Español | English
rss facebook linkedin Twitter

IOActive, blackhat, smart meters y Worm, todo junto.

Desde hace días se seguía con interés uno de los eventos SCADA más significativos en cuanto a seguridad. El 28 de Julio, IOActive anunciaba que Mike Davis iba a presentar un gusano para Smart Grid en los briefings de la BlackHat en Las Vegas. Desarrollado sobre el firmware de un contador eléctrico (smart meter) conectado a una red de este tipo, la charla incluía una simulación de su capacidad de dispersión. Por si no había llamado suficiente la atención, Travis Goodspeed, otro experto en seguridad en sistemas empotrados y microcontroladores referenciaba la charla de Davis en su presentación.

La charla completa resume que es un Grid, habla de los diferentes componentes y viene a decir que la facilidad de propagación del gusano radica en la falta de comprobaciones de confianza, de tal modo que un dispositivo es incapaz actualmente de detectar si su vecino en el Grid es quién dice ser. Esta ausencia en la autenticación y la poca robustez del cifrado permiten la comprensión de las comunicaciones así como la manipulación del firmware.

A pesar del fatalismo, Davis supo gestionar la situación de que la mayoría de asistentes a su charla solamente querían saber si el smart meter utilizado era el suyo. Realizó una presentación en general optimista, aunque no se separó en ningún momento de la línea alarmista, afirmando por ejemplo que habían encontrado varios smart meters en los que podían manipular el firmware. Las Utilities, así como los proveedores de dispositivos smart fueron los que se mostraron más receptivos a las advertencias de Davis, aunque en más de una ocasión hizo referencia a que pudiera llegarse a comprometer la central generadora (o la distribuidora) utilizando el smart meter. Si bien puede ser cierto, no es ni el único ni el más importante vector de ataque, ya que hasta ahora, se han reportado otro tipo de incidentes en estos centros debido a la existencia de vulnerabilidades en el software que utilizan.

Ahora bien, como ejemplo de consecuencia, en un grado de dispersión suficiente, si alguien inutilizase de golpe los dispositivos smart afectados por el gusano realizando un corte de suministro eléctrico en todos ellos podría ocasionar grandes daños (no solo económicos) en los dispositivos distribuidores de energía, dejando la red de distribución totalmente desbalanceada o todo el grid en una situación inestable, pudiendo ocasionar grandes picos de tensión y energía difícilmente asimilable por la red actual. No debemos olvidar que esta situación puede ocurrir de forma controlada por una persona, o por la consecución de un error de software en el propio gusano.

Al final, las compañías del sector eléctrico ven el resultado de la investigación de Davis con malos ojos, sobre todo los proveedores de dispositivos smart. La prensa obtenida por su atrevimiento también está dividida. En mi opinión Davis ha conseguido su propósito, que es despertar el diálogo entre los diferentes actores que intervienen en la película de smart grids, sobre todo los que tienen que decir algo respecto a la seguridad de los dispositivos. Lo extraño es, que en el año 2009, todavía es necesario generar cierto alarmismo para que las cosas se dejen de empezar a construir por el tejado, ya que parece ser que hasta que no se ven las consecuencias aunque sea en una simulación, la teoría (será que no hay prosa sobre seguridad en internet) no sirve para nada. Intertextualizando, incluyo una cita suya que comparto: “Every time we redesign a new technology like this, we're doomed to relive the '80s and '90s all over again and the same vulnerabilities

Aunque son muchas más las posibles consecuencias que puede acarrear “jugar” con este tipo de dispositivos, de forma manual o automática. Otros ejemplos podrían ser, un sencillo fallo en el software de gestión de General Electric dejó sin electricidad a 50 millones de personas (estadounidenses) en 8 estados y una provincia de Canada. En Enero de 2003, el gusano Slammer dejó desactivo durante casi 5 horas un sistema de monitorización de seguridad en la planta de generación nuclear Davis-Besse de Ohio. Pero me voy a quedar con uno más fatídico. Olympic Pipeline CO., 10 de junio de 1999, una ruptura en una tubería de gas acaba matando a dos niños de 10 años y otro de 18, además de dejar otras 8 personas heridas. Las causas del accidente aún del todo sin aclarar, incluyen el hecho de que un error de software unos 30 minutos antes de la ruptura, impidió el acceso de los operarios a la sala de control para liberar presión de la tubería.

Conclusión, jugar con tecnología que se desconoce, o que no se controla puede llegar a ser divertido. En entornos SCADA o de control crítico, puede llegar a serlo, en el mejor de los casos.

Iñaki López
S21sec labs

3 comentarios:

Xavim dijo...

Muy bueno el artículo y bastante inquietante el panorama después del BlackHat ...

Anónimo dijo...

Se sabe ya el modelo del equipo? Es el ION de Scheneider? Qué reumores hay?

Nicolo dijo...

me tienes contento iñaki...


(+34 902 222 521)


24 horas / 7 días a la semana



© Copyright S21sec 2013 - Todos los derechos reservados


login