-[ 0x09 ]-------------------------------------------------------------------- -[ Sistemas Industriales ]--------------------------------------------------- -[ by SET Staff ]----------------------------------------------------SET-38-- --------------------- SISTEMAS INDUSTRIALES --------------------- Nuestra historia empieza en una sala de control de un sistema industrial. Ya sabeis, esos sitios desde donde se controlan sistemas que sirven para gestionar grandes procesos industriales o de servicios. Poco importa si el proceso sea un sistema de bombeo para suministro de agua a una gran poblacion, una fabrica de produccion de acero, una industria quimica o incluso una planta nuclear de produccion electrica. En todos los casos las salas de control se asemejan bastante, luces asepticas, pupitres fijos y resistentes, paneles de informacion adosados a las paredes y sobretodo, pantallas de ordenador. ----------- EVOLUCION ----------- Si. Los omnipresentes ordenadores tambien han llegado a los procesos industriales y aunque inicialmente hubieron reticencias y viejos dinosaurios presentaron resistencia a las nuevas tecnologias, lo cierto, es que la gestion industrial esta basada en las nuevas tecnologias. En principio los ordenadores industriales estaban completamente separados de los de comunicaciones con el exterior, pero pronto, los ingenieros de proceso se encontraron con dos problemas, uno era la escasa memoria de almacenamiento de datos historicos y el otro era poderse comunicar con eficacia con una red exterior. Los ingenieros de proceso son gente acostumbrada a consultar datos de años atras, para poder comparar lo que les sucedio la semana pasada con viejos problemas o bien analizar situaciones del pasado que por alguna razon han vuelto a ser de actualidad. Eran gente habituada a guardar, trazados sobre hojas de papel, los registros de lo que sucedio años atras y poderlos consultar. Es increible lo que hasta hace escasos años se almacenaba fisicamente. Cuando llegaron los sistemas de control numericos uno de los primeros problemas fue que los tecnicos de proceso no llegaban a acostumbrarse al analisis sobre datos en pantalla. Durante bastante tiempo convivieron los ordenadores, con registros analogicos que se consultaban, analizaban y almacenaban amorosamente. Poco a poco empezaron a irrumpir en las salas de control las pantallas de gran formato, alta definicion y en color, que permitieron a los viejos dinosaurios acostumbrarse a ver las curvas de evolucion de temperatura sobre un monitor CRT en lugar de un trozo de papel milimetrico, pero todavia quedaba un problema, los datos requerian un almacenamiento masivo, cosa que era bastante caro a penas hace diez años y por tanto los fabricantes de hardware industrial se mostraban remisos a instalarlo de forma casi gratuita. Fue entonces cuando a algun avispado informatico se le ocurrio la idea de conectar un puerto COM del bus de comunicacion de la fabrica con un PC que aunque fuera de ultima generacion era bastante mas barato que la fortuna que exigia el fabricante de hardware industrial. De esta forma se abrio la primera brecha de seguridad sobre el proceso industrial. Alguien que tuviera acceso al PC local o la red donde se conectaba, podia llegar a tener acceso a los procesos industriales sin necesidad de pasar por la sacrosanta y protegida sala de control. Esto fue una primera evolucion que dentro del contexto de la epoca tampoco era una brecha de seguridad escandalosa. Las redes locales eran escasas y la gente con conocimientos para explotarlas tambien. Ademas era bastante sencillo limitar el numero de maquinas y los perifericos. Eran epocas en que todavia las IPs se gestionaban de forma manual y se llevaban registros personalizados. De todas formas, tambien hay que decir, que no han habido mas incidentes provocados por sabotajes, o tal vez no se hayan hecho publicos, debido a que poca gente sabia muy bien como funcionaba todo aquello. Curiosidad existia ya en la epoca, pero la posibilidad de obtener informacion no era tan facil como hoy en dia ----------------------- SUBIENDO OTRO ESCALON ----------------------- Pero la vida continuo su evolucion y en el caso de los proveedores de hardware para salas de control tambien lo hicieron, solo que tomando un sesgo peligroso. Todo proveedor de hardware no solo tenia que suministrar todo el material fisico para que el operador pudiera comunicarse con el proceso sino tambien el software y como tantas veces en esta vida se inicio una batalla de reduccion de costos. Los fabricantes se hicieron las preguntas que toda buena escuela de negocios aconseja que se hagan y que siempre son las mismas, aunque van cambiando el envoltorio para que no se note. En cualquier entorno cuando se encuentran enfrentados a una guerra de costos es preciso preguntarse que sabemos hacer y que podemos delegar en otros. Es el equivalente al "Zapatero a tus zapatos", un viejo dicho castellano, totalmente gratuito, no hace falta pagar las tarifas de una escuela de negocios y enseña lo mismo. Sea porque pagaron a una prestigiosa escuela de negocios, sea porque el portero de la corporacion era de habla castellana, el caso es que los fabricantes de hardware industrial decidieron dejar de invertir en software de visualizacion grafica y decidieron emplear los que ya existian Si se echa un vistazo alrededor, lo que mas abunda y es facilmente integrable es toda la saga Windows, ahi se fueron y eso propusieron a los usuarios finales. En el fondo les dijeron, "Nosotros les suministramos lo mas dificil de construir, las tarjetas de control y los buses de comunicaciones, y uds se compran las pantallas y ordenadores de sobremesa que mas les guste. Nosotros aseguramos la compatibilidad". Solo les quedaba desarrollar algunas interfaces de usuario y algun editor de graficos. Nada complicado. El problema es que inadvertidamente al usuario final se le ha colado un invitado en la sala de control. Los PC normales y corrientes con su sistema operativo Windows. Simultaneamente se tiene que construir un sistema de validacion de usuarios, que no tiene nada que ver con al antiguo sistema monolitico que solo conocia al usuario validado por el software propietario del constructor de hardware para uso industrial. La nueva configuracion requiere una red Windows con sus puntos fuertes y debilidades, pero lo que es peor, un tipo de configuracion conocida por mucha gente. De todas formas la historia no quedo ahi, ya que el inconsciente usuario final, o sea el conjunto de ingenieros que pilotan el proceso industrial, presionado por una economia que quiere reducir los costos y responder rapidamente a las modificaciones , solicito que todo fuera compatible con la red externa burotica de la empresa. La peticion tiene sentido. De esta forma el operador de sala de control puede enviar y recibir mensajes en cuanto un hecho inusual se produce o simplemente para que toda comunicacion quede registrada de forma comoda y rapida. Incluso se puede utilizar para que el sistema operativo central de la fabrica envie mensajes de alarma en caso de disfuncionamiento del proceso si el operador no ha sabido controlar la situacion por algun motivo. Todo ello muy bonito pero de hecho se acaba de crear otro problema de seguridad al abrir una pasarela de comunicacion entre un bus que controla un proceso de fabricacion industrial y una red exterior que puede tener miles de usuarios, no digamos si ademas les hemos dado acceso a internet a los operadores de la sala de control a fin de que no se aburran durante las largas horas nocturnas en que el proceso funciona de forma estable y automatica Todo ello a pesar de que los ingenieros de los fabricantes de hardware tampoco son tontos y recomiendan vivamente evitar este tipo de practicas, pero todos sabemos que si algo se puede hacer, seguro que se acabara haciendo. ---------------------------------- ESTRUCTURA DE UNA RED INDUSTRIAL ---------------------------------- Vamos a describir que es lo que recomiendan los fabricantes de hardware para procesos de produccion industrial. En este tipo de sistemas lo primero que se encuentra entre, por ejemplo una valvula que maneja el circuito de refrigeracion de una central nuclear, es el bus de comunicacion local, este esta conectado con el controlador, que no es mas que una tarjeta inteligente que a su vez se comunica con sus hermanos gemelos que actuan sobre otros elementos de la instalacion. Todos ellos, a traves de un switch, se conectan a las workstation clasicas, PCs para los amigos, que se encuentran en la sala de control. Hasta aqui no hay mas problema que quien tenga acceso a las workstation, tienen control total a la planta industrial. A fin de limitar los errores, cada usuario se acredita igual que cuando nosotros nos conectamos a nuestro ordenador en la oficina. Introducimos nuestro usuario, nuestra palabra de paso y en funcion del perfil que el administrador nos ha asignado, podemos ser rechazados, ver solo lo que pasa, crear archivos, instalar software, modificar datos o si se trata de una planta industrial, accionar una valvula o lanzar el proceso automatico de destruccion total. La formacion que la empresa propietaria de la planta a impartido a su personal, es lo que impide hacer tonterias en la instalacion y el control de acceso a la sala de control y despues a los terminales de esta, es lo que impide que una persona ajena y con malas intenciones provoque catastrofes o dañe la planta. Todos las workstations estan conectadas con una LAN segura, y ahi se coloca un firewall para controlar el trafico entre estas y los servidores de datos, almacenamiento de datos historicos, servidores de impresoras y demas elementos de burotica. A su vez se instala un nuevo firewall para conectarse a LAN Ethernet general de la empresa donde a su vez hay otro firewall que se abre al trafico de internet. En general la idea es que hay que situar como minimo tres firewalls entre internet y los workstations de la sala de control, de modo que si un atacante exterior consigue abrirse camino hasta la sala de control, ahi no sea capaz mas que destruir datos locales en este ordenador pero le sea imposible actuar sobre los elementos fisicos de la instalacion, ya que sobre estas maquinas corren softwares propietarios que son los unicos que permiten alcanzar el boton de destruccion total que todo terrorista desea controlar. La idea no esta mal desarrollada, pero en todo caso se olvida de que el ataque puede venir desde dentro de la organizacion. La razon de este olvido es historico. Los documentos de seguridad de los años 90, indicaban que el 70% de los ataques venian desde el interior de una red y en los actuales se dice que solo el 5% vienen de ahi. Lo que se olvida es que este cinco por ciento puede ser mucho mas peligroso, ya que la gente capaz de romper todas las barreras pueden tener una voluntad mucho mas destructivas que un simple hacker que se dedica a buscar puertas entreabiertas. En el caso de que quien tenga malas intenciones se encuentre dentro de la LAN Ethernet, el ataque puede ser mucho mas facil de articular como vamos a describir y las consecuencias pueden ser peores, ya que el atacante puede conjugar dos tipos de conocimientos, los puramente informaticos y despues los industriales acerca del proceso mecanico, hidraulico, fisico, quimico o nuclear. ----------------- TURISMO TECNICO ----------------- "Turismo tecnico" es lo que, en ciertos circulos, se denominan algunos viajes que se organizan, milagrosamente, en ciertas empresas multinacionales para comprobar que esta pasando en las fabricas de produccion. Normalmente los visitantes no entienden un ardite de lo que tienen que controlar. Los que los acompañan tambien lo saben y los visitados estan al tanto. Todo el mundo se hace el tonto, se les enseñan cuatro graficos manipulados, pero muy bien diseñados en PowerPoint, se les muestran las instalaciones, que vengan a cuento o no, y finalmente se les lleva a comer a un buen restaurante, que finalmente de eso se trata. Pues bueno. Ya os habeis enterado lo que es el "Turismo tecnico", el "premio" que el visitante espera recibir puede ser distinto al que os hemos contado, pero el entorno me parece que ha sido bien descrito. En un caso de esos se encontraba mezclado Perico Viajero. Sin solicitarlo ni desearlo, se hallaba junto a grupo de incompetentes visitando una sala de control. Mientras un diligente ingeniero se esforzaba en dar explicaciones que nadie entendia ni deseaba escuchar, Viajero se encontraba un tanto apartado del grupo, observando como el grafico de una temperatura se mantenia en linea recta gracias a los esfuerzos del ordenador que no a los de los operadores de planta, mas interesados en aquel momento en controlar el fisico de una de las visitantes que controlar un abstruso proceso industrial. Asi tranquilo, distraido en su particular diversion, Viajero observo algo que atrajo su atencion. El teclado de uno de las workstation lucia una preciosa etiqueta grabada en el teclado. Algo asi como "Propierty of xxxx" y despues una serie de numeros. No hacia falta ser un lince para darse cuenta que, los terminales estaban en "leasing" para ahorrar unos miserables euros, y que el numero en cuestion permitia identificar inequivocamente el terminal entre el laberinto de maquinas que poblaban la WAN de la multinacional. Todo ello en un milisegundo le dio una idea. A continuacion su actitud animica cambio, de espectador pasivo, a depredador en accion Una vez en accion nadie diria que su actitud habia cambiado. Seguia en un segundo plano aparentemente focalizando su atencion sobre el orador, en realidad estaba observando a los operadores. Analizaba sus reacciones y estudiaba su comportamiento, finalmente se dirigio hacia uno de aspecto entre divertido y aburrido. Son los mejores, tienen sentido del humor y gustan de mofarse de sus jefes. Viajero entablo una amable conversacion con dicho individuo, llevando poco a poco el tema hacia su interes, que no era otro que conseguir el maximo de informacion sobre el terminal. Los operadores de las salas de control reciben entrenamiento para no suministrar informacion del proceso, pero nadie les ha dicho que es igual de peligroso empezar a hablar sobre sistemas operativos, versiones, direcciones IP y demas cosas sin importancia. Al salir, Viajero se despidio amablemente de todo el mundo, estrechando manos sin cesar. Las visitas quedaron encantadas de salir del recinto sin recibir mas torturas tecnicas y los operadores se olvidaron inmediatamente de los visitantes y de sus acompañantes. Solo Viajero tomo nota mentalmente de todo lo que habia visto y oido -------------------------- UNA EXPLORACION DISCRETA -------------------------- Pasadas unas semanas de ajetreados viajes, solo en su despacho y aprovechando un momento de calma en su trabajo, Viajero retomo el asunto en mano. De entrada intento identificar el terminal que habia visto fisicamente en la WAN de la empresa. Con un viejo "ping" de toda la vida, obtuvo la direccion IP, aunque aparentemente no respondia maquina alguna. Lo mas obvio era deducir que que el firewall que protegia la LAN de la planta estaba bloqueando este tipo de trafico para evitar justamente que alguien obtuviera informacion sensible. Otra posibilidad era que se hubieran cambiado los terminales desde su visita a la sala de control o que incluso la planta entera hubiera partido por los aires despues de una gran explosion, pero dado que ni las comunicaciones internas de la sociedad ni siquiera los periodicos locales daban noticia de ningun gran accidente industrial, tomo por buena la primera opcion Ya que se encontraba bajo el sistema operativo Windows hizo uso a continuacion de la utilidad "tracert" para detectar donde se encontraba la LAN y cual era la direccion IP del firewall que le cortaba el paso. Efectivamente, despues de unos pocos saltos, "tracert" le comunico que no habia respuesta y dedujo que ahi estaba el bloqueo. Era necesario obtener informacion adicional acerca del firewall, y para ello es posible utilizar multiples tecnicas, pero como Viajero era todo un clasico decidio emplear una de las mas conocidas llamada "nmap" (http://nmap.org/). Todo el mundo lo conoce y ya va por la version 4.76, disponible en version fuentes, ejecutables para Linux, Windows, y MAC OS X y BSD, es una magnifica utilidad que permite escanear puertos y averiguar sistemas operativos. Normalmente se utiliza en modo terminal pero tambien hay disponible una version con GUI, "Zenmap" (http://nmap.org/zenmap/man.html), que permite, hasta a los mas insensatos e incompetentes, obtener informacion sobre maquinas y redes. Los que deseen un poco mas de informacion en: http://nmap.org/book/zenmap.html podran saciar toda su curiosidad. Viajero era amante de las viejas pantallas en fondo negro, asi que utilizo la version sin pantallitas y lanzo un escaneo con la opcion de deteccion del "host". El resultado no le sorprendio en absoluto. Dejar la eleccion de un firewall a un tecnico en instrumentacion es lo normal en una planta industrial y dichos tecnicos solo estan interesados en conseguir un funcionamiento de la instalacion con el minimo de mantenimiento y eso en su jerga significa con "cero" quejas del responsable de produccion. Nadie quiere oir de temas de seguridad informatica o mas bien estos se entienden como que la produccion debe continuar a cualquier costo y en ningun momento se deben producir fallos por "falta" de acceso a los terminales. La filosofia que subyace a todo eso es que el criterio humano es prioritario en todo momento y que nunca deben fallar los accesos a los terminales para poder realizar maniobras de proceso y dar ordenas de control. Nadie quiere oir hablar de atacantes "hackers" que vengan del exterior. Con estos juncos no es extraño que Viajero se encontrara con que se habia construido un cesto que contenia un router robusto, fiable y bien conocido. Nada de veleidades de ultimo grito ni modas de ultima hora. Una vez detectado la hardware es necesario obtener el maximo de informacion acerca del dispositivo y para eso la red es fundamental. De la web oficial del constructor se puede bajar las instrucciones de instalacion con las password por defecto y en otros sitios mas oscuros los puntos debiles y a veces algunas puertas traseras que tambien se instalan por defecto. En este caso no hubo que utilizar ningun truco extraño, el artilugio tenia como unica proteccion la limitacion por acceso web a traves tan solo de la WAN de la corporacion y eso seguia la logica de toda la instalacion. Hacia falta sobretodo defenderse de los piratas externos, pero todos los trabajadores de la compañia eran considerados como santos varones o, como apostillaria una politica de bajos vuelos, una santa femina. Una maquina de estas caracteristicas no esta normalmente protegida con grandes medidas de seguridad y por ellas se debe entender sistemas automaticos de deteccion de cambios de configuracion o accesos a horas intempestivas, asi que Viajero entro con los datos de configuracion por defecto y la cambio para permitir todo el trafico hacia un determinado segmento de la red, donde se encontraba su PC. ------------------------ AVANZANDO EN EL ATAQUE ------------------------ Una vez cambiada la configuracion del firewall, el siguiente paso es hacerse una idea de la extension de la red local que se encontraba a nivel de sala de control. En su afan de facilitar la vida al equipo de mantenimiento y limitar costos todo estaba construido bajo una topologia Windows y de nuevo basto con "nmap" para determinar donde estaban los servidores de datos historicos, sistemas antivirus, servidores de recursos, impresoras, etc,... asi como el firewall que hacia la separacion entre la zona perimetral ("DMZ layer" en la lengua de Shakespeare), donde se habia cometido exactamente el mismo error de configuracion al dejar los datos de la instalacion por defecto. A partir de ahi, repitiendo el mismo mecanismo, Viajero en tan solo un par de horas de busqueda y configuraciones a distancia, tenia ante si los mismos terminales frente a los que afanosamente trabajan los operarios de la sala de control y todo ello sin apenas manejar mas que recursos publicos y legales. Quedaba el ultimo problema por franquear y es el que normalmente mencionan los expertos en seguridad industrial de ordenadores. "Un hacker poco puede hacer aunque haya conseguido acceso a un terminal a distancia, ya que no posee el software necesario para poder interactuar con la instalacion industrial". Todo eso es cierto, salvo, como en el caso de Viajero, que tenia las password de los administradores locales que permiten la instalacion de software en general. Antiguas andanzas sobre diversos servidores de la WAN habian permitido a Viajero hacer un acopio de usuarios avanzados con sus passwords y este bagaje, que en condiciones normales todo el mundo piensa que puede ser util para leer la mensajeria del jefe, iba a permitir a Viajero un rapido avance en su ataque. Realmente no sabia muy bien lo que iba a hacer, simplemente se dejaba llevar por los acontecimientos, dada la gran facilidad con que superaba obstaculo tras obstaculo. Era como sentirse embriagado por un exceso de informacion. Por la simple lectura de los directorios de los terminales, determino los software que debia instalar en su PC. Despues tan solo era cuestion de encontrar en que servidores se encontraban los ejecutables que le permitirian hacerlos funcionar en su maquina. Esto requiere un poco de paciencia, pero tan solo eso, tiempo y paciencia. Despues tan solo es cuestion de ir diciendo "si" a las preguntas standards de toda instalacion y despues configurar su maquina teniendo en cuenta que se encontraba a tres routers de distancia de su objetivo y no en el ultimo anillo de control. Parece cosa de magia, pero es solo cuestion de anticipacion, Viajero habia estado jugando al raton y al gato con los administradores de la red desde hacia años y siempre habia conseguido estar tan solo un paso por delante de ellos. La ultima hazaña habia consistido en hacer una escalada de privilegios mediante la herramienta pwdump6 (http://www.foofus.net/fizzgig/pwdump/) que ya describimos en otras andanzas de Viajero. Hoy en dia todos los antivirus impiden el lanzamiento de pwdump o de cachedump, pero hace tan solo un año no era el caso y de todas formas tampoco es una barrera infranqueable ya que los antivirus residentes se pueden bloquear o dejar fuera de servicio temporalmente. De todas formas lo cierto es que un cierto tipo de ataque cuyos resultados previsibles son conseguir las passwords de los administradores de red y que todo el mundo piensa que puede tener como consecuencia que la integridad de los datos a quedado comprometidos, puede tener otro tipo de consecuencias totalmente inesperadas. Tan graves como la destruccion fisica del proceso productivo industrial. ------------- ULTIMO ACTO ------------- Ante Viajero se encontraba la misma pantalla que recordaba haber visto varias veces durante sus visitas a la sala de control. Las mismas lineas representando tuberias, los mismos dibujitos que querian mostrar valvulas, elementos neumaticos, depositos de productos, tanques de aguas y liquidos diversos. Unos parpadeaban alegremente indicando su funcionamiento y otros en colores diverso representaban un estado estatico de seguridad. Viajero de repente se encontro con todo el poder que un Dios Todopoderoso podia tener en las manos. Un boton de color rojo, con una identificacion en letras parpadeantes, daban la posibilidad de detenerlo todo en condiciones catastroficas para la tesoreria de la corporacion y fatales para la ecologia de la comarca. Anos de soportar a inutiles engreidos como jefes, capaces tan solo de redactar pomposos informes y brillantes presentaciones, le pasaron por la mente. Cientos de horas de reuniones sin sentido y comentarios insulsos acerca de la percepcion de la gente de su comportamiento. "Percepcion?" Se pregunto. "Comportamiento?" casi dijo en voz alta. "Estais a punto de comprobar que es lo que pienso de vosotros" Esta vez lo dijo ya de forma audible, mientras acercaba con el raton el puntero y oprimia el boton izquierdo dos veces. El proceso industrial se puso en marcha o mejor dicho, empezo a detenerse. -------------------- FIN DE LA HISTORIA -------------------- Ante la pantalla de Viajero fueron cambiando de color diversos componentes, mientras en la zona izquierda aparecian diversos comentarios automaticos que eran enviados al sistema de backup para su almacenamiento en sus logs, finalmente aparecio un mensaje "Successful test". Un observador atento habria comprobado que en el extremo derecho de la pantalla habia un letrero que decia "Simulation System". No. Perico Viajero, no habia padecido un ataque de locura, simplemente jugaba con el sistema de simulacion Mientras, cerraba el software cliente de visualizacion y deshacia la configuracion de los firewalls, Viajero pensaba en como informar a los administradores locales de su error de configuracion sin tener que dar demasiadas explicaciones. ----------- COROLARIO ----------- Voluntariamente no hemos puesto ninguna referencia sobre el hardware y las configuraciones aqui descritas. Los fabricantes de este tipo de equipos se pueden contar con los dedos de una mano y tienen bastante malas pulgas si se sienten atacados de alguna forma. Otra razon es que este articulo esta escrito con el animo de animar a los ingenieros de proceso a exigir el maximo de seguridad en la configuracion de sus instalaciones. Un ataque con exito a un banco puede provocar perdidas financieras millonarias, pero el mismo exito sobre una instalacion industrial puede tener como consecuencia perdidas humanas y estas no tiene precio. 2009 SET, Saqueadores Ediciones Tecnicas. Informacion libre para gente libre www.set-ezine.org web@set-ezine.org *EOF*