Denegación de servicio a un PLC Omron con comandos legítimos en FINS

Hace poco leí un artículo en el blog de Shodan titulado “Why control systems are on the Internet” escrito por John Matherly (fundador de Shodan), en el que comentaba un párrafo de la documentación oficial de Omron donde se explica porqué la conexión a internet de los PLCs de esta marca es completamente segura.

Su robusta teoría se basa (o se basaba, desconozco si han cambiado su punto de vista) en que sus PLCs no tenían un sistema operativo basado en Windows ni se comunicaban a través de un puerto conocido con un protocolo estándar de Ethernet, lo que los haría invisibles a los malvados ojos de los atacantes.

Según esta curiosa pero extendida manera de concebir la seguridad, sería extremadamente extraño que, por ejemplo, alguien se descargara la especificación oficial del protocolo FINS (protocolo industrial de Omron) de la página web oficial e intentara comunicarse con un PLC.

Para ponernos en contexto, la manera legítima de configurar y trabajar con los componentes industriales de la marca Omron es con el software de esta marca CX-One, que comprende distinto software como el CX-Programmer, diseñado para la configuración y programación de los PLCs.

Aunque estos PLCs pueden disponer de diferentes módulos de comunicación como Ethernet, están diseñados con la idea de que bajo cualquier problema que surja, siempre sea posible una conexión en serie de manera física.

[Read more…]

Un arma muy poderosa de ciberataque: conocimiento IT + conocimiento industrial

Cada vez son más frecuentes los ciberataques producidos por equipos multidisciplinares en los cuales sus integrantes disponen de conocimientos IT y conocimientos del funcionamiento del sistema industrial al cual pretenden atentar. Esto se ha convertido en un arma muy poderosa, ya que los atacantes no solo son capaces de acceder al sistema de control industrial, sino que pueden identificar qué parte del proceso industrial es crítica y delicada y que saboteando su sistema de control, pueden producir graves daños que afecten tanto a la producción de la planta como a la propia instalación.

Todos recordamos el caso del malware Stuxnet que en 2010 atacó una instalación industrial dañando más de 3000 centrifugadoras en Irán. Recientemente, según un informe de la oficina federal alemana para la seguridad de la información, una planta de acero sufrió un ciberataque a sus sistemas de control industrial ocasionando graves daños. Según un informe anual publicado por la oficina federal alemana para la seguridad de la información, conocida como BSI (Bundesamt für Sicherheit in der Informationstechnik), existe evidencia de un ataque cibernético dirigido a los sistemas de control en una acería alemana que resultaron en daños “masivos” a un alto horno.

El informe BSI describe las destrezas técnicas de los atacantes como “muy avanzadas“. Tenían “know-how avanzado no sólo de la seguridad IT convencional, sino también el conocimiento técnico detallado de los sistemas de control industrial y procesos de producción de la planta“. Diferentes sistemas internos y componentes industriales fueron comprometidos. El informe describe el ataque a la acería, pero no identifica a la empresa afectada ni revela cuando se produjo el ataque.

La planta fue atacada combinando un ataque “spear phishing” y la ingeniería social para acceder a la red de oficinas de la institución. A partir de ahí, el ataque continuó su camino a través de la red de producción causando un gran daño en un alto horno.

[Read more…]

YOU ARE BEING WATCHED

“You are being watched. The government has a secret system: a machine that spies on you every hour of every day.”

Un mundo donde estamos vigilados por un juez supremo que controla cada uno de nuestros movimientos. Podemos ser localizados en todo momento. Se puede predecir de manera estadística el futuro. Prevenir crímenes o actos terroristas es factible. Todo está controlado por una suerte de Gran Hermano, sólo que éste no es de carne y hueso. Es una máquina. Una máquina que recoge toda la información de internet, telefonía, imágenes de vigilancia, etc., la procesa y es capaz de entenderla y tomar decisiones.

Hablamos de la historia que nos cuenta “Person of Interest” (“Vigilados” en su versión para España), una serie en emisión desde septiembre de 2011 producida por el conocido J.J. Abrams. Aunque el argumento principal es ficticio e introduce elementos que se podrían calificar de ornamentales para darle ritmo y hacerla más atractiva, la serie juega con componentes del mundo real que hacen verosímil la historia.

[Read more…]

Los sistemas de control aislados o el móvil perpetuo de primera especie

Existen ideas que se resisten a desaparecer. Y entre ellas hay un tipo especial, las que se basan en la confusión entre los propios deseos y la realidad. En ocasiones estas ideas se convierten en entes que sobreviven a su propia refutación. Durante siglos el ser humano ha ambicionado construir una máquina que sea capaz de funcionar continuamente, produciendo trabajo y sin aportes energéticos del exterior. Tanto la ha buscado que tiene hasta nombre: el móvil perpetuo de primera especie. ... Leer Más

Algunas conclusiones del #CyberCamp (II)

Como todos a estas alturas ya sabemos, del 5 al 7 del pasado diciembre, el Instituto Nacional de Ciberseguridad (INCIBE) organizó la primera edición de Cybercamp, un congreso de ciberseguridad orientado a todo tipo de público: desde expertos en seguridad informática hasta familias con niños pequeños. Junto con algunos compañeros de S2 Grupo, tuve la oportunidad de participar y tratar de compartir con personas con perfiles muy dispares nuestra visión e inquietudes sobre ciberseguridad industrial.

[Read more…]

Algunas conclusiones del #CyberCamp: S2 Cibercity

Como muchos de vosotros sabréis, hace unas semanas se celebró la primera edición de CyberCamp, el evento de ciberseguridad organizado por el Instituto Nacional de Ciberseguridad (INCIBE). Este evento se diferencia de los existentes congresos dedicados a la ciberseguridad en que pone en el punto de mira tanto a los expertos en seguridad como a las familias, gastando gran parte de esfuerzos en concienciar al “ciudadano de a pie” sobre las ventajas y peligros de Internet.... Leer Más

Descubriendo vulnerabilidades tradicionales en sistemas ICS

Recordarán que en un post anterior, titulado La odisea de (intentar) hacer las cosas bien…, les daba los detalles del tortuoso camino que he tenido que atravesar desde el descubrimiento de una vulnerabilidad hasta su publicación. Dado que la vulnerabilidad ya es pública (véase Advisory (ICSA-14-203-01), Omron NS Series HMI Vulnerabilities), es el momento de hablarles de ella. Aunque lo cierto es que la publicación de esta entrada, tras unos 10 meses de espera, estaba ya previamente planificada.... Leer Más

La odisea de (intentar) hacer las cosas bien…

Hace unos días, Antonio Sanz comentaba en su post “He descubierto una vulnerabilidad: ¿Y ahora qué?” las distintas opciones que existen cuando se encuentra una vulnerabilidad de seguridad.... Leer Más

Tercer informe sobre Protección de II.CC. de S2 Grupo. La información está ahí fuera

Continuando con la línea de trabajo iniciada con los dos anteriores informes sobre protección de infraestructuras críticas S2 Grupo acaba de publicar la tercera entrega. En esta ocasión nos hemos fijado en un problema creciente del que no se habla demasiado: la disponibilidad de información detallada sobre nuestras II.CC. libremente accesible a través de internet, especialmente en lo referente a sus instalaciones, procesos, sistemas de control, procedimientos de operación y, por último, organización y gestión de la seguridad.... Leer Más

ICS-CERT: vulnerabilidades de sistemas de control industrial

Hace unos días, el ICS-CERT publicó el análisis de vulnerabilidades de sistemas de control industrial (ICS) durante el año 2013. En dicho análisis, podemos comprobar como la vulnerabilidad que aparece con mayor frecuencia tiene que ver con las medidas de autenticación (33%), seguida por la denegación de servicio (14%). Es decir, si los administradores de estos sistemas desconectasen (o no conectasen directamente) estos sistemas de Internet, y forzasen una política de contraseñas segura, se acabaría con casi el 50% de las vulnerabilidades reportadas.... Leer Más