The blackout…revisited

Este año ha comenzado con algunos sobresaltos para todos aquellos con responsabilidad en la operación segura de redes eléctricas de potencia. Tenemos, por un lado, el suceso en la Israel Electric Authority. El 27 de enero nos encontramos con titulares como éste, de Fox News:

img5

Aparentemente había llegado el día en que alguien había activado, al fin, el botón del juicio final y había reducido, o estaba en camino de conseguirlo, a Israel a la edad media. Sin embargo, la realidad resultó ser un poco más prosaica y los profetas del apocalipsis tuvieron que enfundar de nuevo sus teclados al constatarse que, en realidad, nos encontramos frente a un caso de ramsonware en equipos que formaban parte de una red típicamente TI que se infectaron por la poco elegante vía del phishing. Es más, según leo, la pérdida parcial de suministro de algunos clientes se pudo deber a la decisión deliberada del personal encargado de la operación del sistema que habría preferido actuar así, desconectando carga, antes de enfrentarse al colapso completo de la red. Más aún, se llega a afirmar que los operadores reaccionaron así ante el convencimiento de estar siendo atacados en un momento en el que la demanda estaba creciendo a un alto ritmo a causa de las bajas temperaturas.

[Read more…]

Laboratorios de ciberseguridad industrial (III): Casos reales y conclusiones

En las dos entregas anteriores (primera) (segunda) hemos ido viendo algunas pinceladas a nivel teórico sobre laboratorios de ciberseguridad industrial: contexto, necesidades y recursos. En esta entrada se incluye una pequeña selección de laboratorios de ciberseguridad industrial que se encuentran en funcionamiento en la actualidad y que muestran diferentes tipologías posibles.

1. NIST (Reconfigurable Industrial Control Systems Cyber-Security Testbed)

NIST es una agencia federal de EEUU, y por lo tanto de carácter público, perteneciente al departamento de comercio que trabaja en el desarrollo y aplicación de tecnologías y estándares para la industria.

El principal objetivo de este laboratorio es proporcionar orientación a la industria en materia de ciberseguridad de los ICS. Su intención es mostrarlo de manera aplicada en una serie de procesos de distintos sectores: una planta química, montaje automático con robots, sistemas de supervisión y control distribuidos (como la distribución de gas), sistemas de distribución de agua y sistemas de transporte inteligente.

[Read more…]

Laboratorios de ciberseguridad industrial (II): Necesidades y recursos

En la primera entrega de esta serie se introdujo el contexto en el que se enmarcan los laboratorios de ciberseguridad industrial: vimos las características específicas del sector y dimos unas pinceladas sobre los laboratorios industriales clásicos. En el artículo de hoy hablaremos de los distintos enfoques de laboratorio y los recursos con los que podría ser necesario contar.

Laboratorios de ciberseguridad… ¿por dónde empezar? Necesidades, tipologías organizativas y objetivos

Existe una gran diversidad de enfoques a la hora de plantear un laboratorio de ciberseguridad industrial en función de:

  • A qué necesidades quiere darse respuesta
  • La tipología organizativa impulsora del laboratorio
  • Los objetivos específicos que se quieren marcar

[Read more…]

Laboratorios de ciberseguridad industrial (I): Contexto

En los últimos años la sociedad está experimentando cambios constantes en el ámbito te las tecnologías. La integración de las TIC (tecnologías de la información y las comunicaciones) en nuestro día a día es más que evidente. En el entorno industrial también está ocurriendo y sus características específicas hacen que aparezcan ciertos problemas difíciles de salvar.

Óscar, en su post “Cuestión de garantía”, abría un interesante debate sobre la posible responsabilidad de los fabricantes frente a perjuicios causados por vulnerabilidades conocidas no parcheadas. Una de las cuestiones que planteaba es si sería posible crear un sistema paralelo de acreditaciones y certificaciones de seguridad. En ese caso hipotético, los laboratorios de ciberseguridad industrial podrían desempeñar un rol importante. A lo largo de esta serie de tres entregas compartiremos algunas ideas y reflexiones sobre dichos laboratorios, sus funciones y recursos que necesitan.

ar0

[Read more…]

Cuestión de garantía

garantia0A pesar de que ya llevo años trabajando en el sector TI, algunas cosas todavía hacen rechinar los engranajes de mi mentalidad de ingeniero industrial (engranajes, industrial, bueno, ya me entendéis).

Se habla mucho de la convergencia entre IT y OT y las diferencias entre ambos sectores, en muchas ocasiones con argumentos que incluyen conceptos como: diferencia de vidas útiles de los equipos; énfasis en la safety más que por la security; prioridad del criterio de disponibilidad frente a confidencialidad e integridad; mentalidad conservadora, etc. Uno de los puntos más importantes es, sin duda, la preocupación por la seguridad de las personas y las cosas (así se dice en cantidad de reglamentos técnicos). Esto es exactamente así: nos preocupa la seguridad de las personas y las cosas porque los fallos de los sistemas industriales pueden implicar la muerte de personas y/o la destrucción de infraestructuras, edificaciones o, al menos, del propio equipo afectado. Está muy reciente el incidente en el puerto de Tianjin, en China, que se saldó con la muerte de más de 100 personas, cientos de miles de desplazados y un daño medioambiental de enormes proporciones.

[Read more…]

¿Automóviles vulnerables a ciberataques? (II)

Tras la introducción que vimos hace unos días, pasamos a la parte que más probablemente os gusta: analizar los vectores de ataque.

Para ello he cogido como ejemplo una arquitectura propuesta por BMW en sus nuevos coches lanzados al mercado. Se observan distintas opciones de ataque que se podrían encontrar tanto BMW como sus usuarios con la arquitectura propuesta. Hay que tener en cuenta que con toda la nueva tecnología y funcionalidades disponibles, el usuario está expuesto a nuevas amenazas que anteriormente no existían:

  • Vector 1. Portal My BMW ConnectedDrive.

    Se trata de un portal web desde el que es posible realizar la administración del vehículo. Para darse de alta es necesario proporcionar el número de bastidor de cada vehículo (número VIN). Una vez introducido el código VIN en el portal, se envía un segundo código al coche que se recibe a través de la tarjeta SIM que tiene integrada. El usuario debe abrir el coche y apuntar esta numeración para luego introducirla en el portal web. De este modo, se tiene que realizar una autenticación de dos factores que evita, por ejemplo, que podamos introducir los datos de un vehículo que no sea nuestro pero del que conozcamos los datos que nos solicitan.

    [Read more…]

¿Automóviles vulnerables a ciberataques? (I)

Continuando con los interesantes posts de “Coche demasiado inteligente” que escribió Raúl Verdú (I y II), voy a aportar mis conocimientos y experiencia en el sector de la automoción para ampliar más la información sobre el tema. Vamos primero a ponernos en situación, y en la segunda entrada pasaremos a ver los vectores de ataque.

Todavía recuerdo el tiempo que pasé trabajando en Nissan (Barcelona) como ingeniero de calibración de motores de combustión interna. Básicamente los ingenieros modificábamos y mejorábamos parámetros en calibraciones (variables calibrables) con la finalidad de obtener una respuesta o resultado en el funcionamiento del motor y de la conducción del coche en general. Digamos que modificábamos las “neuronas del cerebro” del vehículo para optimizar su sistema de locomoción, así como mejorar sus prestaciones. Los coches utilizan cada vez más componentes electrónicos pensados para mejorar el rendimiento, la seguridad y la comodidad de los usuarios. La mayoría de dichas funcionalidades implica procesar distintos tipos de señales del vehículo y coordinarlas en tiempo real, por lo que es necesario disponer de sensores que proporcionen los datos, unidades que se encarguen de procesarlos (Electronic Control Units o ECUs, ”cerebros”) y una forma de comunicación entre todas ellas (a través de uno o varios buses de datos mediante el Standard Controller Area Network o CAN). Un coche actual tiene docenas de ECUs, dependiendo del modelo, fabricante y versión.

Cuando era ingeniero de calibración en Nissan, utilizaba un cable “Diag 3” con puerto USB con el que me conectaba desde mi portátil a la ECU (normalmente llamada ETK en el sector de la automoción) de un coche de pruebas. Lógicamente, esta ECU era “abierta” (reprogramable, con conexión adicional para pruebas e instrumentación). Para reprogramarla utilizaba una aplicación suministrada por Bosch (famoso fabricante de ECU’s), y para conectarme y hacer cambios en la calibración en tiempo real, un programa desarrollado por el grupo ETAS llamado INCA (famoso gestor de calibraciones). Como anécdota para los informáticos os contaré que cuando yo estaba en Nissan, INCA solo funcionaba con el sistema operativo Windows XP, y con todas sus vulnerabilidades…. Estos industriales y sus equipos expuestos a ciberataques… ;)

[Read more…]

Vulnerabilidad en PLC Siemens SIMATIC S7-300 o el caso del hágalo usted mismo

Las referencias a CERT o CSIRT dentro del mundo de la seguridad informática son frecuentes. Todo (o casi todo) el mundo dentro de este ámbito sabe lo que son y cuál es su función.

Sin embargo, en el tiempo que pasé estudiando Ingeniería Industrial jamás, ni una sola vez, escuché ninguna de estas palabras. Y parece razonable que así sea. Al fin y al cabo los “Equipos de Respuesta ante Incidencias de Seguridad Informática” (que eso es lo que son los CERT/CSIRT por si algún lector anda despistado) son, a todas luces, cosa de los informáticos, no de los industriales. Su nombre no da lugar a dudas: “Seguridad Informática”.

No obstante, un día, el que aquí escribe se encontró con otro de esos maravillosos acrónimos que tanto gustan en el mundo TI: ICS-CERT. Y… ¡un momento! Parece que los industriales ya no podemos escurrir el bulto. Porque los ICS son (por sus siglas en inglés) los Sistemas de Control Industrial. Y eso nos toca de lleno. Para aquellos que en este momento no sepan muy bien de qué estoy hablando o que estén preguntándose qué pintan los Sistemas de Control Industrial en un blog de seguridad informática les recomiendo encarecidamente que echen un vistazo a la sección de Ciberseguridad Industrial de esta bitácora.

El ICS-CERT opera dentro del National Cybersecurity and Integration Center (NCCIC) que es una división del Departamento de Seguridad Nacional de los EEUU. Como ocurre con los CERT clásicos, este organismo se encarga de, entre otras cosas, gestionar la publicación de vulnerabilidades y de recopilar las soluciones que los fabricantes dan para las mismas pero, en este caso, en el área de los sistemas de control industrial.

[Read more…]

The blackout (II)

Al hilo de lo que comentamos en el anterior artículo The blackout, ¿puede que todo lo que sucedió en Turquía el 31 de Marzo no se debería estrictamente a causas técnicas y fallos humanos?

Atacar un sistema eléctrico nacional para provocar un cero de tensión no es trivial, a pesar de que en el imaginario colectivo del siglo XXI tales sistemas son la infraestructura crítica por excelencia y aparentemente constituyen el primer objetivo de cualquier terrorista. Podemos pensar en dos aproximaciones. La primera, que está en la línea del artículo del Observer, consiste en desconectar una a una las infraestructuras que abastecen a todos los clientes: o abrimos interruptores en todas las líneas de transporte, o disparamos todos los grupos de las centrales de generación, o las desconectamos de la red abriendo los interruptores en las líneas de evacuación, o abrimos todos los interruptores de cabecera de las líneas de distribución.

Esto supone un grado de infiltración del sistema eléctrico de un país absolutamente total, requiriendo, además, tener capacidad de control y mando para coordinar todas las actuaciones simultáneamente (en realidad no hace falta llegar al 100% de infiltración, ya que eventualmente se inducirá un desequilibrio tal en el sistema que el efecto dominó facilitará el trabajo).

[Read more…]

The blackout (I)

El pasado 31 de marzo una de las peores pesadillas de nuestra civilización tecnológica se hizo realidad en Turquía (no, no hablamos de Sálvame): gran parte del país quedó sin suministro eléctrico durante horas, lo que provocó la inevitable cascada de caídas en otros servicios esenciales: transportes, comunicaciones, abastecimiento de agua potable, etc. Casi inmediatamente, especialmente en ciertos ambientes, se abrió paso la idea de que el incidente se debió a un ciberataque. Esta idea se vio reforzada, inevitablemente, por el secuestro y asesinato de un fiscal por un grupo terrorista. Han pasado ya casi dos meses y, como suele ocurrir, apenas se ha vuelto a hablar de este asunto (lo que para ciertas mentes propensas a la conspiranoia es, sin duda, la mejor confirmación posible de esta hipótesis).

A los pocos días la primera explicación oficial atribuía el suceso a una gestión deficiente de ciertas operaciones de mantenimiento en la red que dejaron el sistema eléctrico turco expuesto a un riesgo grave, riesgo que a la postre acabó materializándose. Según esta explicación se habría tratado de un fallo exclusivamente técnico que acabó costando el puesto a Kemal Yildir, máximo responsable de la compañía estatal TEIAS. TEIAS es la empresa que gestiona el transporte de energía eléctrica en Turquía. He estado buscando algún informe oficial al respecto con el fin de cotejar los datos técnicos que sustentan esta hipótesis, sin resultado. Pero sí he encontrado dos artículos relativamente recientes que sostienen dos visiones absolutamente contrapuestas resumidas en titulares:

[Read more…]