Qué fácil es ver las flaquezas de seguridad de algunos ICS (Sistemas de Control Industrial)

En los últimos años, la seguridad informática ha adquirido una gran relevancia, y no hace falta que lo jure, ¡por algo estáis en el lado del mal! Todos los sectores están haciendo lo que pueden para protegerse de los ciberataques; sin embargo, en algunas partes de los sectores industriales hay quién se está quedando por detrás, y para entender por qué hay que remontar al año 2000. En aquellos años Internet no traía grandes beneficios aún a muchos sectores, por lo que las redes de los Sistemas de Control Industrial (ICS, por sus siglas en inglés) eran locales, lo que hacía que fueran vulnerables solo ante un ataque realizado por alguien que estuviera físicamente en el entorno.

Figura 1: Qué fácil es ver las flaquezas de seguridad de algunos ICS (Sistemas de Control Industrial)

Con el auge de Internet estos últimos años, ha surgido la llamada Industria 4.0, que define un modelo híperconectado para ofrecer servicios de inmediato en cualquier parte del mundo, y son numerosas las empresas que se han sumado a esta innovadora tendencia. Pero la mayoría al conectarse, han mantenido sus ICS tal y como las tenían antes de conectarse por lo que se están descubriendo más y más vulnerabilidades cada año. Y eso era, y es, un problema.

Figura 2: Vulnerabilidades descubiertas en sistemas ICS del año 1997 al 2015

Tenemos la suerte, aunque en parte desgracia, y ahora explicaré por qué, de que en la Ley PIC (protección de infraestructuras críticas, 8/2011 de 28 de abril) se establecieran unas medidas de seguridad obligatorias para las infraestructuras críticas de España, las cuales están controladas por ICS, así que hay que protegerlas con todo lo que se pueda. Ahora bien, antes he dicho que en parte era una desgracia, y esto es porque infraestructuras críticas solo son aquellas que son indispensables para la población y que si se pararan no podríamos cubrir.

Figura 3: Ley de Protección de Infraestructuras Críticas en España

Pero la ley solo cubre a las infraestructuras críticas e Internet es un lugar muy vasto. Una vez que conectamos las industria a la red, cualquiera puede hacer un poco de Hacking con Buscadores utilizando el buscador de dispositivos de Shodan, y, ¿podéis adivinar qué se puede encontrar? Efectivamente, los ICS vulnerables. Y lo mejor es que son tan buscados que Shodan ya tiene un apartado para ellos.

Figura 4: Buscador de ICSs en Shodan

Lo curioso de Shodan es que además puedes buscar protocolos y puertos abiertos, que son una vía de entrada al sistema que está al otro lado. Y rebuscando un poco entre los protocolos más comunes de ICS, como Modbus o DNP3, podemos encontrar bastantes ICS vulnerables, y lo más preocupante es que no hay que tener mucho conocimiento previo para penetrar en una red en la que puedes provocar un desastre gordo como una inundación al abrir las compuertas de una presa o fastidiar la fabricación de algún producto que luego cause daños y pérdidas de dinero.

Figura 5: Contraseñas en los resultados de los productos

Además, como podéis observar en la Figura 5 tras buscar un poco se empiezan a encontrar las contraseñas de servidores a la vista sin protección alguna - ¿Será algún Honey Pot? -. Y no penséis que es un solo caso específico, hay por lo menos cientos de ICS que o tienen la contraseña a plena vista o usan las contraseñas por defecto (investigadores rusos de SCADA StrangeLove listaron más de 100 productos SCADA, los utilizados por los ICS, y sus contraseñas por defecto, que no son cambiadas en muchos casos), o, mucho más peligroso aún, no requieren de credenciales para entrar.

Figura 6: SCADAPASS

En la Figura 7, por ejemplo, se ha entrado sin que pidieran credenciales, y nosotros que somos aficionados a la seguridad no hacemos nada con ello, solo informamos, pero la posibilidad de que un ciberdelincuente entre es muy alta, y estando sin credenciales, establecer unas nuevas y dejar fuera a los verdaderos dueños es un paso muy sencillo, tan solo hay que navegar un poco por el portal.

Figura 7: Sistemas de control ICS sin passwords publicados en Internet

Que los sistemas SCADA de los que dependen nuestras industrias sean tan vulnerables parece una situación de ficción; y lo que parece más ficción todavía es que su seguridad no sea obligatoria por ley. Ya va siendo hora de que los gobiernos tomen medidas, y que posiblemente hagan que la ley PIC no abarque solo a infraestructuras críticas, porque, como ya habéis visto, entrar en ICS y hacer estropicios gordos es tan sencillo como mirar y rebuscar un poco en Shodan. Os recomiendo la lectura del libro de Infraestructuas Críticas & Sistemas de Control Industrial: Auditorías de Seguridad y Fortificación para conocer mucho más de este tema.

Autor: Jorge "Junior" de la Morena (Intership at ElevenPaths)