Inseguridad en Tecnologías Operacionales [Industria 4.0]

Publicado el 10/08/2023 12:08:00 en Hack Avanzado.
Author: [x][x] Zep7i | Total de votos: 7   Vote



Tecnologías operacionales


Se encarga de aplicar la ciberseguridad y estandares necesarios para las industrias, maneja también el mundo I.T (Tecnología de la información)

Contenido


1. Introducción a los ICS, su inseguridad y la industria 4.0
2. Diagnóstico básico de seguridad en un entorno O.T
3. Últimos ataques dirigidos a ICS y PLCs
4. Cómo mejorar la seguridad de nuestros ICS

Glosario de términos
ICS = Sistema de Control Industrial
O.T = Operational Technology (Tecnologías Operacionales)
I.T = Information Technology (Tecnologías de la Información)
PLC = Programmable Logic Controll (Control Lógico Programable)
T.I.C = Tecnologías de la información y las Comunicaciones
SCADA = Supervisory Control and Data Acquisition (Supervisión, Control y Adquisición de Datos)
SIEM = Security Information and Events Mannager (Administración de eventos e información de seguridad)

Introducción a los ICS, su inseguridad y la industria 4.0


Conjunto de dispositivos encargados de administrar, ordenar, dirigir o regular el comportamiento de otro sistema, con el fin de reducir las probabilidades de fallo y obtener los resultados deseados. Por lo general, se usan sistema de control industriales en procesos de producción para controlar equipos o máquinas.
o... Proceso de control automatizado (con un elemento siempre presente llamado PLC que actúa de cerebro) desde grandes empresas hasta las más pequeñas.
Algunas empresas que son de nivel importante tienen que tener mayores medidas de seguridad y se las denomina como
Infraestructuras Críticas:
Infraestructura que presta servicios esenciales para el funcionamiento de un país y que en el caso de España, haya sido identificada como crítica por parte del CNPIC (Ej.: Proveedores eléctricos)
Porque si estas tienen problemas podrían generar grandes complicaciones en un país entero inclusive, el resto de empresas NO tienen ningún tipo de regulación y pueden hacer lo que gusten.

Sectores Estratégicos de la misma:
- Administración
- Espacio
- Industria nuclear
- Industria química
- Instalaciones de investigación
- Agua
- Energía
- Salud
- Tecnologías de la información y las Comunicaciones (T.I.C)
- Transporte
- Alimentación
- Sistema financiero y tributario

Regulaciones de infraestructuras Críticas en España
Ley PIC
Ley 8/2011, de 28 de abril, por la que se establecen medidas para la protección de las infraestructuras críticas
Reglamento PIC
Real Decreto 704/2011, de 20 de mayo, por el que se aprueba el Reglamento de protección de las infraestructuras críticas.

Digitalización e Industria 4.0 (Evolución)
La transformación digital y la irrupción de la industria 4.0 está transformando la concepción de los Sistemas de Automatización y Control Industrial (IACS/ICS)
Modelo Aislado -> Modelo Interconectado

El modelo industrial siempre ha estado aislado del mundo exterior (Tenían x cantidad de maquinas que no tenian conexión con el exterior, NO habia conectividad) ha pasado a un Modelo Interconectado con modelos SCADA (Sistemas que nos permiten controlar un proceso para ver que está pasando, configurar detalles de procesamiento de una máquina)

Las empresas se fueron dando cuenta que con la evolución ahora las maquinas que estaban aisladas pasaron a estar en un modelo interconectado en el cuál se pude obtener información desde cualquier lugar. (Sacar valores para mejorar los procesos para mejorar la eficiencia e incluso brindar nuevas prestaciones a sus clientes) SIRVE PARA HACER MANTENIMIENTO REMOTO (Tele-Asistencia)

¿Qué nos encontramos en una planta industrial?
La unión de los mundos I.T/O.T
Pirámide basada en ISA95 (Estándar internacional de la Sociedad Internacional de Automatización para desarrollar una interfaz automatizada entre la empresa y los sistemas de control)

Planta Industrial
Nivel 0 (Red de campo (Instrumentación)): Sensores, Válvulas, Bombas, Todo tipo de instrumentación que nos permite interactuar con lo físico
DLCS (Sistema de control distribuido): Sistema de control aplicado a procesos industriales complejos en las grandes industrias
Diferencia entre PLC y DLC
La principal diferencia entre DCS y PLC es que el primero trabaja en procesos complejos y lo pueden utilizar diversos controladores. Mientras que el segundo es para automatizar procesos específicos de forma digital.
Nivel 1 (Red de control (PLC, DCS)): Son controladores físicos con un firmware que controlan sistemas físicos de la instalación (Ej.: Control de temperatura)
Nivel 2 (Red de supervisión (SCADA, HMI)): Pantallas informativas de supervisión que brindan información importante sobre el estado de los sistemas (Alarmas, avisos, pueden parar la producción o generar sus propias excepciones dependiendo de su configuración).
El hermano pequeño de los sistemas SCADA es el HMI que son los terminales de operador (No son tan inteligentes, suelen estar en instalaciones más pequeñas a diferencia de los sistemas SCADA que se encuentran en grandes instalaciones).
Nivel 3 (Red de operación (MES)): Mejorar la producción (Cómo mejorar el rendimiento de las máquinas, se une con el mundo I.T) (Estadística)

Problemas en el mundo industrial (Diversidad de protocolos inseguros)
Se podían interferir los datos enviados en los protocolos de transferencia local de la industria ya que viajan en texto plano (Por ejemplo con un Man-In-The-Middle)
Si tenemos acceso a la máquina ya sea de forma local o remota podemos hacer lo que queramos con ella.

Protocolos Inseguros SIN Cifrado
Categoria CIP (Common Industrial Protocol)
- DeviceNet
- ControlNet
- Componet
- Ethernet/IP
Categoria MODBUS
- Modbus Serie
- Modbus TCP

Protocolos Individuales
DNP3: Solo DNP Secure
Profibus
Profnet
Powerlink Ethernet
OPC: Sólo OPC UA
EtherCAT

Los protocolos que se utilizan en la industria 4.0 suelen ser OPC, MQTT, etc.
PERO los suelen instalar sin configurar su seguridad y sigue siendo un problema.

La falta de concientización es el mayor problema en las industrias del lado del área de seguridad.

Diferencias entre I.T/O.T
La prioridad de ambas es la misma (Triada C.I.D (Confidencialidad, Integridad, Disponibilidad)
En caso de I.T el orden es: C.I.D
En caso de O.T el orden es: D.I.C
Diponibilidad I.T: 99% (86,6 h/año)
Disponibilidad O.T: 99.99% (0,875 h/año)
Objetivo principal de I.T: Proteger la información
Objetivo principal de O.T: Proteger a las personas y el proceso
Riesgo principal de I.T: Revelación de información
Riesgo principal de O.T: Seguridad, medio ambiente, económico
Actualizaciones en I.T: Fácil
Actualizaciones en O.T: Difícil
Entorno en I.T: Oficina
Entorno en O.T: Industrial
Ciberseguridad en I.T: Adoptada
Ciberseguridad en O.T: Reciente

Aumento de la superficie de exposición
Puerto | Protocolo
TCP/20-21  FTP
TCP/22     SSH
TCP/23     Telnet
TCP/25     SMTP
TCP/53     DNS
TCP/80     HTTP
TCP/443    HTTPS

Utilizados en Industrias 4.0 + Los anteriores de I.T:
Puerto | Protocolo
TCP/102    ICCP
TCP/502    Modbus
TCP/4840   OPC
TCP/UDP/5094    HART-IP
TCP/20000  DNP3
TCP/UDP 34962-34964    Profinet
TCP/44818 UDP/2222    Ethernet/IP


Los problemas de la unión I.T/O.T
- Ciclos de vida de más de 20 o 30 años
- Concebidos sin seguridad
- Protocolos de comunicaciones inseguros
- Habitual encontrar equipos obsoletos y vulnerables
- Difíciles o imposibles de actualizar
- Coexistencia equipos antiguos con nuevos

Malas prácticas en O.T
Falta de una cultura de ciberseguridad entre el colectivo de integradores de sistemas, usuarios y propietarios.
- Routers inseguros (mal configurados)
- Passwords por defecto
- Firmwares vulnerables o desactualizados
- Configuraciones de fábrica/por defecto
Listado de usuarios y passwords por defecto de centenares de dispositivos O.T:
https://github.com/scadastrangelove/SCADAPASS/blob/master/scadapass.csv

Diagnóstico básico de seguridad en un entorno O.T


Tipos de evaluaciones de seguridad en el entorno O.T (Se suele aplicar mas a I.T que en O.T)
Gapo analysis (Análisis de las deficiencias): compara los controles de mitigación implementados con los controles de seguridad recomendados, conforme algún framework o norma de referencia como NIST.

NIST = Instituto Nacional de Estándares y Tecnología

Vulnerability assesment (Evaluación de vulnerabilidades): muestra vulnerabilidades o fallos de un componente ICS comparando el nivel de parcheado real con un listado de vulnerabilidades conocidas.

Tipos de evaluaciones de seguridad
Risk assessment (Evluación de riesgos): evaluación de la exposición a riesgos de un sistema. Incluye el gap análisis y el vulnerability assessment para generar escenarios de riesgo o mapas de riesgo.
Combinado con un penetration test puede dar una valoración muy exacta del riesgo real, y realizar planes de mitigación del riesgo.

Penetration test (Test de penetración): es un ciberataque simulado autorizado en un entorno de producción, para evaluar el nivel de seguridad de un sistema. (Se maneja de una forma distinta en el mundo de O.T debido a los altos riesgos que pueden generarse dentro de los componentes físicos)

Tipos de Pentesting
- Black box (Caja negra): No se conoce nada de la instalación (Hacer el pentesting sin conocimiento alguno sobre la organización ni haberla estudiado antes)
- White box (Caja blanca): Nos comunicamos con el equipo sobre la seguridad que manejan, nos brindan la información necesaria sobre lo que requerimos (Sabemos lo que tenemos que atacar y a que puntos podemos atacar en concreto con esa información)
- Gray box (Caja gris): Nos dan cierta información importante como equipos que debemos evitar/atacar pero no mucho más que ello (Combinación entre WhiteBox y BlackBox)

(Durante una prueba de penetración es posible cometer el riesgo de parar la producción y generar graves problemas dentro de la industria)

Diferencias entre un Pentesting en I.T/O.T
En un entorno ICS/OT
- Muchos equipos tienen poca capacidad de procesamiento y son facilmente
saturables, pudiente presentar un comportamiento anómalo: bloqueo, reinicio, fallo, pérdida de conectividad o de configuracién.
- Muchos equipos tienen problemas para manejar trafico de red que no esperan,
como paquetes grandes, malformados, un elevado trafico de red o protocolos no
esperados.
- Uso de sistemas antiguos (legacy systems), como Windows XP o incluso Windows NT o Windows 95. Cuidado con los pantallazos azules!
- Redes de baja velocidad, un trafico elevado podria introducir latencia que no es
admisible en sistemas industriales que requieren una alta disponibilidad.

El escaneo de un entorno ICS/OT se ha de realizar de manera diferente que el de un entorno IT
- En un entorno IT los equipos pueden ser reiniciados, recuperados de un backup o
sustituidos facilmente sin que se vean interrumpidos los sistemas.
- En un entorno ICS/OT los equipos pueden dejar de funcionar por un escaneo de puertos o vulnerabilidades, implicando consecuencias en el mundo real, daño material, daño fisico, daño medioambiental. Por lo que los análisis de vulnerabilidades deberian limitarse a escaneos pasivos de las redes ICS, minimizando la actividad de red.
Escaneo Pasivo: escanear / sondear la red directamente en busca de respuestas específicas.
- En un entorno ICS/OT los escaneos activos y las pruebas mas intrusivas de los test de penetracién, deberian realizarse en sistemas de prueba o de laboratorio, con equipos lo mas parecidos a los reales, con las mismas versiones de firmware y parches de seguridad.
Escaneo Activo: el cliente transmite primero una trama de gestión llamada «probe request» para buscar una red en especifico (red definida por el SSID) o para buscar todas las redes disponibles

Últimos ataques dirigidos a ICS y PLCs


Ciberataques relevantes a O.T
Antes se solia atacar a la sección de I.T y de esa forma por una mala segmentación se llegaba a vulnerar la parte de O.T.
Últimamente se ataca directamente al área O.T directamente.

- Irán - 2010
Stuxnet (Ataque dirigido de periodo prolongado a los PLCs de la planta)
- Alemania - 2014
Planta de fabricación de acero
- Ucrania - 2015
Ataques a la red eléctrica
- Todo el mundo - 2017
WannaCry
- Todo el mundo - 2018
Triton Malware (Anular la red de supervisión)

S T U X N E T
Ataque dirigido contra la capa fisica, aunque para conseguirlo utilizo 3 capas:
IT: con la intención de desplegar y expandir el malware
Capa de control: para manipular el sistema pero, no pararlo
Capa fisica: donde el daño real es producido

Dirigido contra las centrifugadoras de gas para enriquecimiento de uranio en la central nuclear de Natanz en Iran, en concreto contra los sistemas de control Siemens S7 de los rotores.

T R I T O N
Ataque a contra los Sistemas Instrumentados de Seguridad (SIS) de
Triconex (Schneider Electric).

Los sistemas objetivo del malware TRITON, proporcionan la capacidad de realizar una parada de emergencia totalmente incontrolada con los peligros reales que dicha parada implica, desarrollando una capacidad para causar daño físico en los sistemas y operaciones aleatorias de apagado o interrupción involuntaria de los dispositivos afectados.

EVIL PLC ATTACK
Ataque dirigido a los Ingenieros que realizan la programación o el mantenimiento de programas de los PLCs (cadena de suministro).
La investigación dio como resultado exploits de prueba de concepto contra siete empresas de automatización:
Rockwell Automation
Schneider Electric
GE
B&R
XINJE
OVARRO
Emerson


https://claroty.com/team82/research/white-papers/evil-plc-attack-weaponizing-plcs

Impacto de un ciberataque a ICS
- Pone en peligro la seguridad y la salud de los trabajadores
- Daño al medio ambiente
- Daño a maquinaria y equipos de producción
- Pérdida de integridad del producto
- Pérdida de la confianza y la reputación de la empresa
- Infringir requisitos legales o reglamentarios
- Pérdida de información confidencial
- Graves pérdidas económicas y sanciones
- Puede suponer el cierre de la empresa

Cómo mejorar la seguridad de nuestros ICS


¿Por dónde empezamos?
Saber dónde estamos
Diagnostico básico de seguridad en un entorno O.T
Análisis de vulnerabilidades y riesgos
Acciones de mejora

Es importante saber que nos podemos encontrar con un caos, mala mantención de equipos, conexiones que no son lógicas, empleados sin entendimiento de cómo funcionan las cosas realmente, etc.
Lo más peligroso es que estos sistemas estén EXPUESTOS A INTERNET.

Recomendaciones finales


- Realizar una auditoria ICS inicial
- Concienciación en Ciberseguridad de: usuarios, integradores y propiedad.
- Segmentación I.T/O.T (zonas y conductos)
- Adopción de técnicas de desarrollo seguro: SCADA, PLC, WEB, CLOUD, etc.
- Definición y aplicación de políticas de: gestión de usuarios, contraseñas, etc.
- Cuidado con los ataques a la cadena de suministro y a los insiders.
- Integrar la seguridad a lo largo de todo el ciclo de vida de un ICS.

Aclaraciones
Este contenido NO fué extraido de Chat-GPT !! (Para vos MuldeR) Es totalmente referente a la siguiente conferencia virtual:
HackemCON Cybersecurity Conference 2022 - Día 0x01

Comments:


[x]
[x][x] MuldeR (1 m) : 55974 Gracias por tomarte el trabajo de redactarlo! Está interesante el tema :)


[x]
[x][x] diegobardalez (1 m) : 55975 Gracias


[x]
[x][x] MuldeR (1 m) : 55981 >>55975
test


[x]
[x][x] MuldeR (1 m) : 55982 >>55974

lol




[x]
[x][x] Zep7i (1 m) : 55983 >>55982



[x]
[x][x] Zep7i (27 d) : 56005 <h1>LOL</h1>


[x]
[x][x] Zep7i (27 d) : 56006 >>55974
<h1>LOL


[x]
[x][x] Zep7i (27 d) : 56007 >><h1>LOL



[x]
[x][x] Zep7i (27 d) : 56008 >>56007>>56007>>56007>>56007>>56007>>56007>>56007



[x]
[x][x] Zep7i (27 d) : 56009 >>56008
>>56008
>>56008



[x]
[x][x] Zep7i (27 d) : 56010 >>55997
pete


[x]
[x][x] Zep7i (27 d) : 56011 >>55970
hola


[x]
[x][x] Zep7i (27 d) : 56012 >>55974
<h1>LOL</h1>