que se nos habrán colado falsos positivos o habremos descartado falsos negativos es lo que tiene trabajar con grandes volúmenes de datos la verdad es que asusta un poco lo que nos encontramos: protocolos inseguros (el 75 % aproximadamente), más de 1.000 “cacharros” de todo tipo accesibles desde Internet en muchos casos sin autenticación y una sensación de “riesgo cero” más que palpable: ¿cómo si no se explica que nos encontremos algunos dispositivos de control industrial que asustan o algunos routers troncales de IICC accesibles desde cualquier parte del mundo con un simple telnet o http, por poner sólo unos ejemplos?
Aún queda bastante por hacer, en nuestra opinión, en la (ciber) protección de infraestructuras críticas en España… ¡esperemos que nos dé tiempo! Os dejamos aquí el informe, accesible desde la página web de S2 Grupo:
PD Antes de que alguien lo pregunte de nuevo, en el informe ni están las firmas de entrada ni los resultados obtenidos :)<
Otros informes:
Ese porcentaje de protocolos inseguros es muy muy alto…
Sergio, efectivamente :(
Como no se ponga remedio rapido, cada vez es mas sencillo vulnerar la seguridad. Esto tiene que cambiar ya.
Hola Jorge
Esperemos que cambie *antes* de que pase cualquier desgracia…
Saludos
Toni