Está claro que Stuxnet no fue el primero pero marcó un antes y un después. Su objetivo, reprogramar las centrales nucleares Iraníes para conseguir acabar con el plan de enriquecimiento de uranio. Años más tarde se descubrió que EEUU e Israel estaban detrás del arma de ciberguerra más sofisticada descubierta hasta ese momento. Este fue el punto de inflexión que puso el foco en los sistemas de control industrial (SCI) y abrió nuevas vías de investigación en este tipo de entornos que hasta entonces no habían sido atacados de forma tan arrolladora. A partir de entonces se han desarrollado numerosas herramientas para facilitar la búsqueda de vulnerabilidades y a su vez exploits que aprovechan esas vulnerabilidades encontradas en los dispositivos. A día de hoy una de las herramientas más conocidas y que tiene su aplicación en temas de auditoría y pentesting en los sistemas de control industrial es Shodan.
Shodan es, en pocas palabras, un buscador de direcciones HTTP, algunas de las cuales pertenecen a la llamada deep web y no las encontrareis en las búsquedas “normales” de Google o Bing. Su propio creador John Matherly lo ha definido como “el buscador mas aterrador del mundo”. Por algo le puso el nombre de la inteligencia artificial malvada del mítico videojuego System Shock. La verdad es que es sorprendente la cantidad de dispositivos visibles que podemos encontrar en la red a través de este buscador del “Internet de las cosas”. Podemos encontrar desde alarmas, cámaras de seguridad, webcams, wearables, y cualquier otro dispositivo conectado que se nos ocurra. Lo llamativo del asunto es que también podemos localizar sistemas Scada o PLCs de infraestructuras críticas como sistemas de refrigeración, centrales nucleares y hardware que controla todo tipo de redes eléctricas, semáforos, etc.
En realidad Shodan no hace nada ilegal por sí solo, porque lo único que hace es recopilar enlaces a dispositivos conectados a Internet y una serie de datos relativos al sistema. Se calcula que a día de hoy, añade más de 600 millones de registros al mes, casi nada ehhh!!. Su creador dice que da miedo, pues sí, la verdad es que a mi si me da un poco al pensar en lo que se puede hacer con toda esa información. No hace falta ser un genio para deducir lo que alguien malintencionado podría hacer con la dirección IP de aplicaciones servidoras que controlan desde una central hidroeléctrica, cámaras de circuito cerrado de infraestructuras críticas o hasta el ordenador de una planta de tratamiento de aguas. Especialmente teniendo en cuenta que algunos de estos dispositivos podrían estar funcionando aun con contraseñas por defecto, o de un bajo nivel de seguridad como se ha demostrado en algunas auditorías de seguridad.
Vamos a ver qué podemos hacer con esta potente herramienta. Para manejar Shodan no es necesario tener grandes conocimientos ni habilidades en materia de ciberseguridad a nivel industrial porque su uso es muy intuitivo. Yo ya lo había utilizado antes para realizar otro tipo de búsquedas y os voy a mostrar una pequeña prueba de su potencial para que os hagáis una idea de los sistemas que tenemos accesibles a un solo click de ratón. Solo tenemos que teclear en el buscador la clase de dispositivo que queremos encontrar (scada, hmi, plc, boa, eig, energyICT, etc..) y jugar con alguno de los filtros que tenéis a continuación:
- country: Filtra resultados por país
- city: Filtra resultados por ciudad
- port: Filtra por puerto
- hostname: filtra los resultados por dominio
- org: Filtra por el ISP
- hostname: Filtra los resultados por dominio
- net: Filtra una ip específica o rango de ips
- os: Filtra por un OS en específico
Como podréis comprobar si hacéis la prueba, la cantidad de resultados (si aplicamos los filtros correctamente) es bestial. En el siguiente ejemplo, es de aquí cerquita, podemos ver un panel scada que controla una serie de depósitos para tratamiento de aguas en diferentes zonas de la localidad de Lleida. Y también tenemos acceso a una serie de datos relativos al servicio como: ISP, ubicación, sistema operativo, puertos, nodo de acceso, etc..
http://88.12.13.75:8080/Scada/Scada/SynopticForm.aspx
Este es solo un ejemplo, pero podéis encontrar más repartidos por todo el mundo. En estas otras capturas de pantalla sacadas ayer mismo, se muestran algunos de los muchos portales de login que dan acceso a controlar sistemas industriales de tipo Scada o PLCs.
No podemos subestimar la cantidad de conocimientos técnicos que realmente se necesitan para pasar del descubrimiento del sistema a la explotación de una vulnerabilidad en el mismo. Todo aquel al que le gusten los temas de seguridad informática como a mi, sabe de lo que hablo. No es tan fácil como en las películas, en las que un adolescente se apodera de una base militar y la maneja a su antojo. Aun así, me sorprende que algunos de estos sistemas ni siquiera implementen algunas medidas “básicas” de seguridad como: filtrado de IPs (whitelist), acceso VPN o conexiones cifradas. Que algunos hasta tienen telnet habilitado!!!. ¿Me pregunto si no saben que existen multitud de herramientas como Hydra o Medusa?. Que si, seguramente estarán cubiertos, y puede que sus contraseñas sean lo suficientemente robustas como para soportar un ataque de diccionario, pero, ¿y si no lo son?. Puede que necesiten tener acceso a su administración de forma remota por una causa justificada, pero no creo que tener estos servicios tan “visibles” sea lo más inteligente, la verdad.
Con este post solo he querido indagar un poco más sobre las amenazas que se ciernen sobre los Sistemas de Control Industrial. Pero ahora me gustaría dar un giro y recordar que casi todos los dispositivos que tenemos a nuestro alcance ya vienen con conexión a Internet y que ello tiene implicaciones de seguridad. Recordemos que aunque no aparezcan en una búsqueda de Google, no significa que no sean “accesibles”…
Luis Carlos Fernández San Martín
Latest posts by Luis Carlos Fernández San Martín (see all)
- Business Intelligence, ¿hacia donde crecerá? - 2 enero, 2016
- Incidentes en los Sistemas de Control Industrial - 17 noviembre, 2015
- El buscador mas terrorífico del mundo - 5 noviembre, 2015
Excelente post y excelente reflexión; estas preguntas hay que planteárselas a nuestros invitados que vendrán a clase!!