Seguridad en entornos industriales: aspectos específicos

Hace unos días introdujimos un concepto esencial en la seguridad en entornos industriales: la importancia de los aspectos humanos, organizativos y culturales. Como vimos, se trata de un primer paso esencial para garantizar el éxito de una estrategia integral de seguridad.

Hoy vamos a continuar nuestro viaje hacia los sistemas industriales introduciendo algunas características de los mismos que imposibilitan la aplicación directa de las técnicas propias del entorno TIC y cuya comprensión es imprescindible antes de abordar su protección.

La duración del ciclo de vida del equipamiento

La velocidad de la evolución tecnológica en las TIC es vertiginosa. Los equipos quedan obsoletos en un plazo que se mide en unos pocos años (a lo sumo). Ello permite que las innovaciones en cuestiones de seguridad puedan implantarse en un plazo breve, tan pronto como el equipamiento es reemplazado por otro de nueva generación. Por el contrario, el ciclo de vida de la maquinaria industrial y sus sistemas de control se mide incluso en décadas (sí, habéis leído bien). Por tanto hay que enfrentarse a un parque de sistemas heredados diseñados y construidos de espaldas a los requerimientos de seguridad actuales y que van a seguir en funcionamiento durante mucho tiempo.

[Read more…]

Seguridad en entornos industriales: el primer paso

Uno de los puntos de interés en los últimos tiempos en cuestiones de seguridad está en la protección de infraestructuras críticas y, más generalmente, en la seguridad en entornos industriales.

Es evidente que hay un largo camino que recorrer en cuestiones tecnológicas. Los especialistas en la materia rápidamente aplican su experiencia y descubren que nociones básicas en entornos TIC como el cifrado, el despliegue de herramientas como IDS, el desarrollo de arquitecturas seguras, etc. son prácticamente inexistentes en el ámbito industrial. El hecho de encontrar un territorio prácticamente virgen ante sus ojos puede hacer que el experto en seguridad se centre en estas carencias tecnológicas tan visibles descuidando, sin embargo, otros aspectos menos obvios, quizá, pero igualmente importantes.

Como en tantos ámbitos de la vida hemos de acometer primero lo primero. Y es que hasta que existan soluciones técnicas para las carencias mencionadas, soluciones que tengan en cuenta las características propias de las industrias y sus procesos, hay otros problemas que resolver. En mi opinión, uno de los principales es el relativo a la gestión de las organizaciones, los equipos humanos y los choques culturales.

Hoy en día, en nuestro mundo de especialización creciente y compartimentación profesional es fácil perder la perspectiva y juzgar el todo por la parte. Y ello incluso dentro de una misma empresa, donde se supone que existe una comunidad de objetivos. De esta forma nos encontramos con que dos universos hasta ahora completamente separados, el de los ingenieros informáticos y el de los ingenieros industriales o de producción, han entrado en contacto. Me imagino que debe ser algo parecido a cuando los nativos americanos y el los europeos se tuvieron frente a frente por primera vez. Cada grupo ve al otro como si fuese un alienígena. Prácticamente no tienen nada en común, salvo el aspecto físico (y quizá ni eso): sin experiencias comunes y, lo que es más importante, separados hasta por el lenguaje, mutuamente ininteligible. Llegados a este punto he de realizar una confesión: yo soy ingeniero industrial y he desarrollado gran parte de mi labor profesional en el ámbito de los sistemas industriales. Yo he pasado por la experiencia descrita y supongo que muchos de mis compañeros también (estaría bien que los lectores se manifestasen al respecto: ¿han entrado alguna vez en contacto con un ente proveniente del más allá?)

[Read more…]

Ciberguerra. Lo siento pero se me ponen los pelos de punta cuando leo algo de “Flame”.

Si lo hace, o no, no tengo ni la menor idea. Si lo ha hecho, o no, tampoco. De lo que estoy absolutamente convencido es que técnicamente es perfectamente posible que Flame [Symantec, W32.Flamer] haga lo que los periodistas dicen que ya hace.

El otro día en una Jornada Internacional del ISMS Fórum, que como siempre estuvo francamente bien, dos de los ponentes de una mesa redonda, no se por qué extraña razón, defendieron muy convencidos la idea de que hablar de ciberguerra y de la ciberdefensa era poco menos que un acto de irresponsabilidad por usar términos, que en su opinión, eran muy exagerados. Defendían el concepto de “ciberseguridad” en términos generales, pero se oponían al uso del término de ciberguerra.

La verdad es que no lo entendí. Estuve a punto de pedir una explicación al respecto pero, por no crear una polémica que se podía malinterpretar, no lo hice. No me explico cómo sugieren que llamemos a lo que se está preparando por parte de distintos gobiernos del mundo. No son ni uno, ni dos, los “hechos” probados de actividades hostiles contra gobiernos por parte de otros gobiernos.

Es cierto que el concepto es un término que desde un punto de vista periodístico tiene “tirón” y por tanto, puedo estar de acuerdo en que se debe utilizar con cuidado y en su justa medida, pero también es cierto que estamos asistiendo a una etapa de un desarrollo tecnológico de tales características que lo que hasta hace apenas unos años era simplemente un argumento de una película de ciencia ficción hoy es el argumento de la película de la vida real.

Es un hecho que los países están desarrollando sus estrategias de ciberdefensa y por tanto, de ciberataques, siguiendo la máxima de que no hay mejor defensa que un buen ataque. Si esto es así, es evidente que se está preparando un nuevo campo de batalla en el ciberespacio en el que los “ciberejércitos” están haciendo sus particulares “ciberejercicios” militares. Llamémoslo como queramos pero, por favor, no neguemos lo que es una evidencia.

La ciberguerra es un hecho y alrededor de este término debemos trasladar todos los términos de un mundo físico al mundo digital. Ciberarmas, como Stuxnet, Duqu o Flame, ciberespionaje, ciberataque, ciberdefensa, ciberincursión, y un largo etcétera. Tal vez uno de los términos que no quedan nada claros y por los que creo se librará, o se está librando, una batalla silenciosa, es el concepto de ciberfrontera, aunque en un mundo global y el digital lo es sin lugar a dudas, las fronteras dejan de tener un sentido claro.

¿Qué opinan ustedes? ¿Es una irresponsabilidad emplear el término ciberguerra para referirnos a las actividades que, aparentemente, algunos ejércitos están desarrollando en este nuevo campo de batalla?

A por Andrómeda

“Lo que fue, eso mismo será. Y lo que se hizo, eso mismo se hará. Y no hay nada nuevo bajo el sol.” Eclesiastés, 1:9.

La posibilidad de que ataques cibernéticos afecten al normal funcionamiento de infraestructuras claves para el sostenimiento de las sociedades modernas es una causa creciente de preocupación entre todos los agentes implicados. Prueba de ello son los recientes desarrollos normativos que están teniendo lugar y que en nuestro país se sustancian en la Ley de Protección de Infraestructuras Críticas y el Reglamento que la desarrolla.

Una de las características del temor que produce esta amenaza proviene del hecho de que no sigue una de las reglas establecidas de los enfrentamientos a que la sociedad está acostumbrada: identificar al enemigo. En efecto, hasta este momento los ataques contra una sociedad se producían en el contexto de una guerra o un ataque terrorista. El enemigo, por tanto, era conocido (incluso en el caso de ataques terroristas, ya que estas acciones buscan que la parte atacada sepa quién infringe el daño). Ahora, sin embargo, se toma conciencia de que elementos claves de una sociedad pueden ser atacados inadvertidamente y por un enemigo sin rostro, del cual, además, se desconocen sus motivaciones y por tanto no podemos prever su forma de actuar. Incluso se nos puede atacar de forma remota sin necesidad de encontrase físicamente entre nosotros.

Sin embargo, por muy novedoso que nos pueda resultar esto, en una fecha tan temprana como 1961, mucho antes de los ordenadores personales y las redes de comunicación, ya se previó que una eventualidad como ésta se podría producir. Hablamos de A por Andrómeda, una serie de televisión de la BBC que posteriormente se trasladó a novela, escrita por Fred Hoyle (físico especialista en cosmología) y John Elliot (productor de televisión).

[Read more…]

Informe sobre la Protección de Infraestructuras Críticas en España

El Informe sobre la Protección de Infraestructuras Críticas en España 2011 elaborado por S2 Grupo y cuyos autores son Antonio Villalón, Nelo Belda, José Miguel Holguín y José Vila está disponible para su descarga.

Cualquier comentario o consulta sobre éste pueden realizarla enviando un correo electrónico a admin EN securityartwork.es, o a avillalon EN s2grupo.es.

Reproducimos a continuación la nota de prensa publicada el pasado 28 de noviembre.

[Read more…]

Sobre infraestructuras críticas…otra vez

La semana pasada Justo Zambrana, Secretario de Estado de Seguridad, alertaba de la debilidad de las infraestructuras críticas en lo que a tecnologías de la información se refiere y hablaba del riesgo de ciberataques contra éstas; unos días más tarde, este mismo fin de semana, ha saltado a los medios ([1], [2], [3]…) el supuesto ataque telemático contra una planta de tratamiento de agua en Springfield (Illinois) -no, no es el Springfield en el que estais pensando…-. Unos piratas rusos -presuntamente- han conseguido romper la seguridad de los sistemas SCADA de la planta y quemar una bomba de agua; aunque no parece haber habido problemas de abastecimiento para la población, se trata del primer ciberataque contra una infraestructura crítica estadounidense según Joe Weiss, reconocido experto en la materia, y el problema no parece ser lo que los piratas hayan hecho, sino (a) lo que han podido hacer y (b) el tiempo que los responsables de la planta han tardado en detectar y reaccionar…

Sea o no cierto que el ataque se ha producido, sea o no cierto que se ha producido desde Rusia contra los Estados Unidos -en recuerdo de épocas pasadas-, sea o no cierto que no ha habido riesgo de desabastecimiento -o de algo peor- para la población, el caso es que esta noticia, este hecho, viene a poner de nuevo en el punto de mira -y ya van muchas veces- la seguridad de nuestras infraestructuras críticas no sólo desde el punto de vista tradicional sino también desde el punto de vista «cibernético». A los componentes de seguridad “clásicos”, como la protección mediante personas frente a ataques físicos del enemigo, se han añadido estos años componentes de seguridad menos habituales, fruto de la convergencia de la seguridad de la que tanto se ha venido a hablar durante la primera década del siglo. Dicho de otra forma, si hace dos mil años la única manera de atacar una infraestructura crítica era mediante el uso de ejércitos a pie o caballo, o si hace cincuenta años la única forma de hacerlo era mediante ejércitos con tanques, barcos y aviación, hoy en día a estas tres armas se une un punto de vista adicional: el de la ciberguerra. O el del ciberterrorismo. O simplemente, el del cibervandalismo. Acciones clásicas con el prefijo “ciber”, que viene a decir que se desarrollan a través de redes de computadores. Sin un despliegue de miles de hombres y sin un nivel de riesgo considerable para el atacante, estas acciones pueden llegar a sustituir a –o al menos, convivir con- las anteriores, constituyendo un nuevo escenario de seguridad y defensa que preocupa a todos los estados del mundo: el de la ciberseguridad y ciberdefensa, en especial en lo relativo a protección de infraestructuras críticas.

Desde la segunda mitad de los años 90, y en especial durante esta primera década del siglo XXI, la posibilidad de «ciberataques» contra infraestructuras críticas cobra cada vez más fuerza, pasando de sencillas PoC a riesgos reales capaces de impactar de forma clara contra una infraestructura concreta. En el año 2000 un ex-empleado de una planta de aguas residuales australiana la ataca de forma inalámbrica; un buen ejemplo del “insider threat” como amenaza –de los primeros ciberataques en el ámbito civil- a una infraestructura crítica. Tres años más tarde, y como ejemplo adicional de problemas derivados de la conexión a Internet de sistemas que están diseñados para trabajar de forma aislada, el gusano Slammer provoca el apagado de la central nuclear de Davis-Besse. En la segunda mitad de la década las publicaciones que describen vulnerabilidades en entornos SCADA se comienzan a distribuir libremente en Internet, incluyendo (2007) el famoso vídeo “Aurora vulnerability” en el que se sabotea un generador… A partir de aquí la palabra “ciberataque” aparece con mucha frecuencia junto a “infraestructura crítica”: en enero de 2008 la CIA informa que un ciberataque ha causado la pérdida de electricidad en varias ciudades en una localización desconocida fuera de USA, en junio de 2010 salta a los medios generalistas el descubrimiento de Stuxnet… hasta septiembre de 2011, cuando el que ha saltado a los medios generalistas ha sido Duqu, ambos considerados malware muy avanzado capaz de poner en jaque –real, ya no hablamos de hipótesis o estudios teóricos- infraestructuras críticas y, por tanto, vidas humanas. Y ahora, en noviembre de 2011, el primer ciberataque -de nuevo, presunto- exitoso contra una infraestructura crítica estadounidense.

Un riesgo real, preocupante. ¿Y en España? ¿Estamos preparados? El 28 de mayo de 2004 –poco más de dos meses después de los fatídicos atentados del 11M- nace el Centro Nacional de Coordinación Antiterrorista (CNCA), un centro de coordinación y análisis –no operativo- que ejerce funciones de inteligencia, información y coordinación buscando el tratamiento integrado de la información estratégica relativa al terrorismo, tanto en su proyección nacional como internacional. El CNCA es equivalente al JTAC (Joint Terrorism Analysis Centre) británico o al NCTC (National Counter-Terrorism Centre) estadounidense, un órgano de recepción, proceso y valoración de la información estratégica disponible sobre todos los tipos de terrorismo que constituyen una amenaza para España; no tiene una focalización específica en la protección de infraestructuras críticas, sin consideración oficial y específica hasta 2007, cuando se diseña y desarrolla el Plan Nacional de PIC (PNPIC) y se crea el Centro Nacional para la Protección de Infraestructuras Críticas, CNPIC. En los últimos meses, ya en 2011, en España se ha creado legislación específica sobre la protección de infraestructuras críticas: en abril se publica la Ley 8/2011, en mayo el Real Decreto 704/2011 que desarrolla la anterior y, finalmente, el 24 de junio la Estrategia Española de Seguridad.

Vamos, que trabajar, se está trabajando, aunque seguro que queda mucho por hacer y eso nos llevará un tiempo. La protección de infraestructuras críticas es muy compleja: existen muchos agentes involucrados en dicha protección (desde los propios operadores hasta FFCCSE, pasando por el Gobierno de la Nación), y por tanto la coordinación y la comunicación entre ellos debe ser ágil y segura para garantizar la seguridad de estas infraestructuras. Además, el 80% de operadores de infraestructuras críticas pertenecen al sector privado, siendo muchos de ellos compañías multinacionales… ¿El Estado necesita intervenir a las empresas privadas? ¿Cómo se consigue el equilibrio? ¿Hace falta un marco sancionador? Adicionalmente, dentro de la complejidad a la que hacemos referencia, no únicamente nos encontramos ante sistemas en cuya protección se involucra a un gran número de actores sino que, además, nos encontramos que las infraestructuras críticas pueden ser independientes, pero más habitual es que sean dependientes o interdependientes. Esto implica que una infraestructura depende en buena parte de otra –nacional o europea- para su funcionamiento correcto, con lo que un fallo en cascada o un error en un punto único de fallo puede suponer un enorme problema; en especial, si a esta dependencia añadimos que en ocasiones no se conocen del todo bien las interdependencias entre infraestructuras… Para corregir esta situación, desde Europa se está subvencionando activamente a proyectos de I+D+i para modelizar y/o simular estas interdependencias; adicionalmente, los planes para la protección de infraestructuras críticas (en concreto, la confección de catálogos de IC) pueden y deben ayudar a identificar no sólo las infraestructuras, sino también su grado de redundancia y sus interdependencias.

Y desde el punto de vista técnico, volvemos otra vez a la seguridad en entornos de control industrial, sistemas que o bien se diseñaron para trabajar en entornos aislados, sin considerar amenazas provenientes de la otra punta del mundo, o bien están a cargo de equipos que no tienen la idea de la interconexión de sistemas en la cabeza. Cuestión de tiempo. Nos encontramos ahora en la misma situación que teníamos hace quince años con cualquier sistema operativo de propósito general: entornos no diseñados con la seguridad como premisa, abiertos por completo a Internet y accesibles a golpe de telnet, finger o ftp desde cualquier punto del mundo. Vamos, carne de cañón para un pirata, hasta que nos dimos cuenta de que eso no podía ser y se empezaron a bastionar máquinas, implantar cortafuegos y todo eso que hoy parece historia… imagino que algo similar sucederá con los sistemas de control industrial, pero aquí la cosa es más grave: de muchos de esos sistemas dependen infraestructuras críticas (insistimos: vidas humanas en la mayor parte de ocasiones). ¿En cuántos años seremos capaces de tenerlos correctamente protegidos? ¿Tendrá que pasar algo para que nos acabemos de concienciar? Esperemos que no…

Para acabar, aprovechamos esta entrada -y la noticia asociada- para comunicar que en breve publicaremos -entre otros medios, en este mismo blog– un informe que estamos elaborando sobre protección de infraestructuras críticas en España, en el que tratamos de analizar con perspectiva quiénes somos, de dónde venimos y a dónde vamos… lo dicho, en breve :)

¿Podemos dormir tranquilos?

Planta nuclearHace poco tiempo, identificando el dominio protegible para iniciar una auditoría de seguridad, un colega, Ingeniero Industrial, me mostraba orgulloso un típico panel de control de los sistemas de seguridad de un lugar de pública concurrencia, y orgulloso proclamaba y explicaba la impresionante funcionalidad del sistema que estaba acabando de montar. Mi colega tenía razón, aquello era un sistema de control industrial impresionante y realmente avanzado. Hacía el final de su exposición, sus explicaciones en cuanto a la forma en la que se estaba montando empezaron a preocuparme. Me quedé pensativo cuando acabó afirmando que todo lo que estábamos viendo era accesible desde un navegador e incluso, la semana siguiente, desde «China», podría acceder a modificar la parametrización del sistema, ver el estado de los detectores de humo, de las alarmas contra incendios o comprobar la temperatura de los fancoils. O, añadí yo convenientemente, para disparar la alarma de evacuación por incendio en medio un acto público con el centro abarrotado de gente.

Y es que la misma vía de acceso podría ser utilizada tanto para el acceso de un técnico en labores de mantenimiento como para el de un saboteador haciendo uso de alguna vulnerabilidad conocida con un exploit publicado. ¿Se pueden ustedes imaginar lo que supondría una intrusión en un sistema de este tipo por parte de un sujeto con dudosas intenciones durante un acto público?, ¿qué significaría la activación del sistema de alarma contra incendios en un lugar como este?, ¿pánico? …

Los sistemas SCADA (Supervisory Control and Data Adquisition), protagonistas de los anteriores escenarios son, para que nos entendamos, sistemas de control de instalaciones industriales. Con este tipo de sistemas se controla el funcionamiento de una línea de producción cerámica, la producción de detergente en Procter&Gamble, una central nuclear o eléctrica e incluso el funcionamiento de un barco o los sistemas de seguridad de grandes centros de pública concurrencia. Hasta hace algunos años estos sistemas de control industrial (SCADAs) y los sistemas de control TIC vivían desconectados, en redes separadas e incluso incompatibles por las peculiaridades de cada entorno, pero hoy en día, esa «convergencia y globalización» de la que tanto hablamos ha eliminado las fronteras.

Esto ha llevado a su popularización, y que cada vez controlen un mayor número de instalaciones, dejando al mismo tiempo de ser sistemas propietarios y «opacos», y convirtiéndose en sistemas vulnerables montados sobre sistemas Windows con el Internet Information Server sirviendo el interfaz de administración. Esta ampliación de las posibilidades de acceso al sistema de control, y por consiguiente a los sensores y actuadores de la red de control industrial a través de aplicaciones web comunes hacen vulnerables estos sistemas frente a un atacante interno o externo, de igual modo que cualquier otro aplicativo web, pero con la sutil diferencia de conllevar consecuencias en el «mundo real». Hay que tener en cuenta que en estos primeros tiempos de convergencia -estamos aún en el principio, pero no tardarán en ver cómo las fronteras que les comentaba se desvanecen- todos los trabajos de desarrollo se centrarán en la obtención de funcionalidad olvidando en algunos casos las facetas relacionadas con la seguridad.

Todo esto en si mismo no tendría por qué preocuparnos salvo por el hecho de que no parece, y se lo digo a ustedes desde la experiencia, que casi nadie se esté preocupando por este tipo de asuntos en nuestro país. Por mi parte, pienso que desde luego es un tema que tiene que dar mucho que hablar en general y del que estoy seguro que hablaremos en el futuro.