12 nov 2019

La ardilla: un arma para las auditorías a entornos OT

Las auditorías de seguridad sobre entornos OT son un "rara avis" dentro del mundo cyber, o al menos, lo eran, porque cada vez más, los clientes se aventuran a dejarnos entrar en sus entornos más críticos, para ayudarles a entender los riesgos a los que se encuentran expuestos en lo que para muchos de ellos es el core de sus negocios.

Con el paso de los años, desde Zerolynx nos hemos hecho con un set de herramientas software y hardware adaptadas a la realidad de estos entornos, que aunque tienen claras diferencias con el mundo IT que tradicionalmente veníamos trabajando, nos sorprende con numerosas similitudes. El mundo RTU va dejando paso a TCP/IP y los lazos que unen IT y OT empiezan a estrecharse, con los riesgos que supone todo ello si las segmentaciones no son las adecuadas.

Hoy hablaremos de la herramienta que más útil nos está resultando en este tipo de auditorías, y sorprendentemente, la más económica y simple de todo nuestro arsenal, me estoy refiriendo a la popular ardilla de Hak5.

Esta sencilla herramienta, diseñada para realizar ataques de tipo MitM, es un gran recurso para poder capturar tramas industriales, de forma totalmente sigilosa y pasiva, para poder estudiar estos entornos antes de pasar a las fases activas de ataque.

En nuestro caso, tenemos configurado un sencillo script que con Tcpdump, realiza un volcado limpio de red, sin ningún otro tratamiento, para posteriormente realizar un análisis completo en las máquinas del laboratorio.

Pero, es importante tener varios aspectos en cuenta en este tipo de entornos:
  1. Para conectar la ardilla, hay que desconectar el cable de red del PLC, HMI, Switch, etc. ¡Mucho cuidado en entornos de producción! Es recomendable pactar una ventana horaria con el operador o responsable de planta, para realizar su conexión y posterior desconexión.
  2. La ardilla requiere de alimentación eléctrica. Utilizad un enchufe. Aunque hay baterías para móviles muy potentes, un microcorte, y la captura puede irse al traste :)
  3. No utilicéis pendrives para almacenar la información. Siempre requerid al cliente un pequeño análisis de volumetrías de red y utilizad discos duros con los TB suficientes. Yo siempre suelo hacer un x2 a lo que nos indican los clientes.
  4. Y finalmente, tened en cuenta que la ardilla es lo que es. No es un switch "industrial", y puede provocar ralentizaciones y cortes. Para sistemas grandes, es posible que precisemos utilizar otro tipo de tecnologías, o directamente, sentarnos con el equipo de OT del cliente para que nos brinden una captura de red con sus herramientas habituales de inspección. Es importante empatizar con la situación y entender que decirle a un cliente que vamos a conectar "no se que aparato", en una granja de aerogeneradores, fábrica, subestación, etc. que reporta miles de euros por minuto, puede ocasionarle cuanto menos, incertidumbre :) y sus cuestiones o dudas estarán totalmente justificadas.
Cuando comencéis a estudiar las capturas de red, lo primero que os sorprenderá es lo claro "que está todo". Los protocolos Modbus, MMS, etc. suelen ir en texto claro, sin cifrar, y sin apenas codificación, por lo que os será relativamente sencillo interpretar los datos que están siendo enviados.

Sin embargo, lo que os costará, es entender que son los diferentes números e instrucciones enviados desde los HMI a los PLCs, los datos recuperados, etc. Es habitual que se utilicen tecnologías propietarias, que haya poca documentación y que el conocimiento dependa directamente de los ingenieros. No desesperéis. Este tipo de entornos están orientados a la disponibilidad y los tiempos de respuesta son cruciales, pero la integridad, confidencialidad y trazabilidad nunca han sido los ejes sobre los que han vertebrado los procesos de ingeniería, por lo que en muchas ocasiones os sangrarán los ojos con lo que veréis. Es algo que el tiempo irá cambiando poco a poco, o al menos, eso esperamos los que nos dedicamos al mundillo de la ciberseguridad.

Fuente: Flu-Project

Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!