Ciberataques a las redes eléctricas. ¿Estamos preparados?

Categorias: Cyberwar,Scada,seguridad | | 1 Comentario » |

Desde que hace ya tres años se descubriera el gusano Stuxnet afectando a instalaciones nucleares iraníes han corrido muchos ríos de tinta hablando de ciberguerra, ataques dirigidos y seguridad de las infraestructuras críticas. No obstante, revisando los incidentes detectados desde entonces no parece que hayamos avanzado mucho en la protección de estas infraestructuras.

Así se deduce de un informe presentado recientemente por la empresa analista de mercado ABI Research, quienes definen a las redes eléctricas como “lamentablemente preparadas” ante la posibilidad, cada vez más real, de un ciberataque. Esto es debido en parte a una reestructuración del sector y a la implementación de las redes eléctricas inteligentes para así gestionar de manera más eficaz la producción y distribución de la electricidad, usando para ello la tecnología informática.

El problema es que esta transición a una red eléctrica inteligente se está realizando sin tener apenas en cuenta la seguridad. Así pues, podemos encontrar, según ABI Research, sistemas de control industrial (SCADA) con métodos de autenticación débiles, con poco uso del cifrado y que pocas veces son capaces de detectar una intrusión, todo ello  por centrarse demasiado en ahorrar costes y en mejorar la eficiencia sin preocuparse por la seguridad.

eset_nod32_electricas

Un buen ejemplo de esta falta de seguridad lo encontramos en la noticia que publicaba el periódico The Wall Street Journal, donde se afirmaba, citando a fuentes del Gobierno de Estados Unidos, que la red eléctrica de ese país estaba sufriendo constantes ciberataques procedentes de Irán. Estos ataques estarían orientados más a causar sabotajes que a recopilar información, por lo que el daño producido en caso de lograr su objetivo podría ser mucho mayor. Aunque no se puede asegurar a ciencia cierta que estos ataques provengan realmente de Irán, es una posibilidad que no se debe descartar.

Este tipo de ataques no son nuevos, pero con sistemas de control de infraestructuras críticas cada vez más conectados a redes civiles como Internet, no es de extrañar que sean uno de los objetivos preferidos por atacantes de todo el mundo.

¿Y en España? Pues no es que nos encontremos en una situación mucho mejor, la verdad. El Centro Nacional de Inteligencia reveló a principios de año que 2012 había sido el peor año en cuanto a ciberataques contra las altas instituciones del Gobierno español, y esto también incluye ataques contra infraestructuras críticas. Más de un centenar de estos ataques fueron considerados graves o muy graves, con consecuencias aún por determinar.

Como medida de prevención y defensa contra este tipo de ataques existe desde hace unos años el Centro Nacional para la Protección de las Infraestructuras Críticas (CNPIC), encargado de coordinar los mecanismos necesarios para garantizar la seguridad de estas infraestructuras. Dentro de ese esfuerzo se engloban tanto organismos gubernamentales como empresas privadas, entre las que nos encontramos las casas de antivirus que actuamos como sistema de detección de amenazas y alerta temprana.

Sobre el papel tenemos varias estrategias a seguir y buenas prácticas a implementar. El problema viene cuando nos topamos con la falta de recursos a la hora de hacer realidad todas esas buenas prácticas, y es que en el difícil contexto de situación económica actual es complicado obtener los fondos necesarios para prácticamente cualquier cosa.

El problema es que los atacantes no necesitan de grandes recursos para causar un gran daño en estas instalaciones críticas. Se ha hablado mucho recientemente de ciberejércitos preparados para lanzar elaborados ciberataques que hagan retroceder a un país a la edad media. No obstante solo hace falta un ordenador, una conexión a Internet y a alguien con los conocimientos suficientes (a veces ni eso gracias a los kits de explotación) para causar un daño importante en las infraestucturas de un país.

Así las cosas, aún podemos dar gracias de que no se producen tantos incidentes de seguridad en este tipo de infraestructuras como podrían suceder. No obstante, no debemos bajar la guardia, y sí destinar cuanto antes los recursos necesarios para prevenir este tipo de amenazas porque puede que cuando nos pongamos a ello, ya sea demasiado tarde.

Josep Albors



Resumen anual de seguridad informática: Facebook y Twitter protagonizaron incidentes de seguridad durante todos los meses de 2012

¡Madre mía qué mal lo hemos pasado este año haciendo el resumen! Hay que reconocer que la práctica ayuda, pero cuando tienes que seleccionar entre los 350 artículos que hemos publicado este año, todos ellos referentes a temas de seguridad y/o privacidad, el ejercicio es arduo. Siempre se queda algo fuera, y seguro que importante, pero al menos está todo lo que es más relevante a nivel internacional.

El pasado año ha seguido la estela de actividad en cuanto a seguridad informática se refiere, ya que todos los meses han sucedido hechos internacionales que han tenido sus efectos y una gran repercusión mediática. Si echamos un vistazo al Resumen Anual de Seguridad 2012 que nos hemos currado, veremos que hay nombres propios que se repiten a lo largo de cada uno de los meses y que protagonizan repetitivos incidentes de seguridad de forma reincidente.

De esta manera, Facebook y Twitter se llevan la palma, ya que prácticamente todos los meses han sufrido algún tipo de problema derivado bien de la seguridad de sus usuarios bien de su privacidad. Les sigue muy de cerca otras redes o aplicaciones como WhatsApp, Skype, Yahoo! o Instagram.

En el capítulo de hacktivismo, Anonymous se ha mostrado especialmente activo este año operando en el frente tanto nacional como internacional. A nivel local, los miembros de este colectivo han publicado los datos privados de los responsables de la Ley Sinde a principios de año, han aprovechado los premios Goya para introducirse en los servidores de la Academia del Cine y obtener multitud de datos profesionales y personales, han protestado junto al colectivo sanitario por los recortes en Sanidad y han atacado, también en señal de queja por la situación económica, varias webs de partidos políticos.

Con respecto a actuaciones internacionales e intrusiones no autorizadas, numerosos organismos, instituciones y grandes empresas privadas han visto su seguridad e integridad vulneradas por una razón u otra. La realidad es que la NASA, varias universidades, entidades gubernamentales americanas, Sony, Amazon.com, T-Mobile, Nissan y VMWare, por solo citar unos ejemplos, se han convertido en blanco durante el pasado año de los cibercriminales.

Respecto a la aparición de nuevas amenazas informáticas, tanto la plataforma Mac como Android se han llevado la palma, sin desmerecer para nada a Windows, que sigue ostentando la gran cifra récord de 250.000 nuevos ejemplares mensuales. Otro dispositivo, como el eReader Kindle Touch, también ha tenido algún susto.

En cuanto a las técnicas de ingeniería social utilizadas para la distribución de spam o phishing, también hemos visto cómo se han seguido utilizando los hechos más internacionales y representativos, como los Juegos Olímpicos y la Supercopa, pero también han hecho mella otros ganchos como el de Michel Teló y su éxito del verano, servicios como SkyDrive de Microsoft o relacionados con juegos muy conocidos como League of Legends.

También 2012 ha sido el año en el que se han descubierto varias redes de botnets, algunas relacionadas con el espionaje internacional y con ataques dirigidos, como es el caso de Medre o de Flashback. A lo que se añaden las múltiples vulnerabilidades críticas en los programas habituales, como Adobe, Java y Windows.

Los problemas de privacidad derivados del uso de plataformas online especialmente diseñadas para enriquecerse a costa de los datos del usuario han dado mucho de qué hablar durante el pasado año, y hemos visto cómo prácticamente todos los grandes han tenido problemas en uno u otro sentido al enfrententarse a quejas y demandas justificadas que luchan por mantener la intimidad de la información personal de los usuarios compartida a través de este tipo de portales.

Pero ha habido más… Noviembre ha marcado un antes y un después en cuanto a actualidad mediática relacionada con la seguridad de la información, ya que el robo de la agenda de Pipi Estrada y su posterior publicación online puso a muchos famosos en jaque durante varios días. Igualmente, el supuesto bulo de las fotos eróticas de las chicas de Deusto puso en duda la integridad de la conocida universidad, aunque todo pareció más un invento que otra cosa.

Un año en el que hemos tenido prácticamente de todo y cuya información se encuentra resumida, mes a mes, en nuestro Informe Anual de Seguridad 2012.

¡Que la seguridad nos acompañe en 2013!

 

Yolanda Ruiz Hervás

 

Josep Albors

 

 



Crónica de un ¿falso? ciberataque a Irán

Categorias: Cyberwar,Malware,Scada | | Sin comentarios » |

Además de los ataques a webs y filtraciones de datos por parte de grupos hacktivistas, en estas fiestas navideñas también ha tenido protagonismo un supuesto nuevo ciberataque a Irán. La noticia se dio el mismo día de Navidad y enseguida se apuntó a Estados Unidos como posible país atacante.

Al parecer todo este revuelo se originó después de que Ali Akbar Akhavan, responsable de la Organización de Defensa Pasiva de Irán, supuestamente hiciera unas declaraciones en las que se afirmaba que varias instalaciones del sur de Irán habían sido atacadas durante los últimos meses. Entre los supuestos objetivos se encontraba la compañía eléctrica Bandar Abbas Tavanir Co. pero que gracias a la ayuda de “experimentados hackers” se habían podido repeler los ataques que tenían como objetivo instalaciones en la provincia sureña de Hormuzgan.

No obstante, tan solo un día después, el mismo Akhavan anunciaba que sus declaraciones habían sido malinterpretadas por las agencias de prensa y que en esa conferencia tan solo habían anunciado su capacidad para afrontar ciberataques contra instalaciones de esa región.

eset_nod32_antivirus_cyber_attack

La realidad es que, se hayan producido esos ataques o no, tan solo serían uno más en la lista que empezó Stuxnet a mediados de 2010 y que han venido repitiéndose desde entonces. Casos como los de Duqu, Flame, Gauss o Shamoon han ido saliendo a la luz en los últimos meses y muy probablemente veamos más ejemplos en esa región en un futuro cercano.

Este tipo de ataques han demostrado ser muy efectivos, relativamente baratos de realizar si lo comparamos con una operación militar clásica y, lo más importante de todo, no exponen al atacante, por lo que no es de extrañar que sean una tendencia al alza. Incluso se producen entre países aliados como método de espionaje.

También representa una “democratización” del campo de batalla puesto que ahora no es necesario ser el país con el ejército más numeroso o mejor equipado para causar graves daños al enemigo. Tan solo es necesario contar con un puñado de cibersoldados con elevados conocimientos, capaces de descubrir 0-days y aprovecharlos para asestar un poderoso golpe en las infraestructuras del adversario sin importar su tamaño.

Así las cosas no es de extrañar que la mayoría de países y organizaciones como la OTAN contemplen cada vez con más interés la realización de maniobras para defenderse de este tipo de ataques o cómo llevarlos a cabo. Pudimos ver un claro ejemplo de esta tendencia en la Defcon de este año, donde el mismo Director de la Agencia de Seguridad Nacional (NSA) estadounidense, el General Keith Alexander, pidió ayuda a los asistentes para hacer frente a las nuevas amenazas.

Se abre pues un futuro innovador en lo que a técnicas de combate en la guerra moderna representa. El problema, como siempre, es la falta de información que los ciudadanos de a pie tenemos sobre esta guerra que se está librando en las sombras, algo, que, en la medida de lo posible, trataremos de subsanar desde este blog.

Josep Albors



Cientos de sistemas Scada al descubierto

Categorias: Scada,seguridad | | Sin comentarios » |

Desde que Stuxnet sacara a la luz los ataques a los que se exponen las infraestructuras críticas hace ya dos años, no son pocas las noticias que hemos ido conociendo acerca de lo expuestos que se encuentran algunos de estos sistemas. El valor que tienen es innegable, ya que no hay algo más atractivo (y mediático) para un cibercriminal (o Gobierno) que atacar una infraestructura crítica, como demostró Stuxnet o, más recientemente, Flame.

La realidad es que estos sistemas están mucho más presentes de lo que mucha gente imagina. Desde sistemas domóticos de control de temperatura en oficinas, pasando por controles de temperatura de frigoríficos en grandes superficies hasta llegar a los sistemas que controlan la red eléctrica de un país, por ejemplo.

Es por ello que cada filtración o ataque a uno de estos sistemas debe ser analizado con cautela, y casos como la reciente publicación de más de 2000 direcciones IP con acceso a sistemas Scada deben darnos un toque de atención sobre si se protegen debidamente.

En esta ocasión, las víctimas parecen ser sistemas gobernados por el software i.Lon 100 Internet Server, encargado de conectar todo tipo de dispositivos a una red corporativa. Obviamente, el acceso a estos sistemas está protegido por un procedimiento que requiere login, tal y como cabría esperar:

No obstante, solo con que indaguemos un poco buscando manuales sobre este software encontraremos la contraseña que viene configurada por defecto y a partir de ahí la labor de un atacante se reduce a ver cuál de las múltiples direcciones IP filtradas viene con las contraseñas por defecto (más de las que esperaríamos encontrar). Una vez se ha obtenido acceso al sistema, ya solo queda ver qué tipo de dispositivo hay detrás y qué acciones se desean realizar.

Aunque para muchas personas pueda ser divertido acceder a los paneles de control de estos sistemas y modificar los valores que se muestran, hay que recordar que un mal uso de estos sistemas puede acarrear desde simples molestias a graves daños en instalaciones críticas. Por su parte, todas aquellas empresas que utilizan este tipo de sistemas, y especialmente quienes los fabrican, deberían revisar la seguridad de los mismos puesto que hace años que se ha comprobado como la “seguridad por oscuridad” es infectiva ante un grupo de atacantes decididos.

Josep Albors

@JosepAlbors



Ciberataques contra plantas de tratamiento de agua en EE.UU.

Categorias: Hacking,Scada | | Sin comentarios » |

Desde que Stuxnet salió a la luz y se desveló que su objetivo eran sistemas de control de infraestructuras críticas, hemos ido viendo cómo los ataques a este tipo de sistemas se producen con mayor frecuencia. Los dos últimos casos afectaron a plantas de tratamiento de agua y, al menos en uno de ellos, una bomba de agua quedó inutilizada.

La primera alarma saltó a mediados de la pasada semana cuando se hizo público un ataque a una central de tratamiento de agua en Springfield, Illinois. Esta intrusión, que según las primeras investigaciones provenía de direcciones IP rusas, consiguió acceder al panel de control de esta instalación e inutilizar una de las bombas de agua que gestionaba.

Pero no fue esta la única intrusión sufrida por este tipo de instalaciones, ya que pocos días después, y en respuesta a unas declaraciones realizadas por el Departamento de Seguridad Nacional, en las que se aseguraba que no existía ningún dato que indicara la existencia de algún riesgo para las infraestructuras críticas o para la población, un investigador publicó pruebas de que había conseguido introducirse en otra instalación de tratamiento de aguas, esta vez en South Houston, Texas.

Entre estas pruebas se encuentran capturas de pantalla como la que mostramos sobre estas líneas, en las que se ve claramente la interfaz del panel de control de la instalación. Con esta intrusión, el atacante quiso demostrar la fragilidad de este tipo de sistemas y desacreditar la información proporcionada por el Departamento de Seguridad Nacional, que minimizaba los riesgos. La situación se agrava cuando el propio atacante desveló que la contraseña que protegía ese sistema tan solo contaba con tres caracteres.

Casos como el que hoy hemos comentado deberían hacernos replantear si el control de infraestructuras críticas está debidamente protegido. Hay incluso voces en nuestro Gobierno que han alertado sobre el riesgo existente e instan a tomar medidas de precaución al respecto.

Desde el laboratorio de ESET en Ontinet.com pensamos que los Gobiernos deberían tomarse muy en serio este tipo de amenazas, ya que pueden suponer un riesgo importante para toda la población.

Josep Albors



Modern Cyber warfare 2011: Satélites americanos sufrieron ataques informáticos

Categorias: Hacking,Scada | | Sin comentarios » |

A pesar que por el titular pueda parecer que últimamente estemos jugando demasiado a las más recientes versiones del Battlefield  o del Modern Warfare, la noticia que vamos a comentar en esta ocasión se trata de un hecho real que ha salido a la luz en los últimso días. Si hace poco comentábamos en este mismo blog el notable incremento de casos de espionaje y ataques sufridos por empresas y gobiernos, en esta ocasión vemos como estos ataques se llevan a cabo incluso fuera de la atmosfera terrestre.

Según los datos proporcionados por Bloomberg BusinessWeek, un informe de una comisión del congreso de los Estados Unidos que se publicará en breve, se ha probado el ataque informático a dos satélites en 2007 y 2008. Los satélites que sufrieron estos ataques tiene carácter civil y están destinados a la observación terreno y el clima. Obviamente, dudamos que, si hubiesen sido satélites con propósitos militares pudiéramos dar esta noticia.

Ambos satélites estaba operados desde la estación de control ubicada en Svalbard, Noruega, y muy probablemente la conexión de la misma a Internet haya sido la puerta de entrada para realizar estos ataques. A partir de aquí todo son conjeturas para intentar averiguar quien está detrás, aunque, como en la mayoría de ocasiones, el principal sospechoso es China.

No obstante, también hay que contemplar otras posibilidades, como la de que un atacante solitario haya decidido probar sus conocimientos de hacking sobre estos dos satélites. Tendemos a sospechar de gobiernos cuando los ataques se producen a esta escala pero no debemos olvidar que las unidades de ciberguerra están formadas por personas con conocimientos similares a los que un investigador independiente pueda tener. Incluso en muchas ocasiones, y pese a contar con menos recursos,  los  ciberatacantes solitarios pueden llegar más allá al no tener que responder  ante nadie.

Como observamos y venimos comentando en el laboratorio de ESET en Ontinet.com desde hace tiempo, lo que antes nos parecía cosa de ciencia ficción y que solo veíamos en las películas se está convirtiendo en una práctica habitual, sobre todo desde que el gusano Stuxnet salió a la luz y la opinión pública tuvo conciencia de este tipo de amenazas orientadas a atacar infraestructuras críticas y conseguir información clasificada de gobiernos y empresas.

Josep Albors



Infecciones en instalaciones militares

Categorias: Filtraciones,Hacking,Malware,Scada | | Sin comentarios » |

Cuando hablamos de infecciones y ataques a páginas web normalmente damos una serie de consejos a los usuarios para que tomen medidas con las que protegerse. Pero, ¿qué ocurre cuando los afectados son departamentos de defensa, instalaciones militares o grandes empresas que trabajan como contratistas militares para algunos gobiernos?

Este fin de semana se ha conocido la noticia de que algunos de los sistemas que se encargan de dirigir la flota de aviones no tripulados de los Estados Unidos usados en operaciones militares (conocidos como drones) habían sido infectados por un código malicioso. La noticia de por sí ya es impactante, pero adquiere tintes preocupantes al escuchar las declaraciones de uno de los encargados de la seguridad de esos sistemas:

“Los eliminamos, pero vuelve a aparecer”. Esta declaración podría aplicarse a multitud de casos de infecciones que se producen diariamente y a las que la mayoría nos enfrentamos en algún momento. Según los responsables de eliminar esta amenaza, aún no están de acuerdo en si la funcionalidad de keylogger que incorpora este malware se introdujo de forma consciente o fue simplemente un accidente. Esto denota una falta de control en cuanto a quién o qué accede a estos sistemas y acerca de los permisos que dispone para realizar según qué acciones.

Lo que está claro es que declaraciones como: “Creemos que es benigno, pero no lo sabemos seguro”, no ayudan a tranquilizarnos. Por lo menos podemos especular sobre si la noticia de la infección y estas declaraciones han salido a la luz debido a que, muy probablemente, estemos ante un caso de infección accidental de un sistema crítico, pero no ante un ataque dirigido.

Un ejemplo de ataque dirigido fue el que experimentó la empresa Mitsubishi Heavy, donde los atacantes consiguieron acceder e infectar varios ordenadores y sustraer información confidencial relacionada con el armamento que produce esta empresa. Entre otros, esta empresa se encarga de la fabricación de misiles tierra-aire y aire-aire, alas para los aviones Boeing 787 e incluso submarinos. Huelga decir que esta información tiene un gran valor para empresas competidoras y no pocos gobiernos.

Pero cuando hablamos de la confidencialidad de secretos de Estado, militares o corporativos, debemos recordar que el eslabón más débil sigue siendo el usuario. De nada sirve tener un sistema seguro si luego los datos que se almacenan se pueden obtener robando un portátil de un alto cargo o encontrando un pendrive olvidado en un taxi. Por no hablar de las “sofisticadas técnicas” de ocultación de material confidencial que permiten saltárselas a cualquiera que sepa copiar y pegar información desde un documento PDF.

Como vemos, nadie está a salvo de ataques, pero, más aun, nadie está exento de cometer errores. Desde el laboratorio de ESET en Ontinet.com creemos que la protección de la información confidencial debe empezar por concienciar a los usuarios que la manejan. Solo así podremos centrarnos en proteger los sistemas adecuadamente sin temor a que un fallo humano suponga una filtración de datos.

Josep Albors



Nuevas vulnerabilidades en sistemas SCADA

Categorias: Scada,Vulnerabilidades | | Sin comentarios » |

Cuando el año pasado Stuxnet salió a la luz pública, muchos nos preguntamos cómo de seguros eran aquellos sistemas que controlaban infraestructuras críticas. En los meses siguientes no fueron pocos los investigadores que avisaron de vulnerabilidades en los sistemas SCADA más usados, demostrando que muchos presentaban importantes agujeros de seguridad.

Y así estamos a fecha de hoy; ya no es novedad presentar una nueva vulnerabilidad en sistemas de gestión de infraestructuras, resulten críticas o no. Tanto es así que las últimas vulnerabilidades presentadas no afectan solo a un fabricante, sino a varios de ellos. Tal es el caso de las ocho empresas de las que el investigador Luigi Auriemma ha descubierto (y publicado) vulnerabilidades.

Dichos descubrimientos de vulnerabilidades afectan a software que controla todo tipo de infraestructuras, y aún es pronto para conocer su alcance real. No obstante, se trata de un importante toque de atención para todas estas empresas, cuyas actualizaciones y parches de seguridad suelen tardar en lanzarse, si es que su producción llega a suceder.

En Hispasec han ido un poco más allá y han demostrado con un caso práctico cómo se puede acceder y controlar uno de estos sistemas vulnerables. Este es un ejemplo de acceso sin ninguna intención de causar daño y con fines informativos. No obstante, es muy probable que otros usuarios tengan intenciones más oscuras, por lo que resulta vital que este tipo de vulnerabilidades se solucionen lo antes posible.

Desde el laboratorio de ESET en Ontinet.com creemos que la publicación de estos fallos de seguridad demuestra que los sistemas SCADA necesitan una revisión urgente, y esperamos que los fabricantes ofrezcan soluciones que devuelvan la plena confianza a sus usuarios.

Josep Albors



Atención: nuestra página utiliza cookies Al utilizar nuestro sitio web, consiente nuestra política de uso.

Aceptar y ocultar este mensaje