Junio 4, 2014
Cibernoticias del lado oscuro – 04 de junio de 2014
Cumpliendo con mi palabra, aquí va el segundo capítulo de mi nueva serie semanal (más o menos) “cibernoticias del lado oscuro” o algo parecido…
Hoy el tema principal girará en torno a la seguridad de las infraestructuras críticas; en concreto, sobre los problemas y amenazas a los que debemos prestar atención. Me refiero en particular a los ataques en la producción e instalación nuclear, transportes, red eléctrica y otros sistemas de control industrial (ICS).
En realidad, no se trata de noticias “nuevas” porque se remontan a la semana pasada. Afortunadamente, no suelen salir a la luz cada semana problemas en las infraestructuras críticas, o al menos no son noticias de gran relevancia. Lo que sucede es que probablemente la mayoría de los temas se mantienen en secreto (algo comprensible pero preocupante) o que sencillamente nadie es consciente de ellos (los ataques pueden hacerse en silencio, algo mucho más preocupante).
A continuación encontraréis una colección de hechos curiosos y reales, que demuestran la situación actual y las tendencias respecto a la seguridad de las infraestructuras críticas.
Todo esto sirve para indicar lo que hay que hacer frente a las amenazas correspondientes.
Resulta que hay razones más que suficientes para quedarse atónitos respecto a temas de infraestructuras críticas.
El lema de los ingenieros que crean e instalan sistemas de control industrial es “asegurar un funcionamiento estable y contínuo, el resto no importa”. Así pues, si se encuentra una vulnerabilidad en el controlador a través de la cual alguien puede tomar el control del sistema, o si el sistema está conectado a Internet, o la contraseña es, actualmente, realmente, seriamente… 12345678, ¡todo esto no les preocupa! Solo les importa que el sistema siga funcionando de manera constante y sin problemas, ¡y siempre a la misma temperatura!
Después de todo, buscar remedios o cualquier otra intervención puede causar (y muchas veces pasa) que el sistema deje de funcionar durante un tiempo, y esto es una condena para los ingenieros de ICS. Sí, así es como funcionan hoy en día las cosas con las infraestructuras críticas, no se ve el gris entre el blanco y el negro. ¿O es esconder la cabeza bajo la arena?
En septiembre del año pasado configuramos un honeypot que conectamos a Internet y simulamos un sistema industrial en funcionamiento. ¿El resultado? En un mes había sido violado con éxito 422 veces, y, en muchas ocasiones, los cibercriminales llegaron hasta el Controlador Lógico Programable (PLC, por sus siglas en inglés), incluso lo reprogramaron (como Stuxnet). Lo que nuestro experimento con el honeypot demostró fue que, si los sistemas de control industrial están conectados a Internet, es casi seguro, al 100%, que serán hackeados el primer día. Y lo que puede hacerse con ICS hackeados… Sí, es como para llevarse las manos a la cabeza. Como el guión de una película de acción de Hollywood. Y los ICS vienen en muchas y diferentes formas y tamaños. Por ejemplo, las siguientes:
Malware en una central nuclear:
Una nueva forma de empezar el Año Nuevo… Uno de los ordenadores del centro de control de la planta nuclear Monju en Japón, a pocas horas de entrar en el 2014, fue infectado con algún tipo de malware que se infiltró durante la actualización de algún software libre. No, no estoy bromeando amigos.
A mí me llevó un tiempo aceptarlo.
¿Empleados usando un software libre en el controlador de un REACTOR NUCLEAR? ¿Actualizar un reproductor de vídeo para acabar con el largo y aburrido turno de noche? ¿Y conectar el ordenador a Internet?
Hay que dejar esto claro de una vez por todas: un ordenador industrial tiene que ser como un ermitaño: no puede tener absolutamente ningún tipo de contacto con el mundo exterior. Es muy sencillo. Y esto se extiende a las USB: cada una de ellas que entre en contacto con una instalación tan importante necesita ser revisada con detenimiento. No olvidemos que Stuxnet se introdujo en Natanz gracias a una USB.
Síndrome de Cassandra
En artículos anteriores he puesto como ejemplo un escenario a lo Die Hard 4, que es por un lado un sin sentido de Hollywood, y por otro un retrato muy creíble de lo que podría suceder algún día. Aquí tenéis un ejemplo parecido, que también demuestra lo que podría pasar tarde o temprano…
Un investigador se tomó un tiempo para averiguar si era posible poner luces de discoteca en las calles de las ciudades de Estados Unidos, mediante la irrupción en el sistema de control de los semáforos.
El informe del investigador es bastante convincente. A mí me gustaron especialmente las siguientes conclusiones:
- No fue difícil encontrar vulnerabilidades (en los sistemas de control de tráfico). (En realidad, fue más complicado hacerlos funcionar correctamente, pero eso ya es otra historia);
- ¡He testado el ataque lanzándolo desde un drone volando a más de 650 pies de altura, y funcionó!;
- Más de 250 clientes en 45 Estados de los EEUU y 10 países;
- Haciendo alusión a otra vulnerabilidad, el vendedor dijo que ya estaba arreglada la vulnerabilidad en las nuevas versiones del dispositivo. Pero eso es un gran problema, hay que comprar el nuevo dispositivo y reemplazar el antiguo.
Plátanos con sabor a cocaína
Hoy en día, prácticamente todo (y en cualquier sitio) es controlado por ordenador. Y siempre y cuando tengáis un ordenador, hay posibilidades de que éste sea hackeado; y si hay posibilidades de hackearlo, entonces un escenario como el de Watch_Dogs puede convertirse en algo más o menos realista.
Aquí hay un ejemplo de Bélgica.
Los traficantes de drogas sudamericanos, siempre tan originales, espolvorearon algún tipo de polvo sobre unos contenedores que llevaban plátanos. Los contenedores fueron transportados en barco hasta Europa y guardados en un almacén en Antwerp. Después, los hackers contratados por los traficantes, continuaron con la operación: usando un malware que de alguna manera fueron capaces de introducir en el sistema de control del almacén, pudieron localizar al contenedor que tenía la droga. Gracias a eso, pudieron enviar a camioneros a recoger la droga antes de que el destinatario de los plátanos apareciera.
Con este ejemplo vemos como las narco-mafias tradicionales y el cibercrimen colaboran en el marco de los sistemas industriales.
¿Y pensábais que Apple era lento en publicar parches? En ICS son mucho peores.
El problema de seguridad de ICS se agrava no solo por la reticencia de los operadores a intervenir, sino también por los mismos vendedores de ICS.
No obstante, parece que la situación empieza a mejorar poco a poco; ya no es como antes, cuando los desarrolladores no querían admitir de ninguna forma las fallas que se encontraban en sus productos. Pero, para que podáis entender cuáles son realmente los problemas, dejadme contaros un caso sobre la compañía RuggedCom, que fabrica equipos de red para el sector industrial, transportes y otros sectores importantes.
Y este caso no es único, más bien lo contrario, es lo típico.
A comienzos de 2011, un investigador encontró una vulnerabilidad en un equipo RuggedCom que permitía recuperar de forma bastante fácil los datos de acceso del administrador. El investigador informó a RuggedCom acerca de la vulnerabilidad y estuvo preguntando (durante un año) si habían hecho algo para solucionarlo, o al menos recomendar a los consumidores que bloquearan el control remoto. Todo en vano, fue totalmente ignorado. Así que, después de un año decidió que ya había tenido suficiente y lo hizo público, dirigiéndose a US-CERT.
Por supuesto, después de esto, la compañía solucionó la vulnerabilidad en un plis plas, y todo el mundo suspiró de alivio, incluyendo el intrépido investigador (buen trabajo). El problema es que me apuesto algo a que menos de la mitad de los usuarios realmente buscaron un remedio a la infracción. Todos esos sistemas vulnerables todavía ahí fuera…
ICS de los años 90
Para ilustrar lo modernos que pueden llegar a ser en ICS, dejadme daros un ejemplo.
Por la mañana temprano, el día de Acción de Gracias, otro investigador de seguridad, que no sabía nada de sistemas de control de infraestructuras críticas, decidió cotillear e investigar un Software de ICS ¿en un día libre? ¿Qué otra cosa se supone que debe hacer un investigador? :). Cuando llegó la hora de comerse el pavo, se había vuelto loco. Encontró el primer ataque de día cero en siete minutos, y después 20 más antes de que acabara el día, ¡muchos de los cuales permitían el control remoto de los códigos!
Como dijo uno de los portavoces de SAS: “Los sistemas ICS se han quedado en los años 90“. Estos sistemas fueron fabricados en el siglo pasado, por personas del siglo pasado, y cumplen con estándares del siglo pasado, pero siguen operativos hoy en día.
Si las cosas se pusieran negras en términos de disturbios cibernéticos, y los gobiernos empezaran a presionar esos ciberbotones rojos que desencadenarían el cibercaos, ahí es cuando los sistemas ICS con sus vulnerabilidades se verían afectadas al máximo. Sería entonces cuando veríamos no solo la punta del iceberg, sino también su parte baja, la más voluminosa, en fin sería un desastre absoluto. Pues, estaréis pensando que llegaríamos a saber de algo tan grave, lo leeríamos en algún sitio…¡NO! ¡Ni siquiera sabremos algo sobre ello: nada funcionaría!
Robo *-*
No tengo ninguna duda de que dentro de cinco años o así, nos rodeará un enjambre de drones voladores, corredores y reptadores de diferentes razas y propósitos.
El anuncio de Amazon del año pasado que expresaba sus planes de hacer entregas express de sus productos a través de drones no es solo una estrategia futurista de Relaciones Públicas. Es real: ¡los drones están llegando! Los problemas serán tanto legales como técnicos: desde la necesidad de crear rutas de vuelo especiales, introducir nuevas reglas de vuelo para estos drones, distribuir informes de las condiciones meteorológicas de vuelo, licencias de usuarios y fabricación y más y más cosas.
Pero las cosas ya han tomado este rumbo. Y no solo en el aire. Google presentó recientemente el prototipo de su coche sin conductor (el término automóvil finalmente tiene sentido en si mismo después de más de un siglo).
Los drones se están abriendo camino incluso en el sector de las infraestructuras críticas.
Por un lado, todo esto es bueno: los drones pueden automatizar muchos procesos difíciles, desagradables y no rentables… Por otro, toda esta automatización puede algún día colapsar. Entonces, sí que vendrían los problemas…
Sí, ¡habrá luz!
Para acabar, un poco de romanticismo.
Desde comienzos del 2000, nos hemos enterado de que la red eléctrica es susceptible de ser atacada por virus y es tan vulnerables como cualquier ordenador de usurarios normales y corrientes.
Un fotógrafo francés ha producido esta curiosa serie de fotos llamadas “Darkened Cities” (ciudades en la oscuridad), que muestran cómo se verían las cosas en caso de sufrir un ataque como ese: sorprendentes vistas nocturnas de Hong Kong, Nueva York, París, Shanghai, Sao Paulo, y otras muchas metrópolis sin luz eléctrica. Así que, si una noche todas las luces de vuestra casa se apagan de repente… que no cunda el pánico. Es posible que solo sea un virus o el ataque de un hacker. En realidad, igual sí debería entraros el pánico…
Antes de que eso suceda, ¿estará todo el mundo escondido bajo las sábanas o detrás del sofá igual que cuando veíais el Doctor Who de niños? ¿De verdad pintan tan mal las cosas y van a ir a peor?
Si, las cosas pintan realmente mal. Nos estamos moviendo en el borde del abismo desde hace años. Los elementos clave de estas infraestructuras críticas pueden desplomarse en cualquier momento como un castillo de naipes. Pero al menos estamos aquí nosotros, los expertos de seguridad :).
Quejarse solamente y lloriquear no es el camino. Estoy convencido de que el mundo hará frente al problema y lo hará a través de tres vías: desarrollando una nueva generación de software, desarrollando arquitecturas para infraestructuras críticas nuevas y más seguras, y desarrollando estándares de seguridad a nivel nacional y global.
Como resultado de esta triple estrategia, cualquier ausencia de luz sería solo el resultado de una bombilla fundida y nada más :).