martes, 22 de noviembre de 2011

QuickPost: Penetración a un Sistema de Agua


Las plantas de agua son un ejemplo más de infraestructuras que son administradas con ayuda de sistemas de cómputo SCADA (Supervisory Control And Data Acquisition); así se le llama comúnmente al conjunto de software encargado de manejar plantas de agua, electricidad, etc.
Hace poco, un atacante cuyo nickname es pr0f, logró penetrar al sistema de aguas de Illinois. Al parecer usó una serie de posibles métodos para su ataque: robo de contraseñas de un tercero que da servicios de algún tipo a la planta de agua y acceso a un portal web accesible desde Internet.
¿El daño? Una bomba de agua dejó de funcionar porque se prendió y apagó repetidamente.
Por un lado, no hay que ser alarmistas y pensar que mañana mismo habrá un ataque masivo a infraestructuras SCADA de EUA y de aquellos países que usen sistemas similares. Esta vez fue una bomba de agua; no se envenenó a nadie ni se inundó un pueblo a causa del hackeo. Como siempre, no se puede hacer nada que el propio software no pueda controlar.
Ahora bien, por otro lado, es un hecho que estos sistemas SCADA estimo se pensaron alguna vez inmunes a ataques informáticos y de ahí que desde fábrica (y posteriormente ya implementados), estos sistemas presenten serios huecos de seguridad.
No me explico por qué estos sistemas tendrían que estar conectados a Internet permanentemente y por qué están desprotegidos. Y yo mismo me doy la respuesta: seguramente la gente que administra estos sistemas son expertos en plantas de agua o plantas nucleares, pero NO tienen una noción de los ataques que se pueden llevar a cabo vía Internet y tampoco entienden bien cómo proteger sus sistemas. Tal vez les falta un poco de paranoia.
Lo primero que yo haría es ver la justificación de que estos sistemas sean “vistos” desde Internet. Posteriormente ver la posibilidad de que sólo estén disponibles el tiempo que así se requiere. Y por último y de ser el caso, proteger los diversos accesos a Internet con cifrado y autenticación robusta.
Es sólo el inicio, me parece que la seguridad y protección de este tipo de infraestructuras es un trabajo permanente.