Amenazas sobre ICS (Parte II)

Hace unos días hablaba de las amenazas que afectan a los Sistemas de Automatización y Control Industrial, tratando en concreto las de carácter no intencionado. En la entrada de hoy abordaremos las restantes, esto es, las que van dirigidas expresamente hacia ellos, las intencionadas.

A diferencia de las anteriores éstas tienen un origen humano, bien directa o indirectamente por medio de la creación de código o software.

Para ellas podemos definir 6 grandes grupos, como son:

  1. Empleados descontentos
  2. Individuos / Pequeños grupos / Hacktivistas
  3. Competencia
  4. Grupos Criminales
  5. Terroristas
  6. Servicios de Inteligencia / Gobiernos

EMPLEADOS DESCONTENTOS

Los empleados descontentos, o también llamados en la lengua de Shakespeare “Insiders”, son la fuente de amenazas más importante, y común, para los sistemas de control y automatización. El personal interno dispone de toda la información sobre ellos y en consecuencia el conocimiento sobre su operación, configuración, funcionamiento, criticidad, componentes, debilidades, etc.

No obstante, también se debe tener presente a los antiguos empleados que, aunque ya no disponen de acceso a las instalaciones y dispositivos, sí pueden tener conocimiento de la operativa, infraestructuras, accesibilidad remota si la hubiera, etc. Debido a este hecho, podrían en un momento dado, llevar a cabo acciones desde fuera de la organización que sean ejecutadas de forma exitosa como por ejemplo un DoS. Enlace.

INDIVIDUOS / PEQUEÑOS GRUPOS / HACKTIVISMO 

Dentro de este grupo incluímos a personas que actúan de forma individual o conjunto reducido de ellas movidos principalmente por un afán de notoriedad o protagonismo. Su fin último no es poner en peligro al proceso industrial y la organización que está detrás, sino su propia publicidad y reconocimiento. También podremos encontrarnos a los denominados “Script Kiddies” que iniciándose en el manejo de herramientas de libre distribución pueden producir algunos daños.

Por otro lado tendríamos grupos tales como Anonymous, LulzSec, GhostSecurity que llevan a cabo ataques o acciones contra objetivos concretos. Generalmente se trata de ataques del tipo DoS o DDoS, sin embargo también podremos encontrarnos con la publicación de información, previa intrusión en sistemas.

COMPETENCIA 

Las compañías rivales si algo desean saber son los movimientos de la competencia para poder tomar las medidas necesarias y alcanzar una ventaja frente a otras empresas del sector. Toda información sobre funcionamiento, políticas, estrategias, inversiones, es bien recibida. Incluso pueden llegar a recurrir a grupos criminales que lleven a cabo sabotajes contra intereses o infraestructuras con tal de perjudicar su imagen. No podemos eludir el denominado espionaje industrial que nada tiene que ver con este punto pero que puede ayudar en lo que a la recolección de información se refiere. Enlace. Enlace.

GRUPOS CRIMINALES 

Los grupos criminales atacan los sistemas de control para chantajear a la industria y pedir dinero a cambio de no revelar información sensible. Otra de los movimientos consiste amenazar con dejar sin control a los operarios legítimos o exigir un monto económico a cambio de devolver el control sobre los sistemas. Hay que tener en cuenta que dependiendo de las instalaciones las consecuencias pueden llegar a ser bastante graves, no sólo a la población civil sino a la ecología.

TERRORISTAS 

Hasta hace no hace mucho se consideraba a los grupos terroristas no suponían una amenaza a nivel lógico, pero sí a nivel físico. Las amenazas de esta índole se basan en la destrucción de las infraestructuras, principalmente las críticas, con el objetivo de desestabilizar el funcionamiento de un país por motivos políticos, religiosos, o sociales. Sin embargo grupos como Estado Islámico ya disponen de fieles dedicados a llevar su guerra por medio de acciones a través de Internet (Link) (Link). Tal es el caso del denominado Cybercalifato.

SERVICIOS DE INTELIGENCIA EXTRANJEROS / GOBIERNOS 

No es ninguna novedad, ni ningún secreto que los servicios de inteligencia de distintos países realizan actividades de espionaje y captura de información dentro y fuera de sus fronteras.  ¿Qué se puede decir a estas alturas de la NSA, verdad?. No sólo poseen recursos tecnológicos, económicos y legislativos, sino también la inmunidad y protección de otros estados aliados que persigan el mismo objetivo. Link.

En fin, como podemos comprobar son varios los principales focos de amenazas a las que todo Sistema de Control y Automatización puede llegar a enfrentarse, lo cual no quiere decir que vayan a darse necesariamente. Pero haberlas, las hay. Todos somos conscientes que la seguridad al 100 % no existe y de lo que se trata es reducir los riesgos, minimizando nuestra exposición y debilidades.

Podemos representar que:

Riesgo = Amenaza x Vulnerabilidad x Impacto

Con la entrada XXXXXXXXX y la de hoy hemos abordado la primera de las variables, tanto en su origen no intencionado como intencionado.

El impacto dependerá en gran medida de la actividad a la que se dedique la instalación ya que, no será lo mismo si hablamos de una estación eléctrica que deje sin luz “sólo” a una población de 250.000 personas; una refinería que provoque un desastre ecológico por derrame de combustible o una fábrica que deba de para su producción por ejemplo por 24 horas.

Sin embargo en lo referente a las vulnerabilidades ya hay que considerar algún punto más que lo dejaremos para futuras entradas así como los distintos vectores de ataque.

Espero que haya sido de vuestro agrado, nos vemos en la siguiente.

Un saludo!

Amenazas sobre ICS (Parte I)

Como hemos podido comprobar en estos últimos años el número de ataques a Infraestructuras Críticas e Instalaciones Industriales ha ido en aumento. Aquellos buses de campo que hace tiempo atrás quedaban aislados de las redes empresariales poco a poco han ido incorporándose a ellas gracias a la implementación de protocolos de basados en TCP/IP. Si bien las funcionalidades y posibilidades han crecido esto ha generado a su vez que queden expuestas a actividades hostiles por parte de personas físicas o malware concreto para IACS. Así pues, esta visibilidad hace que debamos tomar más precauciones.

Inicialmente se hablaba del “air-gap” como medida de protección. Si bien puede resultar efectiva en algunos entornos, la implementación de ciertos servicios como monitorización y recolección de datos de los equipos de Automatización y Control obliga que éstos estén accesibles desde los sistemas SCADA y a su vez por los agentes y personal encargado de visualizar los datos en ellos representados. De esta manera, ha habido que adaptarse e implementar el concepto de “Defensa en Profundidad” como medida que más puede reducir los riesgos de que un ataque pueda ser satisfactorio.

En cualquier caso al margen de la estrategia de protección empleada cuanto más, expuestos estén nuestros sistemas de control, la amenza es mayor. Entendiendo por amenaza la posibilidad de que un evento o una acción determinada ocurra produciendo un daño material o inmaterial sobre los componentes de un sistema o un conjunto de ellos. Esto es, daños a nivel físico como lógico.

A modo general podríamos catalogar a estas amenazas en dos grandes grupos, intencionadas y no intencionadas. Si bien la mayor parte de ellas son de carácter no intencionado, aunque existe una claro aumento de las intencionadas.

Amenazas no intencionadas.

Las amenazas no intencionadas, podemos decir son todas aquellas que no son dirigidas deliberadamente contra el  sistema de control y automatización, pero que, por una u otra causa aún y así pueden ser un peligro para éstos. Normalmente, las amenazas no intencionadas están relacionadas con fenómenos que están fuera de nuestra capacidad de gestión.

Así pues es posible marcar una división entre aquellas que tienen un origen humano y las que no, estableciéndose entre todas, cuatro grandes grupos:

  1. Safety
  2. Fallos de equipamiento
  3. Desastres Naturales
  4. Humanos

FALLOS DE “SAFETY”

Por “safety” entendemos todas aquellas medidas que ayudan a evitar de un accidente, relacionándolo con términos como prevención, seguridad en el proceso, figuras de ingenieros industriales. Al tratarse de instrumentación mecánica y/o electrónica debido al uso, fatiga o deterioro de materiales, pueden provocarse daños en los sistema de control y automatización y por tanto, en el propio proceso industrial.

Estos fallos de los sistemas de “safety” no sólo incluyen los problemas que pueden tener los sistemas de protección tanto del equipamiento físico controlado (por ejemplo: interruptores,  dispositivos de emergencia, detectores de posición, etc.) sino también el personal que lo manipula (por ejemplo: técnicos de mantenimiento, retenes, etc.). Aquí os dejo un artículo publicado por INCIBE donde lo explica muy bien, picha aquí.

FALLOS DE EQUIPAMIENTO

Al igual que sucede con los sistemas de safety, los dispositivos de automatización y control son elementos hardware con muchos componentes electrónicos. Si bien se caracterizan por una gran robustez y durabilidad no están exentos de sufrir fallos como pueden ser avería de la fuente de alimentación, módulos de comunicaciones, agotamiento de recursos de memoria, etc. Sea cual sea la causa, la operatividad y disponibilidad de las instalaciones puede verse afectada hasta el punto de quedar inutilizable total o parcialmente.

DESASTRES NATURALES

Aquí quedan recogidos todos aquellos sucesos medioambientales con consecuencias graves o incluso fatales y cuyo origen difícilmente se puede predecir. Por citar alguno podríamos hablar de inundaciones, terremotos, incendios, o condiciones climatológicas fuera de lo habitual. Todos recordaremos el tsunami que azotó la costa oriental de Japón en el año 2011 en la que la central nuclear Fukushima se vio dañada con las consecuencias que aparejó. También en esa ocasión un gran número de servicios de Telecomunicaciones, presas hidroeléctricas, aeropuertos, y demás Infraestructuras Críticas se vieron gravemente afectadas o destruidas.

ERROR HUMANO

Suelen decir que la fortaleza de una cadena radica en el eslabón más débil.  Dentro de la estrategia de protección el ser humano juega un papel determinante y muchas veces con nuestras confianzas, descuidos o desidia, podemos comprometer toda la seguridad de nuestra protección. Ese USB que nos pasan y lo pinchamos sin haberlo pasado primero un antivirus o ese software descargado que viene con el “crack” y aparte de la licencia nos trae otro “regalito”. Así pues, dentro de este grupo hemos de considerar los fallos producidos por descuidos o negligencias. Hablamos de memorias, pero no nos olvidemos de la existencia de otro tipo de dispositivos como los teléfonos móviles… Ya el error no es esa nota autoadhesiva con el usuario y contraseña debajo del teclado. Pero todo no son imprudencias, también puede ocurrir que sin, quererlo, nos podamos equivocar en la parametrización de un elemento  o en la carga de un fichero que no corresponde con el dispositivo en cuestión, y como es de esperar no funcione como se espere.

Como hemos podido ver, no siempre las amenazas vienen de la mano de personas o sistemas con ánimo de provocar un daño sobre nuestra organización. Muchas veces sin desearlo podemos sufrir accidentes, que cuyas consecuencias pueden ser mayores que un ataque dirigido y estudiado durante meses.

Como era de esperar próximamente hablaré de esas otras amenazas, las intencionadas, donde hablaremos esas sí que sí están hechas con premeditación, alevosía y “nocturnidad”.

Un saludo nos vemos en la próxima!