La pasada semana, con motivo del combate de boxeo del siglo que terminó siendo un fraude más, hice una breve introducción sobre el buscador Shodan para encontrar sistemas de televisión por satélite de pago. En este caso el sistema expuesto se trataba únicamente de un decodificador de televisión, pero como bien dijimos en Shodan se puede encontrar cualquier aparato con salida a Internet. Dentro de este ecosistema de dispositivos con conexión a Internet está el grupo de los SCADA. Estos dispositivos corren software para controlar sistemas industriales. Desde una inofensiva estación meteorológica como la de la Universidad de Vigo del laboratorio de energía solar, abierta al público, hasta cosas más peligrosas (que no deberían de estar abiertas) como el acelerador de partículas de la Lawrence Berkely National Laboratories, dependiente del departamento de Energía de los EEUU, y descubierto por Rubén Santamarta hace ya 5 años.
Fig. 2 Imagen del Acelerador de partículas expuesto en EEUU
Estos sistemas se pueden encontrar sin credenciales de acceso o con las credenciales por defecto, pero en muchos casos incluso apuntadas en su propio manual. Hasta hace pocos años no había una conciencia de seguridad dentro de este tipo de instalaciones, quizás con el pensamiento de que nadie podría encontrarlos. En otros casos el software presenta graves vulnerabilidades que permiten acceder a él.
En Rooted Con de 2014 Juán Vazquez y Joan Villas hicieron una excelente presentación sobre la investigación que realizaron buscando vulnerabilidades en un SCADA.
Una búsqueda en Shodan como http://www.shodanhq.com/?q=Ubicom+plant muestra depuradoras de agua como la de la imagen.
Fig. 2 Depuradora de agua expuesta a Internet
En esta entrada de Chema Alonso hay otros muchos ejemplos de sistemas SCADA expuestos a Internet.
Como los servidores web LabView:
– http://www.shodanhq.com/?q=LV_HTTP
– http://www.shodanhq.com/?q=LabView
Aparte de Shodan, también se puede recurrir a la búsqueda desde Google. Por ejemplo en este caso a través de la extensión VI de Virtual Instruments:
http://www.google.com/search?q=inurl:cgi-bin+ext:vi
Los resultados son miles de dispositivos que se pueden tocar sin saber realmente lo que hacen con el peligro resultante.
Fig 3. Sistema SCADA desconocido
Rubén Santamarta explicó en esta entrada de hace 5 años que pasaría si alguien accediera a un sistema HVAC (Calefacción, Ventilación y Aire acondicionado) de un hospital y provocara un brote de Legionella como los que nos asaltan en las noticias muchos veranos dejando algún fallecido.
Aquí hay otros sistemas SCADA accesibles desde Shodan recopilados por la gente de 48bits.
Fuji Electric Embedded Web Server:
http://shodan.surtri.com/?q=fuji+electric
Ouman embedded Web Server for SCADA. Basado en una versión vulnerable de Boa Server.
http://shodan.surtri.com/?q=webscada
eWon
http://shodan.surtri.com/?q=ewon
Boa Web Server
Cosas chulas como cámaras de vigilancia.
http://shodan.surtri.com/?q=boa
EIG Embedded Web Server
http://shodan.surtri.com/?q=EIG
EnergyICT
http://shodan.surtri.com/?q=energyICT
Llevando el problema a nivel internacional, Stuxnet fue el primer gusano diseñado para atacar estos sistemas SCADA, se descubrió que reprogramaba las centrales nucleares Iraníes para conseguir acabar con el plan de enrequecimiento de uranio, y años más tarde se destapó que EEUU e Israel estaban detrás del primer arma de ciberguerra más sofisticada descubierta hasta ese momento.