Select Page
Ciberataques a centrales eléctricas… o Godzilla vs King Kong

Ciberataques a centrales eléctricas… o Godzilla vs King Kong

Recientemente, una impactante noticia sobre ciberataques a redes eléctricas recorrió portales en todo el mundo. La posibilidad de atacar centrales eléctricas, paralizando ciudades, estados y hasta países enteros, sería ya una realidad.

Ya habíamos mencionado hace poco más de un año, que los principales blancos de ciberataques a las infraestructuras críticas, eran las centrales eléctricas. Diferentes grupos en todo el mundo vienen intentando ingresar a las redes que controlan los sistemas de producción y distribución de electricidad.

Los principales blancos de ciberataques a las infraestructuras críticas, son desde hace mucho tiempo, las centrales eléctricas.

Estos grupos estuvieron tan activos, que hasta desarrollaron malware específico. Hace algunos años, investigadores de ESET descubrieron  malware como el Crashoverride (también llamado Industroyer), diseñado específicamente para atacar centrales eléctricas. El código fue descubierto dentro de una planta de distribución de energía eléctrica de Ucrania. El halllazgo se produjo luego de la interrupción del suministro eléctrico en la zona norte de la ciudad de Kiev, a varias decenas de miles de usuarios y por poco más de una hora. En ese momento la repercusión mundial fue enorme. La empresa Dragos analizó técnicamente al Crashoverride y los resultados del análisis se pueden ver en su sitio web, o en la charla que dieron en BlackHat en 2016.

 

Godzilla

Si bien esta actividad lleva años, esta semana ocurrió algo nuevo. El New York Times, publicó una serie de notas, que hacen referencia a un informe en el que se deja expuesto otro aspecto del problema. Según el informe, el gobierno de Estados Unidos, desarrolló e implantó un elaborado sistema de malware dentro de las redes del sistema de producción y distribución de energía eléctrica de Rusia. El objetivo parecería ser el de atacar la red eléctrica rusa en caso de que se produjera un conflicto importante entre Moscú y Washington.

 

King Kong

Pero del otro lado, las cosas no parecen ser muy diferentes. Ya el Wall Street Journal informaba muy detalladamente a principio de este año, sobre las actividades de hackers rusos en la infraestructura crítica de Estados Unidos. Al parecer  se fueron detectando rastros de infiltraciones en compañías eléctricas de 24 estados de la Unión. Previamente a esto, el 15 de marzo del año pasado, el gobierno de Estados Unidos, publicó un detallado informe en el que declararon la existencia de una campaña de hacking por parte de Rusia, para infiltrar la infraestructura crítica de Estados Unidos.

 

El G-20

Tanto ha escalado este conflicto silencioso en estos últimos días, que en este momento se está hablando que Putin y Trump se reunirían en privado, durante el próximo capítulo del G-20, sólo para tratar este tema. Lo que está claro es que las redes de energía eléctrica se han convertido recientemente en un campo de batalla internacional. Un nuevo campo de batalla donde, al parecer, dos monstruos decidieron enfrentarse.

 

Las redes de energía eléctrica se han convertido recientemente en un campo de batalla internacional. Un nuevo campo de batalla donde, al parecer, Rusia y Estados Unidos decidieron enfrentarse.

 

La pelea

¿Fue o no fue un ciberataque? Cuando hoy en día se produce un gigantesco apagón, dadas las circunstancias expuestas, lo primero que pensamos es que fue un ciberataque. Si bien puede ocurrir que en algunos casos no lo sea, la verdad es que la probabilidad de que sí lo sea es alta. Las herramientas de ataque están desarrolladas y disponibles. El esfuerzo por protegerse es muy alto mientras que el esfuerzo para atacar es mucho menor.

Para usar términos futbolísticos, los que estamos de este lado, sabemos que estamos perdiendo por goleada. Más o menos 10 a 1. Es 10 veces más facil atacar que defenderse. Se paga a los especialistas en ciberseguridad 10 veces más en el lado oscuro. El costo de las herramientas de ataque es 10 (¿o cien? ¿o mil?) veces más barato que las de defensa. Genera 10 veces más adrenalina atacar que defenderse. Los que estamos de este lado, perdemos en todos los partidos, aunque eso no significa que vamos a darnos por vencidos 🙂 algún día los sistemas serán lo suficientemente robustos como para que estas cosas no ocurran. De todos modos, hay un partido que ganamos, de cada 100 intentos de ataque, sólo uno llega al blanco.

 

En ciberseguridad, es 10 veces más fácil atacar que defenderse. El costo de las herramientas de ataque es 10 (¿o cien? ¿o mil?) veces más barato que las de defensa.

 

La baticueva

Mientras tanto en la baticueva… los diseñadores y programadores de todo este malware, deben probar muy bien el funcionamiento de sus desarrollos. ¿Y dónde probar…? El laboratorio es el laboratorio…, tiene grandes limitaciones. Es imposible reproducir todas las condiciones, escenarios y variables de instalaciones reales. Habrá que probar entonces de otra forma, en un escenario más verdadero, pero sin atacar a Godzilla ni a King Kong. ¿Porqué no hacerlo entonces, en algún pequeño y remoto país, con mínimas o nulas medidas de ciberprotección, y donde no haya demasiadas repercusiones por interrumpir el suministro eléctrico por algunas horas a algunos miles (¿…millones…?) de habitantes?

 

Los diseñadores y programadores de malware para centrales eléctricas, deben probar muy bien el funcionamiento de sus desarrollos.

 

Los monstruos

Cuando de chico veía las películas de Godzilla, siempre me preguntaba sobre la suerte que corrían las personas que quedaban aplastadas cuando los edificios se derrumbaban durante las peleas. Es que cuando pelean gigantes, es imposible no quedar cubiertos por toneladas de escombros como efecto colateral de tan titánica batalla.

 

 

 

Nota por Carlos Benitez

 

Carlos Benitez es un reconocido experto en seguridad de la información.
Cayendo en la trampa del Fallback…

Cayendo en la trampa del Fallback…

La empresa china eyeDisk desarrolló lo que prometía ser un pendrive “inhackeable“[1] y terminó siendo tan inseguro como cualquiera, por el inocente agregado de un fallback.

Todos los que estamos en este negocio, conocemos las dimensiones de seguridad de la información. Las 3 principales son: confidencialidad, disponibilidad e integridad. Nuestra tarea desde seguridad, es la de definir el esfuero y los recursos para protegerlas adecuadamente. Pero dependiendo del contexto y del negocio o la misión particular, a veces no todas las dimensiones se deben proteger de la misma forma.

 

Un caso extremo:

En el caso de las redes OT, a través de las que se controlan procesos industriales, la dimensión más importante a proteger es la disponibilidad. Muy especialmente en infraestructuras críticas. La interrupción de un servicio o proceso industrial no sólo puede llegar a costar muchísimo dinero, sino que además puede provocar gravísimos daños en el equipamiento o hasta en el medio ambiente. Es por esto que todas las medidas de protección van a estar enfocadas en que la disponibilidad sea lo más invulnerable posible. Integridad y confidencialidad se dejan en segundo plano.

 

Un caso intermedio:

Al desarrollar sistemas de protección, muchas veces se establecen, diseñan e implementan estrategias de vías o caminos alternativos para el caso que algún componente falle. Es el esquema de “fallback” o “plan B” en el que a veces se deben establecer relaciones de compromiso en las que se pierden o degradan algunas características de seguridad para mantener otras.

Un ejemplo de esto es el sistema de cifrado de la telefonía celular. Cuando se establece una comunicación entre teléfonos celulares, la información viaja cifrada. Esto se hace para que nadie que tenga un receptor de radio en la frecuencia de emisión de la comunicación, pueda interceptar fácilmente las conversaciones. El sistema de cifrado que se usa en GSM es la familia A5. Sin entrar en la discusión de las vulnerabilidades particulares de estos algoritmos (tanto A5/1 como A5/2 fueron rotos), es importante mencionar que la familia está compuesta por 5 miembros: A5/0, A5/1, A5/2, A5/3 y A5/4.

Cada algoritmo posee mayores fortalezas de cifrado que el anterior y, como consecuencia, de consumo de recursos. A pesar de que muchas veces no lo notamos por las deficiencias de las redes, en realidad los sistemas celulares están diseñados para que las comunicaciones nunca se interrumpan. Entonces, el uso de algoritmos de cifrado más fuertes, está íntimamente relacionado con contar con muy buena señal en los dispositivos. ¿Qué pasa entonces si estamos en una condición de baja señal? El sistema tiene varias instancias de fallback, en las que los algoritmos de cifrado se van degradando para no perder la comunicación. En el caso de tener muy baja señal, nuestros celulares bajan hasta el modo A5/0 en el que la comunicación no se cifra en absoluto. En este caso, alguien podría escuchar nuestras conversaciones.

Pero el negocio manda. Es decir, en telefonía celular, si bien no es tan crítico como en el caso de sistemas industriales, la dimensión que más se preserva es la de disponibilidad. ¿La razón? es más que obvia: segundo que el sistema no funciona, segundo que no se factura…

El fallback que implica la degradación de la privacidad está incorporado por diseño con toda la intención de que sea así.

 

Un caso erróneo:

Ahora bien, cuando se diseña un dispositivo cuyo principal objetivo es preservar la confidencialidad. Cuando se anuncia con bombos y platillos que el sistema es absolutamente “inhackeable“, se deben tomar ciertos recaudos. La firma china eyeDisk desarrolló por la modalidad de crowdfunding un pendrive que incorpora la sofisticada tecnología de lectura de iris para asegurar la confidencialidad de los datos que él se almacenen.

Según sus especificaciones, el acceso a los datos sólo puede hacerse mediante la lectura de iris del dueño. Teniendo en cuenta que el sistema de lectura de iris es resistente a la lectura de imágenes o fotografías, la empresa parecía haber creado el perfecto “for your eyes only“…

Sin embargo, David Lodge, de PenTestPartners, descubrió recientemente que si bien la resistencia a ataques de lectura de iris es real, el fallback del sistema compromete completamente la confidencialidad tan promocionada. Si la lectura de iris falla, se puede desbloquear el contenido del pendrive con una contraseña provista por el usuario al momento de la configuración.

Resulta que investigando la manera en la que se transfieren los datos, el investigador descubrió que internamente, la contraseña almacenada se transfiere via USB desde el dispositivo a la PC antes de la validación y en texto plano!!! Por esta razón, con sólo un poco de conocimientos y esfuerzo, es posible obtenerla y usarla…

 

Usando fallbacks

Hay veces que sinceramente no entiendo la forma en la que se diseñan los sistemas. En el caso de eyeDisk “el” argumento de venta del producto es la imposibilidad de que sea hackeado. El usuario debería quedarse 100% tranquilo de que si pierde un pendrive con información valiosa, nadie tendría forma de recuperarla mientras el pendrive no vuelva a encontrarse con el ojo del dueño. El concepto es muy bueno…!!! ¿qué necesidad hay entonces de crear un fallback que permita al usuario desbloquear el pendrive haciendo un bypass de la principal protección del sistema, la lectura del iris? ¿para qué dar esa vuelta más innecesaria cuando al hacerlo se destruye por completo el concepto inicial?

Al pensar, diseñar y construir dispositivos o sistemas, se los dota a éstos de un objetivo. Si se hacen bien las cosas, ese sistema deberia cumplir perfectamente con su objetivo y hacer sólamente eso, la razón para la cual fue diseñado. Esto es lo que diferencia a un producto líder de uno del montón, el hacer muy bien su trabajo. El error se comete cuando se intentan agregar objetivos o funciones extra, y es en esa diversificación innecesaria, cuando lo que se hacía muy bien en principio bien, se termina diluyendo.

En sistemas muy complejos, con muchos componentes y escenarios posibles, en los que se debe tener siempre una respuesta válida, son necesarios los fallbacks. Pero éstos deben estar bien pensados. Porque sino, podríamos sin darnos cuenta, caer en la trampa del fallback, instalando por ejemplo un botón que abra la puerta de calle de nuestras casas desde el exterior, por si nos olvidamos el token de la cerradura electrónica que acabamos de instalar en nuestra nueva puerta blindada…

 

[1] Perdón por el término, pero fue lo mejor que pude traducir la palabra original del fabricante, es decir: “Unhackable”…

Nota por Carlos Benitez

Carlos Benitez es un reconocido experto en seguridad de la información.
¿Ciberataque al 911?

¿Ciberataque al 911?

Una misteriosa interrupción del servicio de 911 de EE.UU., ocurrió al finalizar el año.

La empresa CenturyLink es uno de los mayores proveedores de Internet del país. La misma empresa se autodenomina “el segundo proveedor de comunicaciones más grande de EE.UU. para clientes empresariales globales”. Su crecimiento en los Estados del oeste fue impulsado por fusiones como la adquisición de QWest en 2011 y, en noviembre de 2017 la compra de la bien conocida por nosotros, Level-3 Communications. En este último caso, el acuerdo fue estimado en aproximadamente 34.000 millones de dólares.

Uno de los servicios que brinda CenturyLink, es la comunicación a nivel país del servicio de emergencias 911.

La interrupción masiva de los servicios se inició el pasado jueves 27 de diciembre, y como puede verse en el gráfico del sitio Downdetector se generó un pico de casi 4000 reportes da caida del servicio cerca de las 2:00 de la tarde.

 

Por otro lado, en el siguiente mapa también de Downdetector, se puede ver que la interrupción afectó mayormente la costa oeste de EE.UU.

 

Además de la interrupción de los servicios 911, el apagón de CenturyLink también causó caidas de los servicios de red de Verizon en al menos dos Estados, Nuevo México y Montana. Algunos cajeros automáticos en Montana e Idaho tampoco funcionaron, y en el North Colorado Medical Center en Greeley, Colorado, los médicos y enfermeras durante un período tuvieron dificultades para acceder a los registros de los pacientes.

Dado que no se conoce la causa del problema, la Comisión Federal de Comunicaciones de EE.UU. (FCC) ordenó la apertura de una investigación. Dicha entidad informó además, que su última investigación por una falla del servicio 911 fue hecha en marzo del año pasado. Como resultado, se impuso una multa de 5.25 millones de dólares a AT&T por dos “apagones” a nivel nacional en marzo y mayo de 2017 que duraron un total de aproximadamente seis horas y resultaron en 15.200 llamadas fallidas al 911.

Hace ya algunos años, dos investigadores del Centro de Investigación de Ciberseguridad de la Universidad Ben-Gurión del Néguev, publicaban un informe en el que se alertaba sobre la relativa facilidad con la que sería posible interrumpir el servicio del 911, considerado uno de los más críticos de EE.UU. En el mismo se indica que con unos 6.000 bots funcionando sobre la red celular (y con solo una inversión por parte de los atacantes de unos 100 mil dólares en equipamiento) es posible anular por completo el servicio 911 de todo un Estado en EE.UU.

Habrá que esperar a los resultados de la investigación para saber si el caso de CenturyLink fue un ciberataque o una falla en los sistemas de la empresa.

 

Nota por Carlos Benitez

Carlos Benitez es un reconocido experto en seguridad de la información.
El #1 de las infraestructuras críticas: las centrales eléctricas

El #1 de las infraestructuras críticas: las centrales eléctricas

Las infraestructuras críticas (aquellas que proveen servicios a la sociedad que, de ser interrumpidos, causarían graves daños a la población) vienen siendo blanco de ciber-ataques desde hace muchos años. El equipamiento industrial involucrado en la prestación de este tipo de servicios, se controla con sistemas informáticos interconectados muy antiguos que hacen que sean susceptibles de ser alcanzados por malware.
Cuando el sistema de control más popular, el SCADA, nació allá por los ’60, era absolutamente impensado que alguien pudiese conectarse a él remotamente desde la otra mitad del mundo y abrir de la exclusa de una represa, o la válvula de un circuito de provisión de gas, o el interceptor de un transformador de alta tensión que provee energía eléctrica a toda una ciudad.
Sin embargo, con el paso del tiempo, al abuelo SCADA, a sus derivados y a los sistemas que controla, se le fueron agregando componentes de IT cada vez más complejos y con cada vez más conexión a la red: sensores, interfaces gráficas, nodos de red, dispositivos IoT, etc.
Esto hizo que fuera blanco cada vez más fácilmente de pruebas de concepto y ciber-ataques cada vez más sofisticados, más frecuentes y más peligrosos. El caso que cambió radicalmente la visión sobre este tipo de ataques fue el descubrimiento en el año 2010 del gusano Stuxnet cuyo efecto fue el considerable retraso en el programa de desarrollo nuclear de Irán. Es entonces cuando se dispara la carrera de medidas y contramedidas tratando por un lado de atacar estos sistemas (los unos) y por otro de defenderlos (los otros).
Si bien los sistemas SCADA controlan casi el 90% de los procesos industriales automatizados del planeta, el foco de los atacantes desde hace aproximadamente un año son las centrales eléctricas.
Cada vez más son probadas y atacadas con mayor virulencia, sofisticación y frecuencia. Una gran parte de esos ataques son exploratorios, es decir que se realizan con el propósito de probar tanto las herramientas propias, como las capacidades de defensa de las centrales. La sofisticación se incrementa exponencialmente a tal punto que existen grupos como “Dragonfly“, cuyo propósito específico es atacar centrales eléctricas.
Estas amenazas han hecho que los países más desarrollados hayan tomado en serio las medidas de protección que eviten un desastre en el caso de un ciber-ataque masivo a este tipo de instalaciones.
El gobierno de Estados Unidos, por ejemplo, envió recientemente una orden ejecutiva por la cual se obliga a las redes del estado y de las infraestructuras críticas a utilizar el Marco de Ciber-seguridad del NIST (National Institute of Standards and Technology’s Cybersecurity Framework) que, si bien existe desde hace varios años, hasta el momento de la orden ejecutiva, su aplicación era voluntaria.
Uno de los resultados de esta escalada hizo que por ejemplo, algunas organizaciones que se dedican a la generación y distribución de energía eléctrica para millones de usuarios en Estados Unidos, cambiaran sus estrategias de ciberdefensa de reactivas a proactivas. Esto lo hicieron instalando miles de sensores en diferentes niveles de la arquitectura, recolectando datos de todos ellos y explotando esa Big Data de modo de prever posibles ataques a partir de comportamientos anómalos antes de que ocurran, y estar preparados para defenderse.
Y otra vez, como en varias de las notas anteriores, nos toca preguntarnos: ¿y por casa? ¿Cómo está la situación? Nuestras empresas generadoras y distribuidoras de energía eléctrica, ¿están adoptando las medidas necesarias para prevenir ataques de estas características? ¿Estamos siquiera en la etapa de estrategia reactiva, o todavía ni siquiera empezamos?
Las herramientas, tanto metodológicas, como normativas y técnicas están disponibles. Sólo falta tomar conciencia y darse cuenta de la situación en la que estamos junto con el resto del mundo, y empezar a trabajar.
 
Nota por Carlos Benitez