Algunas lecciones ¿aprendidas? de Stuxnet

Suele decirse que la ignorancia es la felicidad. Del mismo modo, se acepta de forma universal la máxima contrapuesta que dice que el conocimiento es poder. Eventualmente todos hemos de situarnos en algún punto intermedio entre ambos extremos para no perder la estabilidad mental a causa de la ansiedad o sufrir un perjuicio grave a causa de una actitud excesivamente despreocupada. Sin embargo, cuando se trata de ciberseguridad de un sistema de control industrial disponer de conocimiento es algo crítico. En mi opinión, el desconocimiento de los procesos industriales por parte del lado oscuro es el dedo que tapona el agujero en el dique impidiendo que las aguas del mar invadan el terreno que éste protege. Pero, al igual que en la leyenda holandesa, no puede confiarse en que este remedio nos mantenga a salvo indefinidamente.... Leer Más

SCI versus SIC: Sistemas de Control Industrial frente a Sistemas de Información Coorporativa

La conexión masiva de los últimos años de todo tipo de equipamiento a Internet ha configurado un nuevo mundo digital donde la información, los individuos y las máquinas se comunican entre sí a todos los niveles.... Leer Más

El iSOC: Un nuevo concepto de ciberseguridad

Seguro que todos hemos esbozado una sonrisa en alguna ocasión al contemplar imágenes o fotografías de extraños artilugios accionados mediante máquinas de vapor o motores de combustión interna enormemente primitivos. Estos artilugios, destinados a todo tipo de propósitos, se quedaron en experimentos fallidos ya que la tecnología empleada era totalmente inapropiada para el fin al que el inventor decidió destinarla. A nuestros ojos constituye una muestra de ingenuidad intentar hacer volar un artefacto provisto de máquinas de vapor como motores.

Sin embargo, aquellos inventores no eran tan tontos como el fracaso de sus ingenios podría hacernos pensar. Era gente inteligente (al menos no menos inteligentes que la media) que trataba de resolver los problemas de su época con la tecnología a su alcance. En el caso de las máquinas de vapor su aparición marca el inicio de la industrialización, del acceso del ser humano a cantidades de energía nunca antes vistas. El descubrimiento de esta tecnología supuso una revolución técnica y cultural sin precedentes que abrió el camino a nuestra sociedad actual. Es natural que, en el ambiente de optimismo colectivo y fe en el progreso, se viese en las máquinas de vapor la solución a todo tipo de problemas de ingeniería inabordables hasta entonces.

[Read more…]

Infraestructuras críticas: Ataques físicos contra Internet

Al hablar de protección de infraestructuras críticas, tal vez por deformación profesional, tendemos a asociarlo con ciberataques, compromiso de sistemas SCADA, o grandes explosiones de película en centrales eléctricas, pero tal como nos mostró el jueves la prensa, estos ataques también pueden ser rudimentarios a la vez que efectivos. Hablamos de que el miércoles en Egipto se detuvo a 3 submarinistas intentando cortar un importante cable submarino de telecomunicaciones.... Leer Más

Sistemas operativos fósiles o la falta de actualización de los sistemas de control industrial

Esta mañana he venido a trabajar en metro, como acostumbro a hacer. Cuando he pasado junto a la fila de máquinas expendedoras de billetes he visto que una de ellas estaba bloqueada y en pantalla aparecía una ventana de error con una imagen fija que identificaba el sistema operativo de la misma: Windows 2000.... Leer Más

La vulnerabilidad Aurora o cómo explotar el conocimiento de los procesos físicos

Tratar de despertar la conciencia de los riesgos en cuestiones de ciberseguridad en mis compañeros a cargo de instalaciones industriales es una tarea ardua. Hemos hablado en varias ocasiones de ello, poniendo de relevancia cómo el desconocimiento del funcionamiento y procedimientos de trabajo en los entornos TIC hace que los riesgos y mecanismos de ataque sean inconcebibles para estos ingenieros. Digo inconcebibles en el sentido estricto, es decir: no algo con una probabilidad muy baja de ocurrir, sino algo en lo que ni siquiera se puede pensar por carecer de los fundamentos culturales y la experiencia necesarios para ello.... Leer Más

Ciberseguridad en entornos industriales. La hora de despertar

En ocasiones uno tiene que hacer un esfuerzo para compatibilizar sentimientos contradictorios. Este es el caso desde que trabajo en cuestiones de ciberseguridad industrial. He pasado gran parte de mi vida profesional dedicado a trabajar en el diseño y construcción de infraestructuras públicas, especialmente en el ámbito del tratamiento de aguas. En el desempeño de mis labores como ingeniero estuve al cargo del diseño de procesos industriales y sus sistemas de control, tanto las lógicas de funcionamiento como los esquemas eléctricos de fuerza y control, las arquitecturas de las redes de control y sus componentes, etc. En definitiva, los procesos y los sistemas SCADA asociados. Me gustaría creer que hice un buen trabajo.... Leer Más

Segundo informe sobre Protección de Infraestructuras Críticas

Esta semana hacemos público el segundo informe relativo a la Protección de Infraestructuras Críticas, en este caso focalizado en los aspectos prácticos de dicha protección en España. El planteamiento es sencillo: tras la publicación, hace un tiempo, del primer informe —en el que se analizaban los aspectos normativos de la PIC, especialmente en nuestro país—, decidimos comprobar de forma aproximada cual era el estado real de seguridad de las infraestructuras críticas españolas. Para ello nos planteamos un análisis generalista —en ningún momento dirigido— mediante pruebas no hostiles (obvio) y el uso de herramientas no avanzadas; de otra forma, queríamos saber dónde podría llegar un atacante sin un objetivo específico ni conocimientos o herramientas avanzadas, sencillamente con algo de tiempo y una conexión a internet.

Para ello, identificamos una serie de firmas asociadas a sistemas de control —fabricantes, modelos concretos…— a operadores de infraestructuras críticas o estratégicas, a estas infraestructuras en general… y las complementamos con más información de dichas infraestructuras, como datos WHOIS o direccionamientos públicos. Con estos datos, nuestro amigo SHODAN y su estupenda API, podemos empezar a buscar entornos asociados a IICC en España que sean accesibles desde Internet.

[Read more…]

Seguridad en entornos industriales: el ciclo proyecto – construcción – explotación

En anteriores entregas hemos repasado algunos aspectos específicos de la protección de los sistemas de control industrial desde el punto de vista de la ciberseguridad, incluyendo los aspectos culturales y humanos (Seguridad en entornos industriales: el primer paso, Seguridad en entornos industriales: aspectos específicos). Teniendo como premisa de que el planteamiento en este ámbito debe ser global hoy vamos a hablar de la forma en que se ejecutan gran parte de las obras públicas en España (muchas de las cuales serán, probablemente, infraestructuras críticas): se trata del proceso de construcción en tres fases, proyecto, obra y explotación.

En demasiadas ocasiones estas fases constituyen compartimentos estancos con escaso flujo de información. Durante la construcción intervienen la consultora de ingeniería redactora del proyecto, la empresa contratista y sus subcontratas y proveedores, la Administración adjudicataria a través de sus directores de contrato y obra y sus asistencias técnicas. En la gran mayoría de los casos los máximos responsables de las obras son personas con gran formación y experiencia en el ámbito de la obra civil, pero con muy poca en cuestiones industriales y de sistemas de control. Por tanto, las empresas subcontratistas y proveedores poseen en este ámbito una autonomía mucho mayor de la que sería deseable y es posible que decisiones como la arquitectura, conexión a Internet de un sistema de control, contraseñas, configuración de perfiles, etc. se tomen por personas que ni tienen la visión global necesaria ni la conciencia de la importancia de las mismas (hemos visto como se utiliza la posibilidad de conexión a Internet de un sistema de control, totalmente innecesaria por otra parte, como argumento de venta).

[Read more…]

Seguridad en entornos industriales: aspectos específicos

Hace unos días introdujimos un concepto esencial en la seguridad en entornos industriales: la importancia de los aspectos humanos, organizativos y culturales. Como vimos, se trata de un primer paso esencial para garantizar el éxito de una estrategia integral de seguridad.

Hoy vamos a continuar nuestro viaje hacia los sistemas industriales introduciendo algunas características de los mismos que imposibilitan la aplicación directa de las técnicas propias del entorno TIC y cuya comprensión es imprescindible antes de abordar su protección.

La duración del ciclo de vida del equipamiento

La velocidad de la evolución tecnológica en las TIC es vertiginosa. Los equipos quedan obsoletos en un plazo que se mide en unos pocos años (a lo sumo). Ello permite que las innovaciones en cuestiones de seguridad puedan implantarse en un plazo breve, tan pronto como el equipamiento es reemplazado por otro de nueva generación. Por el contrario, el ciclo de vida de la maquinaria industrial y sus sistemas de control se mide incluso en décadas (sí, habéis leído bien). Por tanto hay que enfrentarse a un parque de sistemas heredados diseñados y construidos de espaldas a los requerimientos de seguridad actuales y que van a seguir en funcionamiento durante mucho tiempo.

[Read more…]