Hola,
Confieso que la seguridad en sistemas SCADA (Supervisory Control and Data Acquisition) siempre ha sido de mi interés. Quizás sea porque combina dos elementos en mi carrera profesional que me han marcado constantemente, la seguridad por un lado, y el control industrial por otro. Sí, no me miréis mal :P, no soy informático, soy industrial, y bueno, es lo que tiene haberme pasado en mis años mozos académicos programando tarjetas de adquisición de datos (TADs), picando Matlab y estudiando la acción integral, la derivativa, etc.
A lo que vamos: Se acaba de cerrar un evento internacional de mucho prestigio en el ámbito de sistemas SCADA, el SCADA Summit 2008, organizado por SANS Institute, y celebrado en Nueva Orleans, EEUU. Este evento ha estado focalizado principalmente en la seguridad de estos sistemas, y las tendencias no sólo en la protección de los mismos, sino en la investigación de los ataques que estos sistemas de control pueden llegar a sufrir. Hoy mismo, SANS ha publicado en el blog de ISC unas inquetantes declaraciones de un portavoz de la CIA norteamericana:
We have information, from multiple regions outside the United States, of cyber intrusions into utilities, followed by extortion demands. We suspect, but cannot confirm, that some of these attackers had the benefit of inside knowledge. We have information that cyber attacks have been used to disrupt power equipment in several regions outside the United States. In at least one case, the disruption caused a power outage affecting multiple cities. We do not know who executed these attacks or why, but all involved intrusions through the Internet.
Lo que traducido viene a decir:
Disponemos de información, procedentes de múltiples regiones de fuera de EEUU, de intrusiones en instalaciones (en alusión a SCADAs), seguidas de eventos de extorsión (en alusión al «yo me cuelo en tu sistemas, y si no quieres que te lo ponga patas arriba, págame). Sospechamos, si bien no podemos confirmar, que muchos de estos atacantes tenían la ventaja de conocimiento de la información previlegiada accedida (es decir, cuando extorsionaban dejaban claro que habían estado en el sistema ofreciendo pruebas de ello). Tenemos información de que estos ataques han sido principalmente dirigidos a la creación de disrupciones de servicio de suministro eléctrico en regiones exteriores a los EEUU. Al menos en un caso, la disrupción provocó la falta de suministro total en varias ciudades. No sabemos quién ejecutó estas acciones, ni porqué, pero todas las intrusiones procedían de Internet.
Me viene a la memoria un incidente pasado en el que se descubrió una debilidad en el servidor ICCP de LiveData, usado con bastante frecuencia en sistemas SCADA, y que provocó un debate aún abierto en el que la comunidad SCADA aún discute si procede o no revelar públicamente los problemas de seguridad de estas infraestructuras. Yo creo que el debate sería más oportuno abrirlo en el sentido de qué pinta un SCADA conectado a Internet, existiendo VPNs, nubes MPLS y otras tecnologías seguras de LAN sobre WAN que serían igual de útiles.
Sea como fuere, estamos ante un problema muy crítico. No me cansaré de decir que los SCADA no son juguetitos, y que dan servicio a industrias, instalaciones aeroportuarias, centrales nucleares, centrales de carbón/fuel para generación de electricidad, de defensa nacional, armamentísticas, aeroespaciales o hidroeléctricas, por citar alguos ejemplos. Sin menospreciar los problemas de seguridad de nadie, no es lo mismo que una empresa sea objeto de un DoS que tire su página Web que abrir las compuertas de una presa e inundar una ciudad. O inundar un tanque de calandria con agua pesada y parar la reacción en cadena de un reactor de fisión.
Pero en este mundo en el que vivimos, lo que vende titulares no es si un SCADA tiene o no problemas de seguridad. ¿Será por eso que este tipo de eventos y disciplinas pasan inadvertidas?
Para aquellos que tengáis curiosidad por conocer cómo se suele administrar la seguridad de estos sistemas, os recomiento Securing SCADA Systems, de Ronald L. Krutz (ISBN: 978-0-7645-9787-9). Es de finales de 2005, pero es un texto muy interesante, ya que en vez de centrarse exclusivamente en aspectos técnicos de seguridad, el autor discute y analiza, con ejemplos relacionados con gaseoductos, centrales nucleares, refinerías y otras instalaciones industriales, la magnitud del problema al que nos enfrentamos, cuando un acto de sabotaje ejecutado mediante intrusión en SCADA puede provocar no sólo pérdidas millonarias, sino accidentes letales.
Un saludo,
Buen articulo.
Esto me recuerda a la pelicula Duro de Matar 4 con Bruce Willis, esta pelicula me parecio en un principio un tanto cuanto de ficción el creer que se pueda tomar el control de sistemas tan rabustos sin autorizacion pero con este articulo me doy cuenta que no esta fuera de la realizad y que en un descuido puede ocurrir…Saludos desde México.
Detrás de estos sistemas SCADA suele haber sistemas UNIX gestionados por personas ajenas a los departamentos de IT, ya que no se consideran sistemas informáticos sino sistemas de control (y por tanto su gestión recae en otros departamentos).
Si en general la seguridad de los sistemas deja mucho que desear cuando es controlada por departamento de IT, imagináos lo que ocurre cuando es gestionado por ingenieros no especialistas.
Hola Sergio: interesante tu entrada. Cuales crees que son actualmente las normas de seguridad mas utilizadas he leído que NERC, CIP y IEC 62351 son como las referencias. Actualmente me encuentro haciendo una investigación acerca de las normas y estándares de seguridad para este tipo de sistemas.
Andrea,
No soy un experto en este tipo de sistemas de gestión. Citas los más relevantes, quizás podamos añadir alguna guía NIST, como la 800-82: Guide to SCADA and Industrial Control Systems Security
La tienes en http://csrc.nist.gov/publications/drafts/800-82/draft_sp800-82-fpd.pdf
Un abrazo,