Comprometida red de suministro y distribución eléctrica por pentesters

En la RSA Conference que está teniendo lugar estos días en San Francisco, California unos pentesters han presentado los detalles de un trabajo de "pentesting" o "penetration testing" realizado en una empresa del sector energético.

Tras haber recolectado las direcciones de correo electrónico del grupo de usuarios de los sistemas SCADA con los que se gestionaba la red de suministro y distribución eléctrica, los pentesters han podido tomar control de la red eléctrica después de haber tenido éxito en un ataque de phishing que dirigía a los usuarios a una página web que presentaba un error, y al mismo tiempo descargaba malware en los equipos de los usuarios por medio de los que adquirieron su control. La empresa mantenía sin segregar las redes corporativa y de control, la primera de ellas con acceso a Internet, factor principal de éxito del ataque.

Los detalles sobre el trabajo pueden verse aquí.

Cada vez más se va notando el interés de las empresas usuarias de sistemas de control de instalaciones industriales o infrastructuras críticas (PLC, DCS o SCADA) en la gestión de la seguridad de la información, después de haber caído en la cuenta de que las redes y sistemas de control son vulnerables por las diferentes razones que se presentan en este artículo de algunos de nuestros compañeros de S21sec (ver páginas 18 a 20).

Recientemente hemos tomado parte en un proyecto en Oriente Medio para evaluar el estado o la madurez y proponer recomendaciones sobre el sistema de gestión de seguridad de la información de una empresa de producción de petróleo, gas y electricidad. Esta empresa ya tenía clara la importancia de la segregación de las redes corporativa y de control en cuyo proceso de implantación estaba inmerso, habiéndonos dado la oportunidad de participar también en el diseño lógico de la nueva arquitectura de red una vez finalizada la segregación física.

Esperemos poder seguir prestando nuestros servicios de consultoría de gestión, operativa y técnica en materia de seguridad de la información a las entidades que cuentan con sistemas de control de infraestructuras industriales o infraestructuras críticas.

Álvaro Del Hoyo
Departamento de Consultoría

¿Se equivocó Albert Einstein?

En plena guerra fría, durante los primeros años del Macarthismo y la amenaza nuclear entre los Estados Unidos y la URSS, Albert Einstein, hacía pública una de sus más famosas citas:

"No se como será la tercera guerra mundial, sólo sé que la cuarta será con piedras y lanzas."

Albert Einstein

En aquel momento la cita causo gran impresión y prueba de ello es que haya sobrevivido como actual hasta nuestros días, ya que desde las bombas atómicas empleadas en el final de la segunda guerra mundial siempre se ha supuesto que también se usaría el arsenal nuclear masivamente en la “Tercera Guerra Mundial”.
Sin embargo, vamos a mostrarnos un poco optimistas ya que parece que nuestra civilización ha conseguido por ahora evitar su autoaniquilación como muchos anunciaban en aquellos años de la guerra fría, para cambiar el concepto tradicional de la guerra hacia técnicas más sutiles y significantemente menos destructivas.
En los foros de seguridad digital especializados ya se menciona esporádicamente el término “Tercera Guerra Mundial” para referirse a las nuevas técnicas de ataques entre países, con el intento de sembrar el caos y paralizar el país atacado.
Fue especialmente llamativo el ataque sufrido por Estonia en Mayo de 2007, que sucedió poco después de que Estonia retirase un monumento de la era Soviética que recordaba la lucha de los soldados de la URSS contra el fascismo en la Segunda Guerra Mundial.
Estonia ha reportado que hasta 1 millón de ordenadores cautivos fueron usados en este ataque, cuyos objetivos principales han sido las sedes gubernamentales, las de los partidos políticos, los bancos, los medios de comunicación y otras empresas, en un intento por crear el caos en dicho país.
El gobierno Estonio llego a necesitar a involucrar a expertos en “Ciberguerra” de la OTAN para hacer frente a la magnitud del ataque.
Estos ataques también se dieron en Dinamarca después de la publicación de las tristemente famosas caricaturas, e igualmente hubo ataques contra la sede de la OTAN durante la guerra de Kosovo.

En cualquier caso, el concepto de “Ciberguerra” no es ni mucho menos nuevo y ya era contemplado por los expertos militares americanos para conseguir un objetivo con el mínimo daño posible, como apunta este artículo producido también durante la guerra de Kosovo, o el siguiente artículo de la revista TIME del año 1995, en el que según dicho artículo la intención del ejercito americano es de “aprovechar las maravillas tecnológicas del siglo 20 para lanzar rápidos, sigilosos, amplios y devastadores ataques en la infraestructura miliar y civil de un enemigo”.
Recientemente, el 2 Noviembre de 2006, el ejercito americano ha anunciado la creación de una unidad especial de combate perteneciente a la US Air Force cuyo ámbito de acción va a ser únicamente el ciberespacio.

La preocupación ha encontrado ya su eco en periódicos no especializados en este tipo de temas, como muestra este artículo del EL Pais. Algunos expertos se plantean la posibilidad de que este tipo de guerra sea usada por “ciberterroristas” mediante el acceso a redes SCADA de control: “Por eso los expertos en seguridad se imaginan a los terroristas delante de un teclado cerrando fábricas o abriendo las compuertas de una presa para inundar las ciudades situadas río abajo.” E incluso esta temática ha servido de inspiración a la película "La jungla de Cristal 4" como ya comentabamos en un post anterior de este blog.

Esperemos que efectivamente Einstein por una vez, se haya equivocado.

Jon Asin
S21sec Labs