Llegamos a ustedes gracias a:



Reportajes y análisis

Cuatro lecciones del ciber ataque en Illinois

[06/12/2011] Los recientes ataques cibernéticos a una empresa pública de agua en Springfield, Illinois, ha desatado una considerable preocupación por la vulnerabilidad del equipo crítico de las infraestructuras de EE.UU.
El ataque destruyó una bomba de las instalaciones, cuando alguien que utilizaba un equipo con una dirección IP originada en Rusia tuvo acceso a la Supervisión, Control y Adquisición de Datos (SCADA) del control de la bomba.
Los expertos en el campo de los sistemas de control industrial señalan que, mientras que el ataque fue relativamente insignificante y no significó una sorpresa dada la vulnerabilidad que existe, puede ser un presagio de lo que vendrá.
Aquí hay cuatro lecciones del incidente, que todavía está bajo investigación:
El intercambio de información es crítico
Aunque el informe inicial del centro de inteligencia y terrorismo del estado de Illinois calificó el incidente como una intrusión en el servicio público de agua del distrito, el departamento de seguridad nacional (DHS, por sus siglas en ingles), y otros organismos que comparten información sobre incidentes de este tipo, han estado relativamente tranquilos con lo que pasó. Eso llevó a la especulación sobre la naturaleza del ataque, lo serio que era, y los motivos que lo habrían originado. Algunos se preguntan incluso si la bomba podría haber fallado en la forma que indica el informe del incidente.
Se supone que la bomba de agua de la empresa pública de Springfield se quemó después que los atacantes utilizaron su acceso al sistema SCADA para apagar y encender la bomba de manera constante. Por lo general, eso no debió haber ocurrido, indica LW Brittian, un consultor de sistemas SCADA y experto en capacitaciones. "El rápido movimiento de un gran motor de la bomba no debe, por sí mismo, haber sido suficiente para quemar su motor", agrega Brittian. Si bien encender y apagar el motor constantemente lo puede calentar, los mecanismos de control de presión y temperatura que tiene incorporados debieron haberse disparado, buscando mantenerlo de una forma segura en línea.
"El sistema SCADA puede haber sido accesible a través de Internet, por lo que alguien pudo haber entrado y hacer que la bomba funcione y también solicitar que se apague", indica Brittian. "Pudieron haberle indicado que se encienda y se apague cada tres segundos hasta que algo suceda", añade. Pero no habrían podido acceder, a través de Internet, al relé de sobrecarga que se proporciona para proteger el motor de sobrecargas.
Incluso si los hackers tuvieron acceso a los controles de operación, es dudoso que pudieran tener también acceso a los controles de seguridad, añade. "Necesitamos más detalles de lo que ocurrió".
Los sistemas SCADA son fáciles de hackear
La gran mayoría de los sistemas utilizados para el control de los equipos críticos en lugares como centrales eléctricas, plantas de energía nuclear e instalaciones de tratamiento de agua son inseguros. En muchos casos, cualquier persona con acceso lógico a un sistema de control industrial o a un controlador lógico programable, puede cargar el firmware en él sin necesidad de autenticación. Las contraseñas a menudo son codificados en los sistemas. Y muchos sistemas tienen puertas traseras administrativas y contienen errores muy básicos de buffer overflow.
Estas vulnerabilidades fueron aceptables durante mucho tiempo ya que los sistemas SCADA no estaban realmente conectados con el mundo exterior; Un atacante solía necesitar acceso físico a un sistema SCADA para comprometerlo.
Eso ha cambiado en los últimos años. Un número creciente de sistemas SCADA están conectados a la Internet, haciéndolos mucho más vulnerables a los ataques de fuentes externas. La semana pasada, un hacker llamado pr0f afirmó que irrumpió en un sistema SCADA en una empresa de agua del sur de Houston mediante la superación de una contraseña de tres caracteres que se utiliza para proteger el sistema.
"Lo más importante sobre la seguridad del sistema de control que la mayoría de las personas no entienden es que no hay ninguno", señala Ralph Langner, un alemán experto en sistemas de control industrial que destacó por su investigación sobre el gusano Stuxnet el año pasado. Stuxnet ha sido acusado de perturbar los esfuerzos de enriquecer el uranio de Irán, causando problemas de SCADA. Más recientemente, Irán señaló que había sido afectado por el troyano Duqu, que también apunta a los sistemas SCADA.
Duqu es visto como un precursor del próximo Stuxnet.
Más personas intentarán entrar en los sistemas SCADA
Esté preparado para ver más ataques de este tipo. Después de Stuxnet, la comunidad SCADA ha estado viviendo en una suerte de pecera, señala Eric Byres, CTO y fundador de Byres Security, un proveedor de productos industriales para el control de la seguridad del sistema y servicios de consultoría. Las personas que no saben cómo se escribe SCADA están encontrando todo tipo de vulnerabilidades en productos de SCADA. En lo que va de este año, ha habido más de 200 vulnerabilidades descubiertas en productos ICS de diferentes proveedores, en comparación con poco más de diez que fueron descubiertos en todo el 2010.
La comunidad SCADA "ya no está viviendo en una pequeña burbuja", señala Byres. "La seguridad por oscuridad ya no funciona".
Es difícil reparar los sistemas SCADA
Después de Stuxnet, ha habido un mayor esfuerzo para encontrar y corregir vulnerabilidades de los sistemas SCADA. Pero la mayoría de la atención ha estado en tratar las cuestiones en la interfase de front end -mayormente de los sistemas Human Machine Interfase (HMI) basados en Windows, que se utilizan para interactuar con los sistemas SCADA. Pero los vendedores están prestando mucha menos atención a las vulnerabilidades en los sistemas de control embebido en sí mismos. El Security Compliance Institute ISA lanzó un programa el año pasado para probar y certificar productos para la industria del sistema de control de vulnerabilidades. Hasta ahora solo dos empresas han certificado sus productos bajo este programa.
Las empresas de servicios públicos a menudo carecen de los recursos necesarios para reforzar la seguridad de sus sistemas de control. Esto es especialmente cierto en el caso de las pequeñas empresas de servicios públicos, como la que fue atacada. "Las pequeñas empresas de servicios públicos tienen más dificultades para asegurar su SCADA y DCS (sistema distribuido de control) porque no tienen el personal de TI u otros recursos para destinarlos a ello", señala Dale Peterson, CEO de Bond Digital, una consultora que se especializa en la seguridad del sistema de control.
"Hemos visto servicios públicos municipales que tienen dos personas de personal de TI responsables de mantener todo funcionando", desde el escritorio a los correos electrónicos, y desde SCADA hasta los sistemas de control distribuidos, finaliza.
Jaikumar Vijayan, Computerworld (EE.UU.)