viernes, noviembre 29, 2013

La historia de un carnicero agradecido con un "hacker"

Hace algún tiempo, cuando estaba recopilando información para escribir el artículo sobre la seguridad de los sistemas basados en PLCs que se llamó “Tu industria en mi manos”, creé una lista bastante extensa de equipos de automatización expuestos en Internet. Cuando el tiempo me lo permite - muy de tarde en tarde -, me dedico a volver a comprobar si los sistemas continúan “vivos y expuestos”. Los resultados son desalentadores.

¿Es que nadie leyó el artículo o es que a nadie le importa realmente la seguridad de sus automatizaciones? Lo más probable es que seguramente, salvo a los que estamos cerca del mundo de la tecnología y la seguridad, al resto de las personas no les llegan estas cosas.

Con las automatizaciones que me parecen más críticas hago un esfuerzo extra, las analizo y busco algún dato que me ayude a ponerme en contacto con el responsable de ellas de forma directa para poder ayudarle en la manera que me sea posible. Y es así, de esta forma, como comienza esta historia con un carnicero.

Entre la larga lista de automatismos expuestos sin seguridad alguna, una de las instalaciones que se encontraba desprotegida en Internet, parecía a simple vista la encargada de controlar la temperatura de alguna industria cárnica.

Figura 1:El PLC de la industria desprotegido en Internet 

Husmeando con cuidado de no romper nada en la memoria del PLC, se encuentra un comando AT para enviar mensajes SMS a un teléfono móvil con las alarmas del sistema. Esto es algo muy común en este tipo de sistemas de control que pretender avisar a los responsables en el mismo momento en que se detecte un problema que pueda afectar a su negocio.

Figura 2: Número de teléfono para el envío de alertas vía SMS

Descubierto esto, quise ponerme en contacto con el dueño de la plataforma para advertirle de la situación de inseguridad en la que se encontraba, así que decidí buscar información de esta persona haciendo un poco de trabajo de campo con los buscadores de Internet.

En este caso, simplemente poniendo el número de teléfono de que aparecía como contacto del sistema de alertas, Google devuelve - entre otros - un resultado la mar de interesante. Un fichero Excel con el número de teléfono buscado que estaba almacenado en algún servidor FTP.

Figura 3: Resultados de búsqueda del número de teléfono. Un XLS en un FTP

Pero claro, no todo iba a ser tan fácil, ya que al intentar acceder al fichero, el resultado que se obtiene no es el documento, sino que el servidor FTP solicita credenciales de acceso.

Figura 4: El servidor FTP autenticado

En este caso no dejó de ser curioso esto, ya que el documento está indexado en Google, lo que indica que en algún momento del pasado este servidor FTP estuvo abierto a todo Internet, y Google ya lo cacheó. Al abrirlo el documento arrojó un montón más de información de la que esperada en un inicio. Información que no debería ser pública según indica la LOPD. Vamos, que el dueño de ese fichero, al aplicar la LOPD se olvidó de borrar la URL de los buscadores el dueño del fichero tras ponerlo bajo acceso autenticado.

A partir de aquí, teniendo el nombre y los apellidos de alguien relacionado con el número de móvil que había sacado del PLC, y sabiendo que es una industria cárnica que se encontraba en una localidad donde estaba ubicada la dirección IP en la que se exponía el sistema, encontrarla fue coser y cantar.

Figura 5: Los datos de contacto del número de teléfono

Decidí ponerme en contacto mediante un mensaje de correo electrónico aunque he de decir que no me esperaba respuesta alguna. Os aseguro que la mayoría de veces que he intentado avisar a alguien de que tiene una brecha de seguridad he recibido como habitual el silencio por respuesta, cosa bastante frustrante, pero allá cada cual con sus instalaciones.

En este caso la respuesta fue totalmente diferente. La empresa responsable de la infraestructura informática de la planta hizo su trabajo buscándome por redes sociales hasta dar con la empresa donde trabajo y se puso en contacto conmigo, no sólo para que le facilitase la información completa de cómo los había encontrado, sino para agradecerme de parte de la industria cárnica que los avisase. Un sabotaje de éste sistema de automatización podía haber provocado la pérdida de productos cárnicos cuyo valor económico es una linda cifra de seis dígitos.

A día de hoy, he vuelto a comprobarlo y ésta gente ha hecho sus deberes, ya no tiene su PLC expuesto a cualquier desaprensivo con tiempo libre, además de haber cerrado algún otro puerto que tenían abierto. Es reconfortante, muy reconfortante ver que realmente sirve para algo este tiempo que dedicamos a buscar “problemas de otros”. He querido compartir esta experiencia porque, por cada una buena respuesta, sé que hay diez malas, pero aún así...¡no perdamos la esperanza!

Saludos,

Autor: Juan Luis Valverde Padilla
jl.valverde@jvalverde.es

PD: Ahora tendré que hablar con el dueño del servidor FTP para contarle cómo borrar las URLs indexadas en Google y recomendarle algún libro que le ayude aplicar la LOPD correctamente, aunque gracias a su fallo de seguridad, pude dar con la empresa y ayudarles a corregir su fallo de seguridad. Irónico. :)

18 comentarios:

  1. Me suelen gustar tus entradas, pero creo que esta es una de las que más. Felicidades =) por ello, siempre he tenido ganas de darte las gracias por tus aportes.

    La duda me reconcome, mientras hacías este tipo de búsquedas y te ponías en contacto con la gente, ¿has recibido alguna vez una amenaza legal o parecido?

    Es una tontería pero me pica oye, que aquí somos así, (por cierto ya de paso aprovecho para felicitarte también por los libros, hice un pedido y la empresa genial.)

    ResponderEliminar
  2. @Guillermo Navarrete, esta historia es de Juan Luis, pero como era muy buena se la publiqué con mucho gusto. }:))

    Me alegro de que te tratasen bien en 0xWord }:))

    Saludos Malignos!

    ResponderEliminar
  3. @Guillermo Navarrete, esta historia es de Juan Luis, pero como era muy buena se la publiqué con mucho gusto. }:))

    Me alegro de que te tratasen bien en 0xWord }:))

    Saludos Malignos!

    ResponderEliminar
  4. Ups, jeje siempre se me olvida mirar el autor, gracias por la corrección y mis felicitaciones van para los dos!

    ResponderEliminar
  5. me encanta escuchar historias como esta espero seguir disfrutando mucho tiempo saludos chema

    ResponderEliminar
  6. A mí punto de vista personal, este relato me resulta una fuente de inspiración.

    Es grandiosa la idea de poder utilizar tu potencial, para ayudar a los demás.

    ResponderEliminar
  7. Me alegra que os haya gustado el artículo. Gracias a Chema por publicarme y al resto por leer.

    Por cierto, mis felicitaciones también a 0xWord.

    Saludos.

    ResponderEliminar
  8. Hola, buen artículo y mejor aun tu buen comportamiento.

    Guillermo inicia los comentario diciendo ¿has recibido alguna amenaza lega?

    Es el gran handicap de los que nos dedicamos al H. ético por 'gusto', sin contrato previo.

    Yo he recibido también ese 90% de silencios. Más tarde he visto que de ese 90% el 50% se ha solucionado y el 'orgullo ibérico' ha sido incapaz de formular un 'gracias'

    Me ha pasado en hospitales, distribuidores de todo tipo, etc...

    Y el miedo siempre ha estado ahí... ¿me denunciarán por meterme más allá de donde no me llaman?

    Juan Luis Valverde cruzó (con buena fé) la línea sin permiso conectar con el software del PLC.... ¡¡y le salió bien!!! pero le podía haber costado muy caro

    ¿o no?

    ResponderEliminar
  9. Pues yo si fuera la industria cárnica, despedía a la empresa de informática por dejar algo tan importante expuesto a internet. Que clase de informáticos chapuzas trabajan hoy en día en esas empresas? Es que no hacen sus propias auditorias? Ya no digo de saber usar un simple nmap, pero hay cientos de escaneres de puertos para Windows con el empezar a buscar. Me parece impresionante.

    ResponderEliminar
  10. Felicidades Juan Luis. Gracias por compartir este tipo de experiencias con el resto de mortales.
    Con respecto a la legalidad del tema...es algo que nunca terminará de caer bien en ciertas personas, así que siempre existe el riesgo de que vaya a por ti.
    Yo personalmente prefiero correr ese riesgo.

    Un saludo

    ResponderEliminar
  11. ¿No habría sido más fácil llamar a ese número de teléfono para ponerte en contacto con la empresa?

    No era necesario buscar el teléfono en Google ni abrir ese excel pero bueno, siempre nos pica la curiosidad por investigar y ya de paso te encontraste con el problemilla con al LOPD :D

    Felicidades y gracias por estar al pendiente para que las cosas se hagan bien y luego no pasen cosas desagradables.

    ResponderEliminar
  12. Gracias a todos, al igual que no me esperaba respuesta de la cárnica, no me esperaba tanto comentario xD.

    Respecto a lo de llamar al número directamente, si podía haberlo echo, pero la verdad es no me parecía suficiente la cantidad de información a aportar y continué tirando del hilo hasta donde supe llegar. Además, me parececía violento llamar a alguien y decirle "Tienes tu sistema de automatización a las manos de cualquiera" así a las bravas sin saber con quién estaba hablando.

    Saludos.

    ResponderEliminar
  13. @Juan Luis Valverde, hombre, no me referia a llamar a las bravas y decirle que tiene un problema de seguridad. Simplemente llamar y preguntar por la empresa para saber de que empresa se trata y así localizar al informático que haya montado el sistema.

    Aunque habría sido gracioso mandarle un SMS o un Whatsapp diciendole "Shutdown en curso..."

    Saludos y buen trabajo!

    ResponderEliminar
  14. Yo dejé de avisar el día en que casi me denuncian por dejarles un mail de contacto. Si alguien quiere una auditoría de seguridad que la pida y la pague. Menos problemas y dinero al bolsillo.

    Bien es cierto que también hay gente agradecida, pero son los que menos.

    ResponderEliminar
  15. ya podían estar menos agradecidos de palabra y mandarte un jamón. Que serás juaker pero también comes

    ResponderEliminar
  16. Totalmente de acuerdo con nemigo y el anterior, no seamos hipócritas ni políticamente correctos...

    El orgullo y la mala educación de este Pais de Mediócres hace que no se valore este trabajo y si es gratis ¡¡menos todavía!!

    Además corres el riesgo de que te denuncien... por orgullo y necedad de los auditados.

    ResponderEliminar
  17. Totalmente de acuerdo (sobre todo con la idea del jamón...)

    La verdad es que por regla general somos bastante desagradecidos, por ello que se sorprenda uno con un simple gracias.

    ResponderEliminar
  18. Aparte de lo que comentas de este caso en concreto, el tema de la informática industrial tiene bastante tela.

    No quiero generalizar, pero en mi experiencia son departamentos (separados) que se llevan bastante mal con el de informática, donde la seguridad importa poco, nada se parchea ... y no hablemos de firewall ni similares.

    En el mejor de los casos son redes separadas con poca o nula intervención. En el peor, en fin, esto y más.

    ResponderEliminar