Copy Link
Add to Bookmark
Report
SET 038 0x09
-[ 0x09 ]--------------------------------------------------------------------
-[ Sistemas Industriales ]---------------------------------------------------
-[ by SET Staff ]----------------------------------------------------SET-38--
---------------------
SISTEMAS INDUSTRIALES
---------------------
Nuestra historia empieza en una sala de control de un sistema industrial.
Ya sabeis, esos sitios desde donde se controlan sistemas que sirven para
gestionar grandes procesos industriales o de servicios. Poco importa si el
proceso sea un sistema de bombeo para suministro de agua a una gran
poblacion, una fabrica de produccion de acero, una industria quimica o
incluso una planta nuclear de produccion electrica. En todos los casos las
salas de control se asemejan bastante, luces asepticas, pupitres fijos y
resistentes, paneles de informacion adosados a las paredes y sobretodo,
pantallas de ordenador.
-----------
EVOLUCION
-----------
Si. Los omnipresentes ordenadores tambien han llegado a los procesos
industriales y aunque inicialmente hubieron reticencias y viejos
dinosaurios presentaron resistencia a las nuevas tecnologias, lo cierto,
es que la gestion industrial esta basada en las nuevas tecnologias. En
principio los ordenadores industriales estaban completamente separados
de los de comunicaciones con el exterior, pero pronto, los ingenieros de
proceso se encontraron con dos problemas, uno era la escasa memoria de
almacenamiento de datos historicos y el otro era poderse comunicar con
eficacia con una red exterior.
Los ingenieros de proceso son gente acostumbrada a consultar datos de
años atras, para poder comparar lo que les sucedio la semana pasada con
viejos problemas o bien analizar situaciones del pasado que por alguna
razon han vuelto a ser de actualidad. Eran gente habituada a guardar,
trazados sobre hojas de papel, los registros de lo que sucedio años atras
y poderlos consultar. Es increible lo que hasta hace escasos años se
almacenaba fisicamente. Cuando llegaron los sistemas de control numericos
uno de los primeros problemas fue que los tecnicos de proceso no llegaban
a acostumbrarse al analisis sobre datos en pantalla. Durante bastante
tiempo convivieron los ordenadores, con registros analogicos que se
consultaban, analizaban y almacenaban amorosamente.
Poco a poco empezaron a irrumpir en las salas de control las pantallas de
gran formato, alta definicion y en color, que permitieron a los viejos
dinosaurios acostumbrarse a ver las curvas de evolucion de temperatura
sobre un monitor CRT en lugar de un trozo de papel milimetrico, pero
todavia quedaba un problema, los datos requerian un almacenamiento masivo,
cosa que era bastante caro a penas hace diez años y por tanto los fabricantes
de hardware industrial se mostraban remisos a instalarlo de forma casi
gratuita. Fue entonces cuando a algun avispado informatico se le ocurrio
la idea de conectar un puerto COM del bus de comunicacion de la fabrica
con un PC que aunque fuera de ultima generacion era bastante mas barato
que la fortuna que exigia el fabricante de hardware industrial. De esta
forma se abrio la primera brecha de seguridad sobre el proceso industrial.
Alguien que tuviera acceso al PC local o la red donde se conectaba, podia
llegar a tener acceso a los procesos industriales sin necesidad de pasar
por la sacrosanta y protegida sala de control.
Esto fue una primera evolucion que dentro del contexto de la epoca tampoco
era una brecha de seguridad escandalosa. Las redes locales eran escasas y
la gente con conocimientos para explotarlas tambien. Ademas era bastante
sencillo limitar el numero de maquinas y los perifericos. Eran epocas en
que todavia las IPs se gestionaban de forma manual y se llevaban registros
personalizados. De todas formas, tambien hay que decir, que no han habido
mas incidentes provocados por sabotajes, o tal vez no se hayan hecho publicos,
debido a que poca gente sabia muy bien como funcionaba todo aquello.
Curiosidad existia ya en la epoca, pero la posibilidad de obtener informacion
no era tan facil como hoy en dia
-----------------------
SUBIENDO OTRO ESCALON
-----------------------
Pero la vida continuo su evolucion y en el caso de los proveedores de
hardware para salas de control tambien lo hicieron, solo que tomando un
sesgo peligroso. Todo proveedor de hardware no solo tenia que suministrar
todo el material fisico para que el operador pudiera comunicarse con el
proceso sino tambien el software y como tantas veces en esta vida se
inicio una batalla de reduccion de costos. Los fabricantes se hicieron
las preguntas que toda buena escuela de negocios aconseja que se hagan
y que siempre son las mismas, aunque van cambiando el envoltorio para que
no se note. En cualquier entorno cuando se encuentran enfrentados a una
guerra de costos es preciso preguntarse que sabemos hacer y que podemos
delegar en otros. Es el equivalente al "Zapatero a tus zapatos", un viejo
dicho castellano, totalmente gratuito, no hace falta pagar las tarifas de
una escuela de negocios y enseña lo mismo.
Sea porque pagaron a una prestigiosa escuela de negocios, sea porque el
portero de la corporacion era de habla castellana, el caso es que los
fabricantes de hardware industrial decidieron dejar de invertir en software
de visualizacion grafica y decidieron emplear los que ya existian Si se
echa un vistazo alrededor, lo que mas abunda y es facilmente integrable
es toda la saga Windows, ahi se fueron y eso propusieron a los usuarios
finales. En el fondo les dijeron, "Nosotros les suministramos lo mas dificil
de construir, las tarjetas de control y los buses de comunicaciones, y uds
se compran las pantallas y ordenadores de sobremesa que mas les guste.
Nosotros aseguramos la compatibilidad". Solo les quedaba desarrollar algunas
interfaces de usuario y algun editor de graficos. Nada complicado.
El problema es que inadvertidamente al usuario final se le ha colado un
invitado en la sala de control. Los PC normales y corrientes con su sistema
operativo Windows. Simultaneamente se tiene que construir un sistema de
validacion de usuarios, que no tiene nada que ver con al antiguo sistema
monolitico que solo conocia al usuario validado por el software propietario
del constructor de hardware para uso industrial. La nueva configuracion
requiere una red Windows con sus puntos fuertes y debilidades, pero lo que
es peor, un tipo de configuracion conocida por mucha gente.
De todas formas la historia no quedo ahi, ya que el inconsciente usuario
final, o sea el conjunto de ingenieros que pilotan el proceso industrial,
presionado por una economia que quiere reducir los costos y responder
rapidamente a las modificaciones , solicito que todo fuera compatible con
la red externa burotica de la empresa. La peticion tiene sentido. De esta
forma el operador de sala de control puede enviar y recibir mensajes en
cuanto un hecho inusual se produce o simplemente para que toda comunicacion
quede registrada de forma comoda y rapida. Incluso se puede utilizar para
que el sistema operativo central de la fabrica envie mensajes de alarma en
caso de disfuncionamiento del proceso si el operador no ha sabido controlar
la situacion por algun motivo.
Todo ello muy bonito pero de hecho se acaba de crear otro problema de
seguridad al abrir una pasarela de comunicacion entre un bus que controla
un proceso de fabricacion industrial y una red exterior que puede tener
miles de usuarios, no digamos si ademas les hemos dado acceso a internet
a los operadores de la sala de control a fin de que no se aburran durante
las largas horas nocturnas en que el proceso funciona de forma estable y
automatica Todo ello a pesar de que los ingenieros de los fabricantes de
hardware tampoco son tontos y recomiendan vivamente evitar este tipo de
practicas, pero todos sabemos que si algo se puede hacer, seguro que se
acabara haciendo.
----------------------------------
ESTRUCTURA DE UNA RED INDUSTRIAL
----------------------------------
Vamos a describir que es lo que recomiendan los fabricantes de hardware
para procesos de produccion industrial.
En este tipo de sistemas lo primero que se encuentra entre, por ejemplo
una valvula que maneja el circuito de refrigeracion de una central nuclear,
es el bus de comunicacion local, este esta conectado con el controlador,
que no es mas que una tarjeta inteligente que a su vez se comunica con sus
hermanos gemelos que actuan sobre otros elementos de la instalacion. Todos
ellos, a traves de un switch, se conectan a las workstation clasicas, PCs
para los amigos, que se encuentran en la sala de control. Hasta aqui no
hay mas problema que quien tenga acceso a las workstation, tienen control
total a la planta industrial. A fin de limitar los errores, cada usuario
se acredita igual que cuando nosotros nos conectamos a nuestro ordenador
en la oficina. Introducimos nuestro usuario, nuestra palabra de paso y en
funcion del perfil que el administrador nos ha asignado, podemos ser
rechazados, ver solo lo que pasa, crear archivos, instalar software,
modificar datos o si se trata de una planta industrial, accionar una
valvula o lanzar el proceso automatico de destruccion total.
La formacion que la empresa propietaria de la planta a impartido a su
personal, es lo que impide hacer tonterias en la instalacion y el control
de acceso a la sala de control y despues a los terminales de esta, es lo
que impide que una persona ajena y con malas intenciones provoque
catastrofes o dañe la planta.
Todos las workstations estan conectadas con una LAN segura, y ahi se coloca
un firewall para controlar el trafico entre estas y los servidores de datos,
almacenamiento de datos historicos, servidores de impresoras y demas elementos
de burotica. A su vez se instala un nuevo firewall para conectarse a LAN
Ethernet general de la empresa donde a su vez hay otro firewall que se abre
al trafico de internet.
En general la idea es que hay que situar como minimo tres firewalls entre
internet y los workstations de la sala de control, de modo que si un atacante
exterior consigue abrirse camino hasta la sala de control, ahi no sea capaz
mas que destruir datos locales en este ordenador pero le sea imposible actuar
sobre los elementos fisicos de la instalacion, ya que sobre estas maquinas
corren softwares propietarios que son los unicos que permiten alcanzar el
boton de destruccion total que todo terrorista desea controlar.
La idea no esta mal desarrollada, pero en todo caso se olvida de que el
ataque puede venir desde dentro de la organizacion. La razon de este olvido
es historico. Los documentos de seguridad de los años 90, indicaban que el
70% de los ataques venian desde el interior de una red y en los actuales se
dice que solo el 5% vienen de ahi. Lo que se olvida es que este cinco por
ciento puede ser mucho mas peligroso, ya que la gente capaz de romper todas
las barreras pueden tener una voluntad mucho mas destructivas que un simple
hacker que se dedica a buscar puertas entreabiertas.
En el caso de que quien tenga malas intenciones se encuentre dentro de la
LAN Ethernet, el ataque puede ser mucho mas facil de articular como vamos
a describir y las consecuencias pueden ser peores, ya que el atacante puede
conjugar dos tipos de conocimientos, los puramente informaticos y despues
los industriales acerca del proceso mecanico, hidraulico, fisico, quimico o
nuclear.
-----------------
TURISMO TECNICO
-----------------
"Turismo tecnico" es lo que, en ciertos circulos, se denominan algunos
viajes que se organizan, milagrosamente, en ciertas empresas multinacionales
para comprobar que esta pasando en las fabricas de produccion. Normalmente
los visitantes no entienden un ardite de lo que tienen que controlar. Los
que los acompañan tambien lo saben y los visitados estan al tanto. Todo el
mundo se hace el tonto, se les enseñan cuatro graficos manipulados, pero muy
bien diseñados en PowerPoint, se les muestran las instalaciones, que vengan
a cuento o no, y finalmente se les lleva a comer a un buen restaurante, que
finalmente de eso se trata.
Pues bueno. Ya os habeis enterado lo que es el "Turismo tecnico", el "premio"
que el visitante espera recibir puede ser distinto al que os hemos contado,
pero el entorno me parece que ha sido bien descrito. En un caso de esos se
encontraba mezclado Perico Viajero. Sin solicitarlo ni desearlo, se hallaba
junto a grupo de incompetentes visitando una sala de control. Mientras un
diligente ingeniero se esforzaba en dar explicaciones que nadie entendia ni
deseaba escuchar, Viajero se encontraba un tanto apartado del grupo, observando
como el grafico de una temperatura se mantenia en linea recta gracias a los
esfuerzos del ordenador que no a los de los operadores de planta, mas
interesados en aquel momento en controlar el fisico de una de las visitantes
que controlar un abstruso proceso industrial.
Asi tranquilo, distraido en su particular diversion, Viajero observo algo
que atrajo su atencion. El teclado de uno de las workstation lucia una
preciosa etiqueta grabada en el teclado. Algo asi como "Propierty of xxxx"
y despues una serie de numeros. No hacia falta ser un lince para darse cuenta
que, los terminales estaban en "leasing" para ahorrar unos miserables euros,
y que el numero en cuestion permitia identificar inequivocamente el terminal
entre el laberinto de maquinas que poblaban la WAN de la multinacional. Todo
ello en un milisegundo le dio una idea. A continuacion su actitud animica
cambio, de espectador pasivo, a depredador en accion
Una vez en accion nadie diria que su actitud habia cambiado. Seguia en un
segundo plano aparentemente focalizando su atencion sobre el orador, en
realidad estaba observando a los operadores. Analizaba sus reacciones y
estudiaba su comportamiento, finalmente se dirigio hacia uno de aspecto
entre divertido y aburrido. Son los mejores, tienen sentido del humor y
gustan de mofarse de sus jefes.
Viajero entablo una amable conversacion con dicho individuo, llevando poco
a poco el tema hacia su interes, que no era otro que conseguir el maximo de
informacion sobre el terminal. Los operadores de las salas de control reciben
entrenamiento para no suministrar informacion del proceso, pero nadie les ha
dicho que es igual de peligroso empezar a hablar sobre sistemas operativos,
versiones, direcciones IP y demas cosas sin importancia.
Al salir, Viajero se despidio amablemente de todo el mundo, estrechando manos
sin cesar. Las visitas quedaron encantadas de salir del recinto sin recibir
mas torturas tecnicas y los operadores se olvidaron inmediatamente de los
visitantes y de sus acompañantes. Solo Viajero tomo nota mentalmente de todo
lo que habia visto y oido
--------------------------
UNA EXPLORACION DISCRETA
--------------------------
Pasadas unas semanas de ajetreados viajes, solo en su despacho y aprovechando
un momento de calma en su trabajo, Viajero retomo el asunto en mano. De entrada
intento identificar el terminal que habia visto fisicamente en la WAN de la
empresa. Con un viejo "ping" de toda la vida, obtuvo la direccion IP, aunque
aparentemente no respondia maquina alguna. Lo mas obvio era deducir que que
el firewall que protegia la LAN de la planta estaba bloqueando este tipo de
trafico para evitar justamente que alguien obtuviera informacion sensible.
Otra posibilidad era que se hubieran cambiado los terminales desde su visita
a la sala de control o que incluso la planta entera hubiera partido por los
aires despues de una gran explosion, pero dado que ni las comunicaciones
internas de la sociedad ni siquiera los periodicos locales daban noticia de
ningun gran accidente industrial, tomo por buena la primera opcion
Ya que se encontraba bajo el sistema operativo Windows hizo uso a continuacion
de la utilidad "tracert" para detectar donde se encontraba la LAN y cual era
la direccion IP del firewall que le cortaba el paso. Efectivamente, despues de
unos pocos saltos, "tracert" le comunico que no habia respuesta y dedujo que
ahi estaba el bloqueo. Era necesario obtener informacion adicional acerca del
firewall, y para ello es posible utilizar multiples tecnicas, pero como Viajero
era todo un clasico decidio emplear una de las mas conocidas llamada "nmap"
(http://nmap.org/).
Todo el mundo lo conoce y ya va por la version 4.76, disponible en version
fuentes, ejecutables para Linux, Windows, y MAC OS X y BSD, es una magnifica
utilidad que permite escanear puertos y averiguar sistemas operativos.
Normalmente se utiliza en modo terminal pero tambien hay disponible una
version con GUI, "Zenmap" (http://nmap.org/zenmap/man.html), que permite,
hasta a los mas insensatos e incompetentes, obtener informacion sobre
maquinas y redes. Los que deseen un poco mas de informacion en:
http://nmap.org/book/zenmap.html podran saciar toda su curiosidad.
Viajero era amante de las viejas pantallas en fondo negro, asi que utilizo
la version sin pantallitas y lanzo un escaneo con la opcion de deteccion del
"host". El resultado no le sorprendio en absoluto. Dejar la eleccion de un
firewall a un tecnico en instrumentacion es lo normal en una planta industrial
y dichos tecnicos solo estan interesados en conseguir un funcionamiento de la
instalacion con el minimo de mantenimiento y eso en su jerga significa con
"cero" quejas del responsable de produccion. Nadie quiere oir de temas de
seguridad informatica o mas bien estos se entienden como que la produccion
debe continuar a cualquier costo y en ningun momento se deben producir fallos
por "falta" de acceso a los terminales. La filosofia que subyace a todo eso es
que el criterio humano es prioritario en todo momento y que nunca deben fallar
los accesos a los terminales para poder realizar maniobras de proceso y dar
ordenas de control. Nadie quiere oir hablar de atacantes "hackers" que vengan
del exterior. Con estos juncos no es extraño que Viajero se encontrara con que
se habia construido un cesto que contenia un router robusto, fiable y bien
conocido. Nada de veleidades de ultimo grito ni modas de ultima hora.
Una vez detectado la hardware es necesario obtener el maximo de informacion
acerca del dispositivo y para eso la red es fundamental. De la web oficial
del constructor se puede bajar las instrucciones de instalacion con las
password por defecto y en otros sitios mas oscuros los puntos debiles y a
veces algunas puertas traseras que tambien se instalan por defecto. En este
caso no hubo que utilizar ningun truco extraño, el artilugio tenia como unica
proteccion la limitacion por acceso web a traves tan solo de la WAN de la
corporacion y eso seguia la logica de toda la instalacion. Hacia falta
sobretodo defenderse de los piratas externos, pero todos los trabajadores
de la compañia eran considerados como santos varones o, como apostillaria
una politica de bajos vuelos, una santa femina.
Una maquina de estas caracteristicas no esta normalmente protegida con grandes
medidas de seguridad y por ellas se debe entender sistemas automaticos de
deteccion de cambios de configuracion o accesos a horas intempestivas, asi
que Viajero entro con los datos de configuracion por defecto y la cambio para
permitir todo el trafico hacia un determinado segmento de la red, donde se
encontraba su PC.
------------------------
AVANZANDO EN EL ATAQUE
------------------------
Una vez cambiada la configuracion del firewall, el siguiente paso es hacerse
una idea de la extension de la red local que se encontraba a nivel de sala
de control. En su afan de facilitar la vida al equipo de mantenimiento y limitar
costos todo estaba construido bajo una topologia Windows y de nuevo basto con
"nmap" para determinar donde estaban los servidores de datos historicos,
sistemas antivirus, servidores de recursos, impresoras, etc,... asi como el
firewall que hacia la separacion entre la zona perimetral ("DMZ layer" en la
lengua de Shakespeare), donde se habia cometido exactamente el mismo error de
configuracion al dejar los datos de la instalacion por defecto.
A partir de ahi, repitiendo el mismo mecanismo, Viajero en tan solo un par de
horas de busqueda y configuraciones a distancia, tenia ante si los mismos
terminales frente a los que afanosamente trabajan los operarios de la sala de
control y todo ello sin apenas manejar mas que recursos publicos y legales.
Quedaba el ultimo problema por franquear y es el que normalmente mencionan los
expertos en seguridad industrial de ordenadores. "Un hacker poco puede hacer
aunque haya conseguido acceso a un terminal a distancia, ya que no posee el
software necesario para poder interactuar con la instalacion industrial". Todo
eso es cierto, salvo, como en el caso de Viajero, que tenia las password de los
administradores locales que permiten la instalacion de software en general.
Antiguas andanzas sobre diversos servidores de la WAN habian permitido a Viajero
hacer un acopio de usuarios avanzados con sus passwords y este bagaje, que en
condiciones normales todo el mundo piensa que puede ser util para leer la
mensajeria del jefe, iba a permitir a Viajero un rapido avance en su ataque.
Realmente no sabia muy bien lo que iba a hacer, simplemente se dejaba llevar
por los acontecimientos, dada la gran facilidad con que superaba obstaculo
tras obstaculo. Era como sentirse embriagado por un exceso de informacion.
Por la simple lectura de los directorios de los terminales, determino los
software que debia instalar en su PC. Despues tan solo era cuestion de
encontrar en que servidores se encontraban los ejecutables que le permitirian
hacerlos funcionar en su maquina. Esto requiere un poco de paciencia, pero
tan solo eso, tiempo y paciencia. Despues tan solo es cuestion de ir diciendo
"si" a las preguntas standards de toda instalacion y despues configurar su
maquina teniendo en cuenta que se encontraba a tres routers de distancia de
su objetivo y no en el ultimo anillo de control.
Parece cosa de magia, pero es solo cuestion de anticipacion, Viajero habia
estado jugando al raton y al gato con los administradores de la red desde
hacia años y siempre habia conseguido estar tan solo un paso por delante de
ellos. La ultima hazaña habia consistido en hacer una escalada de privilegios
mediante la herramienta pwdump6 (http://www.foofus.net/fizzgig/pwdump/) que
ya describimos en otras andanzas de Viajero. Hoy en dia todos los antivirus
impiden el lanzamiento de pwdump o de cachedump, pero hace tan solo un año no
era el caso y de todas formas tampoco es una barrera infranqueable ya que los
antivirus residentes se pueden bloquear o dejar fuera de servicio temporalmente.
De todas formas lo cierto es que un cierto tipo de ataque cuyos resultados
previsibles son conseguir las passwords de los administradores de red y que
todo el mundo piensa que puede tener como consecuencia que la integridad de
los datos a quedado comprometidos, puede tener otro tipo de consecuencias
totalmente inesperadas. Tan graves como la destruccion fisica del proceso
productivo industrial.
-------------
ULTIMO ACTO
-------------
Ante Viajero se encontraba la misma pantalla que recordaba haber visto varias
veces durante sus visitas a la sala de control. Las mismas lineas representando
tuberias, los mismos dibujitos que querian mostrar valvulas, elementos
neumaticos, depositos de productos, tanques de aguas y liquidos diversos. Unos
parpadeaban alegremente indicando su funcionamiento y otros en colores diverso
representaban un estado estatico de seguridad. Viajero de repente se encontro
con todo el poder que un Dios Todopoderoso podia tener en las manos. Un boton de
color rojo, con una identificacion en letras parpadeantes, daban la posibilidad
de detenerlo todo en condiciones catastroficas para la tesoreria de la
corporacion y fatales para la ecologia de la comarca. Anos de soportar a
inutiles engreidos como jefes, capaces tan solo de redactar pomposos informes
y brillantes presentaciones, le pasaron por la mente. Cientos de horas de
reuniones sin sentido y comentarios insulsos acerca de la percepcion de la gente
de su comportamiento.
"Percepcion?" Se pregunto. "Comportamiento?" casi dijo en voz alta. "Estais
a punto de comprobar que es lo que pienso de vosotros" Esta vez lo dijo ya de
forma audible, mientras acercaba con el raton el puntero y oprimia el boton
izquierdo dos veces. El proceso industrial se puso en marcha o mejor dicho,
empezo a detenerse.
--------------------
FIN DE LA HISTORIA
--------------------
Ante la pantalla de Viajero fueron cambiando de color diversos componentes,
mientras en la zona izquierda aparecian diversos comentarios automaticos
que eran enviados al sistema de backup para su almacenamiento en sus logs,
finalmente aparecio un mensaje "Successful test". Un observador atento habria
comprobado que en el extremo derecho de la pantalla habia un letrero que decia
"Simulation System". No. Perico Viajero, no habia padecido un ataque de locura,
simplemente jugaba con el sistema de simulacion
Mientras, cerraba el software cliente de visualizacion y deshacia la
configuracion de los firewalls, Viajero pensaba en como informar a los
administradores locales de su error de configuracion sin tener que dar
demasiadas explicaciones.
-----------
COROLARIO
-----------
Voluntariamente no hemos puesto ninguna referencia sobre el hardware y las
configuraciones aqui descritas. Los fabricantes de este tipo de equipos se
pueden contar con los dedos de una mano y tienen bastante malas pulgas si
se sienten atacados de alguna forma. Otra razon es que este articulo esta
escrito con el animo de animar a los ingenieros de proceso a exigir el maximo
de seguridad en la configuracion de sus instalaciones. Un ataque con exito
a un banco puede provocar perdidas financieras millonarias, pero el mismo
exito sobre una instalacion industrial puede tener como consecuencia perdidas
humanas y estas no tiene precio.
2009 SET, Saqueadores Ediciones Tecnicas. Informacion libre para gente libre
www.set-ezine.org
web@set-ezine.org
*EOF*
