Publicaciones CERTSI e INCIBE sobre Ciberseguridad Industrial, actualizado 16/02/17.

Tanto INCIBE (Instituto Nacional de Ciberseguridad de España) como CERTSI (CERT de Seguridad e Industria) publican a menudo en sus respectivas Webs noticias, guías y artículos sobre distintas temáticas teniendo como telón de fondo la seguridad. Para esta ocasión he ordenado las referentes a Ciberseguriad Industrial, que recopilan un buen número de investigaciones, incidentes, análisis, e informes, sobre distintas temáticas.  Sin duda constituye un conjunto de referencias para el aprendizaje de todo profesional que esté o quiera desempeñarse en securización de estos entornos. Espero que os guste y sobre todo os resulte útil.

Un saludo!

Guías:

  1. Protocolos y Seguridad en SCI.
  2. Identificación y reporte de incidentes de seguridad para operadores estratégicos: Guía básica de protección de Infraestructuras Críticas.
  3. El Puesto del Operador: Guía básica de protección de Infraestructuras Críticas.

 Artículos:

  1. Características y seguridad en PROFINET.
  2. Analizadores de red en Sistemas de Control.
  3. Seguridad Industrial 2016 en cifras.
  4. ¿Nuevo ciberataque a la red eléctrica de Ucrania?
  5. Inventario de activos y gestión de la seguridad SCI.
  6. Líneas de actuación del Esquema Nacional de Seguridad Industrial.
  7. Protocolos Industriales: Herramientas de Seguridad.
  8. ¿Tu empresa es segura? Medir es el primer paso para conseguirlo.
  9. Atrapando sombras en la industria.
  10. Cyber Kill Chain en Sistemas de Control Industrial.
  11. DDOS de actualidad: IoT y los DNS de Dyn.
  12. Seguridad en BlueTooth: Fortalezas y debilidades.
  13. ZigBee en el laboratorio.
  14. Thinking in Big (Data) y la seguridad industrial.
  15. Seguridad desde abajo: dispositivos finales a escena.
  16. Familia de malware en la industria.
  17. Protegiéndose de BlackEnergy: Detectando anomalías.
  18. Seguridad en Comunicaciones ZigBee.
  19. BlackEnergy y los Sistemas Críticos.
  20. Desmontando Modbus.
  21. Safety y security: juntos pero no revueltos.
  22. BMS: Edificios inteligentes, ¿y seguros?
  23. Seguridad industrial 2015 en cifras.
  24. Un SCADA en la ciudad.
  25. Aplicando seguridad en WirelessHart.
  26. Sistemas de control de software libre.
  27. Arquitecturas de seguridad en la nube para la industria.
  28. Las aplicaciones de control se hacen mayores.
  29. Mi SCADA en las nubes.
  30. Evolucionando la comunicación en la industria.
  31. La Ciberseguridad en la Industria 4.0.
  32. Divide y vencerás: Segmentación al rescate.
  33. Monitorización de amenazas en SCADA.
  34. Evolucionando la infraestructura de red en SCI.
  35. Bug Bounties en SCI: Vulnerabilidades en busca y captura.
  36. El consumo eléctrico bajo control.
  37. Buenas prácticas de configuración en la red inteligente.
  38. Disciplina militar en Control Industrial: OPSEC.
  39. Auditorias en sistemas de control.
  40. Amenazas en los Sistemas de Control Industrial.
  41. Certificaciones de seguridad en sistemas de control.
  42. La evolución de los dispositivos en los sistemas de control industrial.
  43. Estándares de ciberseguridad en las redes inteligentes.
  44. BYOD en entornos industriales.
  45. IEC 62443: Evolución de la ISA 99.
  46. La seguridad de los coches inteligentes a examen.
  47. La ciberseguridad en las subestaciones y el estándar IEC 61850.
  48. Herramientas TI que evolucionan para TO.
  49. La evolución del software en los sistemas de control industrial.
  50. Diferencias entre TI y TO.
  51. Normativas de seguridad en sistemas de control.
  52. Identificación de sistemas de control industrial.
  53. Problemática de los antivirus en entornos industriales.
  54. Seguridad en Protocolos de Sistemas de Control Industrial.
  55. Del Air Gap a la Segmentación en ICS.
  56. Guía de seguridad de Sistemas de Control Industrial.
  57. La problemática de la ciberseguridad para los profesionales de los sistemas de control industrial.
  58. Protegiendo Infraestructuras Críticas: no es suficiente con medidas IT.
  59. Hacia una evaluación eficaz de la seguridad en ICS.

Otras Guías de interés:

  1. Guía de Pentest: Recolección de información (Information Gathering).
  2. Guía sobre análisis de tráfico con Wireshark.
  3. Guia de Seguridad en servicios DNS
  4. Ciber-Resiliencia: Aproximación a un marco de medición.
  5. Detección de APTs.

 

Prácticas recomendadas para estrategias DiD por ICS-CERT

El pasado mes de setiembre el ICS-CERT  publicó un documento sobre un conjunto prácticas recomendadas para mejorar la seguridad en Sistemas de Control Industrial basándose una estrategia de Defensa en Profundidad (DiD, Defense in Depth). Se trata de una guía práctica para desarrollo de estrategias especificas que mitiguen las amenazas que acechan a dichos sistemas.

portada-documento-01

Dicho documento se puede descargar desde el siguiente enlace. No obstante si se quiere hacer podéis acudir la página web:

unnamed

El documento comienza haciendo una exposición de las características de los Sistemas de control Industrial, para luego introducirse en la evolución de las comunicaciones dentro de las Tecnologías de Operación, OT.

Aclarados estos dos puntos, se continúa con el concepto de Defensa en Profundidad, DiD (Defense in Depth), sus orígenes, razón de ser y planificar su desarrollo.

Aquí encontramos una tabla muy interesante donde se hace una comparativa entre las distintas medidas aplicables a entornos IT, OT y lo que ello conlleva. Cuando vemos la necesidad de proteger es porque entendemos que existe un riesgo y una amenaza. Para entender mejor lo que más adelante se explica, os dejo un par de artículos donde hablo de las Amenazas sobre ICS que espero os sean de ayuda.

Amenazas sobre ICS, Parte I

Amenazas sobre ICS, Parte II

Metido de lleno en lo que a DiD se refiere, nos ofrecen un resumen donde se detallan todos los apartados y subapartados de los que se compone como son y que más tarde irá abordando de una manera más concreta.

1.- Risk Management Program
a) Identify Threats
b) Characterize Risk
c) Maintain Asset Inventory

2.- Cybersecurity Architecture
a) Standards/ Recommendations
b) Policy
c)Procedures

3.- Physical Security
a) Field Electronics Locked Down
b)Control Center Access Controls
c)Remote Site Video, Access Controls, Barriers

4.- ICS Network Architecture
a) Common Architectural Zones
b)Demilitarized Zones (DMZ)
c)Virtual LANs

5.- ICS Network Perimeter Security
a) Firewalls/ One-Way Diodes
b)Remote Access & Authentication
c)Jump Servers/ Hosts

6.- Host Security
a) Patch and Vulnerability Management
b)Field Devices
c)Virtual Machines

7.- Security Monitoring
a) Intrusion Detection Systems
b)Security Audit Logging
c)Security Incident and Event Monitoring

8.-Vendor Management
a) Supply Chain Management
b)Managed Services/ Outsourcing
c)Leveraging Cloud Services

9.- The Human Element
a) Policies
b)Procedures
c)Training and Awareness

Como decía, luego hace un repaso y análisis por cada uno de ellos acompañándose de gráficos y tablas que muchas veces represetan de una manera más fácil y sencilla lo dicho con palabras. No obstante, a muchos os suenen ya que son concepto ya tratados en otros estándares y buenas prácticas, como NIST 800-82, IEC 62443 y modelos como ISA-95.

A continuación tendremos un tercer apartado sobre ataques sobre ICS, algo que no cambia demasiado con lo que ya sabemos del mundo IT, Reconocimiento, Ataque e Intrusión. A lo que añadiría, “mantener el acceso”. Ahora bien, otra cosa muy distinta son los objetivos que se pretenden, por ejemplo, el robo de información (IT)  o el sabotaje (OT). Hace unos meses escribí una entrada sobre “Vectores de Ataque”, os la dejo por si queréis echarle un vistazo:

Vectores de Ataque en ICS.

Para concluir, se hacen unas recomendaciones como establecer un modelo de seguridad proactivo; implementación de modelos específicos según sector; revisión periódica de arquitectura y diseño del plan; evaluación de riesgos; etc.

proactive-security-model-01

Como vemos es un documento práctico, sencillo que recoge los conceptos clave que luego habrá que desarrollar de una manera más específica sobre el tipo de sector y organización, pero que narra muy bien desde un punto de vista genérico las bases sobre las que deben apoyase. Aquí conviene referirse en otros estándares y buenas prácticas existentes que citaba en párrafos anteriores.

Lo dicho, nada de “Air Gap” y a seguir con “Defensa en Profundidad”. Es lo que toca.

Un saludo, nos vemos en la próxima!

Irongate, al descubierto un nuevo malware para ICS.

El pasado 2 de junio, desde FireEye nos anunciaban los resultados del informe elaborado por  su “FireEye Labs Advanced Reverse Engineering (FLARE)”.

FireEye 01

Según nos cuentan, este grupo de trabajo a finales de 2015 identificó varias versiones de un malware dirigido a Sistemas de Control Industrial, ICS; con la capacidad de manipular procesos específicos dentro de un entorno simulado con dispositivos del fabricante Siemens. Decidieron llamarlos, IRONGATE.

La gente de FLARE encontró las muestras en Virustotal mientras investigaban ejemplares compilados con PyInstaller, algo empleado en otras ocasiones. Éstas destacaban por sus referencias a los sistemas SCADA y funcionalidades asociadas. Dos de ellas, contenían un payload subido desde distintos orígenes en 2014 pero ninguno de los antivirus lo detectó como malicioso.

Por otro lado, el CERT de productos de Siemens (Siemens Product Computer Emergency Readiness Team, ProductCERT), confirmó que IRONGATE no es viable contra sistemas, de control de Siemens, ni tampoco explotar ninguna vulnerabilidad en productos de este fabricante. No se puede hablar entonces de que exista una campaña de infección ni que suponga una amenaza, por lo que la conclusión más probable es que se trate de una prueba de concepto o una investigación sobre técnicas de ataque contra ICS.

El análisis concluye que IRONGATE aplica conceptos ya vistos en Stuxnet pero en un entorno simulado. Así pues, dado que la información sobre malware dirigido a sistemas ICS y SCADA es menor en comparación con otros ámbitos, es que han decidido compartir los detalles con la comunidad.

Vayamos con los aspectos técnicos.

Una de las características de IRONGATE es la de llevar a cabo un MiTM contra los procesos de entrada y salida I/O del PLC y el software del equipo que interactúa con el ICS dentro del proceso simulado. El malware reemplaza una DLL (Dynamic Link Library) con otra maliciosa convirtiéndose en intermediario entre la estación de monitorización y el PLC. Esta DLL registra cinco segundos de tráfico “normal” desde el PLC a la interfaz de usuario para reproducirla mientras manda de vuelta tráfico distinto al PLC. Esto podría permitir a un atacante alterar un proceso sin que el operador lo sepa.

La segunda característica a destacar es la capacidad para la evasión de Sandboxes. Algunas muestras del malware no se ejecutaban si se corrían sobre entornos VMWare o Cuckoo Sandbox. El malware usas estas técnicas para evitar la detección y resistir al análisis. La implementación de estas técnicas denota que el autor quería evitar su detección y por tanto estamos ante una aplicación maliciosa en contra de una aplicación legítima.

Cuckoo Sandbox

Finalmente, se averiguó que las distintas muestras estaban compiladas con PyInstaller, algo similar a lo empleado en otras ocasiones. Además se localizaron strings que contenían el término “payload”, también bastante común y asociado a otras piezas de malware.

IRONGATE no es comparable con Stuxnet en términos de complejidad, capacidad de propagación o implicaciones geopolíticas, sin embargo sí que comparten ciertas características y técnicas empleadas por éste como pueden ser:

  1. Ambos buscan un propósito específico.
  2. Ambos reemplazan DLLs para alcanzar manipulación de los procesos.
  3. IRONGATE detecta la observación/detección de malware mediante Sandoboxes o entornos virtuales, mientras que Stuxnet buscó la presencia de software Antivirus.
  4. IRONGATE graba y devuelve datos de proceso con el fin de ocultar las manipulaciones que introduce, mientras que Stuxnet si bien no intentaba esconderse de igual forma, si afectaba al funcionamiento de los autómatas S7-315 si ciertos valores representados en el HMI eran de carácter estático.

Por otro lado, no se ha identificado la forma de propagación, y probablemente no exista ya que se considera dicho malware aparenta ser parte de un proyecto de investigación, herramienta de pentesting o un desarrollo para testear un producto de Sistemas de Control Industrial. Esto puede interpretarse que estamos ante un suceso aislado, lo cual no significa que en un futuro pueda sofisticarse y representar una amenaza.

SANS 01

La parte principal de código ha sido escrito en Python e identificado en VirusTotal. Al parecer se hizo llegar a la citada plataforma de forma manual por medio de la interfaz Web. Esto, junto con la idea de que está dirigido a un entorno simulado, subido a un recurso público y que el malware no haya sido liberado, afirma la idea que se trate efectivamente de una prueba de concepto o una demo para algún producto concreto. Es difícil creer que alguien quiera llevar a cabo una APT contra ICS suba de forma manual a la citada Web algo tan sofisticado y más con los antecedentes de Stuxnet.

Aunque no suponga una amenaza, no podemos quitar importancia al hallazgo. Este hecho pone de relevancia que atacantes o personas con conocimientos específicos, están cada vez más preparados y con mayores capacidades para desarrollar código más elaborado, inteligente y posiblemente más destructivo de lo que fueron Stuxnet, HAVEX o BlackEnergy2. Lo cierto es que según afirman varias fuentes, las muestras de IRONGATE no fueron detectadas por ninguno de los motores antivirus, con lo que pone en evidencia la capacidad de éstos para detectar malware dirigido contra Sistemas de Control Industrial. En parte, claro está, porque se trata de una novedad frente a los ya conocidos.

SANS 02

Muchos responsables se estarán preguntando cómo protegerse de algo que muchas herramientas no han sido capaces de hacerlo por nosotros. Esto pone de relevancia que no podemos delegar en nuestras herramientas toda la responsabilidad de la protección. Obviamente debemos contar con ellas para securizar nuestras instalaciones, aparte de tener implementar unas políticas y estrategias debidamente establecidas, asentadas y sobre todo que se cumplan a rajatabla, pero no depositar confianza ciega. Las organizaciones deben contar con profesionales especializados en la materia, que entiendan las características de la Industria y la protección de Infraestructuras Críticas, muy distinto al tradicional mundo IT. Expertos que entiendan las nuevas necesidades, tiempos, tendencias, vectores y amenazas que están por llegar y que según indican las estadísticas van al alza.

En cualquiera de los casos todos debemos estar atentos con lo que está por venir, que como ya sabemos, va a seguir dando de qué hablar.

Un saludo!

Mas Información:

Enlace 1

Enlace 2

Enlace 3

Enlace 4

Enlace 5

Why IRONGATE is a big ICS security Security Story?

INCIBE, Artículos y Guías sobre SCADA y SCI (Actualizado)

Hola de nuevo. Hoy vengo con una entrada corta, pero no por ello menos interesante. Como muchos de vosotros conoceréis INCIBE, Instituto Nacional de Ciberseguridad de España (antiguo INTECO, Instituto Nacional de Tecnologías de la Comunicación) publica periódicamente una serie de artículos y guías sobre distintas cuestiones técnicas, dirigidas al campo de la seguridad. Desde hace tiempo lo viene haciéndolo con los Sistemas de Control Industrial, materia que está en auge desde la irrupción de la Industria 4.0 ya que constituye uno de sus pilares.

INCIBE

Para esta ocasión he hecho una recolección de las que han visto la luz en este último año y que sin duda podemos aprender mucho de ellas.

Guías:

Protocolos y Seguridad en SCI

Identificación y reporte de incidentes de seguridad para operadores estratégicos: Guía básica de protección de Infraestructuras Críticas

El Puesto del Operador: Guía básica de protección de Infraestructuras Críticas

Guía para empresas: seguridad de los sistemas de monitorización y control de procesos e infraestructuras (SCADA)

 Artículos:

Seguridad desde abajo: dispositivos finales a escena.

Familia de malware en la industria.

BlackEnergy y los sistemas críticos

Desmontando Modbus

Safety y security: juntos pero no revueltos

BMS: Edificios inteligentes, ¿y seguros?

Seguridad industrial 2015 en cifras

Un SCADA en la ciudad

Sistemas de control de software libre

Arquitecturas de seguridad en la nube para la industria

Las aplicaciones de control se hacen mayores

Mi SCADA en las nubes

Evolucionando la comunicación en la industria

Vigilando al AVE: Ciberseguridad ERTMS

La Ciberseguridad en la Industria 4.0

Divide y vencerás: Segmentación al rescate

Monitorización de amenazas en SCADA

Evolucionando la infraestructura de red en SCI

Bug Bounties en SCI: Vulnerabilidades en busca y captura

El consumo eléctrico bajo control

Buenas prácticas de configuración en la red inteligente

Disciplina militar en Control Industrial: OPSEC

Auditorias en sistemas de control

Amenazas en los Sistemas de Control Industrial

Certificaciones de seguridad en sistemas de control

La evolución de los dispositivos en los sistemas de control industrial

Estándares de ciberseguridad en las redes inteligentes

BYOD en entornos industriales

IEC 62443: Evolución de la ISA 99

La seguridad de los coches inteligentes a examen

La ciberseguridad en las subestaciones y el estándar IEC 61850

Herramientas TI que evolucionan para TO

La evolución del software en los sistemas de control industrial

Diferencias entre TI y TO

Normativas de seguridad en sistemas de control

Identificación de sistemas de control industrial

Problemática de los antivirus en entornos industriales

Del Air Gap a la Segmentación en ICS.

Guía de seguridad de Sistemas de Control Industrial

Otras Guías de interés:

Guía de Pentest: Recolección de información (Information Gathering)

Guía sobre análisis de tráfico con Wireshark

Guia de Seguridad en servicios DNS

Ciber-Resiliencia: Aproximación a un marco de medición

Detección de APTs

Seguridad en Infraestructuras Críticas: Economía y La Bolsa

Espero que os gusten y sobre todo que aprendáis mucho de ellas.

Un saludo!

CCI publica nuevo documento

El pasado 24 de febrero el Centro de Ciberseguridad Industrial publicó el documento titulado “Prevención, Defensa y Respuesta frente a 3 tipos de ciberataques de alto impacto”. El mismo hace un repaso a los tres ciberataques con consecuencias más graves sobre los Sistemas de Control Industrial al mismo tiempo que identifica cuáles deberían ser las prioridades para distintos actores.

Como ciberataques se citan al Rasomware sobre SCI, Ciber-espionaje y tecnología inteligente embebida. Éstos son abordados según la perspectiva de distintos participantes como son los Estados, Proveedores Tecnológicos y las propias Organizaciones Industriales con vistas a la Prevención, Defensa y Reacción.

El mismo lo podréis descargar desde el siguiente link:

Enlace al documento

Espero que sea de vuestro interés.

 Un saludo.

Publicadas más de 100 contraseñas de ICS…

El grupo de investigadores SCADA Strange Lovers publicó a principios de mes una lista con contraseñas “de fábrica” de más de 100 productos vinculados con Sistemas de Control Industrial.

La susodicha lista especifica el nombre del producto, tipo de dispositivo,  proveedor, nombres de usuario y contraseñas por defecto, puerto y protocolo de acceso al dispositivo, y fuente de la información. Entre ellos encontramos routers industriales, PLCs, Gateways inalámbricos, servidores y módulos de red de fabricantes como ABB, B&B Electronics, Digi, Emerson, eWON, Hirschmann, Moxa, Netcomm Wireless, Rockwell Automation , Samsung, Schneider Electric, Siemens y Yokogawa.

Al parecer, los miembros de SCADA Strange Lovers se hicieron con las contraseñas por defecto de fuentes públicas  y documentación proporcionada por el propio proveedor. No obstante se habla de una segunda lista con las contraseñas “harcodeadas” que no se ha hecho pública por el peligro que esto entraña.

El objetivo de dicha publicación es sensibilizar a los operadores de Sistemas de Control Industrial y fabricantes, sobre el problema que supone no cambiar dichas credenciales y por tanto concienciar acerca de lo expuestas que quedan las instalaciones en las cuales se utilizan.

El listado puede consultarse aquí

Más información:

Enlace 1

Enlace 2

Enlace 3