Comprometida red de suministro y distribución eléctrica por pentesters

En la RSA Conference que está teniendo lugar estos días en San Francisco, California unos pentesters han presentado los detalles de un trabajo de "pentesting" o "penetration testing" realizado en una empresa del sector energético.

Tras haber recolectado las direcciones de correo electrónico del grupo de usuarios de los sistemas SCADA con los que se gestionaba la red de suministro y distribución eléctrica, los pentesters han podido tomar control de la red eléctrica después de haber tenido éxito en un ataque de phishing que dirigía a los usuarios a una página web que presentaba un error, y al mismo tiempo descargaba malware en los equipos de los usuarios por medio de los que adquirieron su control. La empresa mantenía sin segregar las redes corporativa y de control, la primera de ellas con acceso a Internet, factor principal de éxito del ataque.

Los detalles sobre el trabajo pueden verse aquí.

Cada vez más se va notando el interés de las empresas usuarias de sistemas de control de instalaciones industriales o infrastructuras críticas (PLC, DCS o SCADA) en la gestión de la seguridad de la información, después de haber caído en la cuenta de que las redes y sistemas de control son vulnerables por las diferentes razones que se presentan en este artículo de algunos de nuestros compañeros de S21sec (ver páginas 18 a 20).

Recientemente hemos tomado parte en un proyecto en Oriente Medio para evaluar el estado o la madurez y proponer recomendaciones sobre el sistema de gestión de seguridad de la información de una empresa de producción de petróleo, gas y electricidad. Esta empresa ya tenía clara la importancia de la segregación de las redes corporativa y de control en cuyo proceso de implantación estaba inmerso, habiéndonos dado la oportunidad de participar también en el diseño lógico de la nueva arquitectura de red una vez finalizada la segregación física.

Esperemos poder seguir prestando nuestros servicios de consultoría de gestión, operativa y técnica en materia de seguridad de la información a las entidades que cuentan con sistemas de control de infraestructuras industriales o infraestructuras críticas.

Álvaro Del Hoyo
Departamento de Consultoría

Más seguridad para el protocolo HTTP

Actualizado (27/02/08): Ver Más seguridad para el protocolo HTTP (II)

La especificación del protocolo HTTP tiene ya más de 8 años, y es ahora, cuando se empieza a trabajar en la seguridad asociada a este protocolo, con la creación de un borrador por parte del IETF. Security Requirements for HTTP.

Los problemas que van a tratar son los mecanismos de seguridad asociados al HTTP o la falta de ellos. :)

Entre otros podemos ver:

• Autenticación HTTP a través de claves de sesión en cookies y formularios HTML.
• Susceptibilidad de las cookies a todo tipo de ataques por parte de intermediarios y mirones.
• Autenticación básica, digest y otros esquemas basados en la capa de transporte.
  
• Esquemas de autenticación basados en tickets centralizados.
• Web Services. (protocolos basados en XML)
  
• Posible revisión del protocolo HTTP en un futuro.
  

Ya hablamos de esto anteriormente, la seguridad en la capa de transporte proporcionada a los protocolos de nivel más alto, como HTTP, o lo que es lo mismo, HTTPS, no es suficiente para los riesgos que existen actualmente en las aplicaciones web.

Este documento cubrirá los mecanismos de seguridad de HTTP como una combinación del transporte seguro y la autenticación de acceso. Su objetivo será concluir con un documento de "Recomendación de las mejores prácticas actuales de la seguridad HTTP".
Hay que ver que en la actualidad se trata únicamente de un borrador inicial y está incompleto. Pero al menos, son buenas noticias, ya que se está trabajando en ello para que tarde o temprano se empiece a implementar. Puede que no sea todo lo que necesitamos, pero al menos es más de lo que tenemos actualmente.

Emilio Casbas
S21sec labs

¿IP en el coche?

En la actualidad los sistemas electrónicos de automóvil pueden verse como un conjunto de sistemas embebidos, sensores y actuadores interconectados por diversos sistemas de comunicaciones propietarios (CAN, LIN, MOST o Flexray). Estos sistemas electrónicos permiten controlar diferentes subsistemas del vehículo: motor, sistema de estabilidad, panel de mandos, sistema antirobo, control de crucero, espejos, elevalunas eléctricos, etc. Es habitual que muchos de estos subsistemas tengan requisitos muy exigentes en cuanto a tiempos de respuesta y de hecho se les conoce como sistemas de tiempo real; una actuación a destiempo de algunos de estos subsistemas puede llegar a comprometer la seguridad del viajero (control de estabilidad, de motor, …). Por otro lado, cada vez más modelos de todos los segmentos y marcas de automóvil incluyen nuevos sistemas electrónicos orientados hacia el entretenimiento y la comunicación (piénsese en las flexibilidades del “diente azul”) aunque la verdad es que las funcionalidades que ofrecen son todavía bastante limitadas.

En base a lo anterior los señores del departamento de investigación y desarrollo de BMW, en su afán por prever las características del vehículo del futuro, han pensado que la tendencia es la inclusión de todo tipo de capacidades multimedia y de comunicaciones; desde la navegación por Internet, pasando por la videoconferencia hasta la conexión de dispositivos plug&play. Vamos, al más puro estilo Multimedia Center de Microsoft pero en el coche.

Sin embargo hay varios problemas que solventar antes de alcanzar este idilio tecnológico. Por un lado, hay que compaginar un sistema seguro para el conductor basado en estrictos requisitos de tiempos de respuesta, con un sistema multimedia que requiere grandes anchos de banda. Por otro lado, hay que mantener los costes de producción y al mismo tiempo ofrecer todas estas nuevas funcionalidades. Todo esto suena a economías de escala, calidad de servicio, estándares, etc.

La gente de BMW ha decidido probar suerte con IP, como sustituto de los protocolos de comunicaciones propietarios arriba mencionados, y utilizando técnicas de calidad de servicio y catalogación de tráfico (“traffic shaping”). Básicamente han montado un sistema de control de motor, otro de control de estabilidad y un tercero de panel de mandos y los han comunicado vía IPv4 entre sí y con un servidor multimedia y una cámara de vídeo. Parece ser que los resultados han sido muy prometedores, ya que los requisitos de ejecución en tiempo real han sido cubiertos con creces de tal manera que no se compromete la seguridad del conductor y los acompañantes.

Antes de lanzar las campanas al vuelo cabe preguntarse por otro tipo de seguridad. ¿Qué ocurriría si a través de Internet se causara una denegación de servicio? ¿Y si entrase un troyano que permitiera controlar de manera remota el sistema electrónico de nuestro coche? ¿Tendríamos que empezar a instalar cortafuegos, detectores de intrusiones y antivirus? ¿Qué sistema operativo utilizaríamos? …

Elyoenai Egozcue
S21sec labs