Mi amor por la informática y la simpatía que tengo por IoT (Internet of Things) sumada a experiencias laborales en ambientes industriales fue encaminando mi interés por investigar [IN] Seguridad informática en entornos asociados al mundo de industrias.
Hace ya un largo tiempo que descubrí que Internet es un "Barrio peligroso", poblado de una fauna de "Ciber Criminales", que van en busca de tu dinero; "Ciber Espías" que quieren tus datos; "Ciber Terroristas" que si quieren saben cómo matarte; y simples delincuentes informáticos entre una larga lista de actores que degradan la Internet con sus muchas, variadas y non santas motivaciones.
Una pequeña representación de estos comportamientos se puede obtener en sitios como: https://www.digitalattackmap.com (Histórico DDos ), https://map.norsecorp.com (ataques en vivo), https://www.zone-h.org (Histórico de "defacement"), etc.
Hoy existe una (kamikaze e ingenua) tendencia a conectar todo a Internet. Y las corporaciones le no son ajenas, por la facilidad económica y técnica que hoy ello implica y además de las ventajas comerciales que ofrece. Pero lo hacen subestimando o simplemente sin detenerse a pensar en las potenciales amenazas existentes en Internet como las que antes mencioné.
Yo digo y repito sin duda alguna que: "Todo aquello que se conecte a Internet va a ser atacado", al margen del éxito que pueda resultar del ataque en cuestión. Hace ya más de un año que me dedico a identificar esos dispositivos conectados a Internet y estudiar sus comportamiento. En esa tarea, trabajo a la par con un colega de Costa Rica, José Bertin.
En nuestra lista de hallazgos existen cámaras, routers, modems, casas completas (domótica), tanques de combustibles, equipos sismógrafos, tomógrafos, heladeras, televisores, PLCs, sensores de todo tipo. Uno de nuestros recientes hallazgos se vincula a unos sistemas fuertemente ligados a las industrias de primera línea, llamados "SCADAS". Resumiendo mucho, te cuento que los sistemas SCADAS reciben la información de los distintos sensores conectados, por ejemplo, a la línea de montaje o producción.
Toda esa información es procesada y presentada en una pantalla de forma muy amigable para el operador. Tanto es así, que en muchos casos estos SCADAS cuentan una representación gráfica en tiempo real del estado de línea de producción.
Estos sistemas, además de recibir datos, cuentan con la posibilidad de enviar instrucciones a la línea para cambiar algún comportamiento: desde apagar o encender un interruptor, a cambiar temperaturas de un horno, o las velocidades de un motor, y un largo etc.
A lo largo y ancho del mundo, muchos responsables técnicos de estos sistemas han decido exponer sus SCADAS a Internet. De esta manera, no tiene que estar en la planta de industrial para poder controlar la línea de producción. Basta un click desde cualquier rincón del mundo donde se encuentre, si cuenta con una notebook, netbook, tablet y hasta su celular.
Estos sistemas expuestos a Internet, una vez conocida su dirección IP o nombre de dominio, sólo resta tener un navegador estándar como el Google Chrome para accederlos. Enseguida, la aplicación nos preguntara por nuestra contraseña, como único mecanismo de seguridad. Si tenemos esas credenciales naturalmente estaremos adentro.
Con José le pusimos ojo a estos sistemas, y navegando llegamos a encontrar más de 1000 dispositivos desde distintos países del mundo conectados a Internet. Después de estudiar su comportamiento de una forma muy sencilla, conseguimos eludir su la seguridad de todos los equipos.
Una vez logueados, tuvimos acceso a maquinaria industrial de distintas partes del mundo. A "golpe de click" podíamos controlar y en caso de tener malas intenciones dañar. Nos encontramos en la inmediata obligación de reportar estos fallos a la empresa responsable de esos sistemas (curiosamente ellos en su web se muestran como la alternativa segura frente a la competencia). Sorprendentemente en menos de 24 horas, teníamos respuesta de la empresa proveedora de estos sistemas, en donde nos reconocían y agradecían el hallazgo y, lo más importante, comenzaron una campaña para enviar el parche de seguridad que resolvía el fallo.
Si te interesa el tema, podés encontrar el pdf del reporte oficial de la empresa en: https://hms-networks.com/docs/librariesprovider6/cybersecurity/hms-security-advisory-2017-05-24-001-ws100-ws200-ec150-ec250.pdf
Campana es una ciudad altamente industrial, ¿cuántos de estos sistemas tendremos operando? Si el lector de estas líneas tiene alguna relación con ambientes técnicos/industriales probablemente ya se sienta identificado con el tema. Espero que esta columna haya colaborado en que tomen recaudos ante la posibilidad de plantearse la posibilidad de implementar similares exposiciones de sus sistemas productivos.
Ezequiel Fernández / Twitter: @capitan_alfa / www.alfasecurity.com.ar
Ezequiel Fernández / @capitan_alfa
