Hola estimados lectores. Después de mucho tiempo sin escribir en mi blog, retomé finalmente la hermosa actividad de escribir y esta vez será para quedarme :)

Esta nueva “temporada” la inicio con el aporte de un post (en varias entregas) que me fue enviado por @capitan_alfa , un chico argentino muy talentoso que me ha dado el honor de mostrar en mi humilde blog su proceso de investigación que adelanta con el buen amigo @bertinjoseb nacido en la hermosa Costa Rica.

Sin más preámbulos paso a transcribir la primera parte de los posts los cuales se pondrán mejores con cada entrega ;)

Figura 1: Monitoreo SCADA

 

Me presento como Ezequiel Fernandez (@capitan_alfa) -Argentina- , y el post actual corresponde a parte del proceso de una investigación que llevó a la par con el colega y amigo Jose Bertin (@bertinjoseb) -Costa Rica-. Hoy los dos radicados en Chile .

Comienzo contando que ambos estamos involucrados a áreas de la seguridad de la información, exprimimos los motores de búsquedas existentes y tenemos un profundo interés por devices IoT, en especial cuando perteneces a áreas de ICS (Sistemas de Control Industrial)/OT (Tecnologías Operacionales). Y es en ese punto en donde más coincidimos.

Conformamos un grupo al que bautizamos como “The C.O.W Team”. “The COW”(La vaca), surge de: Cacharros, On the Wild”

Ser parte de “THE COW”, implica; buscar, identificar y catalogar devices “on the wild”, donde nos valemos de la indexación de los distintos buscadores existentes. Si bien es cierto que nuestro foco está en tecnologías OT, a veces en el camino nos cruzamos con otros interesantes hallazgos colaterales (como fue el caso de #stringbleed con CVE 2017-5135, que afectaba mayormente a distintos modelos de cable módems, corriendo snmp.)

Un objetivo en común:

Como equipo nos proponemos presentar fallos de seguridad descubiertos en dispositivos fuertemente ligados a ICS/OT. Algunos​ ​ de​ ​ los​ ​ dispositivos​ ​ en​ ​ cuestión​ ​ son​ ​ PLC,​ ​ HMI,​ ​ sistemas​ ​ SCADAS,​ ​ etc. Esperando sumar un punto de conciencia a quienes tengan directa responsabilidad sobre este tipo de tecnologías.

Para dar un poco de contexto, es bueno hacer una mención a los principales vendors involucrados con áreas de ICS/OT.  El portal Trending Top Most a conformado un “top ten”, que involucra a los principales fabricantes​ ​ de​ ​ tecnología​ ​ operacional.

El​ ​ TOP​ ​ 10​ ​ incluye​ ​ 4 ​ ​ empresa​ ​ de​ ​ EEUU,​ ​ 3 ​ ​ Europeas​ ​ y ​ ​ 3 ​ ​ Japonesas:

  1. Siemens
  2. ABB
  3. Emerson​ ​ Process​ ​ Management
  4. Rockwell​ ​ automation
  5. Schneider​ ​ Electric
  6. ​Honeywell​ ​ process​ ​ solutions
  7. Mitsubishi​ ​ electric
  8. Yokogawa​ ​ electric
  9. Omron​ ​ automation
  10. Danaher​ ​ Industrial​ ​ Ltd

Fuente: Trending Top Most

 

Buscando ICS/OT:

A pesar de que se están usando tecnologías que en su concepción fueron pensadas para estar aisladas de internet. Hoy existe toda una marcada tendencia hacia la conectividad permitiendo gestiones remotas en favor de agilizar tiempos de producción.

Como un rápido mecanismo para identificar los distintos devices “on the wild”, nos valemos de la indexación de distintos motores de búsqueda.  Ejemplo: shodan, google (Entre muchas otras opciones ).

Figura 2: búsqueda en Shodan

 

Figura 3: Device indexado en motor de búsqueda

 

Accesos remotos:

Actualmente muchos de estos sistemas cuentan en el mismo hardware con tecnologías web ( entre otras alternativas ) diseñadas para poder acceder en tiempo real a controles y lecturas amigables para que el responsable técnico, ingeniero y/u operador a cargo pueda trabajar cómodamente con ellos  de forma​ remota.

Estas soluciones priorizan el rendimiento por sobre la seguridad. Y tristemente para un atacante dar con vulnerabilidades se vuelve algo súper trivial.

Risidata:

Advertencia a tener que cuenta: estas plataformas suelen ser susceptibles a denegaciones de servicio.

Aunque su última actualización fue en 2015, recomiendo visitar el sitio “RISI”, presentándose de esta manera: “The Repository of Industrial Security Incidents”. En la lista de casos con los que cuenta el portal no solo encontraremos los clásicos ataques informáticos contra ICS, también figuran (encontré accidentalmente) dos que evidencian lo susceptibles que son a la denegación de servicio.

Por @capitan_alfa

Accediendo a SCADAs vulnerables – Parte I

Accediendo a SCADAs vulnerables – Parte II

Accediendo a SCADAs vulnerables – Parte III

 

Estimados lectores, esta historia continuará :P En la siguiente parte publicaré el análisis de un hallazgo realizado y luego se publicará como se “rompe” la solución.

Aunque en el disclaimer de este blog lo aclaro, no sobra recordar que el contenido de este portal web es netamente de carácter educativo y científico; NO me responsabilizo del uso que el visitante haga del contenido aquí expuesto, ni de las opiniones ó informaciones de las distintas personas que puedan haber escrito en los diferentes artículos.

Igualmente no me responsabilizo del contenido de otras webs, ni de los links que se expongan en las mismas del material linqueado desde este portal. Es importante aclarar expresamente que el material linqueado a otras webs no pertenece a esta web y por lo tanto en caso hipotético el dicho material fuera ilegal deberá comunicarse inmediatamente al servidor web en donde estén alojados “físicamente” estos documentos y/o archivos.

Nos vemos en la siguiente parte de este post…..va a estar suuuuuuuuuper interesante ;)

2 Responses to Accediendo a SCADAs vulnerables – Parte I
  1. […] la primera parte en la lista de casos con los que cuenta el portal “The Repository of Industrial Security […]

  2. […] con los post titulados “Accediendo a SCADAs Vulnerables” Parte I y Parte II, paso a transcribirles la última parte escrita por @capitan_alfa como producto de su […]


[top]

Leave a Reply

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.