Seguridad en redes de abastecimiento de agua

publicado en: Seguridad | 0

Como parte del curso La seguridad en redes industriales e infraestructuras críticas, organizado por la UNED de Las Islas Baleares, realicé un análisis elemental de las redes de abastecimiento de agua. Comparto a continuación dicho examen.

Introducción

Las redes de distribución o abastecimiento de agua cumplen el cometido de transportar el agua potable a la población. Abarcan desde el punto en el que se produce (estaciones de tratamiento -ETAP-, desaladoras, o directamente pozos o manantiales en poblaciones pequeñas) hasta los edificios o lugares de consumo. Están formadas por estaciones relativamente deslocalizadas (bombeos, depósitos, derivaciones, reductoras de presión, etc.), razón por la cual un sistema de comunicaciones fiable es imprescindible para su funcionamiento correcto. Estas estaciones suelen poseer una terminal remota (RTU) o controlador (PLC) que recoge información y puede actuar sobre algunos equipos, como válvulas o dosificadoras. Dicha información debe compartirse entre las estaciones para un funcionamiento coordinado, y con un centro de control, donde un SCADA permite la visualización de la red y la adopción de acciones en función de demanda, previsión, estado de equipos, etc.
Obviamente, este tipo de instalación es una infraestructura crítica. Soporta un servicio esencial para la sociedad. Un mal funcionamiento afecta a un gran número de personas, además de conllevar un fuerte impacto económico y público. Las consecuencias de un ataque malintencionado pueden ser severas: pérdida del suministro, daño de las instalaciones, e incluso envenenamiento masivo por un exceso de cloración. Por tanto, de acuerdo a la Ley 8/2011 requieren una especial protección, de la que se debe encargar el Sistema de Protección de las Infraestructuras Críticas.

Riesgos

Aunque el curso se centra en las comunicaciones TCP/IP, por la rápida adopción que están teniendo debido a su potencial y las posibilidades de integración, el principal problema de las redes de abastecimiento de agua potable en España es que el grado de implantación de estos estándares no es suficientemente elevado. Abundan las comunicaciones por radio sin protocolos cifrados, como Modbus. Eso significa que son extremadamente vulnerables, puesto que la información se transmite de forma abierta. Cualquier persona, con herramientas tan accesibles como un portátil y un radiomodem, puede conocer las transmisiones, dificultarlas o impedirlas emitiendo en la misma frecuencia y, peor, introducir tramas (ataque de tipo man in the middle).
Estas redes, aunque con retraso, se están reemplazando por otras más de mayor ancho de banda, usualmente TCP/IP: WiMax, GSM, 3G, etc. Sobre esta capa se puede cifrar la comunicación, lo que resolvería el problema antedicho. No obstante, al abordar la sustitución del controlador, no se suele optar por otro con esta capacidad. Lo usual es reemplazarlo por un equipo del mismo fabricante, por ser económicamente más rentable la migración, y con mucha frecuencia no se dispone de equipos con capacidad de encriptación, o su coste es elevado. Por tanto, en el mejor de los casos, lo usual es que esta tarea se descargue sobre el router, que se conecta a un servidor VPN en el centro de control.
A esta configuración aplican los riesgos propios de cualquier red de este tipo. Brevemente, un atacante puede aprovechar vulnerabilidades para obtener información, producir denegaciones de servicio, inyectar paquetes, modificar consignas, programación, destruir equipos, etc. Entre estas vulnerabilidades se puede mencionar:

  • Agujeros de seguridad de los equipos. Puede ser el firmware del controlador o de los router, que no se suele actualizar con frecuencia, u obsolescencia del software de los ordenadores existentes en el centro de control: sistemas operativos, drivers, SCADA, otras aplicaciones o herramientas que se usen…
  • Mala elección de cifrado de la red privada virtual, o de las contraseñas, que pueden permitir al atacante introducirse en ellas.
  • Mal diseño de la infraestructura. Parte de la información recogida por el SCADA debe usarse con propósitos de gestión, y no siempre existe un firewall bien configurado entre ambas redes. Cuando las comunicaciones con las estaciones remotas se hace vía 3G o similar, el centro de control accede a ellas gracias Internet. Si no se aísla adecuadamente el equipo donde corre el SCADA, éste quedará a merced de cualquier ataque que proceda de esta vía.
  • Por lo que toca a las estaciones, es muy difícil protegerlas de sabotaje debido a su deslocalización. El coste de una plantilla continua de vigilancia no es asumible, y si un atacante logra acceso físico al interior de una estación, es posible que encuentre, como se ha comentado, comunicaciones Ethernet desprotegidas. No sólo se compromete dicha estación, sino toda la red, al disponer de fácil acceso a cualquier punto.
  • Muchos PLC o RTU no disponen de mecanismos de protección, o no se hace uso correcto de ellos. No sólo me refiero a no admitir comunicaciones cifradas, sino que cualquier persona, sin mediar contraseña, tenga acceso de lectura y escritura de todos sus datos y código.
  • A las vulnerabilidades puramente tecnológicas hay que sumarles las derivadas de una mala concienciación o desconocimiento del personal. Un atacante podría hacerse pasar por una empresa de servicios para acceder a las instalaciones, o utilizar ingeniería social para obtener claves, acceso a la red, etc. Hay precedentes muy conocidos de uso de memorias USB como vectores de transmisión de software malicioso. Tampoco se puede descartar un ataque desde dentro, por malestar del propio personal.

Por poner un ejemplo de ciberamenaza, Verizon describe en el Data Breach Digest de marzo el ataque a la red de distribución de la Kemuri Water Company (Australia). El atacante accedió al SCADA a través de la aplicación de pago online de la compañía, y alteró las configuraciones de la instalación. Por tanto, aprovechó vulnerabilidades del servidor web, de la arquitectura (ya que pudo alcanzar la aplicación de control) y por último de la mala protección de ésta.

Soluciones

Los riesgos descritos son comunes a muchas instalaciones existentes actualmente. Debido a su criticidad, es urgente acometer las reformas necesarias para corregir sus vulnerabilidades. Incluirían los siguientes pasos.

  • Renovación de las instalaciones obsoletas. Con carácter perentorio, acometer todas aquellas que utilizan comunicaciones por radio abiertas. Idealmente, se debería usar comunicaciones cifradas punto a punto. Ello implica que los controladores deben posibilitarlo. En su defecto, adoptar medidas para que el acceso no permitido a una estación no posibilite poner en compromiso la infraestructura completa; se puede por ejemplo utilizar cortafuegos de tercera generación, con filtrado a nivel de aplicación.
  • Protección adecuada de los equipos. Se debe asegurar configuraciones y contraseñas seguras en controladores, enrutadores, ordenadores, etc.
  • Actualización continua de software (incluido firmware) a últimas versiones libres de vulnerabilidades. Los ordenadores deben contar con antivirus actualizado.
  • Los equipos de control no deben poseer más aplicaciones que las imprescindibles, para minimizar los posibles riesgos.
  • Los usuarios deben estar correctamente definidos en cuanto a número y privilegios, y su acceso debe ser validado por contraseña o método similar. Debe hacerse registro de todas las acciones que se llevan a cabo.
  • Se deben bloquear los posibles focos de infección: puertos USB, medios con autoarranque, acceso a Internet o correo electrónico en el equipo de control, etc.
  • Si la red de control no está aislada de otras, deben limitarte adecuadamente mediante firewalls las comunicaciones que tengan lugar, no permitiendo intercambiar más información que la imprescindible y en la forma en que se haya definido.
  • Para prevenir ataques mediante ingeniería social, es necesaria formación y concienciación del personal en temas de seguridad. Esta formación debe renovarse contemplando la evolución de las tecnologías.
  • Todas estas medidas deben de estar enmarcadas en una política que vele por la seguridad de las infraestructuras. Se deben hacer auditorías periódicas, análisis de intentos de acceso no permitidos, revisión del estado de los equipos, etc.

Este tipo de medidas requieren la implicación de la Administración a todos los niveles (desde estatal a ayuntamientos, con un fuerte papel de consorcios locales o diputaciones), empresas de gestión de agua y otros agentes que contempla el Sistema de Protección de las Infraestructuras Críticas, que deberían actuar de forma coordinada para asegurar las instalaciones.

RISI

publicado en: Seguridad | 0

Hace unos años se creó el Repository of Industrial Security Incidents (RISI) con objeto de recoger los fallos de seguridad, muchas veces ataques, que se van detectando en en ámbito industrial o que afectan a infraestructuras críticas, tal y como la distribución de energía, agua, sistema financiero, etc. Se trata de una base de datos de acceso público cuya información se obtiene por diversas vías. La principal es de forma directa por parte de los agentes afectados. Entre ellos se encuentran profesionales de la automatización, ingenieros o vendedores que directamente reportan las incidencias de las que tienen constancia. Pero también bebe de otras fuentes, como bases de datos legales, grupos de noticias o intercambio de información con organizaciones similares.
La base del datos del RISI está lejos de ser completa, de hecho es bastante escasa, y se actualiza con lentitud. Las razones son varias. En primer lugar, este tipo de incidentes con mucha frecuencia no salen a la luz, por políticas de las empresas u organismos que los sufren. Esta ocultación no es beneficiosa para la adopción de respuestas comunes, y para minimizar este escollo RISI oculta información sobre las entidades afectadas a petición de éstas, centrando la descripción en los mecanismos del ataque y las vulnerabilidades que lo facilitaron. En segundo lugar, se investiga cada uno de los sucesos, y sólo se encuentran en primera página aquéllos que están confirmados. Por último, las indagaciones de este tipo de sucesos son a veces difíciles y, en contra de lo que sucede con los ataques, demasiado lentas.

RISI
RISI

Por irnos a un ejemplo, podemos buscar el clásico ataque de Stuxnet, que se produjo en 2010 contra los centros iranís de enriquecimiento de uranio. Como podemos leer, el incidente está confirmado, si bien todavía se encuentra bajo investigación. Se comenta brevemente la historia del caso: fue descubierto por una empresa de seguridad bielorrusa y detuvo instalaciones en Natanz durante una semana. El malware se propaga como gusano aprovechando una vulnerabilidad de Windows, busca en la máquina infectada una instalación de WinCC y usa la contraseña por defecto de Microsoft SQL, tras lo que accede al sistema de control. RISI no entra a debatir el que fuera un ataque dirigido, pero podemos encontrar un daño colateral que se produjo el mismo año en molinos de harina iranís.
Respecto a España, sólo se registra un caso confirmado. Insisto en que, aunque el número de incidentes es elevado, no es habitual que los afectados compartan esta información. Se refiere al accidente del vuelo 5022 de Spanair el 20 de agosto de 2008, en que murieron 154 personas en Barajas a consecuencia de la infección de un troyano, que impidió que el sistema de control alertase de las alarmas.

Novedades 20160118

Los fabricantes de controladores cada vez se toman más en serio la conectividad de sus equipos, y no me refiero a nivel de campo. Las instalaciones de control aisladas renuncian al enorme potencial de la integración con el resto de la organización. Si hace poco hablaba de la librería TCP File Server de Siemens, Omron ha dado un paso más allá. Los NJ501 y NJ101 comunican directamente con bases de datos, sin intermediarios. Ellos lo enfocan a control numérico, se puede pensar en el IoT… pero la clave está en la gestión unificada de la producción.
La Agencia Europea de Seguridad de las Redes y de la Información (ENISA) ha publicado un estudio sobre el grado de madurez de la seguridad en los sistemas SCADA e ICS, orientado a las actividades de los estados miembros, sus legislaciones y estrategias. España destaca en la formación, debido a los cursos del INCIBE y la Universidad de León. El estudio también propone una serie de recomendaciones: alinear esfuerzos, buenas prácticas, estandarización, alertas, sensibilización, formación e investigación.
Omron dispone de una plataforma de formación online gratuita en la que se pueden encontrar cursos de diversas materias: sistemas de automatización, control, motores, fuentes, relés, interruptores, componentes de seguridad, sensores, visión, ahorro energético… Los textos son muy claros, en español, y no requieren un nivel elevado, de modo que constituyen un material muy interesante para quien quiera iniciarse por su cuenta.
Keith Blodorn, de ProSoft Technology, ha descrito recientemente en un artículo las características fundamentales de la Industria 4.0. Se centra en remarcar la evolución frente a la integración de sistemas tradicional, que en realidad es bastante gradual: lo que supone en cuanto a supervisión remota, movilidad e interoperatividad. Y precisamente debido a que es una evolución, más que revolución, la adaptación es sencilla, teniendo presente aspectos como escalabilidad, migración de red y ciberseguridad.
Telefónica ha publicado su libro blanco sobre las smart cities, una buena visión del estado del arte. A mi modo de ver, lo más interesante está en la cuarta parte. Tras esbozar una hoja de ruta, se ahonda en las relaciones que se deben establecer entre actores (ciudadanos, universidad, empresas, administración), el marco legal, la financiación y los modelos. De manera demasiado breve también se presenta algún caso práctico, como el de Rivas Vaciamadrid. Por último, el libro propone un decálogo para las las futuras ciudades inteligentes.

Novedades 20151223

publicado en: BACnet, KNX, LonWorks, PID, Schneider, Seguridad | 0

Poco a poco se va difuminando la frontera entre autómatas y controladores domóticos. Esta primavera Schneider presentaba los Modicon M171/172, capaces de hablar BACnet y LonWorks. Hace unos días Siemens presentó el módulo CMK2000, permite a los Logo! 8 comunicarse en KNX (las versiones anteriores usan el CM EIB/KNX).
En 2009 se definió el estándar ANSI/ISA-18.2 para la gestión de alarmas en los sistemas de control. Con miras en la seguridad, que depende de una respuesta urgente ante situaciones de riesgo, y por tanto de la eficacia del sistema de alarmas, se define un ciclo de vida para éste. Comprende su optimización (filosofía o definición del proceso, identificación de alarmas, racionalización o clasificación, diseño en detalle e implementación), soporte (operación y mantenimiento), evaluación y mejora continua (gestión de cambios y auditoría).
He sabido por el blog de Martín Castillo de la aplicación LDmicro, que permite programar PIC en ladder. No he tenido ocasión de probarla, pero parece sencilla, viene acompañada de simulador y, aunque el conjunto de operaciones es bastante limitado, permite algunas funciones de cierto nivel, como manejo de tablas o comunicación vía puerto serie.
Schneider ha publicado guía sobre los protocolos abiertos más usados en inmótica, que incluye tanto exclusivos de este campo (Bacnet, LonWorks, KNX, Dali…) como más generales (Modbus, OPC, Web Services…). Están clasificados en alámbricos e inalámbricos, y aunque su descripción es muy breve, da algunas pistas sobre su idoneidad en función de la aplicación.
Hace una década me cansé de copiar y pegar código, y desarrollé una aplicación que genera el programa (la parte sistemática) a partir de un listado de equipos. Muchos fabricantes han seguido ese camino, por desgracia creando herramientas cerradas a sus productos. Nos lo cuenta Daniel B. Cardinal, que además describe las metodologías de diseño más comunes para el diseño automático de código. De ahí pasa a describir estrategias para aplicar a toda la pirámide de control, a la que idealmente se debería extender esta forma de desarrollo.
Como Vance VanDoren comenta, los lazos PID no son una solución universal y perfecta. Hace poco ha publicado la tercera parte de un artículo que comenzó a escribir ¡en 2012! acerca de sus problemas, y cómo soslayarlos (1, 2 y 3). Acumulación de la acción integral en caso de saturación o no actuación, respuesta abrupta en el arranque, regulación “del ruido”, sobreactuación cuando el proceso conlleva retraso… Yo añadiría que el ajuste se realiza para unas determinadas condiciones de proceso, que con frecuencia no se mantienen invariables; en este caso, una solución es establecer tramos con diferente parametrización.
En las últimas semanas se han publicado varias vulnerabilidades que afectan a equipos extendidos en el ámbito de la automatización. Comento las más importantes:
– Desbordamiento de buffer en productos M340 de Schneider que permite ejecutar código arbitrario o detener el PLC.
– Inyección de código con elevación de privilegios en SCADA PowerStudio (Circutor).
– Múltiples vulnerabilidades en routers eWON (inyección de código que permitiría actualiar firmware, cambiar de configuración, envío de contraseñas inseguro, etc.)
– Evasión de autenticación en dispositivos Siemens (CP343-1, CP443-1…)
– Varias vulnerabilidades en MicroLogix (Allen-Bradley): desbordamiento de buffer que permite ejecución de código, subida de archivos, inyección SQL…
Por último, una postal y una canción para felicitaros las fiestas.

Novedades 20151122

publicado en: HART, Profibus, Seguridad | 0

Llegar por comunicaciones hasta los sensores era prohibitivo hace unas décadas por los costes de la electrónica. Hoy, la situación se invierte. A pesar de que es difícil tumbar el estándar 4-20mA, no tiene mucho sentido que un instrumento digital (la mayoría de los transmisores actuales) genere una señal analógica para volver a muestrearla y codificarla en el PLC. Carl Henning se extiende en más cuestiones al comparar el lazo de corriente con Profibus (error sistemático, ruido, calibración, espacio, cableado…) y concluye que debemos ir despidiéndonos del sistema tradicional.
Andrew Ginter describe una de las soluciones que aporta su empresa para desplegar comunicaciones seguras en las plantas. Aunque hable de productos nuevos, la idea es antigua y sencilla, además de barata: establecer comunicaciones unidireccionales allí donde no es imprescindible el tráfico en los dos sentidos. En particular, considera la publicación de información desde planta hacia operación (OT), y de este departamento hacia sistemas (IT).
Hace una década se decía que ZigBee iba a protagonizar una revolución al hacer factibles las redes de sensores inalámbricas. Resolvía los problemas de consumo, alcance o ancho de banda de la WiFi (802.11) o Bluetooth. En 2015, los protocolos que en realidad están compitiendo por liderar el IIoT son WirelessHART e ISA100. Prometo extenderme, pero vayan por delante unas recomendaciones a la hora de elegir.