Ahora que estoy asistiendo a un curso de Ciberseguridad industrial con Samuel Linares y Nacho Paredes, del CCI, me doy cuenta de la problemática existente de seguridad en el ámbito industrial, no solo en España sino en todo el mundo.
También he descubierto que el problema en la industria no son solo los SCADAs, idea que flotaba en el ambiente desde el archiconocido caso de Stuxnet. La seguridad es un problema que afecta a todos los ámbitos, desde el físico, el tecnológico, el personal y hasta a la dirección.
Escribo esta entrada un poco para aclarar ideas tras haber leido algunos documentos. No pretendo presentar nada novedoso.
INTECO realizó en 2013 una guía de seguridad del puesto de operador de un SCADA, que no deja de ser un resumen de buenas prácticas que también podrían aplicarse a cualquier puesto de trabajo de oficina. De la concienciación de los trabajadores mucho se ha hablado, pero hay un entorno que es igual de importante y que es el gran olvidado a la hora de hablar de sus riesgos y de su seguridad. Se trata del entorno de las infraestructuras físicas de las industrias.
Por supuesto que la industria se toma muy en serio su seguridad física y en la práctica totalidad de recintos existen guardias de seguridad que velan por la integridad física de los recintos. ¿Pero es suficiente?. Estos recintos suelen ser vastas extensiones sólo separadas del exterior por una simple valla y en la inmensa mayoría de los casos el contingente de control se reduce a uno o dos guardas de seguridad.
Cada día se producen a nivel nacional varias intrusiones físicas en infraestructuras críticas, algunas nunca son descubiertas y otras son consideradas vulgares accesos en busca de herramientas, cobre... pero estos accesos, ¿podrían ser ciberataques?. La respuesta es que sí. Muy pocos accesos físicos a infraestructuras críticas y plantas industriales son tratados como ciberataques.
Sin embargo, muchos componentes de sistemas de control industriales (ICS) pueden ser encontrados "en el campo" o "en planta". Y cuando digo "en el campo" me refiero a que muchas estaciones se encuentran en lugares remotos a muchos kilometros de cualquier pueblo cercano.
Estación extractora de gas natural
El acceso no autorizado a casetas de control es frecuente, pero este tipo de accesos han sido siempre considerados como crímenes contra la propiedad únicamente. En el mundo actual, cada vez mas interconectado, este tipo de accesos podrían adquirir otra dimensión.
Hay que darse cuenta que para facilitar su interconexión y el trabajo de los operadores, los ICS ya no disponen de sistemas operativos propietarios, sino que muchas veces utilizan sistemas operativos como Microsoft Windows o distribuciones Linux que no se actualizan tan a menudo como debieran.
ICS de una caldera de vapor
El acceso físico a estos sistemas de control industrial podría implicar acciones tales como cambios en ficheros de configuración, la instalación de hardware no autorizado, realizar reconocimientos (esnifado) de red o simplemente el robo de información (de criticidad variable).
Por poner un ejemplo, la instalación en los sistemas de control de campo, de dispositivos USB que permitieran un acceso remoto a dichos dispositivos mediante un enlace wireless. Esto proporcionaría una ruta para futuros ataques y un control remoto de una parte de la estación. Además, Una vez instalados estos dispositivos son dificilmente detectables. Por ultimo si se conectan a dispositivos que estén conectados a internet, desde estos dispositivos se podría llegar a conseguir acceso a otros sistemas dentro de la compañía.
Keylogger con capacidad de conexión a redes inalámbricas
Esto era solo un ejemplo, también se podría realizar acciones tales como:
- La instalación de troyanos.
- La instalación de aparatos o software de espionaje de red.
- La instalación de Keyloggers, videologgers, etc.
- La instalación de PLCs o cualquier otro tipo de dispositivo.
Como posibles vías de ataque, no estamos hablando solo de cortar un trozo de alambrada y meternos dentro del recinto, también podríamos hablar de:
- Ataques a través de Redes Wifi
- Conexiones a internet
- Personal poco concienciado (El típico ataque del USB)
- Dispositivos móviles conectados a la red
- Dispositivos de calibración comprometidos
Recientemente se ha hablado mucho de PLCPwn, un PLC usado para realizar ataques de cualquier tipo en la infraestructura de red. Este PLC podría ser implantado con cierta facilidad durante un acceso físico no autorizado a una planta industrial. Incluye un modulo GSM que le permitiría recibir instrucciones en remoto y un interfaz wireless para crear y conectarse con un red inalámbrica que pueda ser utilizada para ataques remotos.
PLCPwn oculto entre otros PLCs legítimos
El responsable de seguridad del centro nos dirá que este escenario que planteamos aquí es muy improbable ya que existe un equipo de personas encargado de velar por la seguridad de la planta y que existen cámaras de seguridad. Sin embargo ya se ha demostrado que un equipo de guardias de seguridad no siempre es suficiente para mantener la seguridad física y lógica del recinto.
Cuando quien está detrás de estos accesos son terroristas o industrias rivales, es muy posible que un equipo de seguridad de una o dos personas no sea suficiente.
Además estos grupos profesionales habrán hecho su trabajo y encontrado posibles puntos débiles estudiando:
- las rutinas diarias.
- las acciones de respuesta ante anteriores intrusiones.
- la complacencia de los trabajadores.
- fallos en la comunicación entre los diferentes grupos.
Los encargados de seguridad de una planta buscaran las típicas pistas que puedan indicar que se haya producido una intrusión:
- Puertas abiertas.
- Alarmas desconectadas.
- Personal no autorizado a través de videocámaras.
- Candados que ya no abren.
- Daños o señales de forzado de puertas o vallas.
...pero si quien accede son profesionales, ¿dejarían estas pistas?. Y si se detectan estos accesos, ¿como podemos saber que no ha habido un acceso a la infraestructura de red o no se ha instalado algún dispositivo para un futuro acceso remoto?
Aparte de las anteriores indicaciones, es necesario mantener un equipo que vele por la ciberseguridad del recinto y detecte cosas como:
- Pérdidas de conectividad o un comportamiento extraño en la red.
- Conexiones sin explicación aparente entre componente de campo.
- Un comportamiento inexplicable de sistemas de control.
- Elementos que falten o que hayan aparecido inexplicablemente y no estuvieran en el inventario.
- Un aumento de facturas de tarificación de datos en las comunicaciones de la estación.
- Nuevas redes Wifi o de radiofrecuencia.
Para evitar que estas intrusiones no se conviertan en ciberataques, la solución no es (solo) aumentar el contingente de seguridad. De hecho, muchas veces el mayor atacante lo tenemos dentro: nuestros propios trabajadores.
Hay que realizar una serie de acciones tales como:
- Tareas de concienciación de los trabajadores.
- Preparar un plan de seguridad integral de las instalaciones que englobe los aspectos físicos y lógicos.
- Realizar simulaciones de ataques físicos.
- Realizar un inventario de los equipos y su infraestructura, manteniendo en el mismo un soporte gráfico del estado en que se encuentran.
Durante la revisión ocular del recinto es necesario preguntarse cosas como ¿adonde podría yo acceder una vez que haya ganado acceso físico al recinto?. ¿Se puede acceder a la red de control o de dirección desde allí?. Si es así, un atacante también podría. Si manipulo alguno de estos componentes, ¿puede este cambio impactar en el rendimiento de la infraestructura?
Si la respuesta a alguna de estas preguntas es que sí, debemos escalarlo al responsable porque se hace necesario una revisión del recinto y de su seguridad y preparar un plan para minimizar el impacto ante este tipo de intrusiones.
La revisión del recinto deberá realizarse con el encargado de seguridad
Durante la revisión del recinto será necesario conectarse a cada dispositivo y comprobar (en base a un inventario previamente realizado):
- los logs
- el "uptime", es decir el tiempo que lleva funcionando, cada dispositivo. Un reinicio de varios dispositivos simultaneamente podría indicar un acceso no autorizado
- nuevas cuentas de usuario o cambios en el sistema
- nuevos dispositivos removibles conectados (USBs, etc)
- la configuración del dispositivos
- comprobar las fechas de modificación de los ficheros de configuración
- comprobar la versión del firmware del dispositivo
- realizar un escaneo de malware en el dispositivo
- en caso de que todo este aparentemente bien, actualizar el inventario.
Y por supuesto, si encontramos algo raro. Informar al encargado.