{"id":680,"date":"2006-06-17T14:58:31","date_gmt":"2006-06-17T12:58:31","guid":{"rendered":"http:\/\/www.sahw.com\/wp\/archivos\/2006\/06\/17\/la-industria-scada-debate-sobre-la-revelacion-de-informacion-de-problemas-de-seguridad\/"},"modified":"2006-06-17T14:58:31","modified_gmt":"2006-06-17T12:58:31","slug":"la-industria-scada-debate-sobre-la-revelacion-de-informacion-de-problemas-de-seguridad","status":"publish","type":"post","link":"https:\/\/www.sahw.com\/wp\/2006\/06\/17\/la-industria-scada-debate-sobre-la-revelacion-de-informacion-de-problemas-de-seguridad\/","title":{"rendered":"La industria SCADA debate sobre la revelaci?n de informaci?n de problemas de seguridad"},"content":{"rendered":"<p>Repasando los feeds de <a href=\"http:\/\/www.securityfocus.com\/\">SecurityFocus<\/a> he topado con <a href=\"http:\/\/www.securityfocus.com\/news\/11396\">esta noticia<\/a>, que confieso me interesa un poquito m?s que otros asuntos relacionados con el complejo mundo del <em>flaw disclosure<\/em>.<\/p>\n<p>Y es que amigos m?os, un servidor se cri? en un ambiente de <a href=\"http:\/\/www.etsii.uma.es\/\">ingenier?a industrial<\/a>, y eso hizo que tuviera contacto directo precisamente con sistemas SCADA, especialmente en la parte relativa a adquisici?n de datos, y en general, todo lo referente a sistemas inform?ticos de control industrial.<\/p>\n<p><a href=\"http:\/\/es.wikipedia.org\/wiki\/SCADA\">Los sistemas SCADA<\/a>, para aquellos que os suene a chino, son aquellos en los que existe un proceso continuo informatizado en el que se hace una adquisici?n de datos, los llamados par?metros de control, que son analizados para posteriormente, con los resultados del an?lisis en la mano, reinyectarlos en el sistema, con el fin de obtener un gobierno parametrizado y automatizado que adem?s de lograr el equilibrio, conduzca al sistema a un grado de optimizaci?n. <\/p>\n<p>Volviendo a la noticia, parece que los siempre herm?ticos miembros de la comunidad SCADA empiezan a pronunciarse sobre la revelaci?n de vulnerabilidades. Tradicionalmente, este selecto club no hab?a entrado en este tipo de debates, pero parece que empiezan a mojarse. Y todo ello, c?mo no, a ra?z de un problema de seguridad. El reciente fallo del  <a href=\"http:\/\/www.digitalbond.com\/SCADA_Blog\/2006\/05\/us-cert-livedata-iccp-vulnerability.html\">servidor ICCP de LiveData<\/a> ha abierto la caja de Pandora en el sector.<\/p>\n<p>Este problema representa el primer problema de seguridad SCADA documentado que ha seguido los cauces de revelaci?n de informaci?n establecidos por US-CERT, con la colaboraci?n del CERT\/CC que se encarg?, seg?n dicen, de la parte m?s farragosa, el trabajo de coordinaci?n entre fabricantes. <\/p>\n<p>El jaleo se presenta cuando los descubridores del bug, los chicos de <a href=\"http:\/\/www.digitalbond.com\">Digital Bond<\/a>, deciden seguir un proceso coherente de notificaci?n que concluye en la publicaci?n de un aviso de seguridad, en el que se demuestra que es posible colapsar servidores ICCP de LiveData, <a href=\"http:\/\/rfc.net\/rfc1006.txt\">empleados habitualmente en sistemas SCADA<\/a>. No s?lo avisan al fabricante, sino que dejan el asunto en manos del US-CERT para la coordinaci?n y que los afectados e incluso otros fabricantes que emplean el servidor ICCP como parte de sus soluciones, puedan actuar, corregir los sistemas y ponerse al d?a ante cualquier <em>full disclosure<\/em> que pudiera acontecer.<\/p>\n<p>En mi modesta opini?n, Digital Bond ha hecho lo correcto. Otros se les han tirado al cuello, ya que para bien o para mal, los sistemas SCADA vulnerables que emplean ICCP es frecuente localizarlos en silos de misiles, plantas nucleares, control aeroportuario y un sinf?n de aplicaciones altamente cr?ticas, donde una denegaci?n puede resultar muy problem?tica.<\/p>\n<p>Ante este escenario, ?qu? hacer? ?revelar la informaci?n o guard?rsela?. Que cada cual extraiga sus propias conclusiones :)<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Repasando los feeds de SecurityFocus he topado con esta noticia, que confieso me interesa un poquito m?s que otros asuntos relacionados con el complejo mundo del flaw disclosure. Y es que amigos m?os, un servidor se cri? en un ambiente de ingenier?a industrial, y eso hizo que tuviera contacto directo <a href=\"https:\/\/www.sahw.com\/wp\/2006\/06\/17\/la-industria-scada-debate-sobre-la-revelacion-de-informacion-de-problemas-de-seguridad\/\" class=\"btn btn-link continue-link\">Leer texto completo<\/a><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3],"tags":[],"class_list":["post-680","post","type-post","status-publish","format-standard","hentry","category-seguridad"],"_links":{"self":[{"href":"https:\/\/www.sahw.com\/wp\/wp-json\/wp\/v2\/posts\/680","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.sahw.com\/wp\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.sahw.com\/wp\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.sahw.com\/wp\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.sahw.com\/wp\/wp-json\/wp\/v2\/comments?post=680"}],"version-history":[{"count":0,"href":"https:\/\/www.sahw.com\/wp\/wp-json\/wp\/v2\/posts\/680\/revisions"}],"wp:attachment":[{"href":"https:\/\/www.sahw.com\/wp\/wp-json\/wp\/v2\/media?parent=680"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.sahw.com\/wp\/wp-json\/wp\/v2\/categories?post=680"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.sahw.com\/wp\/wp-json\/wp\/v2\/tags?post=680"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}