IX Congreso Internacional de Ciberseguridad Industrial. Fortinet & Nozomi Networks.

Los pasados 4 y 5 de octubre se celebró en Madrid el IX Congreso Internacional de Ciberseguridad Industrial organizado por el Centro de Ciberseguridad Industrial. En él, un año más, se dieron cita profesionales, expertos e instituciones con el fin de compartir dos jornadas cargadas de puntos de vista, investigaciones, nuevas líneas de productos, casos de éxito, mesas redondas y momentos para el networking empresarial donde intercambiar y hacer nuevos contactos.

A diferencia de las dos ediciones anteriores, este año acudía no sólo como espectador sino, además, como ponente. Allá por el mes de mayo tuve la oportunidad de participar en “La voz de la Industria”, pero esta vez tocaba hacerlo con proyección internacional.

Dicha ponencia se hizo en conjunto con miembros del equipo de profesionales de  GrupoCMC,  Fortinet y Nozomi Networks siendo cada uno de ellos Jose Luis Laguna, Director Técnico de Fortinet Iberia; Antonio Navarrete, Ingeniero Pre-venta; y Edgar Capdevielle, como CEO de ésta última y un servidor como GrupoCMC.

CCI_01

El tema de nuestra presentación era “Demostración práctica de protección de un escenario de automatización industrial” donde simulamos el funcionamiento de una presa hidroeléctrica empleando para securizarla con equipos específicos como Fortinet Fortigate Rugged 90D y solución SCADAGuardian. Ahora bien, ¿cuál fue nuestro discurso para ver la necesidad de ambos? Comencemos.

Bajo mi punto de vista y basándome en lecciones aprendidas (prácticas, no teóricas) en proyectos planteamos que la actualización de equipamiento porque sea más seguros no es una prioridad. Las empresas no los cambian porque incorporen tal o cual medida de seguridad, lo hacen porque la función que realicen lo requiera. Además, puede no es fácil llevarlas a cabo ya que la implementación de unas u otras tecnologías puede necesitar ventanas de tiempo amplias. Por ejemplo, pensemos una migración de una arquitectura RS-485 a una Ethernet. En otro orden, por muy planificados que estén los trabajos, cualquier intervención no deja de introducir un riesgo que desemboque en un impacto en la actividad siendo éste inasumible.

Es por ello que la Seguridad Perimetral sigue siendo la primera medida. ¿Por qué? Porque permite reducir los riesgos en una primera instancia sin la necesidad de actuar sobre esos equipos finales desactualizados, sin soporte en algunos casos, sin compatibilidad con soluciones de seguridad, con largos ciclos de vida, que por su criticidad sea inviable actuar sobre ellos para aplicar parches, con desarrollo de aplicaciones propias, y un largo etcétera. Además, permite atajar la propagación de amenazas o incidentes a través de filtrado de tráfico junto con funciones avanzadas como Control de Aplicación, Antivirus, Filtrado Web o IDS/IPS. Sí filtrado web. Hay equipos que permiten ciertas funcionalidades a través de servidores web embebidos a los que les pueden afectar las mismas vulnerabilidades con la dificulta que, o no pueden ser corregidas, o supone la actualización completa de firmware o software.

Por supuesto, esto último respaldado con un buen diseño y arquitectura de red ya que de nada nos sirve incorporar un equipo último modelo, si luego tenemos una red plana o enrutada…

Aparte de lo anterior, otra de las necesidades que veíamos era la inclusión de medidas en materia de visualización y monitorización. No me refiero a solucione SCADA, sino a nivel de red. De tráfico.

La Industria 4.0 trae consigo una buena cantidad de beneficios no sólo por los avances tecnológicos como fabricación aditiva, robótica colaborativa, simulación, etc. sino la inclusión de las Tecnologías de Información para mejorar los procesos convirtiendo las fábricas en más productivas, competitivas, eficientes energéticamente, etc. Esto requiere tener una visión de lo que ocurre en nuestras instalaciones, consiguiéndose mediante la recolección de información tanto en tiempo real como en cortos espacios de tiempo y a partir de ahí corregir desviaciones o tomar otro tipo de medidas. Ahora bien, para alcanzar ese propósito los equipos deben de estar interconectados y en el momento que esto se produce, todos comienzan a estar expuestos. Y como bien sabemos, una medida para reducir los riesgos es reducir justamente el grado de exposición.

Junto con ello los flujos de tráficos deben ser un reflejo del proceso. Nada que no forme parte de la actividad propia, debe existir. Sólo lo estrictamente necesario.

La contextualización de la información también debe estar presente. Tenemos que tener una visión amplia de lo que sucede. Si hablamos de una fábrica de producción en serie, el fallo en un equipo instalado en una línea a priori no debería afectar a otra. Pero si ese problema no se resuelve dentro de los tiempos máximos podría dejar de suministrar piezas o material a esta última provocando unas consecuencias mayores.

Finalmente, conviene diferenciar entre información e inteligencia sobre amenazas. Debemos pararnos a pensar que no toda la información que obtenemos con esta monitorización puede ser del todo útil. Por ello cara a recolectar datos debemos analizar la calidad de la información; su origen; cantidad; relevancia para la organización, sistemas y entorno; capacidad para recolectar, correlar o analizar; y finalmente, cómo la aplico. Es decir, si no hago nada con ella, ¿para qué conseguirla?

Si sumamos ambos aspectos, por un lado, la seguridad perimetral y por otro la necesidad de monitorización, es que encontramos el beneficio de contar ambos productos destacando entre otros aspectos:

Fortinet Fortigate:

  • Gama productos específicos para entornos industriales.
  • Diseño rugerizado capaz de soportar entornos hostiles con polvo, humedad y temperatura muy superiores a entorno IT tradicional.
  • Electrónica de alto rendimiento.
  • Integración con soluciones de gestión centralizada.
  • Deep Packet Inspection sobre protocolos industriales.
  • Montaje sobre carril DIN y alimentación por fuentes de alimentación externas.

Nozomi SCADAguardian:

  • Solución diseñada para entornos industriales.
  • Identificación de activos y protocolos
  • Detección de anomalías en flujos y tipos de tráficos.
  • Instalación pasiva no introduciendo latencias adicionales.
  • Evaluación de vulnerabilidades a partir de información recolectada.
  • Detección de amenazas, riesgos e incidentes.
  • Variedad de paneles de control y generación de informes para análisis y labores forenses.

Sin embargo, el mayor de los beneficios está por anunciar. Y es que a pesar de los beneficios de ambos por separado, tanto Fortinet  como Nozomi Networks han alcanzado un grado de integración tal que, en caso de SCADAguardian detecte una anomalía a partir del análisis de tráfico, puede interactuar de forma automática con los equipos Fortigate configurando una regla en los firewalls que deniegue el tráfico anómalo identificado.

Esto introduce un grado adicional de protección ya que permite atajar cualquier incidente en el mismo instante que se produce reduciendo así el tiempo transcurrido desde que una amenaza es detectada, interpretada, valorado el alcance, puesta en marcha su mitigación, resolución y extraídas las conclusiones. Sin embargo, esto no es fácil ya que lleva aparejado una importante labor desde el punto de vista que debemos conocer qué activos y protocolos tenemos en nuestra organización para saber cuáles son legítimos o cuales no; definir tendencias y patrones; sopesar de qué forma SCADAguardian va interactuar con los Firewalls, esto es, bloquear IPs, cerrar sesiones, y un largo etcétera.

Como decía anteriormente para demostrar este valor añadido, ideamos una réplica de lo que podría ser una presa hidroeléctrica. En la imagen siguiente se ve el esquema de la simulación en la que aparece un taque donde se acumula el agua. Luego, se abre una electroválvula que, al abrirse, deja pasar el agua haciendo mover una turbina que es la que genera electricidad para  ser almacenada en el tanque inferior. Finalmente, se acciona una bomba que impulsa de nuevo el agua al tanque superior, para volver a repetir el proceso.

Escenario lógico

La lógica está gestionada por un equipo TRIDIUM JACE el cual cuenta con una interfaz web para labores de administración. Tanto la electroválvula como la bomba están conectadas al equipo TRIDIUM SEDONA el cual recibe las órdenes de abrir/cerrar y paro/arranque del JACE por medio del protocolo ModbusTCP.

Escenario lógico_01

Y todo ello en la realidad quedó en….

CCI_03

Así pues, lo que se hizo en vivo y en directo fue llevar a cabo un ataque sobre el TRIDIUM Sedona enviando paquetes específicos ModbusTCP desde un PC que provocada el paro de la bomba o el cierre de la electroválvula. Esto es posible debido a la falta de medidas de seguridad nativas de dicho protocolo.

Más tarde, para ver la efectividad de ambas soluciones trabajando conjuntamente se incorporó el equipo SCADAguardian el cual recibía el tráfico desde un puerto espejo de un FortiSwitch. Luego tras la integración de Fortigate Rugged 90D en aquél, se repitió nuevamente el ataque no teniendo éxito ya que al considerarse que provenía de un equipo no legítimo, SCADAguardian lo consideraba como “malicioso” enviando la orden al Firewall de la generación de una regla que lo cortase. Impedía así que llegase el paquete al TRIDIUM Sedona y por tanto evitando el cierre o paro de los dispositivos.

Obviamente este fue una prueba de concepto, sin embargo en un entorno real esta tarea llevaría más tiempo. Sería necesario dejar aprender durante unos días o semanas el comportamiento de la red para poder establecer qué tráficos son buenos y cuáles no. También la manera en la que queremos que se comporte el Cortafuegos, esto es, cortar sesiones, bloquear IP, etc. etc.

A continuación os dejo un video elaborado por Fortinet donde se explica todo ello. ¡Excelente!

Quedamos muy satisfechos con la exposición ya que aparte de lo original, práctico y puesta en escena todo salió muy bien. No quería pasar por alto agradecer a mis compañeros de GrupoCMC que diseñaron la interfaz gráfica y metieron horas para que todo saliese en esta línea. Sin ellos, su conocimiento, experiencia y sobre todo su actitud; esto no hubiera sido posible. Como no, a Jose Luis, Antonio y Edgar por los esfuerzos, trabajo e iniciativa; a Jose Valiente, Miguel García-Menéndez y Susana Asensio por la organización de este congreso de referencia; y finalmente a los asistentes que esperamos fuese de su agrado esta exposición en la que se invirtió tanto tiempo como ganas de haber proporcionado una forma automática, rápida y eficiente de proteger nuestros entornos de control y automatización industrial sea cual sea su naturaleza o criticidad.

CCI_02

Un abrazo!!

Nuevo evento Asociación “EuskalHack”, 17/02/17

La Asociación de Seguridad Informática del País Vasco, “EuskalHack” aparte de su Congreso Anual celebra de forma periódica una serie de eventos gratuitos con el fin de promover la cultura de la seguridad informática, fomentando así la acción social entre profesionales, investigadores y demás personas interesadas en estos temas.

asociacion-seguridad-pais-vasco-euskalhack

El próximo 17 de febrero, tendrá lugar el local “Espacio Keler” de San Sebastián (Ramón María Lili Pasealekua, 2) el primero de este 2017.

El programa se basará en la presentación del congreso para este año, que se prevé sea de dos días a diferencia del de año pasado de uno. Si te quedaste con ganas, puedes hacerte una idea de lo que fue en esta entrada “Cronica: I EuskaHack Security Congress”. La cosa para este año promete, y mucho, teniendo en cuenta los 3 reconocidos investigadores de talla internacional  que ya, a estas alturas, están confirmados:

Halvar Flake (@halvarflake)

Alexander Ionescu (@aionescu)

Steve Lord (@stevelord)

Tras la parada para el “Networking” será Joxean Koret (@matalaz) quién nos hable de “Cosa Nostra, un toolkit de clusterización de malware open source”. Joxean, miembro de la Asociación también fue ponente del año pasado y, al igual que Halvar, Alexander y Steve, lo podemos encontrar en otras de primer nivel dentro y fuera de fronteras.

Nuevamente una paradita, y para terminar será Jesús Lizarraga (@JL_picard) de “Mondragon Unibersitatea” quién nos expondrá un tema tan actual como interesante “Ciberseguridad en Industria 4.0 ¿Debemos preocuparnos?” Deber + Preocupación + , Pregunta , uhmmmm suena muy pero que muy bien.

En fin, por ahora toca esperar….

Si bien el evento es gratuito, es necesario registro previo. El mismo lo podéis hacer desde aqui aunque es en su página Web, en concreto en su área de “Activiades” dónde encontraréis esta y más información.

El programa, para el próximo  día 17 queda resumido de la siguiente manera:

  • [17.10] Recepción de Asistentes
  • [17.30] Presentación EuskalHack Security Congress II
  • [18.00] Networking
  • [18:15] Ponencia: “Cosa Nostra” Un toolkit de clusterización de malware open source. Joxean Koret (staff member)
  • [19.00] Networking
  • [19.15] Ponencia: Ciberseguridad en Industria 4.0 ¿Debemos preocuparnos?.  Jesús Lizarraga (Mondragon Unibersitatea)
  • [20.00] Cierre

Así que ya sabéis, si os queréis acercar para pasar un buen rato y conocer gente nueva que comparta tus inquietudes tecnológicas, este día tienes una estupenda oportunidad para hacerlo. Mientras tanto puedes estar atento sobre las novedades en @EuskalHack.

Acercate! No te lo puedes perder!

Un saludo!

Evento Asociación Euskalhack 25/11/16

Hola a Todos!

El próximo viernes día 25, la Asociación de Seguridad Informática EuskalHack organiza el evento “Euskalhack & Beers” donde podrás conocer de primera mano el desarrollo del plan de actividades de nuestra asociación, además contaremos con tres reconocidos profesionales que expondrán sus investigaciones y avances en diversas materias. Como veréis lo digo en plural ya que desde el día 18 de este mes, formo parte de ella.

El programa será:

  • [17.10] Recepción de Asistentes
  • [17.30] Conoce nuestro plan de actividades 2016/2017 – EuskalHack
  • [18.00] Networking
  • [18:15] Ponencia: SCAPate de Nessus – Jose Luis Flores (Staff Member)
  • [19.00] Networking
  • [19.15] Ponencia: Sense Deception- Fernando Braquehais y Xabier Eizmendi (CounterCraft)
  • [20.00] Cierre

Es un evento gratuito, pero que requiere registro. Lo puedes hacer desde aquí.

Como repaso os dejo la crónica del primer Congreso que se celebró allá por el mes de junio y que comprobaréis hubo ponentes de primerísimo nivel.

Crónica: I EuskalHack Security Congress

Daros prisa que se terminan las plazas!!

VII Congreso Internacional de Ciberseguridad Industrial, Día II

El segundo día comenzó con la ponencia de José Valiente sobre “Resiliencia Tecnológica Industrial 4.0 ” . Lamentablemente no pudimos llegar a tiempo con lo que nada os puedo resumir al respecto.

09:45 – 10:15

A continuación el espacio estaba reservado para Jose Luis Laguna (SE Manager, Fortinet) exponiendo un caso de éxito en un entorno industrial. El mismo fue la implementación de las distintas medidas de seguridad en el entorno de producción de furgonetas de la fábrica que Mercedes-Benz tiene en la ciudad de Vitoria. El ponente fue Jon Bueno Mendieta, persona que lideró el proyecto junto con la colaboración de Edorta Echave, creador de este espacio Web y Consultor de Ciberseguridad Industrial en la empresa GrupoCMC (Congnicase Management Group). Pues sí, en esto hemos estado trabajando (y seguimos en ello) en este último año y medio.

vii-congreso-15

Jon comenzó con presentación dando una visión global proyecto indicando los principales puntos sobre los cuales se basaría su charla, como son:

  1. Disponibilidad de la red OT
  2. Soluciones técnicas implementadas
  3. Roles y Procesos
  4. Conclusiones

Haciendo un repaso sobre lo anterior, se comentó las diferencias entre el mundo IT y OT, y las distintas prioridades desde la visión de proteger la confidencialidad, integridad y disponibilidad; frente a disponibilidad, integridad y confidencialidad.

A continuación, se centró en las soluciones implementadas a nivel de Infraestructura (Separación y Segmentación), Técnicas (Bastionado de Sistemas, Cifrado en las Comunicaciones, Monitorización, Antivirus, etc.) y Operaciones (Definición de nuevas figuras dentro del organigrama de la empresa como Gestores de Activos, Incidencias, Vulnerabilidades, etc.).

Para finalizar ,citó aquellos aspectos clave dentro del desarrollo del proyecto, como pueden ser:

  1. Creación de un solo equipo de trabajo.
  2. Elegir las herramientas más adecuadas para ser administradas.
  3. Análisis GAP objetivo.
  4. Supervisión de la actividad y soluciones implementadas.

10:15 – 10:45

La siguiente ponencia vino de la mano de Edgard Capdevielle (Executive Advisor, Nozomi Networks) con el título Ciberseguridad y monitorización de redes industriales requieren un enfoque de proceso”.

Aquí Edgard Capdevielle nos presentaba la herramienta de Nozomi Networks, SCADA Guardian. Se trata de una solución de monitorización y protección no intrusiva que, gracias a las capacidades de descubrimiento, aprendizaje de los activos y comportamiento de la red, permite la detección de amenazas y ataques en entornos Industriales. Puesto que cada entorno es único, debido a la generación de reglas de seguridad basadas en el proceso a proteger, permite adaptarse a cada circunstancia por muy concreta que sea.

vii-congreso-16

Comienza haciendo un repaso de una serie de incidentes y de cómo en algunos casos el despliegue de soluciones IT en entornos OT nos son eficaces y cómo se protegen las instalaciones industriales abogando por el entendimiento de ambos mundos. La herramienta facilita esta tarea  permitiendo identificar tráficos, comportamientos en la red, comunicaciones generadas por dispositivos industriales, procesos, entre otros.

Puesto que no sólo basta la detección, también SCADA Guardian see integra con SIEMs o sistemas como SPLUNK, HP ARCSight, etc. o incluso tomar medidas sobre dispositivos Fortinet como bloquear un cierto tipo de tráfico determinado. El hecho de que sea una herramienta no intrusiva facilita enormemente el despliegue consiguiéndose con la simple configuración de uno, o varios, puertos espejo. Claro está teniendo en cuenta la particularidad de estas configuraciones.

10:45 – 11:15

Llega el turno de María Pilar Torres (Directora de Ciberseguridad, Everis Aeroespacial y Defensa) bajo el título La ciberseguridad industrial de punto a punto: un ejemplo práctico”.vii-congreso-24

El caso estaba enfocado en el ámbito energético donde bajo su punto de vista detectaban dos dimensiones:

  1. Dimensión tecnológica, Medidas Técnicas.
  2. Dimensión organizativa, Roles y Procesos.

Para implementar un plan de securización se ha de entender muy bien la actividad de la empresa y los procesos en los que se basa. Cuando les llega un un nuevo proyecto se realizan dos preguntas en cada una de las fases del proceso, como son:

  1. Problemas identificados, ¿qué haría para corregir los problemas?
  2. Posibles soluciones, ¿qué van a hacer realmente?

Cómo podemos comprobar una vez más de la teoría a la práctica, hay un trecho.

Se pone ejemplo en la generación, transmisión, distribución y control energético eléctrico y de los riesgos existentes en cada uno de los procesos, como son acceso físico a las instalaciones, acceso a los PLC que regulan la carga en la red eléctrica en función de la oferta y la demanda, contadores vulnerables, protocolos inseguros, monitorización remota, etc. También como no, contadores de agua. Se defiende la idea que no sólo es necesario implementar las medidas, hay que darle una continuidad por lo que resulta necesario hacer auditorías para conocer el estado de la seguridad. A veces se habla de separar redes, pero no de las medidas a adoptar para que éstas dejen de ser menos vulnerables y de los escrupuloso que hay que ser en la gestión y control de activos. Si no controlamos lo que tenemos conectado a nuestra red, no podemos protegerla.

Finalmente, el aprendizaje es esencial para la mejora. Como existe un desconocimiento en primera instancia, a medida que se genera ese conocimiento/estudio de forma progresiva se va avanzando en la construcción de soluciones más convergentes.

12:00 – 12:30

El siguiente turno fue el de Patrick Miller (Managing Partner,Archer Energy Solutions) con Unicornios, Compartir información, Inteligencia de amenazas y otros mitos”.

Aquí el discurso se centra en compartir información como medio para hacer frente a las amenazas. Para ello comienza haciendo un paralelismo indicando que los datos es dinero y por tanto tus datos te convierten en un banco. Dada esta situación, y el entorno que nos rodea, los adversarios tienen 3 “cosas” que tú no puedes tener, como tiempo, medios y mayor capacidad. Las medidas disponibles para protegerte también pueden llegar a ser hackeables y por tanto vulnerables, por tanto, con los problemas a los que se enfrenta el usuario y las empresas, los datos pueden ser comprometidos. Así que otra de las acciones a tomar es compartir información ya que puedes trasladar tus problemas y, de forma conjunta, tomar medidas. Tu eres tu propia “policía”, tienes que protegerte de tus “chicos malos”.

vii-congreso-17

Esta información debe ser monitorizada y analizada para poder ser compartida entre las herramienta de análisis. Sin embargo compartir genera una preocupación ya que no sabes hasta qué punto ese el valor puede ser utilizado y para qué. Aquí rasaltar esta importante afirmación, “El valor de la información es inversamente proporcional a la distribución” y es que la buena información, la relevante para muchos casos , no se distribuye.

Get connectres, relationships + Trust = Sharing

En resumen, bajo su punto de vista se ha de compartir información con la gente correcta a través de canales correctos. Compartir genera un conocimiento sobre la inteligencia de las amenazas en la que se ha de contribuir de forma individual para un resultado conjunto.

12:30 – 13:00

Siguiendo con las ponencias llega el turno de Enrique Martín (Industrial Cyber Security & CIP Solutions Business Development,S21SEC) con Árboles cayendo en redes de control industrial”.

vii-congreso-18

Aquí Enrique compara el estado de la Industria 4.0 como si fuera un bosque y por tanto cuando cae una rama en el bosque, ¿hace ruido? Pues bien la idea a perseguir sería, si se da un incidente de seguridad en nuestras instalaciones de “Industria 4.0” y no lo “oímos”, ¿hace ruido? ¿nos enteramos? La industria ha evolucionado, la ciberseguridad no tanto.

Hasta ahora las fuentes de ruido (orígenes de problemas) han sido servidores, configuraciones, vulnerabilidades y usuarios e identidades. Sin embargo debemos de considerar también los dispositivos de seguridad, actividad de la red, actividad sobre datos y aplicaciones. Por tanto no existe una correlación de eventos, logs, flujos, reputación, etc. ni una detección de anomalías en la activiad de usuario, BBDD, aplicaciones, red, entre otros.

Es necesario como apuntaba Edgard Capdevielle de Nozomi Networks, realizar un análisis del comportamiento de la red. Enrique comenta algunas soluciones libres para llegar finalmente a la herramienta Silent Defense ICS de Security Matters.

14:30 – 15:00

Aquí Oscar Lage (Responsable de Ciberseguridad,Tecnalia) y Ander Juaristi (Researcher) sobre “La seguridad en IEDs: lecciones aprendidas” expusieron los sistemas de cifrado para dispositivos de industriales explicando los pros y contras de la criptografía simétrica, asimétrica, certificados digitales.

vii-congreso-19

Hicieron un repaso de las alternativas actuales y la manera de funcionamiento, viendo cómo impactan en los sistemas sobre los que se implantan. Por mi formación, se me escaparon muchas cuestiones en cuanto al aspecto matemático del asunto pero, considero que era una ponencia muy interesante para aquél que sí comprendiese estos puntos. El cifrado es un elemento más en la cadena de seguridad, y cuanto más a bajo nivel se implemente más efectivo será, sin penalizar en el rendimiento computacional del dispositivo. En concreto se centraron en la aplicabilidad en la industria energética. Algunos términos citados:

  • HORS
  • TV-HORS
  • HORST
  • SPHINCS

15:00 – 15:30

Unos de los patrocinadores del evento era Karspersky y de la mano de Matvey Voytov (Head of product marketing, Kaspersky Lab) hicieron su presentación “Arquitectura de seguridad adaptativa para ICS”.

vii-congreso-20

Dicha arquitectura la basa en el modelo que presenta Gartner sobre 4 principios, los cuales se subdividen en otros apartados, como son:

Predecir

  • Inteligencia sobre amenazas.
  • Intercambio de información sobre incidentes.
  • Conocer tu organización.
  • Formación y adquisición de conocimiento.

Prevenir

  • Diferenciar entre protección IT y OT.
  • Considerar las amenazas internas.
  • Los Ingenieros industriales no tienen conciencia de ciberseguridad.
  • Aumentar la cultura de ciberseguridad.

Detectar

  • Las amenazas no tienen que venir necesariamente por malware.
  • Monitorización de la red para la detección de anomalías.
  • Escaneos periódicos controlados.
  • Realización de auditorías.

Responder

  • Respuestas ante incidentes específicos de ICS.
  • Personal en SOC especializados en sistemas industriales.
  • Planes de respuesta definidos dentro de la organización.

Finalmente, como conclusión apunta tres medidas a partir de las cuales implementar los planes de seguridad de manera efectiva. Estas son:

  • Implementar herramientas de monitorización y detección de amenazas y anomalías.
  • Incorporar personal con formación específica de Ciberseguridad en entornos industriales para que se puedan desplegar soluciones técnicas concretas.
  • Las amenazas pueden venir de dentro, no necesariamente puede venir de fuera.
  • Según su punto de vista, el camino correcto es Personal – Tecnologías concretas – Procesos

16:00 – 16:30

Tras una pausa café, Milka Kaneva (Cyber Security Manager EMEA, Darktrace) presentó El sistema Inmunológica Industrial: Usando el aprendizaje automático en la seguridad de ICS como solución para la próxima generación”.

Milka, presentó la solución de DarkTrace específica para sistemas ICS. De origen inglés, ofrece una herramienta de análisis de tráfico basado en algoritmos matemáticos con el fin de detectar de forma temprana anomalías en la red. Como en otras ponencias similares, se instala en el “Core” de la red” a un puerto espejo y en un plazo de 7 a 10 días puede detectar las anomalías en la red. A partir de ahí, crea un modelo de comportamiento de usuarios y equipos en base a los criterios matemáticos. Entre sus características:

  1. Autoaprendizaje.
  2. Detecta amenazas internas y externas.
  3. Tiempo real.
  4. 100% visibilidad.
  5. Reproducir el tráfico capturado.

Más tarde presenta casos de usos y éxito de sus clientes. Como podemos comprobar es una herramienta similar a la presentada por Nozomi y SecurityMatters.

vii-congreso-21

16:30 – 17:00

Así llegamos a la penúltima ponencia esta vez de la mano de Karsten Schneider (Chairman,PROFIBUS & PROFINET International) con Ciberseguridad en redes PROFINET -habilitador de Industria 4.0”.

En este caso el ponente comenzó con una presentación de lo que significa la Industria 4.0, dando pinceladas generales de lo que implica:

  • Personas, máquinas, dispositivos y sistemas cooperan y se comunican entre sí.
  • Se combinan métodos de producción con tecnologías de información.
  • Procesos de producción y logísticas son integrados de forma inteligente.
  • Extracción de datos para posterior analítica.
  • Nuevos modelos de negocio y tecnologías de producción.

Existen multitud de fabricantes y protocolos propietarios pero que hay que promover el uso de standars de comunicaciones tipo Profinet, Profibus e IO-LINK.

vii-congreso-22

En cualquiera de los casos es necesario un medio a través del cual poder comunicar los dispositivos, soporte remoto,  y a partir de ahí desarrollar lo que la Industria 4.0 demanda. Aquí se defiende la posición del protocolo PROFINET. Llegará un momento en los que no se hable de mili, sino de microsegundos. Una solución de seguridad en un entorno industrial tiene que alcanzar todos los niveles, seguridad física, de red e integridad de sistemas.

Se abordan las características actuales:

  • Equipamiento de más de 30 años.
  • Buses de campo.
  • Pérdida de conocimiento de sistemas antiguos, pero operativos.
  • Sin medidas de seguridad implementadas.

Así pues en lo que refiere a la seguridad se aborda el concepto de Defensa en Profundidad dirigido a aspectos clave como know how de protección, Control de Acceso e integridad en las comunicaciones, todos dirigidas a nivel de red.

Para finalizar se citan en los aspectos básicos como es el uso de DMZs industriales, Acceso Remoto, Redundancia y protección a nivel de celda remitiéndonos a una guía donde podremos obtener más información y que puede ser descargada desde aquí.

17:00 – 17:30

Y ya para concluir Miguel García-Menéndez (Vicepresidente, Centro de Ciberseguridad Industrial) nos habló de ERNCIP: Marco de Certificación y Conformidad de los IACS”.  Aquí tuve que ausentarme con lo que no pude atender en su totalidad.

vii-congreso-23

Aquí se nos habla de la iniciativa desde ERNCIP (European Reference Network for Critical Infraestructure Protection) para establecer un framework donde se puedan certificar los distintos componentes en materia de ciberseguridad. Para ello se cuenta con la colaboración de distintos participantes como ENISA, ANSSI, BSI, INCIBE, fabricantes, integradores, consultoras, etc.

Para ello se definen una serie de tareas a desarrollar como los requerimientos mínimos, perfiles en materia de ciberseguridad y procesos de aceptación y cumplimiento. No podemos decir que porque un componente cumpla con unos requisitos en seguridad, toda la instalación lo es.

La idea a posteriori es definir un esquema repartido sobre varias áreas específicas que permita certificarse y avalar que se cumplen con una serie de exigencias.

La ponencia fue una presentación genérica de una iniciativa sobre la cual se está trabajando, y que se desarrollará a lo largo del próximo año y sucesivos. Miguel fue cauto en adelantar más información, ya que como cualquier proyecto es susceptible de haber modificaciones y por tanto lo que hoy se expone, mañana puede reconducirse o cambiarse. Esperaremos al futuro.

De esta manera llegamos al final de este Congreso. Un Congreso con ponentes de gran calidad y diversidad de temas que ponen de manifiesto el estado de la ciberseguridad tanto a nivel nacional como internacional y que al igual que el año pasado promete seguir en la misma línea, mejorando certamen tras certamen.

Nos vemos el año que viene!

VII Congreso Internacional de Ciberseguridad Industrial, día I

Los pasados 5 y 6 de octubre se celebró en Madrid el  VII Congreso Internacional de Ciberseguridad Industrial [4.0] organizado por el Centro de Ciberseguridad Industrial y que tuvo lugar en el Hotel Meliá Avenida América. Se trata de uno de los más relevantes dentro del panorama nacional e internacional, convirtiéndose en punto de encuentro de intercambio de experiencias y relaciones de todos los actores involucrados en la materia.

El primer día comenzó con la introducción de José Valiente dando la bienvenida a los asistentes y agradecimiento a patrocinadores y empresas colaboradoras. A continuación, se hizo un repaso por la trayectoria del CCI y los distintas personas que han participado en los congresos realizados hasta la fecha, ya que como él dijo “Presente y futuro están ligados”. Otras de las colaboradoras, Susana Asensio (Responsable de Proyectos del CCI) comentó las próximas iniciativas del CCI, como son:

  • Membresía profesional del CCI.
  • Programa de reconocimiento del Ecosistema CCI.

Finalmente Miguel García-Menéndez, explicó el programa de ambos días, con algún ligero cambio en alguna de las ponencias.

Así comenzó la primera, de la mano de Rossella Mattioli (Security and Resilience of Communication Networks Officer at ENISA) bajo el título “Protegiendo los servicios y la tecnología IoT en Europa”. Hizo una presentación de ENISA y las labores que realizan en referencia no sólo a proteger la información y a los ciudadanos europeos sobre Tecnologías de Información (IT) sino también los entornos industriales e Infraestructuras críticas. Entre ellas, realización de cursos, estudios y recomendaciones, que publican y pueden realizarse para fomentar el conocimiento y compartir la información recaba estos estos ámbitos. Todo ello puede ser consultado en su página web. Más tarde se centra sobre la necesidad de securizar infraestructuras y servicios, como pueden ser transporte, salud, financias, Smart Grids, etc. Se puede encontrar más información en el siguiente enlace. Se aborda el tema de IoT, de lo que implica, nuevos paradigmas y lo que se deriva en materia de ciberseguridad, nuevos desafíos, las redes no son todo lo seguras que deberían, vulnerabilidades en protocolos, perímetro indefinido, etc. También nos hizo referencia a otros escenarios no por ello menos importantes como coches, hogares y ciudades. Más información.

vii-congreso-01

Seguimos con una mesa redonda “La difícil tarea de la Integración IT y OT en Industria 4.0” estando como ponentes David Pozo (Siemens) Joseba Laka (Tecnalia) Jorge Rivera (Telefónica) y Andrés de Castro (IoT Partnet Business Manager, CISCO).- Aquí más que una exposición fue dar los distintos puntos de vista sobre preguntas que detallo a continuación y también algunas ideas rescatadas.

vii-congreso-02

Pregunta: Están colaborando las organizaciones que desarrollan tecnologías IT con las que desarrollan tecnología sOT para crear plataformas Smart Factory?

Sí, hay colaboraciones ya que una empresa no puede abarcar todo y es preciso ayudar entre los distintos actores.

Es una colaboración forzada.

Preguntas: Cuáles consideras que deben tener las directivas que marquen la estandarización de Smart Factory? 

Publicación del documento Industrial internet Security Framework, liberado en setiembre en un avance pero le queda un trecho para que esté optimizado.

Los estándares son necesarios, y algo retrasados con las necesidades del mercado.

Las necesidades es que los sistemas sean abiertos e interoperables.

No es equiparable el Smart Grid, con diversidad que presenta el mundo industrial.

Pregunta: Cuáles son las principales implicaciones para integrar IT y OT en la Smart Factory desde el punto de vista de los riesgos tecnológicos  y su protección?

Supone rediseñar productos OT y mitigar el riesgo de sufrir un ataque o incidente. Uno de los pilares sigue siendo la separación y segmentación.

Se cita a GSMA como referencia a elemento de comunicación.

Uno de los medios es dotar de banda ancha en los polígonos industriales ya que todo está interconectado.

Pregunta: Cómo debería de ser la cualificación de los profesionales de ciberseguridad para proteger los riesgos tecnológicos en Smart Factory?

Muchas amenazas, pocos profesionales.

Falta de vocación y profesionales en el sector y poco especializados en ciberseguridad. Los profesionales de la ciberseguridad están en permanente formación.

Las universidades deben promover los conocimientos.

Las empresas y proveedores deben impulsar certificaciones y especializaciones.

No sólo centrarse en cuestiones tecnológicas, también es necesario otros profesionales en otras entornos como psicología, pedagogía, filosofía, periodismo, comunicación, para aportar un punto de vista distinto al ingeniero o técnico.

Seguimos con la ponencia “La Empresa Digital, en el camino hacia la Industria 4.0” de la mano de David Pozo (Technical Director Industry Automation, SIEMENS). Se habló de los dos grandes bloques EEUU y Europa (Alemania) y de la diferencia conceptual sobre la materia, EEUU habla de IIoT y en Europa, Industria 4.0.

vii-congreso-03

Para el ponente, el concepto de Industria Inteligente bien por la interconexión o inteligencia, no es algo nuevo pero sí se viene materializando progresivamente en los últimos años. No se trata sólo de que todo esté conectado. Tanto en la fabricación de un producto como en el proceso es necesario intercambiar información, por tanto Ingeniería de producción y diseño de producto deben estar ligados. Esto influye en:

  • Mantenimiento predictivo.
  • Planificación, Ejecución y Servicio de las instalaciones.
  • Da lugar al resto de pilares de la industria 4.0.
    1. Simulación. Imitar el funcionamiento de las instalación para saber antes de montar la infraestructura. Esto es un ejemplo a nivel de planta, pero se puede hacer a nivel de celda y nivel de máquina.
    2. Big Data: Explotación de datos generados para llevar a cabo una trazabilidad del producto que lo genera y tomar medidas en tiempo real.
    3. Cloud: Servicio en la nube. Empresas son reticentes pero se implementará cada vez más. Dejar en manos de profesionales ciertos servicios.
    4. Machine Learning: Las máquinas aprenden de su comportamiento y toman deciciones.
    5. Robótica: Específica la colaborativa que interactúa con personas. No son rápidas por seguridad de las personas. Tareas repetitivas sustituirán a las personas, pero hasta cierto punto.
    6. Dispositivos móviles: BYOND, wereables (gafas, picking by voice) todo interconectado.

Ya sobre las 11:30 hasta las 13:00 “Situación de la Ciberseguridad Industrial 4.0 en Europa (Alemania, Francia y España)” con Jens Wiesner (BSI, Alemania) Jérôme Sobecki (ANSSI, Francia) Juan Delfín Peláez (INCIBE, España). En esta ocasión el objetivo era cómo distintos organismos de países europeos abordan la ciberseguridad industrial y protección a Infraestructuras Críticas.

Alemania:

El enfoque de la seguridad en IT es distinta a la OT, exponiendo dos ejemplos sobre incidentes en Hospitales y Plantas Nucleares. Para proteger las insfraestructuras críticas existe The Federal Office for Information Security (BSI) la cual se apoya en la una ley específica que regula lo relacionado con la seguridad para Tecnologías de Información, denominada (ITSecAct).

vii-congreso-04

Ya en concreto sobre la protección a Infraestructuras Críticas se habla de la identificación, categorización, criterios y métodos de protección. Más Información:

Enlace.

Enlace.

Enlace

Enlace

Enlace

Enlace

Enlace

Francia:

La exposición del ponente francés plantea muchas similitudes con el ponente Alemán.

En este caso la responsabilidad recae sobre ANSSI, (Agence Nationale de la Securite Systemes de Information) cuyo dos misiones principales son prevenir y reaccionar ante ciberataques,  constituyendo como deberes: prevenir, defender e informar.

vii-congreso-05

A continuación se realiza la aproximación sobre la protección de Infraestructuras Críticas aplicando el concepto de CIIP (Critical Information Infrastructure Protection). Aquí destacar el concepto sobre el que trabajan que lo denominan Operador de Vital Importancia (OIV) definiendo doce sectores como agua, energía, defensa, etc. Para protegerlas manejan 4 medidas principales como son:

  1. Security Rules
  2. Notification
  3. Inspection
  4. Major Crisis

ANSSI establece grupos de trabajo con Fabricantes, compañías privadas, integradores y otros actores. Dentro de su método de protección se definen 3 niveles, Riesgo o impacto, bajo, medio y alto realizando una clasificación, en función del activo, el riesgo y la probabilidad de que tenga éxito, definiendo vectores de ataque, atacantes, vulnerabilidades e impacto del incidente.

Finalmente se hace un caso de estudio de un túnel para vehículos.

Para más información:

Enlace.

España:

Finalmente llega el turno de España, de la mano de INCIBE. El exponente hace referencia a la Directiva Europea de protección e las Infraestructuras Críticas, la cual obliga a

  1. Cada país debe disponer de una estrategia de ciberseguridad.
  2. Definir autoridad competente.
  3. Implementar medidas para garantizar nivel de ciberseguridad.
  4. Obligaciones de los proveedores de servicios

En referencia a las Infraestructuras Críticas, España tiene la ley LPIC y documentación específica sector que regula las medidas a tomar según actividad.

vii-congreso-06

Desde hace poco tiempo ha surgido el CERTSI, que resulta de la colaboración de CNPIC e INCIBE. CERTSI ofrece una amplia variedad de servicios como:

  1. Servicios de Information gathering, geolocalización para las empresas u operadores críticos que se adieran a sus servicios.
  2. Bitácora de incidentes.
  3. Avisos de Sistemas de Control Industrial.
  4. Guías y recomendaciones.
  5. Habla herramienta

Finalmente se está editando un esquema Nacional de seguridad Industrial (ENSI), un instrumento para la mejora de la ciberseguridad de las empresas del sector industrial, especialmente particularizado a Operadores Críticos, para minimizar los riesgos relacionados con la ciberseguridad. Allí se incluye un indicador de Ciberresiliencia para conocer cómo de fuerte son las infraestructuras críticas para soportar un incidente de seguridad.

La conclusión es ver cómo 3 países a través de las distintas agencias lleva cabo actividades, servicios e iniciativas para proteger sus infraestructuras críticas y sistemas de control industrial instaurados en el sector tanto público como privado.

La siguiente se tituló “Protegiendo la integración de SAP con la planta industrial” con Juan Bautista López (Desarrollo de Negocio Seguridad,Tecnocom) Alfonso Moreno (Gerente de Soluciones de Gestión Empresarial, Tecnocom) Andrés De Castro (IoT Partner Business Manager, Cisco).

Se explica la aplicación de SAP para la industria 4.0 y llevar a cabo los nuevos retos que se presentan. Se habla de una nueva suite de productos denominada S/4HANA,  simplificada y basada en las mejores prácticas para la industria. Se compone de:

  1. SAP Manufacturing ERP
  2. SAP MII
  3. SAP EWM

vii-congreso-07

Un mensaje destacado fue la importancia de proteger este tipo de software como SAP, que almacenan información relevante de la información, más aún cuando éstas interactúan con entornos OT y los dispositivos que subyacen en él. Los sistemas SAP son objetivo de espionaje, sabotaje, fraude o terrorismo. Luego CISCO hace una presentación desde su punto de vista. La integración aporta valor añadido pero aumenta su complejidad que es necesario securizar. Para CISCO es un todo:

  1. Seguridad en la comunicaciones y dispositivos.
  2. Visibilidad y control de los dispositivos.
  3. Análisis e inspección de paquetes. Estudiar patrones y tendencias.

Para conseguirlo se presenta equipos como el ISA 3000 y productos como “Edge Analytic Fabric”.

vii-congreso-08

14:30 – 15:00

La empresa StormShield bajo el titulo “Implemente su política de seguridad industrial 4.0 con protección de la red y de los equipos terminales” con Robert Wakim (Industrial Engineering Director StormShield) Presentó la gama de productos para entornos industriales como “Stormshield NetworkSecurity” y “Endpoint Protection”, basado de seguridad de red (SNi40) y software endpoint.

vii-congreso-09

Se realiza una demostración práctica en el que simula un ataque. El objetivo es un depósito de aguas que es supervisado por un HMI y controlado por un PLC de Shneider y que se comunican por ModBus. Además, en medio hay un FW SIN40 para proteger las comunicaciones. Lo que se demuestra es que al abrir un fichero no autorizado el Endpoint no permite la ejecución una aplicación que lo realiza.

15:00 – 15:30

Siguiendo con más llegó el turno de Marc Blackmer (Director de Servicios de Ciberseguridad Industrial, CISCO) y de la ponencia “Educando por Diversión y sin Ánimo de Lucro”. Nos presenta la idea de demanda de profesionales en el sector  de la ciberseguridad y la manera de iniciar a jóvenes en este ámbito por medio de la diversión y el aprendizaje progresivo.

vii-congreso-10

Como dijo, “Puedes decepcionar a un adulto pero no a un niño”. Para ello hace un repaso de distintos eventos donde se propone a los asistentes tratar de hacer con un equipo algo distinto a lo que estaba destinado originalmente. En el camino se descubren nuevas deficiencias, mejoras, funcionalidades, vulnerabilidades y se establece un proceso de enseñanza práctico.

Para alcanzar este propósito se habla de la iniciativa en la que participa y promueve junto con otras personas como es 1NTERRUPT.

16:00 – 16:30

Más tarde Arkaitz Gamino (CTO, ITS Security) Iñaki Eguía (CINO, ITS Security) nos presentaron “Defensa activa de la zona OT”. Nos hablaron de Unit71 y de cómo desde el respaldo de otras empresas del grupo industrial al que pertenecen ofrecen una gama de servicios basados en el principio “seguridad industrial, desde la industria”. Se habla de cómo afecta la ciberseguridad considerando las características de la actual y de la importancia que cobra la protección y reducción de riesgos, mostrando la fórmula:

Overall Equipment Efficency = Disponibilidad x Rendimeinto x Calidad.

vii-congreso-11

Se citan vectores de ataques, como USB, redes Wifi inseguras, Redes no separadas y segmentadas, etc. y sobre todo resaltar  la seguridad como un proceso que requiere una vigilancia activa, basado en Defensa Pasiva (Antivirus, IP/IDS, Firewall. Etc) y Defensa Activa (Caracterización de las amenazas, Monitorización, Respuesta ante incidentes, Análisis Forense y Aprendizaje). En base a esto, presentan los servicios de iSOC (Industrial Security Operation Center) de Unit71 desde donde se ofrecen servicios que cubren estos aspectos.

16:30 a 17:00

Continuando con las ponencias llegó “Cómo lidiar con la amenaza interna en entornos de operación e infraestructuras críticas. El Insider Threat Program (ITP)” con Fernando Sevillano (Director de Ciberseguridad Industrial, LOGITEK). Ésta se centraba en la amenaza humana basado en la figura “Insider Threat” y de cómo ha aumentado suponiendo un riesgo cada vez más elevado. Sus características son,

  1. Conocimiento de redes, sistemas
  2. Hay una mala intención
  3. Ha afectado a la seguridad con intención o desconocimiento.

vii-congreso-12

Y dentro de las acciones que llevan a cabo se pueden centrar en:

  1. Acceso no autorizado,
  2. Exponer datos sensibles,
  3. Denegación de servicio.

De esta manera se plantean una serie de medidas para mitigarlo, centrándose especialmente en prevenir, detectar y responder. Se repite la canción. Logitek propone desde su punto de vista, los controles que podemos llevar a cabo para detectarlos. Un checklist con 13 puntos donde nos dice, qué debemos comprobar, cómo analizar candidatos en los procesos de selección, considerar a los trabajadores como amenazas, corroborar políticas, monitorizar accesos y sistemas que detecten comportamientos anómalos, etc.

17:00 – 17:30

Aquí Miguel García-Menéndez (Vicepresidente, Centro de Ciberseguridad industrial) nos habló del “El directivo 4.0”. La ponencia trata sobre todo de los retos y oportunidades que presenta la era digital. Comenzó por habladnos de la actividad de KPCB.

vii-congreso-13

A lo largo de la ponencia analiza las estadísticas mostradas en los reportes anuales que hace esta empresa donde se ve que lo digital sigue siendo un campo de oportunidades. Se citan estimaciones del dinero que se espera mover en este ámbito. Sin embargo no todo son alegrías, solo el 25 % aporta valor. Para esos retos en el proceso de digitalización se abordan distintas cuestiones a la hora de emprender como:

  1. Arrancar
  2. Metas cambiantes.
  3. Preguntas inquietantes.
  4. No compensa
  5. Miedos
  6. Incentidumbres
  7. …..

17:30 – 18:00

Para terminar llegamos a “Implantación y Certificación SGCI en Sistema de Supervisión de Plantas Industriales” de la mano de Juan Luis Carús (Director de Proyectos, Grupo TSK). Tras una presentación de TSK se nos habla de un caso de uso de la implementación de la Guía editada por el CCI sobre Sistema de Gestión de la Ciberseguridad Industrial donde José Valiente explica el objetivos y características destacando Premisas (Aplicación inmediata y Facilidad en el uso) y otras guías sobre las cuales se han basado para editarla (ISO/IEC 27001, ISO/IEC 27002, IEC-62443).

Así llegó el momento de presentar un caso de uso. Se centraba precisamente en la implantación la guía del CCI en el puesto de telecontrol para la herramienta propia de TSK SisRem para plantas solares de sus clientes.

vii-congreso-14

Tras ésta, se dio por finalizada la primera de las jornadas. Variada, con distintas temáticas pero en cualquier caso interesante y muy productivas, aunque como siempre uno tiene sus preferencias y hay algunas que gustan más que otras.

En breve, publicaré la crónica del segundo día, pero por ahora aquí os dejo esta.

Un saludo!

Crónica: I EuskalHack Security Congress

El pasado 18 de junio se celebró en San Sebastián la primera edición de “Euskalhack Security Congress”, un evento organizado por la asociación de lleva su nombre “Euskalhack” y que su propio nombre ya da pistas sobre qué iba el tema…

pic00 (1)

Pasadas las 09:15 Jokin Guevara empezó con su ponencia sobre “IoT Toys, scary but real” en la que nos habló de esos “inocentes” juguetes conectados a Internet que ofrecen la posibilidad de interactuar con el usuario (en este caso niños). Poniendo como ejemplo el análisis sobre un coche teledirigido, se exponía su modo de funcionamiento, la manera en la que se conectaba con otros dispositivos (se creaba un Punto de Acceso propio) y cómo se emitían las imágenes que su cámara captaba. Encontradas vulnerabilidades y debilidades del producto, el fabricante fue notificado y como en otras circunstancias aún se sigue sin respuesta. En fin…

Euskalhack_01

 

La siguiente charla estaba programada para que fuese impartida por Pedro Sánchez bajo el lema “Evasión de Antivirus y ataques en canales encubiertos”, pero por circunstancias debió ser reemplazada por Adrián Ramirez con “Autopsia a un Rasomware”. Uno de sus clientes tuvo una infección de Locky en sus sistemas y tanto él como su equipo les ayudaron a recuperar la información y solventar el problema. Por el camino fueron haciendo un análisis del “bichito en cuestión” abordando temas como cambios en registro, comportamiento, comunicación con C&C, métodos de infección, y vacunas contra las distintas versiones que les fueron sucediendo hasta un total de 4. Una curiosidad, si el idioma y el teclado del sistema estaba en ruso, no se ejecutaba…

Euskalhack_02

Tras el café, Pablo San Emeterio y Jose Miguel Cañete se metieron en el tema de “Vigilancia Autónoma con Drones”. La idea surgió ante el desafío de un amigo sobre cómo poder ahorrarse los 600 € de instalación y 40 €mensuales de mantenimiento para la instalación de un sistema de vigilancia privado en su casa. Primero introdujeron un coche teledirigido dotado cámaras con funciones de reconocimiento facial, que podría identificar la posición de un intruso. También etiquetas QR pero a modo de balizas para definir una posición concreta. Una vez detectada la anomalía manda una señal a un dron que inicia su vuelo para dirigirse a la ubicación de ladrón, paparazzi, sacarle unas fotos y poderlas enviar a un almacenamiento externo. Para ello utilizaban una RasperryPI y componentes afines. Todo se desarrollaba bajo el radio de una red wifi, pero la idea era ampliarlo a señales tipo UMTS.

Euskalhack_03

Luego llegó la hora de Ben Herzberg con “Emerald City of Cyber Security”. En esta ocasión se hizo un recorrido con por el errores existentes en los sistemas y herramientas de seguridad que se creen avanzados o en vías de serlo. Curiosa la puesta de escena por momentos en los que para ver las diapositivas de la presentación hubo que ponerse unas gafas tipo 3D. Entiendo sería una analogía a lo que no vemos pero, realmente sucede. En una de ellas se podía apreciar en el caso de la autenticación, cómo en el proceso de autenticación, éstas pasaban por varios sistemas y por tanto si alguno de ellos son vulnerables, pues… adiós “user” and “password”.

Euskalhack_04

Pasada la anterior vino Gorka Vicente con su “From WAF to RASP”. Aquí la ponencia se basó en la evolución de estos sistemas y lo que se pretende cubrir. Se parte de la base de que las aplicaciones web no son diseñadas para ser seguras sino funcionales. La seguridad viene a posteriori, una vez que ya está hecha la herramienta. En el paso de la securización esto presenta un problema ya que la implantación de un WAF requiere un aprendizaje para detectar un comportamiento correcto y a partir de ahí definir lo que es bueno y malo. Al final se llega a la idea de RASP (Runtime Application Self-Protection), esto es, las aplicaciones sean diseñadas contemplando la seguridad, evitando así derivar ésta en otros equipos. Esto proporciona beneficios como evitar falsos positivos, la aplicación conoce su funcionamiento y conoce lo que se puede o no hacer; no es necesario un aprendizaje como el WAF; no es necesario dispositivos o appliances extras; y otros varios más.

Euskalhack_05

Llegó la hora de reponer fuerzas y aprovechar para comer y conversar un poco sobre todo lo visto. En las propias instalaciones disponíamos del restaurante con lo que no tuvimos que pasear buscando sitio por los alrededores y evitar esperas, que luego quieras que no, pueden hacerte llegar tarde a las presentaciones siguientes. El menú, estupendo, pasta, pollo asado, patatas, coca-cola y postre, todo incluido con la entrada.

 

Las charlas por la tarde comenzaron con Pedro Candel “TEMPESTad en OSX “El Capitán” 10.11.3”. Bueno , bueno, bueno, yo creo que aquí no hubieron preguntas no por vergüenza sino por lo “acojonaos” que nos quedamos según comentó uno de los asistentes. Por mi parte, opino igual. A ver si lo explico, el propósito era cómo, a partir de las señales electromagnéticas generadas por los dispositivos electrónicos, poder captar éstas y hacerse con los la información que las produce. Esta técnica puede ser empleada por los servicios de inteligencia para hacerse con la información que es procesada por equipos electrónicos en ese instante. Una cosa es leer acerca de Tempest y otra es verlo funcionar… De acuerdo que el ponente lo hizo con una radio, a pocos centímetro de su PC, y eso, pero con los recursos que tiene los Gobiernos y Agencias de Inteligencia, como que… nada se les resiste. En fin tela, telita, tela…

Euskalhack_06

Vino la hora de Kaspersky sobre “Ladrones, espías y otros adversarios: el mundo real de las amenazas digitales”. En principio la iba a dar Dani Creus y Koldo Valle, pero fue expuesta por Luis Brande. El objetivo era claro, repasar la trayectoria de los incidentes y los que lo producen para así ser conscientes de lo que ha habido, hay y está por venir. Aquí el fabricante expone su posición y la manera en la que colabora para poder aprender de lo conocido y tratar en la medida de los posible y preparase para lo que nos pueda caer. En cualquier caso se pasa de la notoriedad de los inicios hasta la organización de individuos para llevar a cabo campañas para la obtención de beneficios económicos y sabotajes. Una vez más concienciar y formar para no caer en las trampas.

Bueno, bueno, bueno menuda sorpresa. No me podía imaginar lo amena que puede llegar a ser una charla de un Fiscal de Delitos Informáticos como es Jorge Bermúdez en materia de “Medidas de Investigación Tecnológica”. Otro punto totalmente distinto, pero con una similitud que quedó resumida en una frase que me quedó grabada “Al fin y al cabo los Fiscales y los Informáticos no somos tan diferentes; ambos aplicamos “Código” vosotros sobre máquinas y yo sobre personas (el penal, claro)”. Se abordó el tema de cómo ha cambiado la justicia para hacer frente al nuevo escenario de delito en materia informática para que fiscales y jueces puedan ser más eficaces en su lucha. Se contaba con una legislación inexistente o que no contemplaba los nuevos escenarios y que ha sido adaptada. Ya no se pueda hablar de autorizar escuchas telefónicas, sino además las telemáticas; ya no se habla del propietario de la línea sino también del usuario; ya es sólo inspeccionar un portátil, ahora también se incluyen las cuentas Cloud; y un largo etcétera. Y por supuesto mencionar el problema a los que se encuentran las autoridades por desconocimiento en la materia, que al fin y al cabo son los que tiene estas responsabilidades.

Euskalhack_07

Otro descansito para coger fuerzas y seguimos con los otros temas. El relevo lo tomó Josep Albors con “El desmadre del Internet de las Tortas”. Madre mía, que peligro de que todo esté tan interconectado y no se tomen las medidas. Nos contó algo que ya había adelantado Jokin Guevara al inicio del congreso y es que hasta los calentadores de agua, hornos, frigoríficos y todo cuanto podáis imaginaros tiene una tarjeta de red wifi y se conecta a internet o a otros dispositivos. No me podía creer que hasta un consolador podría conectarse al móvil y desde allí tener una aplicación para ver tus “estadísticas”. ¡Pero a quién se le ocurren estas cosas! Ya con temas más serios se metió con un rifle que corregía su posición mediante una aplicación; un marcapasos con vulnerabilidades que podrían llegar a ser explotadas; equipamiento médico con pantallazos de “Error” en las aplicaciones controlan suministros de medicamentos; bombas de insulina. También como no, hornos conectados a redes wifi y a los que se les podría modificar temperaturas, temporizados y demás parámetros. Muy interesante y concienciador el tema.

Euskalhack_08

Y para cerrar la jornada de ponencia llegó Joxean Koret con “La gran mentira: la seguridad como producto”. Comentó al inicio que estaba algo nervioso ya que era la primera que daba que no fuese meramente técnica, pues la verdad que lo hizo con la misma soltura y dominio que cualquier otra. Nos hizo ver cómo la seguridad no pasa por tener un antivirus o solución de seguridad, y que los mensajes que estas transmiten no son ciertos. No hay seguridad con un “click”; que te proteja contra “0 Days”; te garantice el 100% de la seguridad. Nada de eso. Aparte dependiendo si eres un usuario doméstico, una PYME, una gran organización, un Gobierno o una ONG puede las medidas son, eso sí 100% inútiles. Falsas creencias como anonimatos, cifrado de comunicaciones, uso de TOR, VPNs, y otras tantas se en que son ineficaces contra los recursos de los que disponen sobre todo los Gobiernos y Agencias. Puede que puedas resistir un poco, pero al final ellos son más fuertes. No disponemos ni de sus medidas tecnológicas ni de sus recursos económicos.

Euskalhack_09

Y ya por concluir se hizo entrega de los premios del CTF y sorteo de unos libros a los asistentes. Un puntazo que al ganador del ejercicio le hiciese una “Txapela” como se hace a los ganadores en estos lares.

Luego vino el disfrute con unas copas en un ambiente más relajado, al que no pude acudir ya que había que volver a casa. Me quedé con las ganas. Otra vez será.

Como conclusión es que la jornada se pasó muy rápido, lo que denota lo interesante y bien organizado que estuvo todo. Agradecer a la organización, voluntarios y patrocinadores que lo han hecho posible, pero sobre todo a los que han tomado la iniciativa de hacer una evento de estas características y de asumir la responsabilidad que eso conlleva. Las primeras veces siempre hay riesgos de que haya cosas que no salgan todo lo bien que esperas, o que surjan imprevistos para los que haya que buscar soluciones “on the fly” pero en este caso que, para mi forma de ver las cosas, no ha podido salir mejor. En cualquiera de los casos la organización se ha ocupado de hacerse eco de los puntos de vista que cada cual pueda aportar para seguir perfeccionando este evento que para el año que viene seguro nos sorprende como lo ha hecho éste.

Muchas gracias!!!!

Un saludo.

Crónica de Curso “Ciberseguridad en IACS”

En esta ocasión la cosa no va a ir de temas técnicos sino más bien, va a ser una crónica de un curso que he realizado recientemente. Ha sido la primera edición, con lo que me parece positivo dar a conocerla para que más gente se anime y se haga eco de los nuevos cursos que están por venir, así más y más profesionales sigamos formándonos en distintas áreas .

El curos en cuestión se ha denominado bajo el nombre “Curso Avanzado de de Ciberseguridad y Sistemas de Control y Automatización Industrial” y ha sido impartido por INCIBE (Instituto Nacional de Ciberseguridad; lo que era antes INTECO”) vía ONLINE.

Llevo 4 años presando servicios como Técnico/Administrador de Redes y Seguridad en una fábrica dedicada al sector de la automoción, y muchas veces me ha tocado que resolver los problemas de conectividad de Robots, Autómatas, Controles de Soldadura, configurar reglas de firewall para sistemas SCADA, etc. Tenía mucho interés por aprender más sobre este tipo de dispositivos y puesto que todos ellos de una manera u otra se “conectan” a la infraestructura de comunicaciones, pues era mi oportunidad.

Dicho esto, a continuación os dejo el enlace del video promocional para que veáis la idea que se persigue y la forma que se imparte:

Enlace

El curso se divide en 7 Unidades, de las cuales haré un breve resumen general ya que no se desea revelar demasiada información sino despertar la curiosidad:

Unidad 0: Bienvenida al curso avanzado de ciberseguridad industrial

Una presentación del curso en general donde se explica el calendario, actividades, normativa, recursos, criterios, manuales, test, etc.

Unidad 1: Introducción a los sistemas de control y automatización

Aquí ya se empieza con la materia en sí. Se abordan temas como historia de la automatización, evolución, problemas de seguridad, particularidades, etc.

Unidad 2: Estudio detallado de los distintos dispositivos de control

Enumeración y descripción de los elementos que intervienen en el proceso de automatización industrial, configuración, parametrización y medidas de seguridad nativas.

Unidad 3: Conceptos fundamentales de las comunicaciones industriales

Propósitos de las comunicaciones, medios físicos, protocolos, tipos de comunicación.

Unidad 4: Sistemas SCADA, historiadores y otros aplicativos

Modelos de implantación, funcionalidades y campo de actuación de los sistemas SCADA, Historización, soluciones BATCH, MES y BII.

Unidad 5: Estudio detallado de amenazas y vulnerabilidades de seguridad 

Amenazas en entornos industriales, vulnerabilidades diseño, desarrollo, operación y mantenimiento; factores de riesgo; incidentes de seguridad. 

Unidad 6: Presentación de iniciativas, buenas prácticas y soluciones

Aproximación a la protección a los sistemas de automatización y control; iniciativas de seguridad a nivel mundial; métodos, modelos, técnicas de seguridad.

Unidad 7: Visita virtual y demostraciones prácticas de seguridad

Introducción a las redes de distribución eléctrica y “Smart Grids”

Evaluación final y encuesta de satisfacción

Examen final de todo el curso y encuesta de satisfacción.

Cada “Unidad” a su vez se subdivide en distintos “Apartados” que abordan de manera específica los temas a tratar. Todas las “Unidades” y “Apartados” cuentan con un documento en formato .pdf, siendo el contenido de estos últimos un resumen del de las respectivas unidades. Adicionalmente cada “Unidad” dispone de un video introductorio. Los “Apartados” también tienen el suyo donde se explica de manera audiovisual su contenido. En algunos casos los documentos y videos tienen contenido muy similar, pero no igual. Es material didáctico complementario y no excluyente. Ojo, a esto!!!

En general cada “Unidad” posee dos ejercicios, uno de investigación y otro práctico. El de investigación se basa en búsqueda, análisis, y desarrollo de información sobre temas propuestos. Los prácticos se basan por ejemplo, en la instalación de software de prueba o libre para realizar distintas actividades como simulación y análisis de cierto tipo de tráfico de comunicaciones industriales.

Aparte la plataforma cuenta con un Blog donde se deberán “subir” los ejercicios prácticos donde los distintos alumnos podrán ver su contenido y votar en consecuencia.

A la hora de evaluar cada, “Unidad” tiene un test final que, para obtener el diploma final, hay que aprobarlo junto con uno  el final. Adicionalmente cada “Apartado” tiene el suyo propio, cuyo objetivo es evaluar los conocimientos. Estos no puntúan, si se suspenden no pasa nada, aunque es muy recomendable hacerlos.

En dos casos, las actividades han de ser plasmadas en documento “Word” o “PDF” para que sean evaluadas por los propios compañeros y calificarlas del 0 al 100 según su propio criterio.

En general, he quedado muy contento con el curso y ha cumplido con mis expectativas. El contenido de los materiales es muy bueno y la inclusión de video ha dinamizado el aprendizaje ya que muchas veces los cursos se basan en documentación escrita que aburre un poco. Con los videos es distintos. Hay que valorar el esfuerzo que supone la edición y maquetación de los mismos.

Otro de los aspectos destacables son los ejercicios, tanto de investigación como prácticos ya que te obliga a trabajar y profundizar en los distintos temas. Esto marca la diferencia con otros cursos que te explican las cosas, te ponen un test y listo. Aquí tienes que “currártelo” más, y eso me parece positivo para el aprendizaje.

Sin embargo no todo ha sido perfecto. Como en todas las cosas que se hacen por primera vez se pueden cometer errores o mejorar ciertas cosas. Por ejemplo, al principio se estimaba que la duración era de 36 horas y luego que no. La organización amplió posteriormente esta cifra a 50. También algunas preguntas de test podían tener a mi juicio (otros alumnos se pronunciaron igual) más de una posible respuesta válida que repercutía en el fallo de la misma. Lo malo es que no se despejaba la duda con lo que te quedas con ella.

Pero bueno, estoy seguro que los responsables tomarán nota de esto último y lo corregirán para futuras ediciones.

En resumen, recomiendo a todo aquel que desee aprender sobre este campo que se apunte y que lo hagan ya que, en mi caso, he aprendido mucho sobre estos sistemas. Ahora queda seguir formándonos, leer, practicar y seguir mejorando.