Prepárate para más ataques contra sistemas industriales en 2013

Un número creciente de investigadores de vulnerabilidad centrará su atención en los sistemas de control industrial (ICS) en el próximo año, pero también los cibercriminales, según creen los expertos en seguridad.

Sistemas de control se componen de software de supervisión que se ejecuta en estaciones de trabajo dedicadas o servidores y dispositivos de hardware programables similares a computadoras que están conectados y controlan procesos electromecánicos. Estos sistemas se usan para monitorear y controlar una variedad de operaciones en instalaciones industriales, instalaciones militares, redes eléctricas, sistemas de distribución de agua e incluso edificios públicos y privados. Algunos se usan en infraestructura crítica, los sistemas de los que dependen las grandes poblaciones para electricidad, agua potable, transporte, etc., por lo que su posible sabotaje podría tener consecuencias de gran alcance. Otros, sin embargo, son relevantes solo para los negocios de sus propietarios y su mal funcionamiento no tendría un impacto generalizado.

[Lectura adicional: cómo eliminar el malware de su PC con Windows]

El malware expone fallas

La seguridad de SCADA (control de supervisión y adquisición de datos) y otros tipos de sistemas de control industrial ha sido un tema de mucho debate en la industria de seguridad de TI desde que se descubrió el malware Stuxnet en 2010.

Stuxnet fue el primer malware conocido para apuntar e infectar específicamente SCADA sistemas y fue utilizado con éxito para dañar las centrífugas de enriquecimiento de uranio en la planta nuclear de Irán en Natanz.

Stuxnet era un sofisticado armamento cibernético que se creía desarrollado por Estados Unidos e Israel con acceso a desarrolladores expertos, fondos ilimitados e información detallada sobre los puntos débiles del sistema de control.

Atacar los sistemas críticos de control de la infraestructura requiere una planificación seria, recopilación de inteligencia y el uso de un método de acceso alternativo. ds-Stuxnet fue diseñado para propagarse a través de dispositivos USB debido a que los sistemas de computadoras Natanz estaban aislados de Internet, explotaban vulnerabilidades desconocidas previamente y se dirigían a configuraciones SCADA específicas que solo se encuentran en el sitio. Sin embargo, los sistemas de control que no forman parte de la infraestructura crítica son cada vez más fáciles de atacar por atacantes menos calificados.

Esto se debe a que muchos de estos sistemas están conectados a Internet para la administración remota y porque la información sobre vulnerabilidades en ICS software, dispositivos y protocolos de comunicación es más accesible que en los días previos a Stuxnet. Los investigadores de seguridad han revelado públicamente detalles sobre docenas de vulnerabilidades de SCADA e ICS durante los últimos dos años, a menudo acompañadas de un código de prueba de prueba.

"Veremos un aumento en la explotación de los dispositivos del sistema de control de acceso a Internet ya que los exploits se automatizan ", dijo Dale Peterson, director ejecutivo de Digital Bond, una compañía que se especializa en investigación y evaluación de seguridad de ICS, por correo electrónico.

Sin embargo, la mayoría de los dispositivos de control de acceso a Internet no forman parte de la mayoría de la gente consideraría la infraestructura crítica, dijo. "Representan pequeños sistemas municipales, sistemas de automatización de edificios, etc. Son muy importantes para la compañía que los posee y los dirige, pero no afectarían a una gran población o economía en su mayor parte".

Atacantes que podrían estar potencialmente interesados al apuntar a tales sistemas se incluyen hackers políticamente motivados que intentan hacer declaraciones, grupos de hacktivistas interesados ​​en llamar la atención sobre su causa, delincuentes interesados ​​en chantajear empresas o incluso hackers que lo hacen de manera divertida o presumiendo.

Los hackers encuentran objetivos

Un documento filtrado recientemente por el FBI de fecha 23 de julio reveló que a principios de este año los hackers obtuvieron acceso no autorizado al sistema de calefacción, ventilación y aire acondicionado (HVAC) que opera en el edificio de oficinas de una compañía de aire acondicionado de Nueva Jersey explotando una vulnerabilidad de puerta trasera en el control caja conectada a ella - un sistema de control Niagara hecho por Tridium. La compañía objetivo instaló sistemas similares para bancos y otras empresas.

La violación ocurrió luego de que un pirata informático que utilizara el apodo "@ntisec" (antisec) compartiera en línea en enero la información sobre la vulnerabilidad en el sistema Niagara ICS. Operation AntiSec fue una serie de ataques de pirateo dirigidos contra agencias de aplicación de la ley e instituciones gubernamentales orquestadas por piratas informáticos asociados con LulzSec, Anonymous y otros grupos hacktivistas.

"Los días 21 y 23 de enero de 2012, un sujeto desconocido publicó comentarios en un sitio web conocido de EE. UU. titulado '#US #SCADA #IDIOTS' y '#US #SCADA #IDIOTS parte-II', "dijo el FBI en el documento filtrado.

" No se trata de si los ataques contra ICS son factibles o no, porque son ", dijo Rubén Santamarta, un investigador de seguridad de la firma de consultoría de seguridad IOActive, que encontró vulnerabilidades en los sistemas SCADA en el pasado, por correo electrónico. "Una vez que la motivación sea lo suficientemente fuerte, enfrentaremos grandes incidentes. La situación geopolítica y social no ayuda, así que no es ridículo suponer que 2013 será un año interesante".

Los ataques dirigidos no son la única preocupación; El malware SCADA también lo es. Vitaly Kamluk, jefe experto en malware del vendedor de antivirus Kaspersky Lab, cree que definitivamente habrá más malware dirigidos a los sistemas SCADA en el futuro.

"La demostración de Stuxnet de cómo los vulnerables ICS / SCADA se abren un área completamente nueva para el sombrero blanco y negro investigadores ", dijo por correo electrónico. "Este tema estará en la lista superior para 2013".

Sin embargo, algunos investigadores de seguridad creen que crear dicho malware aún supera las capacidades de los atacantes promedio.

"Crear malware que tenga éxito en atacar un ICS no es trivial y puede requerir mucha visión y planificación ", dijo Thomas Kristensen, jefe de seguridad de la firma de seguridad e información de vulnerabilidad Secunia, a través de un correo electrónico. "Esto también limita significativamente la cantidad de personas u organizaciones que pueden llevar a cabo tal ataque".

"No dudamos, sin embargo, de que veremos ataques contra ICS", destacó Kristensen.

"La mayoría de las aplicaciones y hardware desplegados SCADA y DCS [sistema de control distribuido] se desarrollaron sin un ciclo de vida de desarrollo de seguridad (SDL) -piensan Microsoft a fines de los 90- por lo que abundan errores de programación comunes que conducen a errores, vulnerabilidades y explota ", dijo Peterson. "Dicho esto, los PLC y otros dispositivos de campo son inseguros por diseño y no requieren una vulnerabilidad para tomar un proceso crítico o alterarlo de manera maliciosa a la Stuxnet".

La compañía de Peterson, Digital Bond, lanzó varios exploits para las vulnerabilidades encontradas en muchos PLC (controladores lógicos programables) -SCADA componentes de hardware-de múltiples proveedores como módulos para el popular marco de prueba de penetración Metasploit, una herramienta de código abierto que puede ser utilizada por prácticamente cualquier persona. Esto se hizo como parte de un proyecto de investigación llamado Project Basecamp, cuyo objetivo era mostrar cuán frágiles e inseguros son muchos PLC existentes.

"La única restricción para encontrar un gran número de vulnerabilidades SCADA y DCS es que los investigadores accedan al equipo ", Dijo Peterson. "Más están intentando y tienen éxito, por lo que habrá un aumento de vulnerabilidades que se divulgarán de la manera que el investigador considere apropiado".

Todavía necesita parches

Santamarta estuvo de acuerdo en que es fácil para los investigadores encontrar vulnerabilidades en el software SCADA hoy.

Incluso hay un mercado para la información de vulnerabilidad de SCADA. ReVuln, una empresa de seguridad para startups con sede en Malta, fundada por los investigadores de seguridad Luigi Auriemma y Donato Ferrante, vende información sobre vulnerabilidades de software a agencias gubernamentales y otros compradores privados sin informarlos a los proveedores afectados. Más del 40 por ciento de las vulnerabilidades en la cartera de ReVuln en este momento son SCADA.

Según Donato Ferrante, la tendencia parece estar creciendo tanto para los ataques como para las inversiones en el campo de seguridad SCADA. "De hecho, si pensamos que varias grandes compañías en el mercado SCADA están invirtiendo mucho dinero en reforzar estas infraestructuras, significa que el tema SCADA / ICS es y seguirá siendo un tema candente para los próximos años", dijo Ferrante por correo electrónico..

Sin embargo, proteger los sistemas SCADA no es tan sencillo como asegurar las infraestructuras de TI y los sistemas informáticos habituales. Incluso cuando los proveedores liberan parches de seguridad para los productos SCADA, los propietarios de sistemas vulnerables pueden tardar mucho tiempo en implementarlos.

Hay muy pocas soluciones automatizadas de implementación de parches para sistemas SCADA, dijo Luigi Auriemma por correo electrónico. La mayoría de las veces, los administradores de SCADA necesitan aplicar manualmente los parches adecuados, dijo.

"La situación es críticamente mala", dijo Kamluk. El objetivo principal de los sistemas SCADA es la operación continua, que normalmente no permite el parche o la actualización en caliente, la instalación de parches o actualizaciones sin reiniciar el sistema o el programa, dijo.

Además, los parches de seguridad SCADA necesitan debe ser probado minuciosamente antes de ser implementado en entornos de producción porque cualquier comportamiento inesperado podría tener un impacto significativo en las operaciones.

"Incluso en los casos en que existe un parche para una vulnerabilidad, encontraremos sistemas vulnerables durante mucho tiempo", dijo Santamarta.

A la mayoría de los expertos en seguridad SCADA les gustaría que los dispositivos de control industrial como PLC sean rediseñados teniendo en cuenta la seguridad.

"Lo que se necesita son PLC con medidas de seguridad básicas y un plan para implementarlos en la infraestructura más crítica en los próximos uno o tres años ", dijo Peterson.

" El escenario ideal es donde los dispositivos industriales están seguros por diseño, pero tenemos que ser realistas, eso llevará tiempo ", dijo Santamarta. "El sector industrial es un mundo aparte. No deberíamos mirarlo estrictamente a través de nuestra perspectiva de TI. Dicho esto, todo el mundo se da cuenta de que hay que hacer algo, incluidos los proveedores industriales".

Ante la falta de seguridad. dispositivos de diseño, los propietarios de ICS deberían adoptar un enfoque de defensa en profundidad para asegurar estos sistemas, dijo Santamarta. "Teniendo en cuenta que existen protocolos industriales que son inseguros por defecto, tiene sentido agregar mitigaciones y diferentes niveles de protección".

"Desconectar ICS de internet, ponerlo en un segmento de red aislado y limitar estrictamente / auditar acceso a él ", dijo Kamluk.

" Los propietarios de la infraestructura crítica deberían darse cuenta de que se necesitan redes separadas, o al menos credenciales separadas para acceder a la infraestructura crítica ", dijo Kristensen. "Ningún administrador sensato y consciente de la seguridad iniciaría sesión en ninguno de sus sistemas utilizando credenciales administrativas y dentro de esa misma sesión accederá a Internet hostil y leerá correos electrónicos. Esto también debería aplicarse a ICS, use un conjunto de credenciales para acceder a la sesión de ICS y quizás acceda a su sesión de conexión a Internet usando una configuración de escritorio virtual y / o remota. "

Reglamento debatido

La necesidad de una regulación gubernamental que obligue a los operadores de infraestructura crítica a asegurar sus sistemas de control industrial ha sido un tema muy debatido y muchos expertos en seguridad de SCADA están de acuerdo en que podría ser un buen punto de partida. Sin embargo, hasta ahora se ha progresado poco en este objetivo.

"La regulación gubernamental más ambiciosa, NERC CIP para el sector eléctrico de América del Norte, ha sido un fracaso", dijo Peterson. "A la mayoría le gustaría una regulación gubernamental exitosa pero no puede identificar lo que sería".

"Simplemente me gustaría que el gobierno sea honesto y declare en voz alta que estos sistemas son inseguros por diseño y organizaciones que ejecutan la infraestructura crítica SCADA y DCS debería tener un plan para actualizar o reemplazar estos sistemas en los próximos uno o tres años ", dijo.

La regulación gubernamental sería extremadamente útil, dijo Kamluk. Algunos vendedores de SCADA sacrifican la seguridad para el ahorro de costos de desarrollo sin considerar los riesgos de tales decisiones y su impacto potencial en las vidas humanas, dijo.

A principios de este año, Kaspersky Lab reveló planes para desarrollar un sistema operativo que proporcionaría una protección segura. entorno de diseño para operar SCADA y otros sistemas ICS. La idea detrás del sistema operativo es garantizar que no se pueda ejecutar ninguna funcionalidad no declarada, lo que evitaría que los atacantes ejecuten código malicioso mediante la explotación de vulnerabilidades sin parches.

Si bien esto parece un proyecto interesante, queda por ver cómo la comunidad SCADA y el sector industrial reaccionarán ante él, dijo Santamarta.

"No hay suficientes detalles sobre el nuevo sistema operativo para evaluar sus características", dijo Ferrante.. "Para hacer eso, tendremos que esperar a un lanzamiento oficial. De todos modos, el principal problema al adoptar un nuevo SO es que necesita poder ejecutar los sistemas SCADA existentes sin tener que reescribir su código".