Pages

Sunday, March 15, 2015

APT dirigido al proceso industrial

Recientemente una charla de Ralph Langner, a la que he llegado gracias a un mensaje de la lista SCADASEC, me ha hecho reflexionar sobre un tipo de amenaza que creo no se tiene normalmente en cuenta cuando se piensa en los posibles riesgos para una instalación industrial. Realmente, mientras veía el vídeo, fue una frase en concreto la que llamó mi atención: “No es lo que se puede hacer a los actuadores, sino lo que se puede hacer con ellos”, haciéndome considerar las implicaciones que pudiera llegar a suponer el que un atacante malicioso consiguiera tomar el control de una instalación industrial, más allá del simple daño físico a la propia instalación.

No es lo que se puede hacer a los actuadores, sino lo que se puede hacer con ellos.

Langner en su charla, altamente recomendable, comienza distinguiendo ataques a los sistemas IACS, como los SCADA, frente a los ataques físicos a los equipos y al proceso industrial en si. Continúa con los distintos vectores de ataque posibles así como el impacto físico que pudiera suponer estos ataques, bien localizados en la misma instalación o de forma más masiva afectando a un área geográfica más extensa.

Langner hace una afirmación importante, los ingenieros saben muy bien lo que hacen e implementan los sistemas teniendo en cuenta todas las medidas de seguridad (“safety“) necesarias para prevenir accidentes y controlar de forma adecuada el proceso industrial. Esto supone que una parametrización incorrecta de los equipos, ya sea de forma involuntaria o maliciosa, pueda ser detectada y controlada adecuadamente impidiendo un posible accidente o fallo en la producción. ¿Qué supone esto en la práctica? Que un ataque malicioso, cuyo fin sea causar daño directo a la instalación en si o al proceso industrial, tendrá pocas posibilidades de ser llevado a cabo con éxito. Si, será posible tomar el control de un SCADA o comprometer un protocolo de red industrial falseando incluso la lectura de un sensor, pero aún con ello será difícil causar daño físico porque en los controladores se habrá programado la lógica de seguridad (“safety“) necesaria para impedirlo.
¿Es posible llegar a modificar de forma maliciosa esta lógica de seguridad en los controladores? Por supuesto que si, de hecho es precisamente lo que hizo Stuxnet, pero esto implica un ataque mucho más elaborado y poder contar con más medios. Para comprometer el proceso industrial es necesario un equipo multidisciplinar compuesto por técnicos expertos en seguridad informática e industrial, así como ingenieros especializados en el sector al que se pretende atacar.
En cualquier caso, el mensaje que quiero hacer llegar, y que extraigo de la charla de Langner, es que más importante que el daño directo que pueda hacerse a una instalación industrial es el poder llegar a controlar de forma maliciosa el propio proceso industrial sin que los responsables de la instalación sean conscientes de ello. Es decir, aunque los ingenieros hayan implementado medidas de seguridad (“safety“) para prevenir situaciones anómalas, fuera del funcionamiento normal, no será posible detectar un compromiso malicioso del proceso si éste no se sale en ningún momento de los límites fijados como seguros, perdiendo sin saberlo el control de la propia instalación en favor del atacante.

El daño físico directo en una instalación industrial, ya sea a personas o equipamiento, que puede provocar un ataque malicioso tendrá un alcance relativamente limitado frente a un compromiso del proceso industrial no detectado. Es decir, va a tener un impacto mucho más grave y masivo si, de forma silenciosa, se pudiera controlar el proceso y provocar, por ejemplo, la contaminación de las aguas en una planta desalinizadora; o la alteración de las recetas de fabricación en la industria alimentaria o farmacéutica, de forma que se distribuyan productos con propiedades peligrosas; o la liberación de gases tóxicos en la industria química; o incluso la intervención en el proceso de fabricación de mecanismos de seguridad (“safety“) que luego se utilizarían en instalaciones críticas.


Esto me lleva a plantear la idea de un APT dirigido al proceso industrial. Una forma de APT clásico en IT pero aplicado al proceso industrial donde el objetivo no es, por ejemplo, la extracción silenciosa de información, aún estando muy de actualidad el robo de propiedad intelectual por parte de naciones y compañías rivales, sino que el objetivo es poder controlar, de forma silenciosa y continuada, el proceso y conseguir con ello ataques masivos causando el mayor daño posible más allá del ámbito geográfico de la instalación industrial. Y esto es así porque, como ya se ha explicado anteriormente, los sistemas industriales no han sido diseñados para detectar ligeras y silenciosas alteraciones del proceso que, en ningún momento, se salen de los límites de seguridad (“safety“).

Ya para acabar, sólo decir que hoy mi pretensión era reflexionar sobre esta amenaza, dejando para otro día, qué medidas se podrían adoptar para prevenir este riesgo.

1 comment:

  1. I have not heard about before. Keep sharing more blog posts on this Community and get extra benefits with this ideas and knowledge. Thanks for this one. Industrial Safety Training

    ReplyDelete