28 sep. 2015

GasPot: Honeyot para sistemas de control industrial

Una explosión sacudió la tranquila ciudad de Bayamón, Puerto Rico, en la madrugada del 23 de octubre de 2009. El fuego ardió durante tres días, quemando casas y provocando densas nubes de humo negro debido a la gasolina. Los investigadores dijeron que el suceso fue provocado por un incidente de seguridad en el Sistema de Control Industrial (ICS, por sus siglas en ingles).

Esta tragedia llevo a Trend Micro a realizar un experimento para establecer que tan vulnerables son este tipo de infraestructuras, observar el comportamiento de los atacantes, su forma de manipular los sistemas con detalle y determinar que objetivos prefieren. Consistió en crear sistemas virtualizados para el monitoreo de tanques de gasolina, con sus respectivas funciones de entrada / salida (E / S), controles y otras características, que hacen que los atacantes crean que son reales. Estos son esencialmente honeypots de sistemas de monitoreo de tanques de gasolina, de ahí el apodo de GasPot [PDF].

GasPot es un único script de Python que permite servir como un honeypot funcional que registra las conexiones e intentos de compromiso. Fue diseñado desde cero para no parecerse a otro honeypot virtual. Cada instancia que se ejecuta es única, haciendo más difícil para los atacantes hacer fingerprinting de honeypot.
GasPot tiene una arquitectura simple que se ejecuta en una sesión local en el dispositivo. De esta manera, no hay servicios adicionales que podrían ser una cosa distinta al dispositivo auténtico.
Los sistemas GasPot fueron desplegados en Estados Unidos, Brasil, Reino Unido, Jordania, Alemania, Emiratos Árabes y Rusia siendo los de Estados Unidos los más atacados representando el 44% del número total de ataques. Algunas evidencias sugieren que dentro de los atacantes se encontraban el Iranian Dark Coders (IDC) Team, así como el Ejército Electrónico Sirio. Jordania (17%) fue el siguiente con mayor cantidad de ataques y curiosamente los que se ubicaron en Alemania no sufrieron ataques.

Este tipo de experimentos dejan al descubierto la realidad de la (in)seguridad de los sistemas de control industrial al interior de las empresas. En el experimento algunos atacantes pudieron incluso tomar control de los tanques convirtiéndolos en riesgos a la seguridad pública. Las organizaciones deben poner mayor atención a la seguridad de estas infraestructuras, incorporando soluciones que brinden mas visibilidad y complementen a las soluciones tradicionales, las cuales ya no son suficientes para detectar este tipo de amenazas. Actualmente existen soluciones para detectar brechas de seguridad y ataques dirigidos, las mismas combinan tecnologías de sanboxing, correlación de eventos, integración con herramientas de seguridad, etc.

No debemos olvidar también el reto del parcheo que los sistemas de control industrial requieren. Sobre todo debido a la falta de parches frente a las múltiples vulnerabilidades y la baja tasa de aplicación de los mismos cuando existen. Aun hay bastante que trabajar en este frente.

Fuente: bSecure

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!