REVISTA .SEGURIDAD | 1 251 478, 1 251 477 | REVISTA BIMESTRAL

Sistemas SCADA, algunas recomendaciones de seguridad – Parte II

En el número anterior describimos los problemas que enfrentan las implementaciones de seguridad que se aplican a las redes industriales (ICS: Industrial Control System). Históricamente, estos sistemas nacieron en una situación diferente a la que operan hoy en día: eran implementados en recintos cerrados, controlando dispositivos físicos cercanos (frecuentemente bajo línea de vista del operador) y bajo estrictos controles de acceso físico en el interior de la instalación industrial que debían medir o controlar. La seguridad se controlaba por obscuridad, dejando la red desconectada de su entorno y dando acceso a un número limitado de empleados especializados. Es frecuente encontrarse con estos sistemas operando sin interrupciones ni actualizaciones desde hace varios años.

Por esta forma de gestión, en el pasado los sistemas SCADA eran relativamente inmunes a las intrusiones y ataques que sufrieron las redes en el exterior, no por ser más resistentes, sino porque estaban desconectados y eran inaccesibles desde las redes administrativas o Internet.

Es importante aclarar que los operadores de estos sistemas de control industrial, siguen percibiendo y trabajando con estos sistemas como si fueran aislados e implícitamente seguros, aún cuando en la misma consola en la que gestionan las instalaciones, eventualmente puedan tener un cliente de correo electrónico corporativo o miren las noticias en un navegador con acceso a Internet.

Por otra parte, en los países con mayor cantidad de implementaciones de control industrial y desarrollo tecnológico, los referentes de seguridad han identificado este tema como un aspecto central a proteger, por ejemplo, citemos a Janet Napolitano del Departamento de Seguridad Interna de Estados Unidos: “Un 9/11 cibernético, que podría paralizar las infraestructuras críticas, como las telecomunicaciones, el agua, la electricidad y el gas, pueden ser inminentes (sic). No debemos esperar hasta que haya un 9/11 en el mundo cibernético. Hay cosas que podemos y debemos estar haciendo en este momento que, aunque no pueda evitarlo, puede atenuar la magnitud del daño…”.

Además, la cantidad de vulnerabilidades identificadas en infraestructuras críticas como la red de energía, instalaciones de suministro de agua, sistemas de telecomunicaciones y de transporte, se han disparado un 600% desde 2010, según los datos reportados en el VulnerabilityThreatReport de NSS Labs, en el trabajo de DELL Security Works. En la figura siguiente se muestra una comparación de la cantidad de vulnerabilidades identificadas en los navegadores más populares, en “flash” y en “java”, respecto de las vulnerabilidades identificadas en sistemas SCADA de amplia difusión. 

Entendamos al enemigo: “Advanced Persistent Threat (APT)”, ¿qué son?

Existen múltiples grupos de técnicos que a nivel global ofrecen la capacidad e intención firme de lograr intrusiones a objetivos específicos, con la intención de, por ejemplo: robar secretos industriales, detener procesos críticos de naciones, empresas u organizaciones, extorsionar con base a liberar información confidencial o destruir información esencial, etc. Los incentivos económicos para la realización de estas actividades suelen ser muy altos y están financiando la instalación silenciosa de muchas herramientas de software malicioso en todo sistema de control industrial al que se tenga acceso.

Una vez que se accede a unos cuantos de estos sistemas, lo habitual sería analizar qué tipo de dominio se puede ejercer sobre los mismos y se ofrecen dichos activos como objetivos, a actores interesados en financiar el ataque a la organización en el momento oportuno.

Entonces es necesario desarrollar las APT para que sean indetectables, duraderas, adaptables y provoquen ataques tenaces a la infraestructura, pensando focalmente en una infraestructura crítica objetivo.

El primer APT ampliamente reconocido ha sido Stuxnet, un malware tipificado como gusano, desarrollado en 2010, que se dispersa en programas SCADA (WinCC) desarrollados por Siemens. Él mismo pudo ingresar a su objetivo (que era un sistema con un altísimo grado de aislamiento físico y lógico) presumiblemente a través de una memoria USB infectada.

Usted se preguntará: ¿cómo llega una memoria USB con malware, a una computadora dentro de una instalación aislada?

Una forma podría ser ésta: en Internet busca e imprime el logo de la empresa u organización objetivo, ve a una tienda de regalos empresariales y compra 10 memorias USB de baja calidad que llevarán en el lomo el logo impreso que se obtuvo; luego incorpora a la memoria información aparentemente corporativa (un Excel o Word con datos inventados) y el malware que se necesita introducir a la red de la organización objetivo. A la mañana siguiente ve al estacionamiento de la organización víctima, estaciónate en un extremo alejado y cada 60 metros deja caer de a una, las memorias al suelo. Cuando lleguen los empleados de la organización a su jornada laboral harán el resto del trabajo que falta (conectando la memoria USB a su equipo de oficina) para brindarte un acceso remoto a diferentes equipos de la organización. Con menos de 30 dólares ya ingresaste a la red corporativa.

En el caso de Stuxnet, además de la organización de Irán que fue objetivo del ataque, se infectaron más de cien mil ordenadores de organizaciones (como Chevron) que usaban sistemas similares, generando una diversidad de daños colaterales, que aún continúan ocurriendo. Esta situación muestra que un actor en el ciberespacio puede causar graves daños a poblaciones enteras, atacando un objetivo específico sin medir consecuencias en otras infraestructuras que tengan componentes similares.

Duqu, Flame y Gauss, son otros ejemplos de malware catalogado como APT y que han provocado grandes daños físicos, inclusive han sido señalados como la causa de muerte de varias personas en explosiones provocadas en bases militares.

Con este panorama, ¿cómo sabemos si nuestro ICS está infectado? Lamentablemente, lo más probable es que estés conviviendo con tu enemigo todos los días puesto que Internet está en todos lados, ya sea en tu equipo o en un pequeño Smart-meter que mide un tanque a distancia usando la red de datos celular, a través de un equipo de consulta en una remota instalación o por un estacionamiento “sembrado” con memorias USB que seguramente tengan alguna versión de estos gusanos instalada (si corres con suerte, lo más normal es que el mismo se encuentre inactivo y posiblemente disfuncional por desconocer la topología de su red, o descansando hasta encontrar el momento adecuado para despertar).

Finalmente, para ilustrar el ciclo de vida de las APT, compartimos una imagen de DELL SecureWorks:

Como se puede observar, el trabajo realizado sobre cada objetivo implica enfoque y dedicación, por lo que de momento solo están siendo atacadas algunas organizaciones con alta exposición por razones específicas, generalmente económicas o políticas. Pero no debemos olvidar el daño colateral sufrido por otras organizaciones, sobre todo porque son actores pasivos y sin defensa frente a un ataque como los descritos, es decir, ataques con un alto grado de sofisticación.

Temas urgentes a tratar para mejorar la seguridad de nuestro Sistema de Control Industrial           

Las consideraciones anteriores están mostrando que la aparente tranquilidad de la que se disfrutó hasta el momento en la gestión de los ICS está por terminar.

Para ello sugerimos algunas líneas de trabajo:

  1. La necesidad de realizar un inventario detallado de todos los elementos que constituyen el ICS que tenemos que asegurar, conociendo estados de actualización, variables críticas y dispositivos claves para la continuidad.
  2. Identificar roles de las personas y aclararlos explícitamente a todos los operadores del sistema ICS, dichos roles deben reflejarse en los privilegios de las personas para con el sistema.
  3. La necesidad de describir detalladamente las políticas y procedimientos de uso de los sistemas y computadores asociados al ICS, sobre todo a las personas encargadas de diseño y despliegue de los dispositivos del sistema, así como del personal de reciente ingreso a la organización.
  4. Disponer de un proceso sistemático de revisión de riesgo físico y tecnológico, basado en vulnerabilidades derivadas de alertas realizadas por:
    1. Los proveedores de los equipos.
    2. Centros de alertas especializados (ICS-CERT: http://ics-cert.us-cert.gov/, www.securityincidents.net).
    3. Revisiones físicas completas del equipamiento del ICS, según un programa de revisión periódico diseñado con la gerencia de riesgo e ingeniería.
  5. Proveer de entrenamiento y capacitación sobre conductas y detección de incidentes de seguridad en los sistemas de control industrial.
  6. Diseñar la red basados en (IS-99), bajo la segmentación en “zonas” y “conductos”, de forma que promuevan la defensa en profundidad.
  7. Implantar controles exigentes de acceso físico y lógico a los elementos críticos del ICS.
  8. Establecer un exhaustivo hardening de los componentes principales del sistema (muchos de los ataques son mitigados por esta actividad).
  9. Utilizar componentes industriales robustos, con tasas de MTBF (Mean Time Between Failures, tiempo transcurrido entre una falla y otra) altas.
  10. Diseñar la red que los soporta con redundancia.
  11. Utilizar firewalls específicos para sistemas SCADA.
  12. Establecer algún sistema de DeepPacketInspection (inspección profunda de paquetes), que genere alarmas por paquetes inusuales en la red.
  13. Establecer una política de gestión de vulnerabilidades que incluya el concepto de workarounds (configuración que no corrige la vulnerabilidad, pero ayuda a bloquear el ataque mientras se puede realizar el cambio/parche definitivo).

Referencias:

Lifecycle of an Advanced Persistent Threat – DELL Secure Works

http://www.secureworks.com/assets/pdf-store/articles/Lifecycle_of_an_APT_G.pdf

Barack Obama Executive Order -- Improving Critical Infrastructure Cybersecurity

http://www.whitehouse.gov/the-press-office/2013/02/12/executive-order-improving-critical-infrastructure-cybersecurity

Guide to Industrial Control Systems (ICS) Security

http://csrc.nist.gov/publications/nistpubs/800-82/SP800-82-final.pdf

Recommendations of the National Instituteof Standards and Technology - NIST Special Publication 800-82 - June 2011

http://csrc.nist.gov/publications/nistpubs/800-82/SP800-82-final.pdf

Using ANSI/ISA-99 Standards to Improve Control System Security - Tofino Security, May 2012

http://web.tofinosecurity.com/download-the-white-paper-using-ansi-/-isa-99-standards-to-improve-control-system-security/

ANSI/ISA-99 Standards: Security for Industrial Automation and Control Systems

https://www.isa.org/Template.cfm?Section=Standards2&template=/Ecommerce/ProductDisplay.cfm&ProductID=10243

SCADA and CIP Security in a Post-Stuxnet World

http://www.tofinosecurity.com/professional/scada-and-cip-security-post-stuxnet-world

The Future of Critical Infrastructure SecurityEric Byres - Byres Security Inc – Tofino Security

http://www.tofinosecurity.com/professional/scada-and-cip-security-post-stuxnet-world

Vulnerability Threat Trends, Stefan Frei - NSS Labs, Feb 2013

https://www.nsslabs.com/system/files/public-report/files/Vulnerability%20Threat%20Trends.pdf

The Industrial Control Systems Cyber Emergency Response Team (ICS-CERT)

http://ics-cert.us-cert.gov/

https://ics-cert.us-cert.gov/ics-archive

Repository of Industrial Security Incidents - RiSi

http://www.securityincidents.net/

UNAM

[ CONTACTO ]

Se prohíbe la reproducción total o parcial
de los artículos sin la autorización por escrito de los autores

 

Hecho en México, Universidad Nacional Autónoma de México (UNAM) © Todos los derechos reservados 2017.