Hace algún tiempo, cuando estaba recopilando información para escribir el artículo sobre la seguridad de los sistemas basados en PLCs que se llamó “Tu industria en mi manos”, creé una lista bastante extensa de equipos de automatización expuestos en Internet. Cuando el tiempo me lo permite - muy de tarde en tarde -, me dedico a volver a comprobar si los sistemas continúan “vivos y expuestos”. Los resultados son desalentadores.
¿Es que nadie leyó el artículo o es que a nadie le importa realmente la seguridad de sus automatizaciones? Lo más probable es que seguramente, salvo a los que estamos cerca del mundo de la tecnología y la seguridad, al resto de las personas no les llegan estas cosas.
Con las automatizaciones que me parecen más críticas hago un esfuerzo extra, las analizo y busco algún dato que me ayude a ponerme en contacto con el responsable de ellas de forma directa para poder ayudarle en la manera que me sea posible. Y es así, de esta forma, como comienza esta historia con un carnicero.
Entre la larga lista de automatismos expuestos sin seguridad alguna, una de las instalaciones que se encontraba desprotegida en Internet, parecía a simple vista la encargada de controlar la temperatura de alguna industria cárnica.
Husmeando con cuidado de no romper nada en la memoria del PLC, se encuentra un comando AT para enviar mensajes SMS a un teléfono móvil con las alarmas del sistema. Esto es algo muy común en este tipo de sistemas de control que pretender avisar a los responsables en el mismo momento en que se detecte un problema que pueda afectar a su negocio.
Descubierto esto, quise ponerme en contacto con el dueño de la plataforma para advertirle de la situación de inseguridad en la que se encontraba, así que decidí buscar información de esta persona haciendo un poco de trabajo de campo con los buscadores de Internet.
En este caso, simplemente poniendo el número de teléfono de que aparecía como contacto del sistema de alertas, Google devuelve - entre otros - un resultado la mar de interesante. Un fichero Excel con el número de teléfono buscado que estaba almacenado en algún servidor FTP.
Pero claro, no todo iba a ser tan fácil, ya que al intentar acceder al fichero, el resultado que se obtiene no es el documento, sino que el servidor FTP solicita credenciales de acceso.
En este caso no dejó de ser curioso esto, ya que el documento está indexado en Google, lo que indica que en algún momento del pasado este servidor FTP estuvo abierto a todo Internet, y Google ya lo cacheó. Al abrirlo el documento arrojó un montón más de información de la que esperada en un inicio. Información que no debería ser pública según indica la LOPD. Vamos, que el dueño de ese fichero, al aplicar la LOPD se olvidó de borrar la URL de los buscadores el dueño del fichero tras ponerlo bajo acceso autenticado.
A partir de aquí, teniendo el nombre y los apellidos de alguien relacionado con el número de móvil que había sacado del PLC, y sabiendo que es una industria cárnica que se encontraba en una localidad donde estaba ubicada la dirección IP en la que se exponía el sistema, encontrarla fue coser y cantar.
Decidí ponerme en contacto mediante un mensaje de correo electrónico aunque he de decir que no me esperaba respuesta alguna. Os aseguro que la mayoría de veces que he intentado avisar a alguien de que tiene una brecha de seguridad he recibido como habitual el silencio por respuesta, cosa bastante frustrante, pero allá cada cual con sus instalaciones.
En este caso la respuesta fue totalmente diferente. La empresa responsable de la infraestructura informática de la planta hizo su trabajo buscándome por redes sociales hasta dar con la empresa donde trabajo y se puso en contacto conmigo, no sólo para que le facilitase la información completa de cómo los había encontrado, sino para agradecerme de parte de la industria cárnica que los avisase. Un sabotaje de éste sistema de automatización podía haber provocado la pérdida de productos cárnicos cuyo valor económico es una linda cifra de seis dígitos.
A día de hoy, he vuelto a comprobarlo y ésta gente ha hecho sus deberes, ya no tiene su PLC expuesto a cualquier desaprensivo con tiempo libre, además de haber cerrado algún otro puerto que tenían abierto. Es reconfortante, muy reconfortante ver que realmente sirve para algo este tiempo que dedicamos a buscar “problemas de otros”. He querido compartir esta experiencia porque, por cada una buena respuesta, sé que hay diez malas, pero aún así...¡no perdamos la esperanza!
Saludos,
Autor: Juan Luis Valverde Padilla
jl.valverde@jvalverde.es
PD: Ahora tendré que hablar con el dueño del servidor FTP para contarle cómo borrar las URLs indexadas en Google y recomendarle algún libro que le ayude aplicar la LOPD correctamente, aunque gracias a su fallo de seguridad, pude dar con la empresa y ayudarles a corregir su fallo de seguridad. Irónico. :)
¿Es que nadie leyó el artículo o es que a nadie le importa realmente la seguridad de sus automatizaciones? Lo más probable es que seguramente, salvo a los que estamos cerca del mundo de la tecnología y la seguridad, al resto de las personas no les llegan estas cosas.
Con las automatizaciones que me parecen más críticas hago un esfuerzo extra, las analizo y busco algún dato que me ayude a ponerme en contacto con el responsable de ellas de forma directa para poder ayudarle en la manera que me sea posible. Y es así, de esta forma, como comienza esta historia con un carnicero.
Entre la larga lista de automatismos expuestos sin seguridad alguna, una de las instalaciones que se encontraba desprotegida en Internet, parecía a simple vista la encargada de controlar la temperatura de alguna industria cárnica.
Figura 1:El PLC de la industria desprotegido en Internet |
Husmeando con cuidado de no romper nada en la memoria del PLC, se encuentra un comando AT para enviar mensajes SMS a un teléfono móvil con las alarmas del sistema. Esto es algo muy común en este tipo de sistemas de control que pretender avisar a los responsables en el mismo momento en que se detecte un problema que pueda afectar a su negocio.
Figura 2: Número de teléfono para el envío de alertas vía SMS |
Descubierto esto, quise ponerme en contacto con el dueño de la plataforma para advertirle de la situación de inseguridad en la que se encontraba, así que decidí buscar información de esta persona haciendo un poco de trabajo de campo con los buscadores de Internet.
En este caso, simplemente poniendo el número de teléfono de que aparecía como contacto del sistema de alertas, Google devuelve - entre otros - un resultado la mar de interesante. Un fichero Excel con el número de teléfono buscado que estaba almacenado en algún servidor FTP.
Figura 3: Resultados de búsqueda del número de teléfono. Un XLS en un FTP |
Pero claro, no todo iba a ser tan fácil, ya que al intentar acceder al fichero, el resultado que se obtiene no es el documento, sino que el servidor FTP solicita credenciales de acceso.
Figura 4: El servidor FTP autenticado |
A partir de aquí, teniendo el nombre y los apellidos de alguien relacionado con el número de móvil que había sacado del PLC, y sabiendo que es una industria cárnica que se encontraba en una localidad donde estaba ubicada la dirección IP en la que se exponía el sistema, encontrarla fue coser y cantar.
Figura 5: Los datos de contacto del número de teléfono |
Decidí ponerme en contacto mediante un mensaje de correo electrónico aunque he de decir que no me esperaba respuesta alguna. Os aseguro que la mayoría de veces que he intentado avisar a alguien de que tiene una brecha de seguridad he recibido como habitual el silencio por respuesta, cosa bastante frustrante, pero allá cada cual con sus instalaciones.
En este caso la respuesta fue totalmente diferente. La empresa responsable de la infraestructura informática de la planta hizo su trabajo buscándome por redes sociales hasta dar con la empresa donde trabajo y se puso en contacto conmigo, no sólo para que le facilitase la información completa de cómo los había encontrado, sino para agradecerme de parte de la industria cárnica que los avisase. Un sabotaje de éste sistema de automatización podía haber provocado la pérdida de productos cárnicos cuyo valor económico es una linda cifra de seis dígitos.
A día de hoy, he vuelto a comprobarlo y ésta gente ha hecho sus deberes, ya no tiene su PLC expuesto a cualquier desaprensivo con tiempo libre, además de haber cerrado algún otro puerto que tenían abierto. Es reconfortante, muy reconfortante ver que realmente sirve para algo este tiempo que dedicamos a buscar “problemas de otros”. He querido compartir esta experiencia porque, por cada una buena respuesta, sé que hay diez malas, pero aún así...¡no perdamos la esperanza!
Saludos,
Autor: Juan Luis Valverde Padilla
jl.valverde@jvalverde.es
PD: Ahora tendré que hablar con el dueño del servidor FTP para contarle cómo borrar las URLs indexadas en Google y recomendarle algún libro que le ayude aplicar la LOPD correctamente, aunque gracias a su fallo de seguridad, pude dar con la empresa y ayudarles a corregir su fallo de seguridad. Irónico. :)
Me suelen gustar tus entradas, pero creo que esta es una de las que más. Felicidades =) por ello, siempre he tenido ganas de darte las gracias por tus aportes.
ResponderEliminarLa duda me reconcome, mientras hacías este tipo de búsquedas y te ponías en contacto con la gente, ¿has recibido alguna vez una amenaza legal o parecido?
Es una tontería pero me pica oye, que aquí somos así, (por cierto ya de paso aprovecho para felicitarte también por los libros, hice un pedido y la empresa genial.)
@Guillermo Navarrete, esta historia es de Juan Luis, pero como era muy buena se la publiqué con mucho gusto. }:))
ResponderEliminarMe alegro de que te tratasen bien en 0xWord }:))
Saludos Malignos!
@Guillermo Navarrete, esta historia es de Juan Luis, pero como era muy buena se la publiqué con mucho gusto. }:))
ResponderEliminarMe alegro de que te tratasen bien en 0xWord }:))
Saludos Malignos!
Ups, jeje siempre se me olvida mirar el autor, gracias por la corrección y mis felicitaciones van para los dos!
ResponderEliminarme encanta escuchar historias como esta espero seguir disfrutando mucho tiempo saludos chema
ResponderEliminarA mí punto de vista personal, este relato me resulta una fuente de inspiración.
ResponderEliminarEs grandiosa la idea de poder utilizar tu potencial, para ayudar a los demás.
Me alegra que os haya gustado el artículo. Gracias a Chema por publicarme y al resto por leer.
ResponderEliminarPor cierto, mis felicitaciones también a 0xWord.
Saludos.
Hola, buen artículo y mejor aun tu buen comportamiento.
ResponderEliminarGuillermo inicia los comentario diciendo ¿has recibido alguna amenaza lega?
Es el gran handicap de los que nos dedicamos al H. ético por 'gusto', sin contrato previo.
Yo he recibido también ese 90% de silencios. Más tarde he visto que de ese 90% el 50% se ha solucionado y el 'orgullo ibérico' ha sido incapaz de formular un 'gracias'
Me ha pasado en hospitales, distribuidores de todo tipo, etc...
Y el miedo siempre ha estado ahí... ¿me denunciarán por meterme más allá de donde no me llaman?
Juan Luis Valverde cruzó (con buena fé) la línea sin permiso conectar con el software del PLC.... ¡¡y le salió bien!!! pero le podía haber costado muy caro
¿o no?
Pues yo si fuera la industria cárnica, despedía a la empresa de informática por dejar algo tan importante expuesto a internet. Que clase de informáticos chapuzas trabajan hoy en día en esas empresas? Es que no hacen sus propias auditorias? Ya no digo de saber usar un simple nmap, pero hay cientos de escaneres de puertos para Windows con el empezar a buscar. Me parece impresionante.
ResponderEliminarFelicidades Juan Luis. Gracias por compartir este tipo de experiencias con el resto de mortales.
ResponderEliminarCon respecto a la legalidad del tema...es algo que nunca terminará de caer bien en ciertas personas, así que siempre existe el riesgo de que vaya a por ti.
Yo personalmente prefiero correr ese riesgo.
Un saludo
¿No habría sido más fácil llamar a ese número de teléfono para ponerte en contacto con la empresa?
ResponderEliminarNo era necesario buscar el teléfono en Google ni abrir ese excel pero bueno, siempre nos pica la curiosidad por investigar y ya de paso te encontraste con el problemilla con al LOPD :D
Felicidades y gracias por estar al pendiente para que las cosas se hagan bien y luego no pasen cosas desagradables.
Gracias a todos, al igual que no me esperaba respuesta de la cárnica, no me esperaba tanto comentario xD.
ResponderEliminarRespecto a lo de llamar al número directamente, si podía haberlo echo, pero la verdad es no me parecía suficiente la cantidad de información a aportar y continué tirando del hilo hasta donde supe llegar. Además, me parececía violento llamar a alguien y decirle "Tienes tu sistema de automatización a las manos de cualquiera" así a las bravas sin saber con quién estaba hablando.
Saludos.
@Juan Luis Valverde, hombre, no me referia a llamar a las bravas y decirle que tiene un problema de seguridad. Simplemente llamar y preguntar por la empresa para saber de que empresa se trata y así localizar al informático que haya montado el sistema.
ResponderEliminarAunque habría sido gracioso mandarle un SMS o un Whatsapp diciendole "Shutdown en curso..."
Saludos y buen trabajo!
Yo dejé de avisar el día en que casi me denuncian por dejarles un mail de contacto. Si alguien quiere una auditoría de seguridad que la pida y la pague. Menos problemas y dinero al bolsillo.
ResponderEliminarBien es cierto que también hay gente agradecida, pero son los que menos.
ya podían estar menos agradecidos de palabra y mandarte un jamón. Que serás juaker pero también comes
ResponderEliminarTotalmente de acuerdo con nemigo y el anterior, no seamos hipócritas ni políticamente correctos...
ResponderEliminarEl orgullo y la mala educación de este Pais de Mediócres hace que no se valore este trabajo y si es gratis ¡¡menos todavía!!
Además corres el riesgo de que te denuncien... por orgullo y necedad de los auditados.
Totalmente de acuerdo (sobre todo con la idea del jamón...)
ResponderEliminarLa verdad es que por regla general somos bastante desagradecidos, por ello que se sorprenda uno con un simple gracias.
Aparte de lo que comentas de este caso en concreto, el tema de la informática industrial tiene bastante tela.
ResponderEliminarNo quiero generalizar, pero en mi experiencia son departamentos (separados) que se llevan bastante mal con el de informática, donde la seguridad importa poco, nada se parchea ... y no hablemos de firewall ni similares.
En el mejor de los casos son redes separadas con poca o nula intervención. En el peor, en fin, esto y más.