Estas aquiContenido / ¿Podemos dormir tranquilos?
¿Podemos dormir tranquilos?
Por José Rosell
Security Art Work
Hace poco tiempo, identificando el dominio protegible para iniciar una auditoría de seguridad, un colega, Ingeniero Industrial, me mostraba orgulloso un típico panel de control de los sistemas de seguridad de un lugar de pública concurrencia, y orgulloso proclamaba y explicaba la impresionante funcionalidad del sistema que estaba acabando de montar. Mi colega tenía razón, aquello era un sistema de control industrial impresionante y realmente avanzado. Hacia el final de su exposición, sus explicaciones en cuanto a la forma en la que se estaba montando empezaron a preocuparme. Me quedé pensativo cuando acabó afirmando que todo lo que estábamos viendo era accesible desde un navegador e incluso, la semana siguiente, desde “China” podría acceder a modificar la parametrización del sistema, ver el estado de los detectores de humo, de las alarmas contra incendios o comprobar la temperatura de los fancoils. O, añadí yo convenientemente, para disparar la alarma de evacuación por incendio en medio de un acto público, con el centro abarrotado de gente.
Y es que la misma vía de acceso podría ser utilizada tanto para el acceso de un técnico en labores de mantenimiento, como para el de un saboteador haciendo uso de alguna vulnerabilidad conocida con un exploit publicado. ¿Se pueden ustedes imaginar lo que supondría una intrusión en un sistema de este tipo por parte de un sujeto con dudosas intenciones durante un acto público?, ¿qué significaría la activación del sistema de alarma contra incendios en un lugar como éste?, ¿pánico?...
Los sistemas SCADA (Supervisory Control and Data Adquisition), protagonistas de los anteriores escenarios son, para que nos entendamos, sistemas de control de instalaciones industriales. Con este tipo de sistemas se controla el funcionamiento de una línea de producción cerámica, la producción de detergente en Procter&Gamble, una central nuclear o eléctrica e incluso el funcionamiento de un barco o los sistemas de seguridad de grandes centros de pública concurrencia. Hasta hace algunos años estos sistemas de control industrial (SCADAs) y los sistemas de control TIC vivían desconectados, en redes separadas e incluso incompatibles por las peculiaridades de cada entorno, pero hoy en día, esa “convergencia y globalización” de la que tanto hablamos ha eliminado las fronteras.
Esto ha llevado a su popularización, y que cada vez controlen un mayor número de instalaciones, dejando al mismo tiempo de ser sistemas propietarios y “opacos”, y convirtiéndose en sistemas vulnerables montados sobre sistemas Windows, con el Internet Information Server sirviendo el interfaz de administración. Esta ampliación de las posibilidades de acceso al sistema de control, y por consiguiente a los sensores y actuadores de la red de control industrial a través de aplicaciones web comunes, hacen vulnerables estos sistemas frente a un atacante interno o externo, de igual modo que cualquier otro aplicativo web, pero con la sutil diferencia de conllevar consecuencias en el “mundo real”. Hay que tener en cuenta que en estos primeros tiempos de convergencia -estamos aún en el principio, pero no tardarán en ver cómo las fronteras que les comentaba se desvanecen- todos los trabajos de desarrollo se centrarán en la obtención de funcionalidad, olvidando en algunos casos las facetas relacionadas con la seguridad.
Todo esto en sí mismo no tendría por qué preocuparnos salvo por el hecho de que no parece, y se lo digo a ustedes desde la experiencia, que casi nadie se esté preocupando por este tipo de asuntos en nuestro país. Por mi parte, pienso que desde luego es un tema que tiene que dar mucho que hablar en general y del que estoy seguro que hablaremos en el futuro.
José Rosell
Security Art Work
Publicado bajo licencia Creative Commons - Reconocimiento.
- 11 lecturas
Para esto existen metodologías: ITIL, MAGERIT, CMMI, ISO20000, ISO27001 ... y así hasta unas cuantas más. La gestión de riesgos, de infraestructura tecnológica y de seguridad en sistemas de información cuenta con infinidad de metodologías estructuradas y cuantificables ...
Para esto existen personas: consultores, auditores, técnicos en desarrollo, técnicos en implantación, técnicos de mantenimiento, equipos 24x7 en diversas áreas, etc ...
Para esto se combinan personas y soluciones, para minimizar el riesgo. Evidentemente, si tu "amigo", o conocido, suponiendo que sobre él recaiga la dirección del proyecto, deja el MSSQL Server accesible "al mundo", con usuario "sa", sin password, y un procedimiento xp_cmdshell almacenado ... lo que merece es mínimo que lo despidan.
Sea un sistema SCADA, un sistema público de salud, o tus cuentas del banco, si estás montando un SI de información "serio", deberás aplicar un sistema de gestión del mismo con unas mínimas garantías, a todos los niveles, e implicando todos los dominios de la entidad: personas, sistemas, datos, etc, etc.
Y en última instancia, el "mundo virtual", tanto en cuanto, empieza a actuar sobre "el real", nunca va a ser más seguro que éste, y este, el real, creo que de momento es inseguro, y no creo que debas pedir umbrales de riesgo inferiores al SI, que al sistema de prevención de incendios, o al sistema de seguridad y vigilancia, o al sistema de evacuación.
Para terminar, sobre si el sistema SCADA, debe ser manejado desde la playa de "Acapulco", pues hombre ... si alguien ha pedido eso, y se ha considerado una funcionalidad válida, y se hace mediante una conexión VPN, con certificados en ambos extremos, un token de session, y una contraseña de 16 caracteres, que cambia cada 15 días ... seguramente tu índice de riesgo sobre ese proceso del sistema sea inferior a que un currito lo active por error, por equivocación, o por una apuesta con un amigo.
Un saludo.
El problema, es que estas metodologías podrían llegar a servir sólo para descubrir en qué te equivocaste, una vez que el daño esté hecho.
Hay muchos errores que se pueden cometer al implementar un sistema, y cuanto más grande y complejo, más agujeros puede tener. Y en realidad no hay ningún problema con los agujeros... hasta que a alguien le da por explotarlos. Lo malo es que cuando eso pasa ya es tarde para solucionarlos.
precisamente es una metodología para el desarrollo, no para la implementación, y la idea sigue siendo la misma: si haces cosas serias, tienes que trabajar en serio.
Y no digo que lo correcto sea abrir el sistema a una gestión remota, sino que las cosas no son "incorrectas" o "correctas", sino que o "asumimos el riesgo" en post de una funcionalidad, o no lo hacemos.
Si Microsoft dice claramente en su EULA que sus sistemas no deben ser usados en entornos críticos y que no se hace responsable de los daños que pudieran ocurrir, no veo por que no darle la razón.
Que al igual que algunos sistemas que manejan información sensible de los gobiernos y empresas no se encuentran conectados a redes de propósito general, hay sistemas de control industrial que tampoco deberían estarlo. Por muchas medidas de seguridad que se quieran implantar, el factor riesgo puede llegar a ser inasumible por remota que parezca la posibilidad.
Deberían ser como el agua y el aceite... completamente incompatibles.
Estoy completamente de acuerdo con el segundo post, ¿para que hacer un agujero en la pared y ponerle una reja para que nadie entre cuando podemos tapar directamente el agujero?.
Una metodología es un arma importante, pero hay que tener la confianza justa y necesaria en las salvaguardas, no pensar que como seguimos una metodología todo va a ir bien. Seamos realistas, las salvaguardas pueden fallar (y de hecho fallan).
Además, todas esas metodologías hacen referencia al concepto de "mínimo privilegio", y ofrecer el acceso a un sistema SCADA a través de Internet no creo que sea necesario para el correcto desarrollo del trabajo de nadie. En cualquier caso, y si así lo fuera, se podrían plantear soluciones, aunque sigo prefiriendo tapar el agujero antes que ponerle la mejor de las rejas :P .
Saludos!.
Yo no lo veo tan dificil de lleva a cabo un sistema de seguridad medianamente "seguro".
Se puede poner toda la red bajo la seguridad de un proxy, por ejemplo un ISA Server y te conectas a esa red mediante una vpn bajo ipsec, yo creo que con eso estas quitando del medio muchos posibles problemas de seguridad.
Me imagino que habra mejores soluciones tecnicas y mejores programas que los que menciono pero yo solo se utilizar medianamente bien esos y la verdad que dan buen resultado.
Muchos problemas puede que no sea suficiente, hace falta que sean todos....
Claro que en nuestro pais no nos preocupamos de estas "cosillas". Aqui nuestros politicos discuten de lo importante, que si un Estatuto, que si policia autonomica, que dame competencias, embajadas en el extranjero de autonomias, selecciones autonomicas,.....Asi vamos.
Me recuerda a esa película. Es lo que pasa cuando quieres ahorrarte al mamífero que debe apretar el botón.