El Departamento de Seguridad Nacional de los Estados Unidos, advirtió el jueves que un software utilizado por las industrias químicas, la defensa, y las empresas de energía contiene grandes agujeros de seguridad que los hackers podrían explotar y utilizar para dañar estos sistemas críticos.

Si un Atacante busca un objetivo claro, por ejemplo, los sistemas de una planta de energía nuclear, ¿quién sabe qué daño podía hacer?

Ejemplos claros de esto se empezaron a ver el año pasado con la aparicion de Stuxnet, un virus especializado, dedicado a introducirse en sistemas de control industriales, que contaminaba los sistemas informaticos.

Stuxnet podia cargar nuevos codigos de manera oculta en los dispositivos controladores de las maquinas (PLCs), e indicar a las pantallas y softwares de monitoreo que todo seguia bien.

Los sistemas de control industrial, generalmente basaron su seguridad en la ISOLACION, o aislacion de los mismos. Como opinion personal, creo que se debe ser cuidadoso, pero no entrar en panico ni echar toda la culpa al sector industrial ni al informatico.

Una analogia es decir que un vehiculo es “vulnerable” por que si le echamos arena en el tanque de combustible fallara… O que una PC es vulnerable por que si la metemos dentro de un tacho con agua sus componentes electronicos dejan de funcionar.

La principal via de entrada de Virus en entornos industriales, tal como lo demuestran los analisis de Stuxnet, es el usuario, ya que el mismo se introducia via pendrives en las maquinas de la planta. Otra via es cuando se conectan las plantas a internet para realizar monitoreos remotos.

Cuando la informatica empeso a ingresar en la industria, los desarrolladores de software, o al menos algunos, no tubieron en consideracion que los daños de sus bugs impactan sobre el mundo real. Adicional a esto, actualizar un sistema de control, no es tan facil como actualizar un windows.

Las plantas son de servicio continuo, las actualizaciones que requieran mas hardware no podran ser aplicadas, y el costo de analizar el impacto del cambio crece tremendamente, hasta tal punto de que se convierte en casi imposible.

Mi opinion personal, es que la solucion consiste en seguir manteniendo el esquema que siempre se utilizo en automatizacion e industria, la isolacion, las zonas restringidas, etc… Adicional a esto, crear dispositivos tipo “Firewall”,o de replicacion,  que mantengan separados los sistemas de control critico del amenazante mundo exterior.

Mantener ademas, una correcta politica para los operarios, piensen ustedes que es una locura que alguien introduzca un pen-drive en una maquina de una red de control industial, eso, cuanto menos, deberia estar muy vigilado para que no sucedan imprevistos.

El inicio de la publicacion pensaba solo comentar la noticia que sigue, pero no quise dejar pasar la oportunidad, de aportar algo mas desde mi experiencia, como desarrollador de software y como tecnico en automatización, todo sea por seguir avanzando y utilizar lo mejor de ambos mundos :).

Recientemente, la Seguridad Nacional de los EEUU advirtió específicamente las vulnerabilidades de un software realizado por “ForceControl Sunway”, empresa con sede en Beijing.

La compañía tiene el control de supervisión y adquisición de datos (SCADA), el cual controla y supervisa las plantas de fabricación y equipos utilizados en todo tipo de industrias.

Los agujeros de seguridad, que fueron encontrados por el investigador Beresford Dillon de la NSS Labs, podrían permitir a piratas informáticos realizar denegación de servicio, ataques a distancia, o ejecutar código en sistemas críticos.

Al enterarse de las fallas de seguridad, Seguridad Nacional notificó a la empresa Sunway y a la “National Vulnerability Database” de China. Sunway dijo que ha publicado parches para los dos agujeros.

los productos de Sunway se utilizan principalmente en China, pero el informe dice que el software también se utiliza en algunas partes de Europa, América, Asia y África.

Las industrias que utilizan el software SCADA incluyen “del petróleo, petroquímica, defensa, ferrocarriles, carbón, energía, farmacéutico, telecomunicaciones, agua, fabricación, y otros”, de acuerdo con el asesor de Seguridad Nacional.

El informe completo, por el equipo de respuesta a cyber emergencias de sistemas de control industrial, puede verse aqui:
http://www.us-cert.gov/control_systems/pdf/ICSA-11-167-01.pdf