Español | English
rss facebook linkedin Twitter

Divulgación de vulnerabilidades en entornos SCADA: presente, futuro, caso Siemens

La seguridad es un concepto relativamente nuevo en lo que se refiere a sistemas de control industrial. Aunque la tendencia ahora mismo es que los fabricantes simplemente se sientan a esperar a que alguien encuentre vulnerabilidades, agujeros o bugs en sus sistemas para tomar medidas e intentar solventarlos, creemos que este procedimiento va a cambiar en un futuro próximo y cada vez con más asiduidad se van a contratar los servicios de empresas e investigadores expertos en seguridad que se encarguen de testar sus sistemas y conjuntamente encontrar una solución a los problemas identificados, realizando posteriormente una divulgación responsable.

Creemos que esto será así puesto que si bien el sentir mayoritario de los fabricantes es que si tienen que dedicar tiempo a comprobar la seguridad de sus sistemas y elaborar parches haría que la calidad de su proceso de ingeniería se viera alterada, consideramos que la seguridad guarda estrecha relación con la calidad, y más en el contexto en el que nos encontramos, donde la existencia del concepto "seguridad" puede significar que no se produzca una debacle nuclear, que la población cuente con electricidad en sus casas o que pueda beber agua con normalidad. En este punto, el trabajo más complicado de llevar a cabo es concienciar a los fabricantes de que la seguridad es una prioridad para su compañía, más allá de que los costes se vean incrementados. No es una tarea fácil, pero que se puede lograr involucrando a terceras partes como gobiernos e instituciones, para que elaboren normativas y leyes a cumplir tanto por fabricantes como por empresas del sector.

En cuanto a la opinión de la comunidad de investigadores de seguridad en sistemas de control industrial observamos que existe una cierta controversia respecto a este aspecto, si bien un pequeño grupo de investigadores cree que la mejor forma de llevar a cabo esta tarea es realizar una revelación completa de las vulnerabilidades encontradas para que el miedo se apodere de los fabricantes, el sentir mayoritario es que nos encontramos en un entorno crítico, donde la responsabilidad pesa más que cualquier otra cosa, y siempre teniendo muy presente que la divulgación de una vulnerabilidad puede suponer poner en riesgo a una gran parte de la población. Esto es algo muy serio.

Por último, respecto al caso de Siemens del que tanto se está hablando estas semanas, según lo publicado en la lista de distribución de correo SCADASEC, Dillon Beresford, investigador que encontró las vulnerabilidades se muestra bastante molesto con la compañía, puesto que en los comunicados de prensa emitidos, la empresa resta importancia a los fallos encontrados indicando que el investigador contaba con un entorno controlado y con acceso a todos los controladores y binarios necesarios para explotar las vulnerabilidades, y que para llevar a cabo el proceso se necesitan altos conocimientos de hacking. Según Beresford, nada de esto es cierto, un hacker con perfil típico puede llevar a cabo el ataque con éxito, por lo que la empresa a través de dichos comunicados ha buscado salvaguardar su imagen corporativa a ojos de sus clientes.

Daniel Herreras Rodríguez
S21sec labs

(+34 902 222 521)


24 horas / 7 días a la semana



© Copyright S21sec 2013 - Todos los derechos reservados


login