211service.com
Hackear sistemas industriales resulta ser fácil
Tres presentaciones programadas para tener lugar en el Conferencia de seguridad informática de Black Hat en Las Vegas hoy revelará vulnerabilidades en los sistemas de control utilizados para administrar la infraestructura energética, como los gasoductos. Éstas son sólo la última señal de que dichos sistemas siguen siendo peligrosamente susceptibles a ataques informáticos que podrían tener consecuencias devastadoras; y aunque los investigadores propusieron soluciones para cada defecto que identificaron, advierten que, en general, la infraestructura industrial sigue siendo lamentablemente vulnerable.
Las vulnerabilidades se suman a una lista creciente de problemas identificados debido a un aumento reciente en la investigación sobre la seguridad de los sistemas industriales. El progreso para solucionar estos problemas de seguridad ha sido lento, en parte debido al diseño deficiente de los sistemas existentes y en parte a la falta de incentivos sólidos para corregir las fallas rápidamente.
Una demostración de hoy rociará a la audiencia con agua de una réplica del componente de una planta de agua forzada a sobrepresurizar. Otro mostrará cómo los sensores inalámbricos que se usan comúnmente para monitorear las temperaturas y presiones de los oleoductos y otros equipos industriales podrían hacerse para dar lecturas falsas que engañen a los controladores automáticos u operadores humanos para que tomen medidas dañinas. Una tercera charla detallará las fallas en la tecnología inalámbrica utilizada en 50 millones de medidores de energía en toda Europa que hacen posible espiar el uso de energía en el hogar o las empresas e incluso imponer apagones.
Los funcionarios estadounidenses han advertido con frecuencia que las vulnerabilidades en los sistemas de control industrial podrían permitir ataques dañinos a la infraestructura pública que resulten en cortes de energía, daños ambientales o incluso la pérdida de vidas (ver U.S. Power Grids a Hacking Target).
Todos los ataques que se mencionarán hoy requieren significativamente menos recursos y habilidades de los que se requerían para emplear el ataque más conocido en un sistema industrial, la operación Stuxnet respaldada por Estados Unidos e Israel contra el programa nuclear iraní (ver New Malware Brings Cyberwar One Step Más cerca ).
Hemos demostrado algunos escenarios que causarán una avería catastrófica (una tubería que estallará o un tanque se desbordará) mientras envían una vista completamente diferente al controlador, dice Brian Meixell de la compañía de seguridad de Texas. Cimación , quien trajo la réplica del componente de la planta de agua para mostrar las vulnerabilidades que descubrió.
Con su colega Eric Forner, Meixell explotó un protocolo llamado Dbus que se ha utilizado para controlar equipos industriales desde la década de 1970 y todavía se usa ampliamente en la actualidad en dispositivos que a menudo se conectan directamente a Internet. Los escaneos de direcciones IP públicas han revelado que al menos 90.000 dispositivos de control industrial están en línea y son vulnerables a ese tipo de ataque, dice Forner (consulte Lo que sucedió cuando un hombre hizo ping a todo Internet). Dbus es inseguro porque nadie en la industria que lo usa pensó que era una prioridad hacerlo seguro, dice Meixell.
Lucas Apa, investigador de IOActive , dice que esta actitud también apuntala la falla que él y su colega Carlos Mario Penagos encontraron en los sensores inalámbricos que se utilizan para monitorear la infraestructura de petróleo, agua, nuclear y gas natural. Los tres principales proveedores de esos sensores los diseñaron para que puedan producir lecturas falsas, o incluso apagarse con un transmisor de radio de 40 millas de alcance relativamente barato, dice Penagos. Podemos mostrar el cierre total de la planta, dice.
Ese problema, y el que descubrió el equipo de Cimation, ahora es conocido por las empresas que fabrican los equipos y las empresas industriales y de infraestructura que los compran, gracias a un programa de intercambio de datos administrado por el Departamento de Seguridad Nacional. Ese programa, llamado ICS-CERT, para el Equipo de Respuesta a Emergencias Cibernéticas del Sistema de Control Industrial, comparte datos recientemente publicados sobre vulnerabilidades con empresas y operadores industriales afectados.
Sin embargo, el hecho de que ICS-CERT destaque un problema no significa que se solucione de inmediato.
Apa dice que espera que muchos sensores sigan siendo vulnerables a su ataque inalámbrico a pesar de la acción de ICS-CERT porque arreglarlo requiere conectarse físicamente a los sensores para actualizar su software. Debido a que los dispositivos se usan en lugares peligrosos, puede ser muy difícil agarrarlos, dice, y algunas empresas tendrán cientos de sensores o más.
Sameer Bhalotra, ex director senior de ciberseguridad en la Casa Blanca de Obama y ahora director de operaciones de la empresa de seguridad web Impermium , dijo Revisión de tecnología del MIT que aunque el ICS-CERT funciona bien, no acelera el progreso en seguridad industrial. En contraste, las empresas de software como Microsoft se han vuelto expertas en parchear vulnerabilidades rápidamente, hasta el punto en que las fallas importantes ahora son raras, dice Bhalotra. Las empresas que fabrican software y equipos de control industrial nunca han tenido que preocuparse mucho por la seguridad, por lo que no son capaces de generar parches rápidamente ni de realizar cambios de diseño importantes. Hoy no está sucediendo nada bien organizado, dice. Los proveedores simplemente tendrán que ser más rápidos y mejores en la aplicación de parches, y eso llevará algo de tiempo.
Una de las razones por las que el proceso es tan lento es la falta de incentivos claros, dice Bhalotra. La ley actual no responsabiliza a los operadores de energía ni a los fabricantes de sistemas de control por las consecuencias de una mala seguridad, como los daños causados por una explosión o un corte de energía prolongado. Solo la introducción de nueva legislación para aclarar el problema de la responsabilidad probablemente acelerará la evolución de sistemas de control industrial más seguros, dice Bhalotra.