Manuel Moreno.

¿Se preocupa la industria de la ciberseguridad de sus plataformas de control industrial?
En general, “estamos en pañales” en comparación a otros países, y el Ethical Hacking que se hace a las redes industriales es más bien “light”. Por ejemplo, nos piden un “pentesting” (auditoría) de la red industrial, pero el objetivo no es “hackear” la red de control, sino llegar a la red industrial por medio de la red TI corporativa, y una vez que se logra, nos dicen: “Ok, paren. ¿Cómo lo hicieron?”. En ese instante, empiezan a implementar algunas medidas de seguridad.

¿Qué medidas de seguridad se implementan en esos casos?
En general, la seguridad de las redes industriales pasa por colocar firewalls y segmentar las redes de control de las redes corporativas. Sin embargo, no estoy muy de acuerdo con este tipo de soluciones, porque solo aisla el problema, sin eliminarlo. Hay que entender que es una problemática más de fondo: ¿cómo he implementado mi red industrial y cómo puedo asegurarla?

Por ejemplo, existen muchas plataformas de control industrial aún en funcionamiento con PC industriales con sistemas operativos muy antiguos (como Windows 98, NT, 2000, mientras que los más “modernos” funcionan con Windows XP). De hecho, empresas que están haciendo upgrade de sus plataformas de control están migrando recién ahora a Windows 7.

Por qué no actualizan los sistemas operativos de estos PC?
Básicamente, porque los fabricantes de un sistema de control industrial (ICS) homologan los sistemas operativos que funcionan correctamente con determinadas generaciones de sus dispositivos. Lo mismo pasa con los parches de seguridad de un sistema operativo: el vendor tiene que primero probar y liberar el parche, certificando que este no afecta a la plataforma industrial y de ahí entonces, el usuario industrial lo puede instalar. Otra arista de este comportamiento, es que no se puede instalar ningún otro software que no haya sido aprobado por la fábrica, como un antivirus.

Entonces, ¿qué se puede hacer?
En estos días, existen soluciones no-invasivas para asegurar las redes ICS, que son esencialmente de monitoreo para detectar la presencia de intrusos en estas. Para ello, se debe “sniffear” (registrar) el tráfico en la red y capturar los datos, método que ni siquiera requiere instalar un software en los sistemas de control industrial. En el caso que estos detecten un tráfico anormal (por ejemplo, una comunicación entre dos equipos que no deberían comunicarse entre sí), se podría enviar una alerta a los responsables de que algo que está pasando, o simplemente bloquear esa comunicación.

¿Existen en Chile consultores preparados para ofrecer este tipo de asesorías?
En Chile, no hay muchas compañías que estén preparadas para dar esta clase de servicios. Varias afirman que lo pueden hacer, pero no tienen la experiencia o las herramientas para llevarlos a cabo,con resultados catastróficos. Por ejemplo, un simple escaneo de puertos TCP/IP dentro de la red ICS puede resetear un PLC a su configuración de fábrica, borrando todos los datos en su memoria.

¿Cómo?
Hay que entender que algunos equipos de control industrial usan versiones antiguas del stack TCP/IP, que no tienen todas las funciones de las pilas actuales, y si no sé lo que estoy haciendo, un escaneo de puertos (que es una operación bastante agresiva) puede provocar un “buffer overflow” (desbordamiento de búfer) en el PLC, el que ante esta situación, activa su comportamiento default: volver a la configuración original de fábrica. Tan solo con 25 paquetes TCP/IP. Por esa razón, recomiendo que el “pentesting” sea de “caja blanca”, es decir, con la información de las marcas, modelos, protocolos habilitados, etc., que están implementados en la red ICS, de modo de realizar esta actividad con mucha información y con menos riesgos para el proceso.

En nuestro país, ¿hay cursos para especializarse en ciberseguridad industrial?
Sí. Nos dimos cuenta hace un par de años que había temáticas y técnicas nuevas que no estaban siendo reflejadas en otros programas. Entonces comenzamos a preparar nuevos cursos, como G consiste en un entrenamiento intensivo de hacking de sistemas SCADA, y cuyo foco es que el alumno conozca el diseño, funcionamiento y vulnerabilidades de los sistemas industriales, para adelantarse a los futuros atacantes de los sistemas SCADA.

Contamos con un laboratorio cerrado, donde los estudiantes aprenden sobre los fundamentos de la seguridad de dispositivos embebidos, análisis de protocolos industriales y SCADA, Smart meters, Ethernet/IP, comunicación RF, y pantallas HMI; en ese sentido, es bastante intensivo.

¿Qué tema destacaría dentro de este curso?
Uno de los temas que abordamos es la ingeniería reversa en hardware (placas, PCB, Chips I2C y SPI, entre otros), y cómo obtener acceso a la memoria de los equipos de control (inclusive si está encendido), permitiendo, por ejemplo, a los estudiantes ver lo que está leyendo y transmitiendo el hardware industrial e incluso modificando el mensaje durante su ejecución.

También podemos extraer el firmware; en muchos equipos de seguridad que me ha tocado ver, las medidas de seguridad son inexistentes, y si me conecto a un PLC, por ejemplo, y le hago un dumping del firmware, es muy probable que encuentre la clave “en duro” (hardcoded, en inglés) que permite acceso a ese sistema de control.