Neutralizando un ataque a una infraestructura crítica
La firma de seguridad S2 Grupo ha presentado la segunda edición de su informe sobre ‘Protección de infraestructuras críticas’ [PDF], que evalúa el nivel de vulnerabilidad de este tipo de sistemas en España. Mediante una simulación en su centro de operaciones, la compañía ha mostrado cómo puede producirse un ataque de estas características y de qué manera es bloqueado, si se disponen de los servicios adecuados.
Las infraestructuras críticas son aquellas que prestan un servicio esencial al ciudadano. En España existen más de 3.500 y, aunque la lista es secreta, hay algunas que son fácilmente deducibles. La red de electricidad, la de agua potable, la industria nuclear o entornos concretos del Ministerio del Interior tienen este carácter que impone la necesidad de mantenerlos altamente protegidos.
Para ello, se identificaron una serie de firmas asociadas a sistemas de control —fabricantes, modelos concretos — a operadores de infraestructuras críticas o estratégicas, a estas infraestructuras en general… y las complementamos con más información de dichas infraestructuras, como datos WHOIS o direccionamientos públicos. Con estos datos, nuestro amigo SHODAN y su estupenda API, podemos empezar a buscar entornos asociados a IICC en España que sean accesibles desde Internet.
¿Son estos entornos realmente vulnerables? No tienen por qué serlo, pero para nosotros que se llegue con un simple navegador a un sistema de control, por poner sólo un ejemplo, es francamente preocupante. Vamos, que es cuestión de tiempo, por no decir otra cosa. ¿Están estos entornos asociados a infraestructuras críticas o estratégicas? Tampoco tienen por qué, yo puedo montarme un SCADA en casa o puede estar desplegado en una infraestructura no crítica. Por ello se ha realizado, con los resultados ya normalizados obtenidos de forma automática en las búsquedas anteriores, un trabajo considerable para reducir el número de falsos positivos, que había y muchos. Y por fin, sobre estos datos ya procesados, nos ponemos a analizar lo que hemos obtenido. Ojo, no se trata de un estudio estadístico —y sobre este tema insistimos más de una vez, aunque alguno no haya querido verlo así— con una muestra seleccionada cuidadosamente, con una metodología estadísticamente perfecta ni con nada parecido. Mucho más mundano: queríamos pegar un vistazo a las IICC en España, con las premisas indicadas antes.
¿El resultado? Sin ser ese estudio estadístico al que nos referimos, y considerando que se nos habrán colado falsos positivos o habremos descartado falsos negativos —es lo que tiene trabajar con grandes volúmenes de datos— la verdad es que asusta un poco lo que nos encontramos: protocolos inseguros (el 75 % aproximadamente), más de 1.000 “cacharros” de todo tipo accesibles desde Internet —en muchos casos sin autenticación— y una sensación de “riesgo cero” más que palpable: ¿cómo si no se explica que nos encontremos algunos dispositivos de control industrial que asustan o algunos routers troncales de IICC accesibles desde cualquier parte del mundo con un simple telnet o http, por poner sólo unos ejemplos?
Aún queda bastante por hacer, en nuestra opinión, en la (ciber) protección de infraestructuras críticas en España… ¡esperemos que nos dé tiempo! Os dejamos aquí el informe, accesible desde la página web de S2 Grupo:
Fuente: SecurityArtWork y Ticbeat
Las infraestructuras críticas son aquellas que prestan un servicio esencial al ciudadano. En España existen más de 3.500 y, aunque la lista es secreta, hay algunas que son fácilmente deducibles. La red de electricidad, la de agua potable, la industria nuclear o entornos concretos del Ministerio del Interior tienen este carácter que impone la necesidad de mantenerlos altamente protegidos.
Para ello, se identificaron una serie de firmas asociadas a sistemas de control —fabricantes, modelos concretos — a operadores de infraestructuras críticas o estratégicas, a estas infraestructuras en general… y las complementamos con más información de dichas infraestructuras, como datos WHOIS o direccionamientos públicos. Con estos datos, nuestro amigo SHODAN y su estupenda API, podemos empezar a buscar entornos asociados a IICC en España que sean accesibles desde Internet.
¿Son estos entornos realmente vulnerables? No tienen por qué serlo, pero para nosotros que se llegue con un simple navegador a un sistema de control, por poner sólo un ejemplo, es francamente preocupante. Vamos, que es cuestión de tiempo, por no decir otra cosa. ¿Están estos entornos asociados a infraestructuras críticas o estratégicas? Tampoco tienen por qué, yo puedo montarme un SCADA en casa o puede estar desplegado en una infraestructura no crítica. Por ello se ha realizado, con los resultados ya normalizados obtenidos de forma automática en las búsquedas anteriores, un trabajo considerable para reducir el número de falsos positivos, que había y muchos. Y por fin, sobre estos datos ya procesados, nos ponemos a analizar lo que hemos obtenido. Ojo, no se trata de un estudio estadístico —y sobre este tema insistimos más de una vez, aunque alguno no haya querido verlo así— con una muestra seleccionada cuidadosamente, con una metodología estadísticamente perfecta ni con nada parecido. Mucho más mundano: queríamos pegar un vistazo a las IICC en España, con las premisas indicadas antes.
¿El resultado? Sin ser ese estudio estadístico al que nos referimos, y considerando que se nos habrán colado falsos positivos o habremos descartado falsos negativos —es lo que tiene trabajar con grandes volúmenes de datos— la verdad es que asusta un poco lo que nos encontramos: protocolos inseguros (el 75 % aproximadamente), más de 1.000 “cacharros” de todo tipo accesibles desde Internet —en muchos casos sin autenticación— y una sensación de “riesgo cero” más que palpable: ¿cómo si no se explica que nos encontremos algunos dispositivos de control industrial que asustan o algunos routers troncales de IICC accesibles desde cualquier parte del mundo con un simple telnet o http, por poner sólo unos ejemplos?
Aún queda bastante por hacer, en nuestra opinión, en la (ciber) protección de infraestructuras críticas en España… ¡esperemos que nos dé tiempo! Os dejamos aquí el informe, accesible desde la página web de S2 Grupo:
Fuente: SecurityArtWork y Ticbeat
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!