Amenaza informática para sistemas industriales ahora más grave

Un investigador de seguridad ha publicado un código que podría usarse para tomar el control de las computadoras usadas para administrar maquinaria industrial, potencialmente dando a los piratas informáticos una puerta de atrás en compañías de servicios, plantas de agua e incluso refinerías de petróleo y gas.

El software fue publicado la noche del viernes por Kevin Finisterre, un investigador que dijo que quiere crear conciencia sobre las vulnerabilidades en estos sistemas, problemas que, según él, a menudo son minimizados por los proveedores de software. "Estos proveedores no son responsables del software que están produciendo", dijo Finisterre, jefe de investigación de la firma de pruebas de seguridad Netragard. "Les dicen a sus clientes que no hay problema, mientras tanto este software está ejecutando una infraestructura crítica".

Finisterre lanzó su código de ataque como un módulo de software para Metasploit, una herramienta de piratería ampliamente utilizada. Al integrarlo con Metasploit, Finisterre ha hecho que su código sea mucho más fácil de usar, dijeron expertos en seguridad. "La integración del exploit con Metasploit brinda acceso a un amplio espectro de personas al ataque", dijo Seth Bromberger, gerente de seguridad de la información de PG & E. "Ahora todo lo que necesita es descargar Metasploit y puede lanzar el ataque".

[Más información: cómo eliminar el malware de su PC con Windows]

El código explota un defecto en el software CitectSCADA de Citect que fue descubierto originalmente por Core Tecnologías de seguridad y hecho público en junio. Citect lanzó un parche para el error cuando se reveló por primera vez, y el vendedor del software ha dicho que el problema solo representa un riesgo para las compañías que conectan sus sistemas directamente a Internet sin protección de firewall, algo que nunca se haría intencionalmente. Una víctima también debería habilitar una función de base de datos particular dentro del producto CitectSCADA para que el ataque funcione.

Estos tipos de productos industriales de control de procesos SCADA (control de supervisión y adquisición de datos) tradicionalmente han sido difíciles de obtener y analizar, por lo que difícil para los hackers sondearlos para detectar errores de seguridad, pero en los últimos años se han construido más y más sistemas SCADA además de sistemas operativos conocidos como Windows o Linux, lo que los hace más baratos y más fáciles de hackear.

Los expertos en seguridad de TI son acostumbrados a aplicar parches a los sistemas de forma rápida y frecuente, pero los sistemas informáticos industriales no son como las PC. Debido a que un tiempo de inactividad con una planta de agua o un sistema de energía puede provocar una catástrofe, los ingenieros pueden ser reacios a realizar cambios en el software o incluso desconectar las computadoras para aplicar parches.

Esta diferencia ha provocado desacuerdos entre los profesionales de TI como Finisterre, ver que se minimizan las vulnerabilidades de seguridad y los ingenieros de la industria se encargan de mantener estos sistemas en funcionamiento. "Estamos teniendo un choque cultural en este momento entre los ingenieros de control de procesos y la gente de TI", dijo Bob Radvanovsky, un investigador independiente que dirige una lista de discusión en línea de seguridad SCADA que ha visto algunas discusiones acaloradas sobre este tema. tema.

Citect dijo que no había oído hablar de ningún cliente que haya sido pirateado debido a este defecto. Pero la compañía planea lanzar próximamente una nueva versión de CitectSCADA con nuevas características de seguridad, en un comunicado, (pdf) publicado el martes.

Ese lanzamiento llegará pronto, ya que Finisterre cree que hay otros códigos similares. errores en el software CitectSCADA.

Y aunque los sistemas SCADA pueden estar separados de otras redes de computadoras dentro de las plantas, aún pueden ser violados. Por ejemplo, a principios de 2003, un contratista infectó la planta de energía nuclear Davis-Besse con el gusano SQL Slammer.

"Muchas de las personas que manejan estos sistemas sienten que no están sujetos a las mismas reglas que los tradicionales. TI ", dijo Finisterre. "Su industria no está muy familiarizada con la piratería y los hackers en general".