12 mayo, 2015 Alberto

Los riesgos de los sistemas SCADA expuestos a Internet

Sistema SCADA desconocido

La pasada semana, con motivo del combate de boxeo del siglo que terminó siendo un fraude más, hice una breve introducción sobre el buscador Shodan para encontrar sistemas de televisión por satélite de pago.  En este caso el sistema expuesto se trataba únicamente de un decodificador de televisión, pero como bien dijimos en Shodan se puede encontrar cualquier aparato con salida a Internet.  Dentro de este ecosistema de dispositivos con conexión a Internet está el grupo de los SCADA.  Estos dispositivos corren software para controlar sistemas industriales.  Desde una inofensiva estación meteorológica como la de la Universidad de Vigo del laboratorio de energía solar, abierta al público, hasta cosas más peligrosas (que no deberían de estar abiertas) como el acelerador de partículas de la Lawrence Berkely National Laboratories, dependiente del departamento de Energía de los EEUU, y descubierto por Rubén Santamarta hace ya 5 años.

Acelerador de partículas

Fig. 2 Imagen del Acelerador de partículas expuesto en EEUU

Estos sistemas se pueden encontrar sin credenciales de acceso o con las credenciales por defecto, pero en muchos casos incluso apuntadas en su propio manual.  Hasta hace pocos años no había una conciencia de seguridad dentro de este tipo de instalaciones, quizás con el pensamiento de que nadie podría encontrarlos.  En otros casos el software presenta graves vulnerabilidades que permiten acceder a él.

En Rooted Con de 2014 Juán Vazquez y Joan Villas hicieron una excelente presentación sobre la investigación que realizaron buscando vulnerabilidades en un SCADA.

Una búsqueda en Shodan como http://www.shodanhq.com/?q=Ubicom+plant muestra depuradoras de agua como la de la imagen.

Depuradora de agua

Fig. 2 Depuradora de agua expuesta a Internet

En esta entrada de Chema Alonso hay otros muchos ejemplos de sistemas SCADA expuestos a Internet.

Como los servidores web LabView:

http://www.shodanhq.com/?q=LV_HTTP
http://www.shodanhq.com/?q=LabView

Aparte de Shodan, también se puede recurrir a la búsqueda desde Google.  Por ejemplo en este caso a través de la extensión VI de Virtual Instruments:

http://www.google.com/search?q=inurl:cgi-bin+ext:vi

Los resultados son miles de dispositivos que se pueden tocar sin saber realmente lo que hacen con el peligro resultante.

Sistema SCADA desconocido

Fig 3. Sistema SCADA desconocido

Rubén Santamarta explicó en esta entrada de hace 5 años  que pasaría si alguien accediera a un sistema HVAC (Calefacción, Ventilación y Aire acondicionado) de un hospital y provocara un brote de Legionella como los que nos asaltan en las noticias muchos veranos dejando algún fallecido.

Aquí hay otros sistemas SCADA accesibles desde Shodan recopilados por la gente de 48bits.

Fuji Electric Embedded Web Server:
http://shodan.surtri.com/?q=fuji+electric

Ouman embedded Web Server for SCADA. Basado en una versión vulnerable de Boa Server.
http://shodan.surtri.com/?q=webscada

eWon
http://shodan.surtri.com/?q=ewon

Boa Web Server
Cosas chulas como cámaras de vigilancia.
http://shodan.surtri.com/?q=boa

EIG Embedded Web Server
http://shodan.surtri.com/?q=EIG

EnergyICT
http://shodan.surtri.com/?q=energyICT

Llevando el problema a nivel internacional, Stuxnet fue el primer gusano diseñado para atacar estos sistemas SCADA,  se descubrió que reprogramaba las centrales nucleares Iraníes para conseguir acabar con el plan de enrequecimiento de uranio, y años más tarde se destapó que EEUU e Israel estaban detrás del primer arma de ciberguerra más sofisticada descubierta hasta ese momento.

 
, ,

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

*

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies