Beruflich Dokumente
Kultur Dokumente
VULNERABILIDADES DE
SEGURIDAD ESPECFICAS
TEMA 5. MANUAL
NDICE
1
1.1
Amenazas
1.2
Amenazas no intencionadas
1.3
Amenazas intencionadas
1.4
1.5
Estadsticas
13
2.2
15
2.3
15
2.4
18
2.5
20
2.6
22
FACTORES DE RIESGO
24
3.1
24
3.2
25
3.3
26
3.4
27
3.5
28
3.6
30
3.7
Resumen
31
INCIDENTES
32
4.1
Quin es el objetivo?
32
4.2
33
4.3
35
4.4
36
4.5
38
4.6
39
4.7
40
41
A.
5.1
41
5.2
42
5.3
43
5.4
44
5.5
45
5.6
46
5.7
47
5.8
48
5.9
51
5.10
52
NDICES Y REFERENCIAS
53
REFERENCIAS TCNICAS
53
NDICE DE FIGURAS
54
NDICE DE TABLAS
55
1.1 AMENAZAS
Una amenaza es la posibilidad de ocurrencia de cualquier tipo de evento o accin que puede
producir un dao (material o inmaterial) sobre los elementos de un sistema. Esto incluye tanto
daos a equipamiento a nivel fsico como a su funcionalidad e informacin.
Las amenazas de los sistemas de control y automatizacin pueden ser de tipo intencionado o no
intencionado. Actualmente, existen estadsticas que demuestran que la mayora de las amenazas
que afectan a estos sistemas son de tipo no intencionado, llegando a alcanzar hasta un 80% de las
mismas. No obstante, existe una tendencia que demuestra que el porcentaje de las amenazas de
origen intencionado est incrementndose poco a poco.
50% la proporcin de cada una de ellas. Del porcentaje de amenazas de origen humano,
aproximadamente dos terceras partes (38% del total de amenazas de tipo no intencionado) tendrn
origen externo al sistema de control y automatizacin y, en general, a la organizacin a la que
pertenece, mientras que el resto sern amenazas que se originan internamente.
Las amenazas no intencionadas se clasifican en cuatro grandes grupos que sern comentados a
continuacin.
FALLOS DE SAFETY
Los fallos de los sistemas de safety incluyen los problemas que pueden tener los sistemas de
proteccin tanto del equipamiento fsico controlado (por ejemplo: sensores, actuadores, tuberas,
lneas elctricas) como del personal que lo manipula (por ejemplo: retenes, tcnicos de
mantenimiento...). Al tratarse de instrumentacin mecnica con funcionamiento elctrico (por
ejemplo: detectores de paso de falta 1 o interruptores seccionadores automticos 2), sta puede
verse afectada por fallos de funcionamiento que pueden provocar daos en el sistema de control y
automatizacin y en el propio proceso industrial.
FALLOS DE EQUIPAMIENTO
Al igual que sucede con los sistemas de safety, los dispositivos de automatizacin y control son
elementos hardware mecnicos o electromecnicos con muchos componentes electrnicos. Los
fallos en los equipamientos (por ejemplo: avera de la fuente de alimentacin de una Unidad de
Terminal Remota [RTU], agotamiento de recursos de memoria, etc.) pueden hacer que las lecturas
de las variables de campo sean incorrectas, o que las acciones a realizar sobre el proceso no se
lleven a cabo, o que fallen las comunicaciones entre diferentes dispositivos y no llegue la
informacin desde su origen hasta su destino.
DESASTRES NATURALES
Los desastres naturales incluyen todo tipo de sucesos ambientales de consecuencias fatales y que
no se pueden controlar. Entre ellos se encuentran los terremotos, las inundaciones, las condiciones
climatolgicas extremas (por ejemplo: ola de calor, ola de fro). Tambin se han de incluir los
incendios dentro de este grupo o incluso las posibles consecuencias de una extincin inadecuada
de los mismos (p. ej. los daos producidos por el agua en el equipamiento electrnico), que pueden
ser peores en algunas ocasiones que el propio incendio.
ERROR HUMANO
Dentro de este grupo de amenazas hemos de considerar los fallos producidos por descuidos o por
dejadez de los empleados. Un ejemplo puede ser la utilizacin de medios personales de
intercambio de ficheros (llaves USB o similares) dentro de los equipos del sistema de control y
automatizacin para compartir informacin entre compaeros. Estos dispositivos, en la mayor parte
de los casos, no son debidamente analizados por motores antivirus y pueden contener malware
que afecte a los sistemas a los que son conectados, aun cuando este malware no est diseado
para sabotear o robar informacin del sistemas de control afectado.
As mismo, dentro de este grupo de amenazas tambin se pueden incluir los ataques a gran escala
contra direcciones IP pblicamente accesibles, que botnets (redes zombi) pertenecientes a mafias,
lanzan de forma automatizada y de manera indiscriminada contra cualquier equipo conectado a
Internet. Estos ataques pueden afectar a los sistemas de control y automatizacin, aun cuando no
vayan dirigidos contra ellos, si resulta que estos tienen direcciones IP pblicamente accesibles que
estn dentro del segmento de red que se est analizando.
Dentro de las amenazas intencionadas podemos identificar aqullas que se originan desde el
interior de las organizaciones, propietarias u operadoras de los sistemas de control objetivo, o
aqullas con un origen externo a stas, siguiendo aproximadamente un reparto 50%-50% segn la
Figura 1.
http://online.wsj.com/news/articles/SB123914805204099085
http://www.elmundo.es/elmundo/2011/01/16/internacional/1295180388.html
http://spectrum.ieee.org/telecom/security/the-real-story-of-stuxnet
http://arstechnica.com/security/2012/06/flame-malware-created-by-us-and-israel/
MANIPULACIN DE COMUNICACIONES
Consiste principalmente en realizar capturas de trfico, inyecciones de tramas, modificacin de la
informacin en trnsito... aprovechando las debilidades de los protocolos en uso.
Un vector de ataque es el mtodo que utiliza una amenaza para atacar un sistema.
10
Estas tcnicas tambin pueden aplicarse en los sistemas de control y automatizacin donde,
adems, se pueden aprovechar las debilidades existentes en la gran mayora de protocolos
industriales. Por ejemplo, es relativamente sencillo realizar un spoofing de un comando de Modbus,
o de un extremo de la comunicacin (por ejemplo: esclavo o maestro) en una sesin IEC 104.
REPETICIN
Los ataques por repeticin consisten en la inyeccin de trfico que ha sido capturado previamente,
y en muchas ocasiones tambin manipulado, para hacer que el proceso falle o realice acciones
incorrectas.
Por ejemplo, en protocolos industriales como DNP3 e IEC 104 se puede producir este tipo de
ataque, debido a los escasos bits utilizados para la numeracin de tramas; el trfico capturado se
puede reinyectar y ste ser vlido en un escaso periodo de tiempo.
INGENIERA SOCIAL
La ingeniera social es el proceso de utilizar de las herramientas de comunicacin clsicas (correo
electrnico, telfono,...), as como las redes sociales (por ejemplo: Twitter, Facebook), foros,... para
obtener informacin necesaria para un ataque a un sistema.
Los potenciales atacantes realizan preguntas utilizando estas herramientas fingiendo tener un
problema en su sistema para recabar toda la informacin posible, y expertos o personas que han
sufrido un problema similar al planteado se prestan a ayudar, facilitando en muchas ocasiones
informacin relativa al funcionamiento de los sistemas de control y automatizacin de su lugar de
trabajo.
PHISHING
El phishing es una tcnica de ingeniera social que busca obtener informacin confidencial/
relevante de forma fraudulenta a travs de la suplantacin de identidad de una persona o empresa
de confianza para la persona atacada. Las amenazas de phishing suelen relacionarse
habitualmente con el entorno bancario y el robo de informacin sobre tarjetas de crdito, pero
tambin puede utilizarse para conseguir credenciales de acceso.
Puede consultar ms informacin:
Spear phishing poses threat to industrial control systems
http://www.csoonline.com/article/2134000/access-control/spear-phishing-poses-threat-to-industrialcontrol-systems.html
SPAM
El spam consiste en el envo de mensajes de forma masiva incluyendo informacin no solicitada,
no deseada o de origen desconocido, generalmente asociado con publicidad y que puede hacer al
usuario perder el tiempo, atendiendo a informacin que no es de inters o utilidad para l.
Las tcnicas de spam se utilizan tambin para recabar informacin y direcciones de correo de
usuarios, a los que posteriormente atacar mediante el envo de otros mensajes de spam, phishing o
incluso malware.
11
Como ejemplo de este tipo de ataques en el entorno de los sistemas de control y automatizacin
industrial, un operario que haya utilizado su correo de trabajo para darse de alta en una web de
dudosa reputacin, puede recibir mensajes no solicitados que pueden hacer que: i) el operario no
llegue a darse cuenta de un correo enviado como mensaje de alarma del sistema de control, o ii)
un troyano, enviado como adjunto, termine infectando la estacin de trabajo del operador.
12
2.1 ESTADSTICAS
Las vulnerabilidades descubiertas relacionadas con los sistemas de control han sufrido un gran
incremento en los ltimos aos. Concretamente, desde la aparicin del malware Stuxnet en el ao
2010, se ha visto incrementado sustancialmente el nmero de vulnerabilidades reveladas que
afectan a estos sistemas, concentrndose en este marco temporal ms del 80% de las
vulnerabilidades. Adems, durante estos aos tambin saltaron a la esfera pblica los programas
maliciosos Flame y DuQu, diseados, al igual que Stuxnet, para atacar en exclusiva a sistemas de
control.
Stuxnet
Este aumento del nmero de vulnerabilidades desde el ao 2010 no ha de interpretarse como que
anteriormente a este ao no existieran o no se aprovecharan (muestra de esto ltimo son el propio
Stuxnet o DuQu), sino que el inters de la comunidad de profesionales de la ciberseguridad ha
crecido y dichas vulnerabilidades han empezado a hacerse pblicas. Tambin es posible que en
crculos ms reducidos (mbito gubernamental y de los servicios de inteligencia) s se conocieran,
evitndose su comunicacin a los fabricantes o su revelacin, ya que se vean como una clara
ventaja estratgica. Afortunadamente, Stuxnet ha logrado un cambio de mentalidad a muchos
niveles, sentando las bases de los redoblados esfuerzos de las administraciones pblicas de todo
el mundo, y en particular el mundo desarrollado, por concienciar sobre la importancia y necesidad
13
de su proteccin, as como por formar en seguridad a los operadores, o por establecer programas y
disear regulaciones que contemplen este asunto de capital importancia, entre otros.
Retomando el mbito de los nmeros y los indicadores estadsticos, los principales tipos de
vulnerabilidades descubiertas pertenecen a los grupos de denegacin de servicio y de "buffer
overflow". Fijndose en la Tabla 1, se observa que los grandes fabricantes son los que ms
problemas han tenido. Esto no se debe a que sean los ms inseguros, sino a que la mayor parte de
los sistemas de automatizacin y control en uso hoy en da han sido diseados y fabricados por
stos y, por tanto, es ms fcil encontrar fallos de seguridad que les afecten.
14
vulnerabilidades de plataforma,
vulnerabilidades de red y,
vulnerabilidades a nivel de polticas y procedimientos.
Las dos primeras se pueden enmarcar dentro del mbito de vulnerabilidades tcnicas o
tecnolgicas, ya que afectan a los dispositivos en s, su software o sus comunicaciones. El tercer
grupo afecta a la propia organizacin, al marco de gestin de la seguridad y a las normativas y
procedimientos que se establecen para tratar con los sistemas de automatizacin y control, y en
particular para garantizar su seguridad y proteccin.
15
16
Tambin se puede aplicar el concepto de control de accesos a nivel fsico, donde debe controlarse
qu personal puede tener acceso directo al equipamiento de los sistemas de control y
automatizacin.
PUERTOS FSICOS DESPROTEGIDOS
Los dispositivos de los sistemas de control tienen puertos de comunicaciones que en muchas
ocasiones no se utilizan realmente. Es decir, se puede encontrar con un concentrador de datos que
utiliza nicamente comunicacin a travs de un puerto de serie, pero que adems dispone de
puertos USB, Ethernet..., y que adems estn habilitados. Hemos de tener en cuenta que muchos
de estos dispositivos se encuentran en ubicaciones remotas sin un control presencial continuo, por
lo que un atacante puede aprovechar estos puertos para perpetrar su ataque. Es por ello que,
adems de deshabilitar aquellos puertos innecesarios para la operativa del equipo, se ha de contar
con un control de acceso fsico a dichos puertos como, por ejemplo, a travs de la inclusin de una
tapa protectora con un sello anti-apertura, o simplemente mediante su colocacin dentro de un
armario protegido con llave.
SERVICIOS INNECESARIOS EN FUNCIONAMIENTO
Los equipos de los sistemas de control y automatizacin suelen tener una funcin muy concreta,
pero eso no evita que pueda haber servicios innecesarios en ejecucin que aumente la superficie
de ataque a la que estn expuestos. Estos servicios suelen ser residuales de aplicaciones que
fueron necesarias en el pasado y que hoy ya no se utilizan, o propias del sistema operativo de base
o firmware. En este ltimo caso puede ocurrir que un mismo firmware necesite funcionar en
distintos modelos de un dispositivo (cada uno con sus propias necesidades funcionales por parte
del sistema operativo base) y que, por tanto, en todos ellos incluya las mismos servicios. Para los
sistemas operativos base que forman parte de un sistema (por ejemplo: SCADA), donde lo habitual
es que las estaciones de trabajo y servidores tengan el mismo sistema operativo aprobado por la
empresa, y posteriormente se instale el aplicativo software de control y supervisin, es probable
que ciertos servicios del sistema corran simplemente porque vienen por defecto en el software
base instalado.
USO DE CONFIGURACIONES POR DEFECTO
Los entornos industriales suelen contar con muchos dispositivos de automatizacin y control
idnticos realizando funciones similares. En aras de un mantenimiento ms sencillo y de un
proceso de despliegue ms corto, en muchas ocasiones no se modifican las configuraciones por
defecto de fbrica, incluyendo usuarios y contraseas.
Otro motivo para no realizar estos cambios es permitir al propio fabricante realizar un
mantenimiento remoto desde sus instalaciones en caso de fallo del dispositivo, algo que muchas
veces se contrata como servicio de valor aadido.
El problema de utilizar configuraciones por defecto reside, adems de que es simple para un
atacante conseguir dicha informacin (por ejemplo: manuales de producto), en que todos los
equipos van a disponer de los mismos usuarios y configuraciones. As, si se compromete un
equipo, es inmediato comprometer el resto.
Relacionado tambin con las configuraciones, se puede hablar del almacenaje de las mismas. En
muchas ocasiones, no se dispone de una copia de la configuracin de un determinado dispositivo
17
que permita su reposicin en un breve plazo de tiempo, realizando las mismas tareas que el
sustituido.
CONTRASEAS
Las contraseas suponen el mayor conjunto dentro de las vulnerabilidades de plataforma. Entre las
vulnerabilidades relacionadas con las contraseas se pueden identificar:
18
19
20
especfica de seguridad RG 5.71 4 de la Nuclear Regulatory Commission de los EE. UU. o NERCCIP 002-0010 5, normativa norteamericana propia del transporte de electricidad.
Adems de las posibles referencias normativas y estndares, que suelen competer al mbito de
organismos de estandarizacin nacional o internacionales, tambin hay que tener en cuenta las
polticas internas de las organizaciones. Las polticas internas relativas a seguridad en los sistemas
de control y automatizacin tambin suelen ser escasas, y slo en los ltimos aos se aprecia un
incremento del inters interno por regular los procesos. De nada sirve disponer pblicamente de
estupendas referencias de seguridad si luego stas no se aplican en la empresa.
FALTA DE UN PROCESO DE GESTIN DE CAMBIOS
Los cambios en los sistemas de control y automatizacin deben ser gestionados de manera
eficiente y apropiada para evitar problemas durante y despus de la implantacin de un nuevo
sistema o modificacin de uno existente. La falta de un proceso de gestin de cambios puede
producir descuidos, exposiciones y riesgos de seguridad evitables, y es por ello que merece
regularse internamente en las organizaciones de manera adecuada.
AUDITORAS TCNICAS DE SEGURIDAD POCO FRECUENTES O INEXISTENTES
Como veremos en el siguiente punto, la realizacin de auditoras tcnicas y anlisis de
vulnerabilidades no es habitual dentro de los sistemas de control y automatizacin. La inexistencia
de estas pruebas impide conocer cul es el estado real de seguridad de la instalacin.
INEXISTENCIA DE UN PLAN DE FORMACIN Y CONCIENCIACIN DEL PERSONAL EN
SEGURIDAD
El personal que trabaja en los sistemas de control y automatizacin no suele estar familiarizado con
la seguridad de los sistemas y las medidas a aplicar. Por ello necesitan primero ser sensibilizados y
despus recibir una formacin adecuada. Una iniciativa de este tipo siempre ha de partir de la
Direccin, de manera que sea aceptada por los operadores de planta.
AUSENCIA DE PROCEDIMIENTOS
CONTINUIDAD DEL NEGOCIO
OPERACIONES
RELACIONADAS
CON
LA
4
5
http://nrc-stp.ornl.gov/slo/regguide571.pdf
www.nerc.com
21
Los sistemas de control y automatizacin incluyen un gran nmero de dispositivos para controlar
todo el proceso. Estos sistemas han ido creciendo segn las necesidades del negocio,
aadindose elementos segn iba avanzando la tecnologa y se identificaban nuevos requisitos en
la operativa cotidiana, crendose nuevas comunicaciones entre ellos o con sistemas externos, Si a
todo ello aadimos que el personal que administra y operan estos sistemas suele ser reducido y a
que gran parte del equipamiento es muy antiguo y no dispone de capacidades de inventario
automtico, llegamos a la conclusin de que es raro el caso en el que se ha realizado un inventario
exhaustivo y actualizado de los equipos de automatizacin y control, a excepcin de sectores
altamente regulados como el nuclear.
Puede consultar ms informacin:
NIST Special Publication 800-82. Revision 1: Guide to Industrial Control Systems (ICS) Security.
Apartado 3.3.1
Los anlisis de vulnerabilidades tienen algunas limitaciones que hay que asumir para poder
llevarlas a cabo de forma exitosa, dentro de los sistemas de control y automatizacin.
22
23
FACTORES DE RIESGO
El factor de riesgo se puede definir como toda circunstancia o situacin que aumenta las
probabilidades de que una infraestructura est en riesgo de padecer una situacin no controlable y
que lleve a sta a una zona de peligro.
Aunque ya se adelantaron algunas amenazas en el mdulo 1, en esta seccin los repasaremos y
describiremos otros de inters. Igualmente, cabe destacar que la ausencia de ciertas medidas que
corrijan estos factores de riesgo se puede considerar como vulnerabilidades propias de la
organizacin. En este sentido, alguno de los aspectos que se tratan a continuacin ya han sido
introducidos en la seccin anteriores. No obstante, por su importancia conviene realizar un anlisis
detallado de las circunstancias o situaciones que hacen necesarias de medidas de seguridad para
su correccin y que en muchas organizaciones industriales no existen.
Los sistemas de los que son responsables tienen diferente propsitos: la tarea ms
importante para un sistema de control est en que los procesos funcionen adecuadamente,
mientras que en los sistemas corporativos lo que prima es facilitar el trabajo diario de las
personas de la organizacin.
Falta de inters por saber lo que hacen sus compaeros: en ambos entornos existe un
desinters por conocer las tareas que se desempean en el otro lado, debido
principalmente a que no disponen de los conocimientos necesarios para poder entender su
trabajo. De hecho, la relacin entre el personal de control y el de TI es una relacin
habitualmente de cliente-proveedor. Por ejemplo: necesito que me abras tal puerto en el
firewall corporativo para facilitar el mantenimiento remoto de este autmata al fabricante X
El lenguaje que utilizan es diferente: en el mbito de los sistemas de control prima el
lenguaje industrial, mientras que en sistemas de TI corporativos prima el informtico. Por lo
tanto, la terminologa utilizada es en general distinta.
Falta de una estructura y procesos organizativos que fomenten la colaboracin: es
habitual en las empresas industriales que los responsables de sistemas de TI y de control
pertenezcan a direcciones totalmente independientes, e incluso a empresas del grupo
distintas, por lo que el trabajo en equipo y la colaboracin no se fomentan.
24
Relaciones internas
Diferencia de cliente-proveedor.
Estructuras organizativas
estatus y
inadecuadas.
separacin
funcional
Dificultad de
comunicacin
Distintas tareas y
propsitos de los sistemas
tratados.
Distinto lenguaje: industrial
vs. Informtico.
Como resultado
Se generan tensiones
innecesarias.
Falta de colaboracin y
trabajo en equipo
25
programadas, la alta necesidad documental de entornos regulados como el nuclear, etc., pueden
chocar con la forma de trabajar del departamento de TI o de empresas terceras que ofrecen
servicios de ciberseguridad en este mbito.
26
Por otro lado, los propios fabricantes de sistemas y aplicativos de automatizacin y de control,
tienen tambin su particular responsabilidad. Resulta fundamental que estos fabricantes, capaciten
a sus trabajadores, y cambien sus procesos internos, a fin de que la nueva generacin de software
y equipamiento de automatizacin y control industrial siga unas pautas de diseo y desarrollo
seguro, incluya por defecto mecanismos de seguridad (por ejemplo: criptografa, deshabilitar
puertos y servicios innecesarios, etc.), y cuente con recomendaciones y recursos auxiliares de
configuracin, despliegue y mantenimiento seguro. Para lograrlo, adems de la propia formacin de
sus trabajadores, ser fundamental la colaboracin con fabricantes de soluciones de
ciberseguridad, ya que son quienes tienen el verdadero expertise en este campo.
Para ms informacin, consulte:
Annex V of the report "Protecting Industrial Control Systems. Recommendations for Europe and
Member States" presents the key findings of the ENISA ICS Security study. Puntos 1.12 y 1.13
https://www.enisa.europa.eu/activities/Resilience-and-CIIP/critical-infrastructure-and-services/scadaindustrial-control-systems/annex-v
27
Una correcta documentacin de las redes de los sistemas de control y automatizacin va a facilitar
enormemente la adecuada gestin de las vulnerabilidades presentadas en la seccin anterior: uso
de protocolos inseguros, conexiones directas a Internet, interconexin de redes con distintos
niveles de seguridad, falta de separacin entre el trfico de control y el trfico de TI, un permetro
de red indefinido, uso de servicios de red externos, etc.
Relacionado una inadecuada gestin de las comunicaciones en los sistemas de automatizacin y
control, uno de los aspectos fundamentales que se descuida habitualmente son las conexiones
con Internet o el uso de servicios como DNS, DHCP, antimalware, de backup aprovechando
la infraestructura de TI corporativa, sin valorar adecuadamente los riesgo que esto entraa, y por lo
tanto sin establecer las medidas de seguridad adecuadas en cada caso. La interconexin con
proveedores y fabricantes suele realizarse a travs de Internet, por razones de costo
principalmente. Esta misma razn puede estar detrs de la decisin de interconectar distintas
plantas industriales mediante la red de redes.
El uso de Internet, as como los accesos remotos a equipos de la red de control son necesarios y
muchas veces inevitables, en parte porque los propios fabricantes o empresas de mantenimiento
as lo exigen, y en parte tambin porque la incultura de seguridad de los mandos directivos de la
propia empresa implica la toma de decisiones no informadas. Es necesario saber valorar y
transmitir a la direccin de la compaa operadora de infraestructuras y procesos industriales,
cules son los riesgos en todo momento de ciertas decisiones, que a priori pueden parecer
exclusivamente de negocio, pero que pueden impactar en la seguridad de la organizacin.
Coste de reposicin: cambiar los equipamientos cada poco tiempo supone una gran
cantidad de dinero. Un sistema de control pequeo puede contar con ms de mil
dispositivos, por tanto, se debe amortizar la inversin alargando su uso.
28
Medidas
compensatorias
pueden no ser
suficientes o su
coste elevado
Requisitos
funcionales s, pero
tambin seguridad
Figura 12. Factores de riesgo relacionados con la larga vida del equipamiento
Si bien las premisas anteriores son sensatas, faltara tener en cuenta que cuando hablamos de
cumplir con su propsito no solo ha de implicar cumplir con los requisitos puramente funcionales u
operativos, sino que tambin la seguridad ha de ser considerada como tal. Desde el momento que
el hardware o el propio software es incapaz de cumplir con determinados requisitos de seguridad
ste ha de ser considerado para su reemplazo. Es verdad que muchas veces ciertas carencias
pueden suplirse con una estrategia de defensa en profundidad que combine el uso de otras
tecnologas externas con procedimientos de gestin. Sin embargo, habr veces que esto no sea
suficiente, o que el coste de dichas medidas compensatorias supere el de reposicin del equipo.
Ser entonces cuando se necesario plantearse el reemplazo.
Por otro lado, los fabricantes de equipamiento industrial juegan aqu de nuevo un papel clave. Han
de ser capaces de, manteniendo los costes de fabricacin actuales, mejorar sus capacidades de
seguridad de sus dispositivos y soluciones, teniendo en cuenta adems que el perodo de
mantenimiento ser clave para poner al da estas capacidades ante un entorno de amenazas y
vulnerabilidades de cambio constante y vertiginoso. Para ello habrn de ser capaces de exprimir la
capacidad hardware al mximo e incluso plantearse nuevas filosofas de diseo. En este sentido,
por ejemplo las funcionalidades de seguridad podran incorporarse como un mdulo ms en un
PLC o una RTU. Al igual que existen los mdulos de E/S, que son reemplazables sin cambiar el
dispositivo completo, podra existir un mdulo criptogrfico encargado del cifrado de
comunicaciones, la autenticacin de usuarios y mensajes, etc.
29
Si bien es cierto que estos sistemas operativos, al ser ms generalistas, son ms baratos que sus
contrapartes propietarias, la otra cara de la moneda es que, al ser ms conocidos son ms
fcilmente atacables (existen herramientas, documentacin, vulnerabilidades reportadas). Es por
ello que es necesario aplicar actualizaciones de forma diligente, algo que por desgracia, no est
extendido ni procedimentado de forma generalizada en el mbito industrial.
A esto adems se le suma que, debido a los largos ciclos de vida de los sistemas de
automatizacin y control, la inmensa mayora de estos SSOO comerciales dejan de tener soporte
oficial por parte del fabricante mucho antes de que las soluciones industriales sean reemplazadas
por otras nuevas. ste es el caso de Windows XP, que si bien ha recibido prcticamente 13 aos
de soporte oficial por parte de Microsoft, todava se utilizar en algunas instalaciones industriales
durante 5 o 10 aos ms. Lo mismo ocurre con distribuciones de Linux como RedHat, Ubuntu, etc.
30
3.7 RESUMEN
Hay que destacar que la simple implantacin de elementos de seguridad en la red no hace que
sta se convierta en segura. No hay nada ms peligroso que la falsa sensacin de seguridad que
se puede tener porque se hayan implantado mltiples soluciones tcnicas pero de forma incorrecta
(por ejemplo: a partir de un mal diseo, o aplicando una mala configuracin) o no utilizando todo su
potencial. Adems la seguridad no es solo un conjunto de tecnologas, sino que abarca un modelo
de gestin y organizacin dentro de las empresas.
Tambin se puede tener una falsa sensacin de seguridad por creer que se est cumpliendo con lo
exigido por una determinada ley o regulacin. Hay que entender que el cumplimiento con un
determinado estndar, norma o regulacin de seguridad es simplemente un posible camino, una
gua que facilita la creacin de una estructura organizativa o la implantacin de medidas de
seguridad, pero nunca es una garanta de la misma. Adems, es habitual que las normativas de
obligado cumplimiento se conviertan en un trmite puramente legal, desvirtundose su espritu
original.
Por otro lado, en esencia, los sistemas de control son cada vez ms parecidos a los sistemas de TI.
Esto est facilitando el abaratamiento de los costes de produccin y permite una mayor flexibilidad,
tanto en funciones que realizaran, como en servicios que pueden soportar en un momento dado.
Adems se facilita su gestin, ya que al tener ms caractersticas comunes con los entornos de TI
tradicionales, evita que sea necesaria una formacin ad-hoc. Sin embargo, la flexibilidad antes
mencionada se traduce tambin en ms interconexiones con el exterior, a travs de Internet, la
inclusin de sistemas operativos comerciales, etc., aumentando as exponencialmente los riesgos.
Por desgracia, el personal de control y automatizacin no est preparado todava para gestionar
estos nuevos riesgos, ni tampoco lo estn los propios fabricantes, que han de actualizar sus formas
de trabajo, sus premisas de partida (ciclos de vida, etc.) e innovar para apoyar en esta tarea a las
organizaciones industriales y las operadoras de infraestructuras.
31
INCIDENTES
Los sistemas de control se parecen cada vez ms a los sistemas corporativos convencionales. Su
creciente interconexin con estos, el acceso remoto por parte de empresas terceras, y el uso de
software de propsito general, incrementan los riesgos de que estos sistemas sufran algn
ciberincidente. De hecho, esto ya est ocurriendo cada da. Es por ello que es necesario
aprovechar estas experiencias previas como caso de estudio para aprender de los errores pasados
y estar mejor preparados para hacer frente al futuro.
Para ms informacin, consulte:
http://www.enisa.europa.eu/activities/Resilience-and-CIIP/critical-infrastructure-and-services/scada-industrialcontrol-systems/can-we-learn-from-scada-security-incidents.
32
La Figura 18 muestra los incidentes segn el sector de actividad. Como se puede ver en la imagen,
el sector energtico ha sido el que ms incidentes ha notificado e 2013, con un total de 145 (56%
del total). Este dato puede ser engaoso por el hecho de que el sector elctrico es uno de los ms
involucrados en la seguridad de sus sistemas de control y automatizacin, y adems venir
influenciado por los problemas de seguridad de las nuevas redes inteligentes (smart grids).
El ICS-CERT es una iniciativa estadounidense encargada de coordinar la respuesta ante incidentes de seguridad que
ocurren en los sistemas de control y automatizacin. Esta iniciativa, y otras ms, sern explicadas adecuadamente en el
mdulo 6 de este curso.
33
En la Tabla 3 se muestra una comparativa de incidentes por sector en los ltimos tres aos, desde
de 2011 hasta 2013.
34
tiene que entender que las actualizaciones deben ser probadas adecuadamente por cada
propietario de los activos antes de su aplicacin en entornos operativos.
Para ms informacin, consulte:
http://ics-cert.us-cert.gov/ICS-CERT-Year-Review-2013.
Teniendo en cuenta lo comentado tanto en el apartado 4.1 como en el 4.2, consideramos que es
importante conocer adems cules son los potenciales orgenes de una intrusin de seguridad en
un entorno industrial. Esto lo abordaremos en los siguientes apartados:
35
vallado, tarjetas de acceso a recintos, videovigilancia, rondas de seguridad, etc.), mientras que a un
sistema de generacin elica, el cual se encuentra en medio de la montaa, cuenta con algunas
medidas de seguridad (por ejemplo: vallado, videovigilancia), pero de menor alcance, siendo
susceptibles de ser violadas ms fcilmente a sabiendas adems de que los retenes tardarn cierto
tiempo en llegar en caso de fallo. Esto es habitual tambin con ciertas subestaciones o centros de
transformacin de las redes de distribucin de electricidad o de abastecimiento y almacenamiento
de aguas.
Se puede caer en la tentacin de pensar que, a menor cantidad de medidas de seguridad fsica,
menos crtico es el sistema para el proceso industrial o la infraestructura, y por ello requiere de
menor proteccin. Si bien a primera vista esto puede ser cierto, tambin hay que introducir en la
ecuacin que estos sistemas suelen disponer de comunicaciones directas con los centros de
control y operacin, o con otros componentes de control de mayor criticidad, que pueden
aprovecharse para realizar un ataque de mayor envergadura.
36
Para evitar este tipo de incidentes existen una serie de medidas que evitan que la conexin sea
trivial. Una opcin es restringir la comunicacin con el mdem nicamente a uno o varios equipos o
nmeros de telfono llamantes (lista blanca), o el uso del mtodo de "callback", por el cual cuando
el mdem recibe una llamada, ste no responde sino que realiza seguidamente de forma
automtica una llamada de vuelta a un nmero prefijado, siendo de esta forma el mdem quien
siempre inicia la comunicacin, y hacia un nico equipo conocido. Tambin conviene establecer
medidas de autenticacin en el dispositivo que est detrs del modem (por ejemplo: contraseas
distintas a las de por defecto en una RTU).
ACCESOS REMOTOS DE TERCEROS
Al margen del caso particular de las conexiones remotas comentadas en el prrafo anterior en las
que se aprovecha el acceso telefnico, en el mbito industrial es bastante habitual conceder
accesos remotos a los sistemas crticos de control a los propios trabajadores o a terceras
organizaciones, como fabricantes, contratistas, y proveedores de servicios, a fin de realizar labores
de mantenimiento (actualizaciones y correccin de fallos), operacin remota, etc., para facilitar su
trabajo diario (por ejemplo: a travs de soluciones como PCAnywhere).
Aquellas organizaciones que no han tenido en cuenta la ciberseguridad como uno de los pilares
que sustenta el negocio (la grana mayora en la actualidad), conceden estos accesos sin establecer
unos requisitos sobre el nivel de seguridad o sobre las restricciones que estas terceras empresas o
los propios empleados trabajando en remoto deben aplicar a la hora de realizar dicha conexin, o
lo que es peor, sin establecer las medidas adecuadas en nuestro mbito de actuacin. No resulta
extrao encontrarse con que los proveedores, fabricantes de dispositivos, personal de
mantenimiento o empleados con acceso remoto, se conecten de forma directa hacia la red de
campo o los propios centros de control, directamente desde Internet, sin utilizar ningn tipo de red
intermedia (DMZ) de acceso o sin hacer un uso adecuado de VPN.
37
Tanto es as que el proyecto Shine 7, en un estudio de 2013, revel que haba ms de un milln de
sistemas de automatizacin y control conectados a Internet directamente. Ms an, entre una
cuarta parte y un tercio de estos sistemas era vulnerable a ataques por malware, desbordamiento
de buffer, cross-site scripting, entre otros. En muchos casos se descubri que estos sistemas eran
accesibles mediante puertas (servicios habilitados, autenticacin con credenciales por defecto, etc.)
traseras que los propios fabricantes e integradores dejaban habilitadas para facilitarse el trabajo
diario. Por desgracia, quienes operaban estos sistemas o sus propietarios, no eran conscientes de
ello en la mayora de los casos.
Para ms informacin, consulte:
http://en.wikipedia.org/wiki/Shodan_%28website%29
https://www.tofinosecurity.com/blog/project-shine-1000000-Internet-connected-scada-and-ics-systems-andcounting
http://www.darkreading.com/vulnerabilities---threats/project-shine-illuminates-sad-state-of-scada-ics-securityon-the-net/d/d-id/1140691?
El proyecto SHINE (SHodan INtelligence Extraction) es un proyecto que busca la extraccin de informacin relativa a
sistemas SCADA y de automatizacin y control en general que son accesibles desde Internet. Se basa en el buscador
SHODAN que escanea Internet en busca de cualquier dispositivo con una direccin IP accesible, incluyendo
ordenadores, impresoras, switches, PLCs, SCADA, RTUs, etc.
38
Las conexiones entre ambas redes se establecen para la recogida de informacin (consulta de
datos del histrico, recogida de datos estadsticos...) o para mantenimiento, y pueden ser de
carcter directo (tpicamente, a una DMZ donde residen los datos) o mediante VPNs.
As, algunos de los ataques que se pueden dar para saltar desde la red corporativa hasta la red de
control son:
Compromiso de las VPN corporativas. Una gran mayora de sistemas IACS estn
configurados de tal manera que los ingenieros de control tengan acceso desde la red
corporativa a la LAN de control. En la mayor parte de los casos estos accesos estn
basados en conexiones VPN, a travs del cortafuegos que separa la red de control de la red
corporativa. Un atacante podra hacerse con el control de una mquina en la red corporativa
y esperar a que su usuario legtimo estableciera la conexin VPN con la red industrial para
as aprovecharse de dicha conexin para sus propios intereses.
39
cualquier mquina del sistema de control, podra llegar a hacer una llamada saliente hacia la red
corporativa o incluso Internet, establecer una conexin y otorgar acceso remoto directo al atacante.
40
5.1 PLANTA
DE
TRATAMIENTO
DE
AGUAS
EN
MAROOCHY
SHIRE
(AUSTRALIA)
EVENTO
En el ao 2000, fueron vertidos ms de 2 millones de litros de aguas residuales en ros, parques,
etc. en el paraje natural del condado de Maroochy (Australia).
IMPACTO
Las consecuencias del vertido fueron la prdida de vida salvaje y un
elevado peligro para los habitantes de la zona, adems del coste
econmico millonario para la recuperacin del entorno.
DESCRIPCIN
Un ex empleado de la empresa Hunter Watertech, encargado de la gestin y desarrollo del sistema
SCADA de tratamiento de aguas del condado de Moroochy, utiliz un ordenador porttil y un
radiotransmisor para tomar el control del SCADA de una instalacin de depuracin de aguas
residuales al menos en 46 ocasiones distintas a lo largo de 3 meses. Con este acceso, el ex
empleado fue capaz de: i) hacer que las bombas no funcionaran cuando deban, ii) que las alarmas
no se reportaran al ordenador central, iii) se perdiera la comunicacin entre el ordenador central y
varias estaciones de bombeo.
Finalmente, el ex empleado fue identificado y arrestado.
LECCIONES APRENDIDAS
Para evitar problemas como los anteriormente descritos relativos a ex empleados, es conveniente
eliminar todas sus credenciales (usuarios/contraseas) y permisos de acceso a los sistemas de la
empresa nada ms termine la relacin laboral.
Por otro lado, cuando se haga uso de comunicaciones inalmbricas y de radio, stas debern estar
bien aseguradas, para lo cual ha de aplicarse el mximo nivel de seguridad ofrecido por el
estndar, tanto a nivel de cifrado como de autenticacin, y ha de establecerse un sistema de
control de accesos adecuado.
41
42
DESCRIPCIN
Tanto el PLC como los variadores de frecuencia contaban con microprocesadores embebidos que
enviaban datos sobre una LAN Ethernet. Sin embargo, ambos dispositivos fallaban en entornos de
alto trfico al no ser capaces de analizar todos los paquetes, broadcast o no, y determinar si son
ellos los receptores designados.
Al parecer, un mal funcionamiento del PLC inund la red Ethernet con trfico espurio, o que
incluso, desde un origen no determinado llegara un exceso de trfico ARP. Esto se tradujo en que
los variadores de frecuencia dejaron de funcionar.
LECCIONES APRENDIDAS
Para evitar problemas con el trfico de red es conveniente segmentar la red de forma adecuada,
haciendo uso de switches, routers y firewalls, agrupando elementos del mismo nivel de criticidad y
que tengan que comunicarse pero separando adecuadamente los dominios de broadcast. Adems,
es conveniente el uso de herramientas activas de monitorizacin de red que indiquen problemas
como un trfico excesivo.
43
DESCRIPCIN
Un joven fue capaz de modificar las agujas de los trenes y, de esta forma, hacerse con el trfico
ferroviario de la ciudad. Para ello utilizaba un dispositivo similar a un mando a distancia, que emita
en la misma frecuencia que los sistemas de cambio de va.
Para llevar a cabo el ataque, realiz un estudio previo de los trenes y sus rutas.
Cuando fue detenido, el joven indic que todo era una broma.
LECCIONES APRENDIDAS
Se debe tener en cuenta la confianza que se tiene en la seguridad de protocolos propietarios que
no han sido analizados por una comunidad de expertos. Adems, se ha de limitar el acceso a los
dispositivos de campo, as como tener claro la necesidad real de utilizar protocolos inalmbricos o
si por el contrario una comunicacin cableada tambin es viable.
44
LECCIONES APRENDIDAS
Hay que tener establecido un plan de gestin de parches, en el cual se prioricen las actualizaciones
crticas, se identifiquen qu elementos son interdependientes, se haga un anlisis de
consecuencias, y se defina un plan de marcha atrs. Se debe probar cada actualizacin en
sistemas de desarrollo/prueba antes de aplicarla en entornos reales, lo que se conoce como
pruebas FAT (Factory Acceptance Test), y realizar pruebas en produccin (pruebas SAT Site
Acceptance Test), durante las paradas de mantenimiento.
45
DESCRIPCIN
Un desarrollador del sistema de multas T-Redspeed y otras 100 personas ms (agentes, policas y
gerentes de empresas) fueron investigadas por manipular y reducir el tiempo de la luz mbar en los
semforos con el fin de obtener ms multas.
Los beneficios obtenidos por el aumento de las multas eran repartidos entre las empresas y las
autoridades.
LECCIONES APRENDIDAS
Hay que tener muy presente que una de las principales amenazas es siempre el insider, es decir,
los propios trabajadores de la empresa. Es importante por ello que se hagan auditoras peridicas,
se otorguen mnimos privilegios, se establezca un sistema de roles y credenciales, etc.
46
DESCRIPCIN
Los paneles de informacin de las autovas estadounidenses estaban provistos con contraseas
por defecto, por las cuales podan cambiarse los mensajes que los conductores lean. Un blog de
seguridad indicaba los pasos a seguir para realizar los cambios en los mensajes de informacin.
LECCIONES APRENDIDAS
Hay que tener claro que usar controles de acceso fsico robustos son necesarios en sistemas de
este tipo, adems de nunca dejar las configuraciones por defecto en los dispositivos y usar
mecanismos de gestin y registro de cambios de credenciales. Con ello podremos evitar que
intrusos puedan acceder a los sistemas de forma fcil.
47
DESCRIPCIN
Stuxnet es un malware detectado en junio de 2010 con propiedades de gusano y rootkit (el primero
industrial):
Gusano, ya que explota varias vulnerabilidades (algunas zero-day) para infectar otros
sistemas.
Rootkit, ya que es capaz de modificar la lgica de funcionamiento de los PLC (S7 de
siemens) de forma imperceptible desde el centro de control o las herramientas de
mantenimiento.
La principal va de infeccin de Stuxnet fue a travs de llaves USB. Stuxnet aprovechaba una
famosa vulnerabilidad 0-day en el manejo de ficheros .LNK, por la que con solo visualizar en
Windows Explorer los ficheros de acceso directo contenidos en una llave USB, se ejecuta
automticamente cdigo del fichero al que hace referencia dicho acceso directo, en concreto en el
caso de Stuxnet unos ficheros .tmp que contienen los binarios de Stuxnet.
Otras vas de infeccin incluan el uso de recursos de red compartidos (concretamente Admin$) en
los que la mquina infectada tiene permisos de escritura, y una conocida vulnerabilidad de RPC,
usada por Conficker y otros gusanos.
48
Una vez infecta la mquina, Stuxnet contacta con su C&C y enva, de forma cifrada, informacin
bsica sobre el host comprometido:
El C&C responda, bien enviando la orden de ejecutar una llamada a un procedimiento en el host
comprometido, o descargando una nueva DLL para que Stuxnet la ejecutase. Algunas de las
funciones a las que se puede acceder remotamente son:
Lectura de un fichero
Escritura en un fichero
Borrado de un fichero
Creacin de un proceso
Inyeccin de una dll en el proceso Isass.exe (proceso que se encarga del funcionamiento de
los protocolos de seguridad que maneja Windows)
Carga de alguna dll adicional
Inyeccin de cdigo en otro proceso
Actualizar los datos de configuracin del gusano
Stuxnet tena como objetivo los hosts que ejecutan el HMI del SCADA WinCC de Siemens. Todos
los componentes de WinCC utilizan en la misma mquina una base de datos MS SQLServer para
almacenar datos de configuracin. WinCC utiliza una contrasea "hardcodeada" (y conocida) para
acceder a la base de datos. As, Stuxnet aprovecha esta grave vulnerabilidad de WinCC para
lanzar consultas SQL y extraer informacin de direcciones IP y nmero de puertos utilizados en
otras mquinas WinCC conectadas en el sistema de control.
Adems, Stuxnet instalaba un wrapper para la librera s7otbxdx.dll que es la utilizada por el SCADA
WinCC para la comunicacin con los PLCs en campo. En realidad, cada vez que el sistema de
control haca uso de esta librera, el gusano interceptaba las llamadas a las funciones, y en algunos
casos pasaba directamente la llamada a la funcin de la dll legtima y en otros casos alteraba los
datos enviados antes de pasrselos a la correspondiente funcin. Lo mismo ocurra con los datos
devueltos por la dll legtima. En algunos casos los datos se pasaban sin ser alterados, y para otras
funciones stos s se modificaban. Es principalmente por esta caracterstica por lo que se
considera a este gusano el primer rootkit para sistemas de control.
Stuxnet es un arma de ciberguerra, creada por EE. UU. e Israel, que sirvi de base para otros
malware posteriores como Flame. Stuxnet adems fue precedido por DuQu (aunque ste se
descubri ms tarde), gusano que fue padre de Stuxnet, y que estaba concebido para labores de
espionaje (keylogger y robo de informacin de diseo de sistemas industriales), que fue encontrado
en los sistemas de fabricantes de control y automatizacin.
49
LECCIONES APRENDIDAS
Se ha de tener un programa de gestin de parches adecuado a la infraestructura y los sistemas de
control disponibles. Adems se ha de controlar mucho ms el uso de medios portables como
unidades USB. De hecho, esto ha demostrado que las soluciones basadas en Air Gap (la no
conexin fsica entre sistemas) no son efectivas. Es fundamental controlar qu datos y con qu
medios se van a pasar de un sistema a otro, ya sea fsicamente o digitalmente. Finalmente,
podemos inferir, que el uso de sistemas antivirus tradicionales en estos entornos tampoco es
efectivo. Para hacer frente a armas de ciberguerra como estas hay que hacer uso de sistemas de
sandboxing, y de mltiples medidas de seguridad, bien orquestadas, dentro de una estrategia de
defensa en profundidad global.
http://arstechnica.com/security/2012/06/zero-day-exploit-links-stuxnet-flame/
http://www.symantec.com/connect/w32_duqu_precursor_next_stuxnet
50
Compromiso mediante inyeccin SQL de los servidores web de acceso pblico, para
posteriormente instalar malware y RATs (herramientas de acceso remoto).
Estos servidores infectados se utilizaban de trampoln para lanzar ataques contra objetivos
internos.
Ataques de phishing dirigido (spear-phishing) contra dispositivos mviles o trabajadores
conectados mediante VPN les garantizaban tambin nuevos grados de acceso interno.
Los atacantes adems utilizaron herramientas de robo contraseas para ganar acceso a
otros sistemas, instalando en todos ellos RATs y malware.
Los sistemas utilizados por los ejecutivos eran el objetivo ltimo, centrndose en el robo de
correos y ficheros
LECCIONES APRENDIDAS
Este ataque sirve para concienciar a las empresas de la necesidad de gestionar los riesgos
provenientes del uso de herramientas sociales, como Facebook, Twitter..., y de foros, dentro de la
empresa, mediante sesiones de concienciacin y una adecuada formacin de los empleados.
Adems, tambin incide en la necesidad de una adecuada estrategia de defensa en profundidad
que incluya el uso de potentes soluciones antimalware de ltima generacin, as como de un
adecuado programa de gestin de parches, entre otros.
51
DESCRIPCIN
Una serie de atacantes consiguieron acceso a la red de la empresa de tratamiento de aguas de
Illinois, llegando a la red de control y hacindose con el control de los sistemas SCADA. Tomaron
el control de una bomba y comenzaron a cambiar el estado (de encendido a apagado)
reiteradamente, hasta que la bomba se rompi debido al uso indebido.
LECCIONES APRENDIDAS
Es necesaria una clara segmentacin de las redes para que no pueda darse este tipo de
situaciones. La red de control es una red de alto nivel de criticidad y, por tanto, tenemos que poner
medidas para evitar la intrusin desde otras redes. Adems de esto, se tiene que realizar un control
en el acceso remoto a estos dispositivos ya que, si no hay medidas de autenticacin y de control,
cualquier atacante podra utilizar estos canales para hacerse con el control de estos dispositivos sin
necesidad de moverse de su casa.
52
A. NDICES Y REFERENCIAS
REFERENCIAS TCNICAS
ICS-CERT Overview of Cyber Vulnerabilities
http://ics-cert.us-cert.gov/content/overview-cyber-vulnerabilities
ICS-CERT. Year in Review 2013. 2013
https://ics-cert.us-cert.gov/sites/default/files/documents/Year_In_Review_FY2013_Final.pdf
Verizon. 2013 Data Breach Investigations Report. 2013.
http://verizonenterprise.com/DBIR/2013/
Annex V of the report "Protecting Industrial Control Systems. Recommendations for Europe and
Member States" presents the key findings of the ENISA ICS Security study.
http://www.enisa.europa.eu/activities/Resilience-and-CIIP/critical-infrastructure-and-services/scadaindustrial-control-systems/industrial-control-systems
NIST SP 800-82-Rev 1: Guide to Industrial Control Systems (ICS) Security. 2013.
http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-82r1.pdf
ENISA. Protecting Industrial Control Systems. Annex I: Desktop Research Results. 2011.
http://www.enisa.europa.eu/activities/Resilience-and-CIIP/critical-infrastructure-and-services/scadaindustrial-control-systems/annex-i
Abrams, M., & Weiss, J. (2008, July 23). Malicious Control System Cyber Security Attack Case Study
Maroochy Water Services, Australia. Retrieved from NIST:
http://csrc.nist.gov/groups/SMA/fisma/ics/documents/Maroochy-Water-Services-Case-Study_report.pdf
- See more at: http://harbor2harbour.com/?p=144#sthash.zyPYfKOP.dpuf
Bloomberg Businessweek. (2012). Cyber Crime and Information Warfare: A 30-Year History. Retrieved
from Bloomberg Businessweek:
http://images.businessweek.com/ss/10/10/1014_cyber_attacks/8.htm http://harbor2harbour.com/?p=144#sthash.zyPYfKOP.dpuf
Slay, J., & Miller, M. (2008). Lessons Learned from the Maroochy Water Breach. Retrieved from
International Federation for Information Processing:
http://www.ifip.org/wcc2008/site/IFIPSampleChapter.pdf -:
http://harbor2harbour.com/?p=144#sthash.zyPYfKOP.dpuf
NRC (September 2009). "Fact Sheet on Improvements Resulting From DavisBesse Incident". NRC
Fact Sheet
http://www.nrc.gov/reading-rm/doc-collections/fact-sheets/fs-davis-besse-improv.html
Polish teen derails tram after hacking train network
http://www.theregister.co.uk/2008/01/11/tram_hack/
53
Cyber Incident Blamed for Nuclear Power Plant Shutdown By Brian Krebs
http://www.washingtonpost.com/wp-dyn/content/article/2008/06/05/AR2008060501958.html
Can we learn from SCADA security incidents? ENISA report
http://www.enisa.europa.eu/activities/Resilience-and-CIIP/critical-infrastructure-and-services/scadaindustrial-control-systems/can-we-learn-from-scada-security-incidents
Hackers Crack Into Texas Road Sign, Warn of Zombies Ahead
http://www.foxnews.com/story/2009/01/29/hackers-crack-into-texas-road-sign-warn-zombies-ahead/
Stuxnet
http://es.wikipedia.org/wiki/Stuxnet
Hackers Attacked Water Treatment Systems In Illinois by Maverick on November 21, 2011
http://www.tech2date.com/hackers-attacked-water-treatment-systems-in-illinois.html
Cyber security study. Control Engineering
http://www.controleng.com/single-article/control-engineering-2014-cyber-securitystudy/992cf83959f0b11837250236e375da48.html
Verizon 2013 Data Breach Investigations Report
http://www.verizonenterprise.com/resources/reports/rp_data-breach-investigations-report2013_en_xg.pdf
NDICE DE FIGURAS
Figura 1. Origen de las amenazas. Fuente: Security Incidents Organization. .................................. 4
Figura 2. Tipos de amenazas no intencionadas ................................................................................ 5
Figura 3. Orgenes de las amenazas intencionadas ......................................................................... 6
Figura 4. Niveles de amenazas y amenazas ms frecuentes. Fuente: Cyber Security Study. 2014.
Control Engineering .......................................................................................................................... 8
Figura 5. Grfica de incidentes por ao (2001-2013) Fuente: ScadaHacker y Open-Source
Vulnerability Database. 2014 .......................................................................................................... 13
Figura 6. Tipos de amenazas descubiertas Fuente: ScadaHacker y Open-Source Vulnerability
Database. 2014. ............................................................................................................................. 14
Figura 7. Frecuencia de anlisis de vulnerabilidades. Fuente: Cyber Security Study. 2014. Control
Engineering. ................................................................................................................................... 22
Figura 8. Factores que impiden la colaboracin entre los departamentos de TI y de control........... 25
Figura 9. Factores de riesgo, referentes a la formacin .................................................................. 26
Figura 10. Factores de riesgo referentes a los fabricantes.............................................................. 27
Figura 11. Comunicaciones ............................................................................................................ 28
Figura 12. Factores de riesgo relacionados con la larga vida del equipamiento .............................. 29
Figura 13. Equipamiento de larga vida en funcionamiento .............................................................. 29
54
Figura 14. Factores de riesgo relacionados con los sistemas operativos ........................................ 30
Figura 15. Equipamiento industrial. Fuente: http://commons.wikimedia.org .................................... 31
Figura 16: Objetivo de los incidentes. Fuente: Verizon 2013 Data Breach Investigations Report ... 32
Figura 17: Clasificacin de incidentes del ao 2013. Fuente: ICS-CERT year in review 2013. ...... 33
Figura 18: Porcentaje de incidentes por sector. Fuente: ICS-CERT year in review 2013 ............... 34
Figura 19: Armario de sensores y controladores ubicado en campo ............................................... 35
Figura 20: Acceso telefnico a RTU. Fuente: ICS-CERT Overview of Cyber Vulnerabilities .......... 37
Figura 21: Soporte por parte de fabricantes. Fuente: ICS-CERT Overview of Cyber Vulnerabilities
....................................................................................................................................................... 38
Figura 22: Logotipo de redes inalmbricas ..................................................................................... 40
Figura 23: Mapa de las plantas de generacin de la compaa Southern Company ....................... 45
Figura 24: Mapa de pases afectados por Stuxnet .......................................................................... 48
NDICE DE TABLAS
Tabla 1. Incidencias por tipo y por ao ScadaHacker y Open-Source Vulnerability Database. 2014.
....................................................................................................................................................... 14
Tabla 2. Vendedores y nmero de vulnerabilidades encontradas en 2013 Fuente: Vulnerability
Threat Trends: A decade in review, transition on the way. 2013. .................................................... 15
Tabla 3. Comparativa de incidentes por sector (2011-2013). Fuente: ICS-CERT year in review
2013. .............................................................................................................................................. 34
55