jueves, mayo 20, 2010

Shodan y Sistemas SCADA

Shodan es un buscador diferente, está pensado para encontrar sistemas realizando búsquedas basadas en las respuestas de los banners. Es por eso por lo que es diferente, porque permite buscar texto, libremente, en la respuesta que da el servidor y ser así hizo que lo tuvieramos que integrar en la FOCA. Vamos a ver unos ejemplitos utilizando SHODAN para encontrar sistemas SCADA.

Los sistemas SCADA están basados para controlar automatismos mediante programas de control. Existe toda una gran familia tecnológica tras estos sistemas que ofrecen soluciones HMI [Human – Machine – Interface] que pueden ir, desde controlar una caldera, hasta controlar toda un fábrica de lavado.

Sobre la seguridad de los mismos ha habido ya muchas charlas interesantes que han mostrado las debilidades de los mismos, como la que dieron, en la BlackHat 2006, la gente de X-Force en al que mostraron algunos paneles de control en arquitecturas inseguras.


Figura 1: Panel de control de un sistema SCADA

Estos paneles de control, además de tener interfaces muy llamativos que permitan mostrar esquemáticamente todos los controles de la planta, tienen complejos sistemas de alerta y de respuestas a incidentes basados en la configuración de alarmas, eventos disparadores y procedimientos de mitigación.

Lo verdaderamente curioso es que muchos de estos sistemas están conectados directamente a internet y se controlan por ordenadores accesibles en remotos, como el caso del ordenador que controlaba el Ciclotron que descubrió Rubén Santamarta, o, simplemente, accesibles vía web.

Con Shodan, con una sencilla búsqueda, es posible descubrir que hay conectados a la red, ordenadores con paneles de control de plantas depuradoras de agua. Para encontrar alguno de ellos, una sencilla búsqueda como http://www.shodanhq.com/?q=Ubicom+plant muestra algunos sistemas conectados. Todos ellos piden usuario y contraseña, pero el mero hecho de estar conectados a Internet es un riesgo serio que permite atacar directamente ese sistema de autenticación.


Figura 2: Equipos de planta de control de agua conectados a Internet

Para encontrar servidores que utilicen sistemas de control a través de web, se puede realizar una búsqueda, por ejemplo, por los servidores web LabView. Estos vienen integrados con soporte para realizar aplicaciones en Lenguaje G, y son muy utilizados en control instrumental. Esta consulta a Shodan y obtendremos algunos servidores utilizándolos:

- http://www.shodanhq.com/?q=LV_HTTP
- http://www.shodanhq.com/?q=LabView


Figura 3:Monitor de un sistema en griego. Ni idea de qué mide.

Algunos de ellos son utilizados como sistemas públicos, como la estación meterológica de la Universidad de Vigo del laboratorio de energía solar. Otros, pueden ser mucho más delicados, como este que permite controlar la configuración de las alarmas en los deposítos de "algo".


Figura 4: Control de alarmas en depósitos dentro de un panel de control global

Por supuesto, los paneles de control pueden ser todo lo complejos que se quiera, como el que se ve en la página inferior.


Figura 5: Panel control con LabView

También es posible encontrar este tipo de paneles de control, monitores, y sistemas mediante su búsqueda en Google. Los programas de estos servidores, en lenguaje G, tienen extensión VI, de Virtual Instruments, así que realizando una consulta a Google con http://www.google.com/search?q=inurl:cgi-bin+ext:vi se obtendrán resultados de servidores con LabView.

Para terminar, me gustaría referenciar también la presentación de Jason Larsen de la BlackHat DC 2008 sobre los sistemas SCADA. La sesión, aparte de ser muy interesante, me ha llamado la atención porque tenía un panel de control SCADA en perfecto español de una lavandería. ¿De cuál será?


Figura 6: Panel de control de una lavandería

Como diríamos en le SOCtano... ¿no es un poco turbio que estén conectadas estas cosas a Internet así como el que no quiere la cosa?

Saludos Malignos!

10 comentarios:

  1. También podemos encontrar la tira de videograbadores conectados a Internet. Especialmente sencillos de acceder ya que mantienen su user y pass por defecto :)

    ResponderEliminar
  2. no es una lavanderia, es una unidad CIP.
    Da igual que sean sistemas de supervision u otras instalaciones, la cuestión es que alguien expone los datos de forma insegura en internet por pura comodidad

    ResponderEliminar
  3. ¿y que te hace suponer que no son demos que una ingenieria cuelga en internet? ¿has confirmado los casos de las imagenes con las empresas?

    ResponderEliminar
  4. @anónimo, las imagenes que no están sacadas de las presentaciones de BH las he tomado yo.

    Saludos!

    ResponderEliminar
  5. Turbio?? Si son SCADAs de lavanderías!! Limpísimo diría yo.

    ResponderEliminar
  6. pues eso, que no es lo mismo tener visualizacion web de datos que tener la capacidad de interactuar con un proceso. vale, es facilisimo realizar la interacción, pero cualquiera sabe que no debe hacerse y que no pasaría una inspección de seguridad en el 99% de los procesos.

    ResponderEliminar
  7. Pues yo no creo que sea para tanto... como dijo el gran Woody Allen "es... como todo lo demás"

    ResponderEliminar
  8. Como desarrollador de SCADAS me he encontrado casos de sistemas SCADA que controlaban POTABILIZADORAS, Bombeos y demás sistemas de uso público conectados a la web a través de un simple router de telefónica y acceso por terminal server a saco sin políticas de seguridad ni nada por el estilo. Cualquier empleado cabreado por despido o lo que sea se conecta, modifica algunas consignas claves como dosificación de productos químicos y zas! la lia parda :-)
    Y no es por dar ideas eeeh!

    ResponderEliminar
  9. Como mola Shodan.
    Para afinar un poco más la búsqueda en los servidores que no esté prohibido el acceso se puede añadir el 200 ok en la query:

    http://www.shodanhq.com/?q=LV_HTTP+200+OK

    Así me he encontrado algún servicio que se traga inyecciones SQL de manual como roscas. Y sus desarrolladores estarán tranquilos y todo. XDD

    ResponderEliminar
  10. Interesante información, probaré el buscador Shodan

    ResponderEliminar