Regreso al Futuro: Seguridad en los Entornos Industriales Taller 15: Infraestructuras Críticas Samuel Linares Director Servicios TI y Seguridad, Intermark Tecnologías Gerente, Equipo M45 Cluster TIC Asturias
2
3
QUÉ SON LOS SISTEMAS INDUSTRIALES DE CONTROL Y SUPERVISIÓN? Conjunto de dispositivos que permite supervisar y gestionar el funcionamiento de instalaciones industriales Son complejos: Diversidad de Componentes y Tecnologías Sensores, Medidores, Actuadores Intelligent Electronical Devices (EID) Remote Terminal Units (RTUs) Programmable Logic Controllers (PLCs) Human-Machine Interfaces (HMIs) Comunicaciones (interfaces, líneas, protocolos) ANSI X3.28 BBC 7200 CDC Types 1 and 2 Conitel2020/2000 /3000 DCP 1 DNP 3.0 Gedac7020 ICCP Landis & Gyr8979 Modbus OPC ControlNet DeviceNet DH+ ProfiBus Tejas3 and 5 TRW 9550 UCA 4
QUÉ SON LOS SISTEMAS INDUSTRIALES DE CONTROL Y SUPERVISIÓN? 5
6
UN POCO DE HISTORIA 7
Y AHORA? Historia del Responsable de Seguridad y/o TI 8
Y AHORA? Sistema operativo? Seguridad? Continuidad de Negocio? Firewall? Formación Técnica? Riesgo? Desarrollo de Software? Normativa? Windows 95 y NT Evangelización Qué es eso? Si no tiene pegatina, no Casi Inexistente No Hay Sin Requisitos de Seguridad Cómo? 9
Y AHORA? Sistema operativo? Continuidad de Negocio? Firewall? Formación Técnica? Desarrollo de Software? LOPD Windows XP Me suena Tengo uno! Básica Sin Requisitos de Seguridad Ay mi madre, no voy a decir nada de momento 10
Y AHORA? Sistema operativo? Continuidad de Negocio? Seguridad? Formación Técnica? LOPD Windows Vista y 2003 Anda! BS25999 SGSI: ISO 27001 Avanzada Hay que cumplirla: se han enterado! 11
Y AHORA? Son convocados a una reunión en la que le comunican que hay que INTEGRAR los sistemas de producción y control con el ERP!!!... 12
Y AHORA? Historia del Responsable de Producción/Planta 13
Y AHORA? Instalamos el nuevo sistema de control, supervisión y producción de la planta Lo último de lo último traído de América 14
Y AHORA? El sistema de control, supervisión y producción de la planta lleva 5 años funcionando La mejor decisión que tomé en mi carrera 15
Y AHORA? El sistema de control, supervisión y producción de la planta lleva 10 años funcionando Y sin un problema oiga! 16
Y AHORA? Windows 95 y NT Qué es eso? Si no tiene pegatina, no Casi Inexistente No Hay Sin Requisitos de Seguridad Cómo? Sistema operativo? Continuidad de Negocio? Firewall? Formación Técnica? Riesgo? Desarrollo de Software? Normativa? Seguridad? 17
Y AHORA? Windows 95 y NT Qué es eso? Si no tiene pegatina, no Casi Inexistente No Hay Sin Requisitos de Seguridad Cómo? Sistema operativo? Continuidad de Negocio? Firewall? Formación Técnica? Riesgo? Desarrollo de Software? Normativa? Seguridad? 18
Y AHORA? Windows 95 y NT Qué es eso? Si no tiene pegatina, no Casi Inexistente No Hay Sin Requisitos de Seguridad Cómo? Sistema operativo? Continuidad de Negocio? Firewall? Formación Técnica? Riesgo? Desarrollo de Software? Normativa? Seguridad? 19
UN POCO DE HISTORIA Cáspita!!! Algo ha salido mal. Estamos 10 años atrás En realidad creo que son 15 20
Y AHORA? Son convocados a una reunión en la que le comunican que hay que INTEGRAR los sistemas de producción y control con el ERP!!!... 21
Y AHORA? MIENTRAS NO ME MOLESTES HAZ LO QUE QUIERAS 22
Y AHORA? NI DE COÑA! Si funciona, no lo toques Deberíamos cambiaros vuestros sistemas a Windows XP y 2003 23
Y AHORA? Queeeeé? Deberíamos actualizar vuestros sistemas con los últimos parches 24
Y AHORA? Mis sistemas no se pueden tocar, es lo que te da de comer, si los tocas, bajo TU responsabilidad Habría que instalar un Firewall y montar algo de Seguridad 25
Y AHORA? YO SOY EL NEGOCIO 26
Y AHORA? 27
Y AHORA? 28
Y AHORA? Llaman del CNPIC Después de pasar por el Responsable de Seguridad Física, el de Lógica, rebotar al Director Financiero, al General y regresar de nuevo a él mismo PROBLEMA: Real Decreto!!! 29
Y AHORA? Obligados a Dialogar con un Objetivo Común 30
Y AHORA? 31
QUÉ HA PASADO PARA LLEGAR A ESTE PUNTO? Un nuevo entorno Conocimiento Tecnológico Por tecnologías Bases de datos Oracle 89% SQL Server 70% OBDC 90% Tecnologías DCOM, COM+: 60% Active-X: 81% XML: 81% dotnet: 41% Sistemas operativos WinNT Win2000 92% Windows XP > 60% Unix still on 45% Others (VMS, AS400, Linux) +10% Arquitectura Client/Server 92% Web-enabled, thin client >80% Distributed architecture 76% Load Balancing 54% y concluye: la tecnología MICROSOFT es dominante Y qué tiene que ver Microsoft en todo esto? Las cosas han cambiado 32
QUÉ HA PASADO PARA LLEGAR A ESTE PUNTO? Un nuevo entorno Integración: Funcionalidad y vulnerabilidad Incremento del 600% en los presupuestos de Gestión e Integración de Sistemas de Fabricación 2001 2007 2010 %? 3% de los presuspuestos 19% del presupuesto dedicado a la Gestión de Operaciones de Fabricación (MOM) y su INTEGRACIÓN con otros sistemas de la compañia 33
QUÉ HA PASADO PARA LLEGAR A ESTE PUNTO? Un nuevo entorno Integración: Funcionalidad y vulnerabilidad Nuevos Sistemas de Gestión de la Fabricación proporcionan información a: La Compañia Sistemas de Proveedores Clientes INTERFACES INSEGUROS: VULNERABILIDADES 34
QUÉ HA PASADO PARA LLEGAR A ESTE PUNTO? Un nuevo entorno Evolución 35
QUÉ HA PASADO PARA LLEGAR A ESTE PUNTO? Un nuevo entorno Convergencia Los sistemas de control ya no están aislados. Han pasado de utilizar líneas serie dedicadas a utilizar líneas Ethernet o WiFi compartidas Los protocolos de comunicación industriales, empiezan a funcionar sobre TCP/IP Los dispositivos industriales tienen sistemas operativos de propósito general Los dispositivos industriales han heredado los problemas de las TI 36
QUÉ HA PASADO PARA LLEGAR A ESTE PUNTO? Un nuevo entorno Los Hechos 80% de los Sistemas Industriales son seleccionados, diseñados, mantenidos y son responsabilidad última del Departamento TI Corporativo (aunque en su mayoría desconocen sus características técnicas en detalle ) Focalización en la funcionalidad, rendimiento, pero NO en la SEGURIDAD Antes: Ahora: Sistemas Aislados, Redes Propietarias, Interfaces Básicos de Usuario en Texto Plano o aplicaciones en hojas de cálculo, Security through Obscurity Integración con Sistemas Corporativos, Estandarización en las comunicaciones (Ethernet, TCP/IP, etc.), Interfaces (y plataformas) Web, Bases de Datos, Alto Riesgo de Ciberataques 37
QUÉ HA PASADO PARA LLEGAR A ESTE PUNTO? Un nuevo entorno Los Hechos II Imaginemos un mundo donde un simple resfriado pudiese matarte: Bienvenido al mundo de los Sistemas Industriales Eric Byres ha demostrado la posibilidad de colgar/parar un PLC enviándole un único paquete en una conexión ethernet Redes Inalámbricas?: es posible hacer una denegación de servicio a cualquier red inalámbrica con una mínima inversión Hay un firewall externo? y qué hay de la seguridad interna?: la mayoría de los ataques o problemas vienen desde dentro 80-90% de los Sistemas SCADA están conectados a la red corporativa (muchas veces sin que el departamento de TI sea consciente de ello) 38
QUÉ HA PASADO PARA LLEGAR A ESTE PUNTO? Un nuevo entorno Sistemas Industriales Habitualmente: No requieren autenticación No requieren ni ofrecen autorización No utilizan encriptación No manejan adecuadamente errores o excepciones Por tanto abren distintas fuentes de potenciales ataques: Interceptación de Datos Manipulación de Datos Denegación de Servicio Falseo de Direcciones (Address Spoofing) Respuestas no solicitadas Secuestro de Sesiones (Session Hijacking) Manipulación de paquetes/protocolos Modificación de datos de registro (logs) Control No Autorizado 39
QUÉ HA PASADO PARA LLEGAR A ESTE PUNTO? Un nuevo entorno Sistemas Industriales - IMPACTO Resultados Potencialmente Desastrosos: Acceso NO autorizado, robo o mal uso de información confidencial Publicación de información en lugares no autorizados Pérdida de integridad o disponibilidad de los datos del proceso o información de producción Denegación de servicio: pérdida de disponibilidad Pérdida de capacidad de producción, inferior calidad de productos, pérdidas medioambientales Averías en el equipamiento Pérdidas HUMANAS Violación de requisitos de cumplimiento legales Riesgos de salud pública Amenazas a la seguridad de la nación (!) 40
QUÉ HA PASADO PARA LLEGAR A ESTE PUNTO? 41
QUÉ HA PASADO PARA LLEGAR A ESTE PUNTO? Evidentemente ESTAMOS TENIENDO SUERTE 42
qué ha pasado para llegar a este punto? 43
LA REALIDAD SIEMPRE SUPERA A LA FICCIÓN 44
LA REALIDAD SIEMPRE SUPERA A LA FICCIÓN Ejemplo 1 Un cliente me muestra como una empresa israelí se conecta vía Web a los servidores Web de los PLC de la planta y les publica en internet los datos estadísticos de consumos energéticos!!! 45
LA REALIDAD SIEMPRE SUPERA A LA FICCIÓN Ejemplo 2 Un Proveedor Sistemas Industriales intenta vendernos sus nuevos PLCs Característica Diferencial : sus PLCs se conectan a Internet mediante GPRS (tarjeta SIM incorporada) y publican en una web DEL PROVEEDOR toda la información. Además tienen puertos USB, acceso por VNC Ante la pregunta sobre Seguridad: por supuesto, para ACCEDER a la página web hace falta usuario y clave... Era http (no https) 46
LA REALIDAD SIEMPRE SUPERA A LA FICCIÓN Ejemplo 2 bis 47
LA REALIDAD SIEMPRE SUPERA A LA FICCIÓN Ejemplo 3 Publicado en Internet el Sistema de Supervisión y Control del Horno Crematorio de un conocido Tanatorio 48
el diagnostico 49
EL DIAGNÓSTICO El problema Conflicto Planta / TI Entornos estancos. No te metas en mi terreno y yo no lo haré en el tuyo No se presta atención a los interfaces de comunicación entre ambos mundos Los nexos de unión son tierra de nadie y muchas veces desconocidos. 50
EL DIAGNÓSTICO El problema Formación y Capacitación Las T.I. han evolucionado muy rápidamente y han entrado en el entorno de los sistemas de control El personal de planta no está formado en las nuevas tecnologías. Muchas veces ni siquiera es consciente de que existan problemas. El personal de T.I. desconoce los sistemas de la planta. Tiene la sensación de que es algo fuera de su ámbito (aunque la frontera sea cada vez más difusa). 51
EL DIAGNÓSTICO El problema Los sistemas de control cada vez son más parecidos a los sistemas de T.I. Para lo bueno. y para lo malo. Abaratamiento de costes Mayor flexibilidad Nuevas capacidades Requiere menos formación Virus y Malware Bugs y vulnerabilidades de software Actualizaciones 52
EL DIAGNÓSTICO Siguientes pasos Fabricantes De Smas. de Control deben tener en cuenta la seguridad: Autenticación fuerte Criptografía De Dispositivos de Seguridad deben tener en cuenta los requisitos de los smas. de control: Protocolos específicos Funcionamiento en tiempo real 53
EL DIAGNÓSTICO Siguientes pasos Empresas Comunicación Planta/Producción/T.I./Seguridad Concienciación Asociaciones Profesionales Estándares: ISA99 * ISO 27001 * BS 25999 Desarrollo de metodologías propias Formación, Concienciación 54
EL DIAGNÓSTICO Siguientes pasos Ingenierías / Integradores Incorporar Seguridad como un Requisito más del Proyecto Utilizar buenas prácticas de seguridad en los sistemas de control Segmentación de redes Defensa en Profundidad Autenticación Criptografía Detección/Prevención de Intrusiones 55
EL DIAGNÓSTICO Conclusiones no nos miremos el ombligo 56
EL DIAGNÓSTICO Conclusiones 57
GRACIAS Samuel Linares http://blog.infosecman.com Twitter: @infosecmanblog slinares@grupointermark.com Tel 902195556 58