Continuando con la línea de trabajo iniciada con los tres anteriores informes sobre protección de infraestructuras críticas, S2 Grupo publicó hace unas semanas la cuarta entrega. En esta ocasión, nos hemos centrado en una serie de dispositivos de los que actualmente depende gran parte de la infraestructura industrial española y son muy susceptibles de recibir ciberataques: Los sistemas de automatización de procesos industriales ICS (“Industrial Control System” por sus siglas en inglés).

Los sistemas de control industrial controlan, supervisan y gestionan la infraestructura esencial (crítica) de sectores relacionados con el suministro de energía eléctrica, el abastecimiento de agua y la gestión de aguas residuales, el petróleo y el gas natural, el transporte y otras actividades industriales. Incluyen componentes como sistemas de supervisión, control y adquisición de datos (SCADA), controladores lógicos programables (PLC) o sistemas de control distribuido (DCS). Los ICS se han vuelto un blanco muy apetecible para los ciberatacantes. Los ataques dirigidos ya no son intentos de intrusión realizados por curiosos, sino ciberdelincuencia o ciberguerra. Tanto la seguridad nacional como los beneficios corporativos dependen del funcionamiento fiable y seguro de estos sistemas de control industrial. En vista de estos riesgos muchos países, entre ellos España, están dándose cuenta de la necesidad de proteger mejor los sistemas ICS con la inversión y las medidas adecuadas.
[Read more…]

El pasado mes de enero, el CCN-CERT publicó el informe de amenazas y análisis de riesgos en Sistemas de Control Industrial (CCN-CERT IA-04/16) que ha sido elaborado de manera conjunta por el propio CCN y S2 Grupo. El objetivo de este informe es establecer un catálogo realista de amenazas o escenarios de riesgo al que están expuestos los sistemas de control industrial en la actualidad.

El documento está dirigido a dos tipos de perfiles:

• El experto en seguridad sin conocimiento de procesos industriales
• El experto en explotación de procesos industriales sin conocimientos en seguridad de la información

Por esta razón, se trata de un documento que, sin dejar de ser completo y detallado, pretende ser comprensible sin necesidad de que el lector cuente con elevados conocimientos técnicos en una u otra área. De este modo, trata de ser una guía práctica y útil para personal de organizaciones que cuentan con sistemas de control industrial.
[Read more…]

Este año ha comenzado con algunos sobresaltos para todos aquellos con responsabilidad en la operación segura de redes eléctricas de potencia. Tenemos, por un lado, el suceso en la Israel Electric Authority. El 27 de enero nos encontramos con titulares como éste, de Fox News:

Aparentemente había llegado el día en que alguien había activado, al fin, el botón del juicio final y había reducido, o estaba en camino de conseguirlo, a Israel a la edad media. Sin embargo, la realidad resultó ser un poco más prosaica y los profetas del apocalipsis tuvieron que enfundar de nuevo sus teclados al constatarse que, en realidad, nos encontramos frente a un caso de ramsonware en equipos que formaban parte de una red típicamente TI que se infectaron por la poco elegante vía del phishing. Es más, según leo, la pérdida parcial de suministro de algunos clientes se pudo deber a la decisión deliberada del personal encargado de la operación del sistema que habría preferido actuar así, desconectando carga, antes de enfrentarse al colapso completo de la red. Más aún, se llega a afirmar que los operadores reaccionaron así ante el convencimiento de estar siendo atacados en un momento en el que la demanda estaba creciendo a un alto ritmo a causa de las bajas temperaturas.

[Read more…]

En las dos entregas anteriores (primera) (segunda) hemos ido viendo algunas pinceladas a nivel teórico sobre laboratorios de ciberseguridad industrial: contexto, necesidades y recursos. En esta entrada se incluye una pequeña selección de laboratorios de ciberseguridad industrial que se encuentran en funcionamiento en la actualidad y que muestran diferentes tipologías posibles.

1. NIST (Reconfigurable Industrial Control Systems Cyber-Security Testbed)

NIST es una agencia federal de EEUU, y por lo tanto de carácter público, perteneciente al departamento de comercio que trabaja en el desarrollo y aplicación de tecnologías y estándares para la industria.

El principal objetivo de este laboratorio es proporcionar orientación a la industria en materia de ciberseguridad de los ICS. Su intención es mostrarlo de manera aplicada en una serie de procesos de distintos sectores: una planta química, montaje automático con robots, sistemas de supervisión y control distribuidos (como la distribución de gas), sistemas de distribución de agua y sistemas de transporte inteligente.

[Read more…]

En la primera entrega de esta serie se introdujo el contexto en el que se enmarcan los laboratorios de ciberseguridad industrial: vimos las características específicas del sector y dimos unas pinceladas sobre los laboratorios industriales clásicos. En el artículo de hoy hablaremos de los distintos enfoques de laboratorio y los recursos con los que podría ser necesario contar.

Laboratorios de ciberseguridad… ¿por dónde empezar? Necesidades, tipologías organizativas y objetivos

Existe una gran diversidad de enfoques a la hora de plantear un laboratorio de ciberseguridad industrial en función de:

• A qué necesidades quiere darse respuesta
• La tipología organizativa impulsora del laboratorio
• Los objetivos específicos que se quieren marcar

[Read more…]

En los últimos años la sociedad está experimentando cambios constantes en el ámbito te las tecnologías. La integración de las TIC (tecnologías de la información y las comunicaciones) en nuestro día a día es más que evidente. En el entorno industrial también está ocurriendo y sus características específicas hacen que aparezcan ciertos problemas difíciles de salvar.

Óscar, en su post “Cuestión de garantía”, abría un interesante debate sobre la posible responsabilidad de los fabricantes frente a perjuicios causados por vulnerabilidades conocidas no parcheadas. Una de las cuestiones que planteaba es si sería posible crear un sistema paralelo de acreditaciones y certificaciones de seguridad. En ese caso hipotético, los laboratorios de ciberseguridad industrial podrían desempeñar un rol importante. A lo largo de esta serie de tres entregas compartiremos algunas ideas y reflexiones sobre dichos laboratorios, sus funciones y recursos que necesitan.

[Read more…]

A pesar de que ya llevo años trabajando en el sector TI, algunas cosas todavía hacen rechinar los engranajes de mi mentalidad de ingeniero industrial (engranajes, industrial, bueno, ya me entendéis).

Se habla mucho de la convergencia entre IT y OT y las diferencias entre ambos sectores, en muchas ocasiones con argumentos que incluyen conceptos como: diferencia de vidas útiles de los equipos; énfasis en la safety más que por la security; prioridad del criterio de disponibilidad frente a confidencialidad e integridad; mentalidad conservadora, etc. Uno de los puntos más importantes es, sin duda, la preocupación por la seguridad de las personas y las cosas (así se dice en cantidad de reglamentos técnicos). Esto es exactamente así: nos preocupa la seguridad de las personas y las cosas porque los fallos de los sistemas industriales pueden implicar la muerte de personas y/o la destrucción de infraestructuras, edificaciones o, al menos, del propio equipo afectado. Está muy reciente el incidente en el puerto de Tianjin, en China, que se saldó con la muerte de más de 100 personas, cientos de miles de desplazados y un daño medioambiental de enormes proporciones.

[Read more…]

Tras la introducción que vimos hace unos días, pasamos a la parte que más probablemente os gusta: analizar los vectores de ataque.

Para ello he cogido como ejemplo una arquitectura propuesta por BMW en sus nuevos coches lanzados al mercado. Se observan distintas opciones de ataque que se podrían encontrar tanto BMW como sus usuarios con la arquitectura propuesta. Hay que tener en cuenta que con toda la nueva tecnología y funcionalidades disponibles, el usuario está expuesto a nuevas amenazas que anteriormente no existían:

• Vector 1. Portal My BMW ConnectedDrive.

  Se trata de un portal web desde el que es posible realizar la administración del vehículo. Para darse de alta es necesario proporcionar el número de bastidor de cada vehículo (número VIN). Una vez introducido el código VIN en el portal, se envía un segundo código al coche que se recibe a través de la tarjeta SIM que tiene integrada. El usuario debe abrir el coche y apuntar esta numeración para luego introducirla en el portal web. De este modo, se tiene que realizar una autenticación de dos factores que evita, por ejemplo, que podamos introducir los datos de un vehículo que no sea nuestro pero del que conozcamos los datos que nos solicitan.

  [Read more…]

Continuando con los interesantes posts de “Coche demasiado inteligente” que escribió Raúl Verdú (I y II), voy a aportar mis conocimientos y experiencia en el sector de la automoción para ampliar más la información sobre el tema. Vamos primero a ponernos en situación, y en la segunda entrada pasaremos a ver los vectores de ataque.

Todavía recuerdo el tiempo que pasé trabajando en Nissan (Barcelona) como ingeniero de calibración de motores de combustión interna. Básicamente los ingenieros modificábamos y mejorábamos parámetros en calibraciones (variables calibrables) con la finalidad de obtener una respuesta o resultado en el funcionamiento del motor y de la conducción del coche en general. Digamos que modificábamos las “neuronas del cerebro” del vehículo para optimizar su sistema de locomoción, así como mejorar sus prestaciones. Los coches utilizan cada vez más componentes electrónicos pensados para mejorar el rendimiento, la seguridad y la comodidad de los usuarios. La mayoría de dichas funcionalidades implica procesar distintos tipos de señales del vehículo y coordinarlas en tiempo real, por lo que es necesario disponer de sensores que proporcionen los datos, unidades que se encarguen de procesarlos (Electronic Control Units o ECUs, ”cerebros”) y una forma de comunicación entre todas ellas (a través de uno o varios buses de datos mediante el Standard Controller Area Network o CAN). Un coche actual tiene docenas de ECUs, dependiendo del modelo, fabricante y versión.

Cuando era ingeniero de calibración en Nissan, utilizaba un cable “Diag 3” con puerto USB con el que me conectaba desde mi portátil a la ECU (normalmente llamada ETK en el sector de la automoción) de un coche de pruebas. Lógicamente, esta ECU era “abierta” (reprogramable, con conexión adicional para pruebas e instrumentación). Para reprogramarla utilizaba una aplicación suministrada por Bosch (famoso fabricante de ECU’s), y para conectarme y hacer cambios en la calibración en tiempo real, un programa desarrollado por el grupo ETAS llamado INCA (famoso gestor de calibraciones). Como anécdota para los informáticos os contaré que cuando yo estaba en Nissan, INCA solo funcionaba con el sistema operativo Windows XP, y con todas sus vulnerabilidades…. Estos industriales y sus equipos expuestos a ciberataques… ;)

[Read more…]

Las referencias a CERT o CSIRT dentro del mundo de la seguridad informática son frecuentes. Todo (o casi todo) el mundo dentro de este ámbito sabe lo que son y cuál es su función.

Sin embargo, en el tiempo que pasé estudiando Ingeniería Industrial jamás, ni una sola vez, escuché ninguna de estas palabras. Y parece razonable que así sea. Al fin y al cabo los “Equipos de Respuesta ante Incidencias de Seguridad Informática” (que eso es lo que son los CERT/CSIRT por si algún lector anda despistado) son, a todas luces, cosa de los informáticos, no de los industriales. Su nombre no da lugar a dudas: “Seguridad Informática”.

No obstante, un día, el que aquí escribe se encontró con otro de esos maravillosos acrónimos que tanto gustan en el mundo TI: ICS-CERT. Y… ¡un momento! Parece que los industriales ya no podemos escurrir el bulto. Porque los ICS son (por sus siglas en inglés) los Sistemas de Control Industrial. Y eso nos toca de lleno. Para aquellos que en este momento no sepan muy bien de qué estoy hablando o que estén preguntándose qué pintan los Sistemas de Control Industrial en un blog de seguridad informática les recomiendo encarecidamente que echen un vistazo a la sección de Ciberseguridad Industrial de esta bitácora.

El ICS-CERT opera dentro del National Cybersecurity and Integration Center (NCCIC) que es una división del Departamento de Seguridad Nacional de los EEUU. Como ocurre con los CERT clásicos, este organismo se encarga de, entre otras cosas, gestionar la publicación de vulnerabilidades y de recopilar las soluciones que los fabricantes dan para las mismas pero, en este caso, en el área de los sistemas de control industrial.

[Read more…]