Español | English
rss facebook linkedin Twitter

INCIDENTES SCADA

En el día de hoy voy a realizar una pequeña lista de incidentes en sistemas de control industrial. Esto es debido a que leyendo una noticia sobre incidentes de seguridad, me pareció interesante listar los incidentes más conocidos para hacer ver la importancia que tiene la seguridad en este tipo de entornos.
La noticia muestra como ha sido la evolución de los incidentes en estos últimos años, basándose en el RISI (Repository of Industrial Security Incidents) que ya tratamos en otro post.

El "2009 Annual Report on Cyber Security Incidents and Trends Affecting Industrial Control Systems" es un análisis de todos los incidentes registrados hasta el 31 de diciembre de 2009. Dicho análisis se realizó para determinar dónde y cuándo se produjeron los 175 incidentes confirmados. En los últimos 5 años se ha notado un cambio importante en la tasa de incidencias, ya que se ha podido observar que los incidentes en industrias petrolíferas y químicas han disminuido en más de un 80%, pero han aumentado en el sector de aguas/aguas residuales más de un 300% y en el sector de la energía eléctrica un 30%.

La mayoría de estos incidentes (casi el 50%) han sido causados por malware, gusanos, virus, y troyanos, aunque cabe destacar el aumento de los incidentes debido a fallos de equipos producidos por anomalías de red (debido a la interconexión de redes).

A continuación se listan los incidentes con mayor repercusión:
  • El ordenador portátil de un empleado es comprometido con la instalación de malware a través de Internet. Este portátil sirvió posteriormente para instalar virus y spyware en el sistema informático de la planta. Se cree que el atacante operaba desde el exterior de los EEUU. Su objetivo no era la planta de tratamiento de aguas en sí misma, sino lograr recursos con los que distribuir spam o realizar otro tipo de ataques (como por ejemplo DoS distribuido)
  • De acuerdo a informaciones proporcionadas por el Ministerio del Interior ruso, unos hackers consiguieron comprometer los sistemas del monopolio estatal ruso Gazprom. Los hackers colaboraron con un empleado del propio momopolio que les ayudó a instalar un troyano que les permitió hacerse con el control del panel de un centro de control, desde el que se contralaba los flujos de gas natural en los gaseoductos. Fuentes oficiales consideran que el incidente podría haber desembocado en un gran desastre natural. Conviene recordar que Gazprom cuenta con la mayor red de distribución de gas natural del mundo y que es el principal suministrador de los países de Europa occidental.
  • Varios hackers son capaces de penetrar los sistemas informáticos de varias eléctricas y tomar el control remotamente, y desde Internet, de la distribución eléctrica a varias ciudades en EEUU. Los criminales extorsionaron a los responsables de las eléctricas con el objetivo de lograr una compensación económica a cambio de no cortar el suministro eléctrico a varias ciudades. Al menos en un caso, se produjo un corte que afectó a múltiples ciudades estadounidenses.
  • El gusano Slammer de MS SQL Server infecta una red informática de carácter privado perteneciente a la planta nuclear David – Besse. Como consecuencia queda desactivado durante cinco horas un sistema encargado de monitorizar que la planta estaba operando bajo condiciones de seguridad. El personal de la planta creía que la red estaba asegurada ya que estaba protegida por un cortafuegos.
  • Un hombre de 49 años realizó múltiples ataques al sistema de control del sistema de depuración de aguas de Maroocky Shire, en Queensland (Australia). Los ataques se realizaron utilizando un portátil, equipamiento de radio y aplicaciones de control de la planta, desde el aparcamiento de las instalaciones de la depuradora. El atacante era empleado de la empresa responsable de la instalación del sistema de control, y los ataques fueron en respuesta al rechazo de su solicitud para trabajar en una puesto en el Ayuntamiento de la zona. Varios millones de litros de aguas residuales -una piscina olímpica tiene una capacidad de cerca de dos millones de litros- fueron liberados contaminando ríos y parques, y haciendo el ambiente irrespirable para los ciudadanos.
  • Debido a una actualización software instalada en un único ordenador, la planta nuclear Edwin I en Georgia se ve forzada a realizar una parada de emergencia durante 48 horas. La actualización de software fue realizada por la empresa Souther Company, responsable de la gestión de operaciones tecnológicas de la planta. El ordenador en cuestión era utilizado para la monitorización de datos químicos y de diagnóstico asociados con uno de los sistemas de control primarios de la planta. Tras la instalación de la actualización, el ordenador fue reiniciado, lo que derivó en falta de información de monitorización, que a su vez fue malinterpretada por los sistemas de seguridad de la planta, que disparon un apagado de emergencia de la misma.
Yo creo que con estos ejemplos (hay muchos más) queda claro de la importancia de la seguridad en las infraestructuras críticas.

Iker Berriozabal
S21sec labs

(+34 902 222 521)


24 horas / 7 días a la semana



© Copyright S21sec 2013 - Todos los derechos reservados


login