Ataques A Infraestructuras Críticas A Través De Servicios Shodan Y Scada

Uploaded by: Alvaro
0
0

March 2021
PDF

This document was uploaded by user and they confirmed that they have the permission to share it. If you are author or own the copyright of this book, please report to us by using this DMCA report form. Report DMCA

Overview

Download & View Ataques A Infraestructuras Críticas A Través De Servicios Shodan Y Scada as PDF for free.

More details

Words: 14,215
Pages: 73

Preview
Full text

Loading documents preview...

Universidad Internacional de La Rioja Máster universitario en Seguridad Informática

Ataques a infraestructuras críticas a través de servicios SHODAN y SCADA Trabajo Fin de Máster Presentado por: Martín Quílez, Alvaro Director/a: Sánchez Rubio, Manuel

Ciudad: Madrid Fecha: Julio 2017

Máster Universitario en Seguridad Informática

Alvaro Martín Quílez

Resumen Estudio sobre el estado actual de la seguridad en infraestructuras críticas, analizando los protocolos de comunicación de los elementos que las componen. Se define el concepto de infraestructura crítica según la ley y se realiza una investigación sobre los elementos utilizados en entornos industriales y sus protocolos de comunicación. Se analiza cómo a través de buscadores especializados se puede realizar el proceso de recolección de información para la realización de ataques sobre los dispositivos. En la presente investigación se pretende demostrar la viabilidad de la utilización de motores de búsqueda para recabar información a través de Internet, pudiendo ser utilizada para la realización de ataques sobre infraestructuras vitales de un país, con consecuencias desastrosas. Palabras Clave: Seguridad, Infraestructuras críticas, SHODAN, SCADA

Abstract A study on the current state of security in critical infrastructures, analyzing the communication protocols of the elements that compose them. The concept of critical infrastructure is defined according to the law and an investigation is made on the elements used in industrial environments and their communication protocols. It is analyzed how through specialized search engines can be carried out the process of collecting information to perform attacks on the devices. The present research aims to demonstrate the viability of using search engines to collect information through the Internet that could be used to carry out attacks on vital infrastructures of a country, with disastrous consequences. Keywords: Security, Critical infrastructures, SHODAN, SCADA

Ataques a infraestructuras críticas a través de servicios SHODAN y SCADA

2

Máster Universitario en Seguridad Informática

Alvaro Martín Quílez

RESUMEN .................................................................................................................. 2 ABSTRACT ................................................................................................................ 2 ÍNDICE DE IMÁGENES .............................................................................................. 5 1.

INTRODUCCIÓN .............................................................................................. 7

1.1.

Antecedentes ...................................................................................................................7

1.2.

Motivación ....................................................................................................................12

1.3.

Planteamiento del trabajo ...........................................................................................12

1.4.

Estructura del trabajo .................................................................................................13

2.

CONTEXTO Y ESTADO DEL ARTE .............................................................. 15

2.1.

Marco legal ...................................................................................................................16

2.2.

Evolución de la tecnología ...........................................................................................16

2.3.

Resumen del contexto ..................................................................................................19

3.

OBJETIVOS Y METODOLOGÍA DE TRABAJO ............................................ 20

3.1.

Objetivos .......................................................................................................................20

3.2.

Metodología ..................................................................................................................20

3.3. Protocolos de comunicaciones.....................................................................................21 Modbus .................................................................................................................................21 Profibus .................................................................................................................................23 Profinet..................................................................................................................................25 DNP3 ....................................................................................................................................26 Common Industrial Protocol .................................................................................................27 Inter-Control Center Communications Protocol ...................................................................29 EtherCAT ..............................................................................................................................29 OPC .......................................................................................................................................30 Protocolos propietarios de fabricantes ..................................................................................30 3.4. Dispositivos de las Infraestructuras Críticas .............................................................30 Nivel 0...................................................................................................................................31 Nivel 1...................................................................................................................................31 Nivel 2...................................................................................................................................34 Nivel 3...................................................................................................................................35 Nivel 4...................................................................................................................................35 4.

SHODAN ......................................................................................................... 36

Ataques a infraestructuras críticas a través de servicios SHODAN y SCADA

3

Máster Universitario en Seguridad Informática

Alvaro Martín Quílez

4.1.

Introducción .................................................................................................................36

4.2.

Características ..............................................................................................................37

PoC: PLC’s de OMRON ........................................................................................................42 PoC: Contador de energía PowerLogic EM4800 .................................................................42 PoC: Dispositivos Modbus con página de autenticación sin cifrado ..................................44 PoC: Dispositivos SCADA con servidor web .......................................................................46 PoC: Dispositivos Modbus y router con contraseña por defecto........................................50 PoC: Anybus X-gateway de HMS Industrial Networks AB ...............................................53 PoC: Pass-the-Hass con dispositivos Scada de Honeywell ..................................................56 PoC: Exploits de Shodan sobre servicio FTP en DNP3 .......................................................57 PoC: Múltiples vulnerabilidades en dispositivos Solar-Log ...............................................59 PoC: Utilización de productos discontinuados .....................................................................62 5.

CONCLUSIONES ........................................................................................... 67

5.1.

Resultados .....................................................................................................................67

5.2.

Trabajos futuros ..........................................................................................................67

6.

REFERENCIAS............................................................................................... 69

Ataques a infraestructuras críticas a través de servicios SHODAN y SCADA

4

Máster Universitario en Seguridad Informática

Alvaro Martín Quílez

Índice de imágenes Ilustración 1: Porcentaje descubrimiento vulnerabilidades....................................................17 Ilustración 2: Tipos de vulnerabilidades ................................................................................18 Ilustración 3: Pila de Comunicaciones Modbus ....................................................................22 Ilustración 4: Pila de Comunicaciones Profibus ....................................................................24 Ilustración 5: Arquitectura Profinet ........................................................................................25 Ilustración 6: Arquitectura Ethernet/IP ..................................................................................28 Ilustración 7: Niveles ISA-95 ................................................................................................31 Ilustración 8: Arquitectura PLC .............................................................................................32 Ilustración 9: Arquitectura DCS ............................................................................................34 Ilustración 10: Interfaz de SHODAN .....................................................................................36 Ilustración 11: Cabecera HTTP ............................................................................................37 Ilustración 12: Cabecera dispositivo PLC .............................................................................37 Ilustración 13: Información sobre dispositivo ........................................................................38 Ilustración 14: Protocolos ICS en Shodan ............................................................................39 Ilustración 15: Dispositivos ICS en España ..........................................................................41 Ilustración 16: Dispositivos ICS en España ..........................................................................41 Ilustración 17: PLC's de OMRON .........................................................................................42 Ilustración 18: Detalles dispositivo ........................................................................................42 Ilustración 19: Resultados PowerLogic .................................................................................43 Ilustración 20: Características PowerLogic ...........................................................................44 Ilustración 21: Servidor Web PowerLogic .............................................................................44 Ilustración 22: Dispositivos Modbus con puerto 80 ...............................................................45 Ilustración 23: Dispositivo Schneider Electric BMX P34 2020 ...............................................45 Ilustración 24: Página de autenticación sin cifrado ...............................................................46 Ilustración 25: Dispositivos SCADA con puerto 8080 ...........................................................47 Ilustración 26: Escritorio remoto XP .....................................................................................48 Ilustración 27: Servidor web .................................................................................................49 Ilustración 28: Panel de información SCADA........................................................................50 Ilustración 29: Dispositivos con puerto 502 ..........................................................................50 Ilustración 30: Dispositivos filtrados ......................................................................................51 Ilustración 31: Servidor HTTPS embebido ............................................................................51 Ilustración 32: Pantalla acceso DSR-500N ...........................................................................52 Ilustración 33: Usuario y contraseña DSR-500N ..................................................................52 Ilustración 34: Pantalla control DSR-500N ...........................................................................53 Ilustración 35: Dispositivos de HMS .....................................................................................53

Ataques a infraestructuras críticas a través de servicios SHODAN y SCADA

5

Máster Universitario en Seguridad Informática

Alvaro Martín Quílez

Ilustración 36: Dispositivos filtrados ......................................................................................54 Ilustración 37: Servicios dispositivo ......................................................................................54 Ilustración 38: Servidor HTTP embebido ..............................................................................55 Ilustración 39: HMS AnyBus-S WebServer ...........................................................................55 Ilustración 40: Configuración de red .....................................................................................56 Ilustración 41: Dispositivos Honeywell vulnerables ...............................................................57 Ilustración 42: Dispositivo vulnerable....................................................................................57 Ilustración 43: Dispositivos DNP3.........................................................................................58 Ilustración 44: Exploits ProFTPD ..........................................................................................59 Ilustración 45: Dispositivo vulnerable....................................................................................59 Ilustración 46: Dispositivos Solar-Log ...................................................................................60 Ilustración 47: Características dispositivo .............................................................................61 Ilustración 48: Servicios dispositivo ......................................................................................61 Ilustración 49: Página de configuración ................................................................................62 Ilustración 50: Información del sistema.................................................................................62 Ilustración 51: Dispositivos G3110-HSDPA ..........................................................................63 Ilustración 52: Características dispositivo .............................................................................64 Ilustración 53: Servicios dispositivo ......................................................................................64 Ilustración 54: Servicios dispositivo ......................................................................................65 Ilustración 55: Servidor de autenticación en puerto 80 .........................................................65 Ilustración 56: Servidor en puerto 8080 ................................................................................66

Ataques a infraestructuras críticas a través de servicios SHODAN y SCADA

6

Máster Universitario en Seguridad Informática

Alvaro Martín Quílez

1. Introducción En el presente capítulo se realiza una introducción sobre el trabajo presentado, describiendo la idea acerca del mismo y la propuesta concreta que desarrolla. Se analizan los antecedentes y el contexto en el que se desarrolla el trabajo presentado y se explican las motivaciones por las que se ha llevado a cabo. Se indica el planteamiento detallado del trabajo exponiendo los objetivos que se pretenden alcanzar con el mismo. Asimismo se detalla la estructura del trabajo con detalle para facilitar el seguimiento del mismo.

1.1. Antecedentes El rápido desarrollo de las Tecnologías de la Información en los últimos tiempos y la expansión de las telecomunicaciones han hecho que aumente exponencialmente el número de dispositivos conectados a Internet, con los riesgos de seguridad que conlleva. A este cambio no han sido ajenos los Sistemas de Control Industrial, entre los que se incluyen las Infraestructuras Críticas. Aquellas organizaciones que disponen de sistemas de este tipo han logrado numerosas ventajas al conectar dichos sistemas con la posibilidad de poder gestionarlos remotamente, pero también encuentran desventajas relacionadas con la seguridad al tener los dispositivos permanentemente conectados por lo que la exposición frente a las amenazas es mayor, con el agravante de que los ataques sobre este tipo de infraestructuras tienen implicaciones graves en el mundo real. Por la propia naturaleza de los sistemas y los entornos productivos que controlan ha sido un campo en el que ha primado la seguridad entendida sobre el término Safety, frente a la seguridad entendida como Security, se ha buscado el buen funcionamiento de los sistemas sin interferencias y su disponibilidad en el momento adecuado, frente al acceso a los mismos, exceptuando el acceso físico en condiciones de seguridad de los operarios para evitar accidentes. Esto es, ha primado el interés por mantener la integridad y disponibilidad de los sistemas frente a la confidencialidad de los mismos. Esta política ha resultado en sistemas con protocolos de comunicación diseñados sin tener en cuenta la seguridad, gestión de dispositivos sin control de acceso o mecanismos de autenticación débiles, sistemas operativos antiguos y sin actualizar, aplicaciones de operación, control y gestión con fallos de seguridad, etc. En los últimos años ha tomado interés creciente la seguridad en este campo, a raíz de la realización de varios ataques a este tipo de infraestructuras con graves consecuencias.

Ataques a infraestructuras críticas a través de servicios SHODAN y SCADA

7

Máster Universitario en Seguridad Informática

Alvaro Martín Quílez

1. Gasoducto siberiano 1982 A raíz del Dosier Farewell, un conjunto de documentos entregados por el coronel de la KGB Vladimir Petrov a la inteligencia francesa en 1981 y 1982, se descubrió que la Unión Soviética realizaba considerables esfuerzos para obtener conocimientos científicos y técnicos de los países de Occidente. Este hecho fue empleado por la CIA para realizar una operación con la que provocar un accidente en el sistema de transporte de gas en Siberia. Cuando la Unión Soviética intentó comprar sistemas para el transporte de gas en los Estados Unidos, los norteamericanos se negaron, por lo que los soviéticos tuvieron que robar el sistema de control por computadora para la automatización del funcionamiento del nuevo gasoducto a una firma canadiense. El software de control que funcionaba con las bombas, turbinas y válvulas estaba infectado por un Caballo de Troya, que hacía que sufrieran velocidades y presiones a las que no estaban preparadas sometiendo a las juntas y soldaduras de las tuberías a un estrés intolerable. Esto derivó en la explosión no nuclear más grande vista desde el espacio, estando localizada en Siberia. 2. Gazprom 1999 De acuerdo a un comunicado de prensa de Associated Press de 1999 un pirata informático tomó el control de un sistema de gas ruso penetrando en los sistemas SCADA de la compañía Gazprom. Es la mayor compañía de Rusia, fundada en 1999 en el periodo soviético, de carácter privado. Según un informe del coronel del Ministerio del Interior, Kostantin Machaveli, los hackers pudieron superar la seguridad de la compañía y penetrar en el sistema de control del flujo de gas en los oleoductos, actuando como informadores de la empresa. Se utilizó un Caballo de Troya para obtener el control durante algún tiempo de la central de distribución de los flujos de gas. Sin embargo, el Ministerio del Interior ruso negó una semana después el informe, en una rueda de prensa, Machaveli informó que los informes presentados por algunos medios de comunicación fueron exagerados, admitiendo que se habían detectado intentos de comprometer el sistema de gestión del flujo del gas pero que el servicio de seguridad de la compañía, utilizando un honeypot imitando la red de computadoras de la compañía, localizó a los atacantes cuando penetraron en la computadora cebo y se les detuvo. 3. Maroochy 2000 En los meses de febrero y abril del año 2000 Vitek Boden, un ingeniero que había trabajado supervisando el proyecto de instalación del sistema SCADA en el sistema de tratamiento de

Ataques a infraestructuras críticas a través de servicios SHODAN y SCADA

8

Máster Universitario en Seguridad Informática

Alvaro Martín Quílez

aguas residuales del Maroochy Shire Council, en Australia, accedió a los ordenadores que controlan el sistema de alcantarillado utilizando una señal Wireless robada, controladores SCADA y software de control para liberar hasta un millón de litros de aguas residuales en el río y las aguas costeras de Maroochydore, provocando un desastre medioambiental. Vitek alteró los datos electrónicos de las estaciones de bombeo de alcantarillado provocando el mal funcionamiento en sus operaciones. Cada estación de bombeo tenía un microprocesador RTU PDS Compact 500 de Hunter Watertech, capaz de recibir instrucciones desde un centro de control, transmitir datos y señales de alarma al ordenador central y proporcionar comandos para arrancar y parar las bombas de las estaciones de bombeo. Esto fue empleado por Vitek para alterar los modos de funcionamiento de las bombas, evitando que las alarmas se enviaran al ordenador central desactivándolas mediante mensajes electrónicos y provocando el incidente. 4. STUXNET 2010 Posiblemente el ataque sobre infraestructuras críticas más conocido de todos los tiempos, el gusano Stuxnet estaba especialmente diseñado para retrasar el programa nuclear iraní dañando las centrifugadoras de enriquecimiento de uranio de la central de Natanz, con un grado de sofisticación muy grande y es considerado como el primer ciberarma de la historia. La primera versión tenía como objetivo los controladores de Siemens S7-417, que se encargan de controlar los sensores y válvulas de presión de las centrifugadoras. No se podía auto propagar y había que ejecutarlo manualmente abriendo un archivo de configuración del software de Siemens, a través de una memoria USB o un ordenador portátil utilizado para configurar los sistemas. La segunda versión es mucho más avanzada y tenía como objetivo los controladores de Siemens S7-315, que se encargan de controlar los rotores de las centrifugadoras. Se aprecia asesoramiento avanzado en seguridad, por lo que se sospecha que fue creado por la NSA, al utilizar vulnerabilidades de día cero para propagarse a través de dispositivos USB y una vulnerabilidad de Windows en el sistema RPC para propagarse a través de una red privada. También había sido firmado con unos certificados digitales robados, por lo que no era detectado por los antivirus de Windows. 5. FLAME 2012 También llamado SkyWiper y Flamer, es un troyano diseñado especialmente para recabar datos en sistemas Windows de infraestructuras críticas aunque no puede realizar Ataques a infraestructuras críticas a través de servicios SHODAN y SCADA

9

Máster Universitario en Seguridad Informática

Alvaro Martín Quílez

modificaciones en los sistemas PLC como Stuxnet. Su descubrimiento fue realizado por MAHER, el Equipo de Respuesta ante Emergencias Informáticas de Irán en 2012. Mucho más avanzado que este último también hace uso de las mismas vulnerabilidades para su propagación a través de dispositivos USB e intranet, aunque esta característica se encuentra

deshabilitada

por

defecto,

posiblemente

para

evitar

una

propagación

descontrolada. Se han encontrado hasta cinco tipos de cifrado para evitar su posible estudio y detección por parte de las empresas de antivirus, por lo que intenta pasar lo más desapercibido posible para recabar los datos para los que está diseñado y al finalizar eliminar el rastro del mismo. Puede descargar una gran cantidad de módulos desde un Centro de Comando y Control para realizar diferentes tareas de inteligencia. 6. BlackEnergy 2015 El 23 de Diciembre de 2015 varias compañías eléctricas de Ucrania informaron de problemas con el suministro de energía eléctrica a sus clientes en la región de IvanoFrankvisk. Posteriormente se descubrió que el causante era un troyano llamado BlackEnergy, que había infectado los sistemas de las compañías eléctricas, aunque este troyano se conoce desde hace tiempo ha mutado convirtiéndose en una Amenaza Persistente Avanzada (APT). El foco de infección fue una campaña de envío masivo de correos electrónicos con elementos de Microsoft Office, conteniendo macros maliciosas que al ejecutarse infectaban el equipo con el troyano. Éste a su vez estaba diseñado para descargar el malware KillDisk, que borra los archivos del sistema necesarios para el arranque del equipo y en esta ocasión con unas funciones específicas para este tipo de compañía, en las que intenta finalizar dos procesos específicos de sistemas de control industrial, sobrescribiendo el archivo ejecutable con datos aleatorios. Estaba diseñado para no realizar las acciones destructivas hasta pasado un tiempo desde la infección. 7. Kemuri Water Company 2016 En el informe Data Brech Digest, publicado por Verizon en 2016, se informó de una brecha de seguridad en los sistemas de una planta depuradora de agua con el nombre ficticio de Kemuri Water Company. A través de una aplicación web para la gestión de cuentas de usuario alojada en un servidor AS/400 se habían producido accesos no autorizados a los sistemas internos también conectados a la misma red, con lo que se detectaron comportamientos anómalos en los Controladores Lógicos Programables que manejaban las diferentes válvulas y conductos provocando interrupciones en la distribución de agua. Los Ataques a infraestructuras críticas a través de servicios SHODAN y SCADA

10

Máster Universitario en Seguridad Informática

Alvaro Martín Quílez

PLC’s son cruciales para controlar los productos químicos empleados para depurar el agua y el caudal en la distribución. Aunque los intrusos tuvieron acceso a millones de registros de clientes no utilizaron la información de los mismos, probablemente no se dieron cuenta de que estaban manipulando los niveles de los productos puesto que la forma en que manipularon la configuración de la aplicación mostraba poco conocimiento del sistema. Al final la compañía pudo identificar y revertir los cambios realizados, por lo que no hubo más incidentes, pero con más tiempo y preparación podrían haber causado daños al suministro de agua potable de la población. 8. Industroyer 2016 A raíz de los ataques producidos contra la red eléctrica de Ucrania en 2016, que dejaron sin suministro eléctrico a parte de la capital durante una hora, investigadores de ESET descubrieron e investigaron muestras de malware identificadas con Win32/Industroyer, capaces de efectuar ese tipo de acción. Estos ataques pudieran ser una prueba a gran escala para probar el malware, que es capaz de hacer un daño significativo a los sistemas de energía eléctrica pudiendo reajustarse para utilizarse contra otros tipos de infraestructura. Este malware es capaz de controlar los interruptores de las subestaciones eléctricas directamente empleando los protocolos de comunicación industrial utilizados en las infraestructuras de suministro eléctrico, sistemas de control de transporte, e infraestructuras de agua y gas. Estos protocolos se diseñaron hace tiempo por lo que se primó el funcionamiento de los mismos frente a la seguridad, Industroyer no busca vulnerabilidades en los protocolos sino que interactúa con los mismos empleando la misma especificación para obtener el control de interruptores y disyuntores de una subestación eléctrica. Es un malware modular, el componente principal es una puerta trasera empleada para gestionar el ataque, se conecta a un servidor de comando y control para descargar el resto de los componentes y gestionar el ataque mediante los comandos recibidos e informar sobre las acciones realizadas. Emplea cuatro componentes maliciosos diseñados específicamente para los siguientes estándares: IEC 60870-5-101, IEC 60870-5-104, IEC 61850 y OLE para Process Control Data Access (OPC DA). Los payloads trabajan en diferentes etapas para mapear la red y encontrar los dispositivos específicos a atacar mediante los comandos ejecutados, muestra un gran conocimiento sobre el funcionamiento de los sistemas de control industrial y está diseñado para permanecer oculto mientras realiza su labor, mantener la persistencia y por último, borrar los rastros que haya podido dejar durante su ejecución.

Ataques a infraestructuras críticas a través de servicios SHODAN y SCADA

11

Máster Universitario en Seguridad Informática

Alvaro Martín Quílez

Es un malware universal que puede ser empleado para atacar los sistemas de control industrial que utilicen los protocolos de comunicación con los que puede trabajar, es altamente personalizable, puesto que algunos de los componentes analizados están diseñados para atacar un tipo de hardware específico de diferentes fabricantes.

1.2. Motivación La motivación a la hora de realizar este proyecto tiene dos enfoques, personal y profesional. La motivación personal surge puesto que la seguridad es una disciplina relativamente reciente en la que existen diferentes áreas por desarrollar, especialmente en el campo de los sistemas industriales y las infraestructuras críticas, pudiendo desarrollar proyectos innovadores con un enriquecimiento personal en conocimientos. Se pretende aportar claridad sobre ciertas lagunas que existen en el mundo de la seguridad en entornos industriales para mostrar cuán vulnerables son los sistemas y lo fácil que es conseguir información de inteligencia a través de fuentes abiertas, con la que se podrían efectuar ataques sobre las infraestructuras críticas de un país. Investigar sobre aquellos protocolos y elementos que se utilizan en los entornos industriales y cómo, en conjunción con buscadores especializados, se puede emplear éticamente esa información para poder explotar vulnerabilidades y realizar ataques más fácilmente que hace unos años, cuando la mayoría de los entornos no estaban conectados a Internet, para poder desarrollar las políticas necesarias para contrarrestarlos. La segunda motivación es profesional, durante los cinco últimos años colaboro profesionalmente en el desarrollo del nuevo Sistema de Control de Tráfico Aéreo del Reino Unido, en el que por el análisis del proyecto y la experiencia adquirida en la realización de este máster considero que no se presta la adecuada atención sobre los aspectos relativos a la seguridad en el desarrollo del mismo. Por lo que la formación es una motivación para poder suplir aquellas carencias observadas y poder proporcionar profesionalmente los conocimientos necesarios para el buen desarrollo del proyecto en aquellos aspectos más deficientes. También existe la motivación de mejorar profesionalmente y orientar la carrera laboral hacia aspectos más enfocados en la seguridad.

1.3. Planteamiento del trabajo El objetivo principal del trabajo es desarrollar un piloto experimental donde se muestre la escasez de seguridad que presentan los dispositivos que componen los sistemas de infraestructuras críticas. Demostrar que con la información adecuada sobre estos elementos y mediante la utilización de herramientas especializadas de búsqueda en Internet, se pueden realizar ataques sobre este tipo de infraestructuras con pocos medios materiales.

Ataques a infraestructuras críticas a través de servicios SHODAN y SCADA

12

Máster Universitario en Seguridad Informática

Alvaro Martín Quílez

Para dar respuesta y llevar a buen término el piloto experimental se pretende investigar sobre los protocolos de comunicación que utilizan este tipo de dispositivos, realizando una descripción de los diferentes elementos que componen estas infraestructuras. Realizar un análisis de diferentes dispositivos utilizados por la industria en el mundo real, junto a sus vulnerabilidades conocidas para poder utilizar dicha información en la elaboración de ataques. Mediante la utilización de buscadores especializados, como Shodan, ZoomEye ICS o Censys se pretende demostrar, realizando varias pruebas de concepto, cómo se pueden aprovechar las vulnerabilidades que presentan estos dispositivos para la realización de ataques mediante la explotación de las mismas. Como objetivo secundario se pretende presentar la evolución seguida en la forma de realizar este tipo de ataques mediante la progresiva conexión de este tipo de dispositivos a Internet, en la que se sacrificado seguridad por facilidad de gestión mediante conexión remota.

1.4. Estructura del trabajo Realizada la introducción del trabajo en el presente apartado, a continuación se muestra la descripción de los siguientes capítulos que conforman el trabajo: 

En el capítulo 2 se muestra el contexto actual en el que se desarrolla la seguridad en entornos industriales. Se describe el marco legal al que están sometidos este tipo de sistemas y cómo se ha incrementado el número de incidentes relacionados con este tipo de sistemas en los últimos años. Se describe la evolución seguida en el desarrollo de estos ataques. El objetivo final del capítulo es demostrar la importancia que tiene la seguridad de los dispositivos utilizados en este tipo de sistemas y que se conectan a Internet.



En el capítulo 3 se describe el objetivo general y los objetivos específicos del trabajo. Se presentan los protocolos de comunicación más extendidos en este tipo de dispositivos. Además, se realiza una descripción de los diferentes tipos de dispositivos que conforman este tipo de sistemas con sus vulnerabilidades asociadas. Asimismo se detalla la metodología empleada durante el desarrollo del trabajo.



En el capítulo 4 se realiza un estudio sobre el buscador Shodan y las posibilidades que nos ofrece para la búsqueda de información especializada sobre los dispositivos SCADA. Mediante varias pruebas de concepto se realizará la demostración del objetivo que se pretende conseguir y se muestran los resultados obtenidos, mostrando ejemplos concretos con dispositivos de diferentes fabricantes utilizados

Ataques a infraestructuras críticas a través de servicios SHODAN y SCADA

13

Máster Universitario en Seguridad Informática

Alvaro Martín Quílez

en sistemas reales. Finalizando con una justificación de los resultados logrados en el desarrollo del piloto experimental. 

En el capítulo 5 se muestran las conclusiones a las que se ha llegado tras la realización del trabajo. Finalmente, se muestran las líneas de trabajo futuro que se pueden realizar para mejorar la aportación efectuada con el presente trabajo.

Ataques a infraestructuras críticas a través de servicios SHODAN y SCADA

14

Máster Universitario en Seguridad Informática

Alvaro Martín Quílez

2. Contexto y estado del arte La seguridad en la protección de infraestructuras críticas ha sido un campo desarrollado por gobiernos o grandes empresas debido al tipo de infraestructura que se intenta proteger de los diferentes tipos de ataques. La progresiva conexión de los diferentes tipos de sistemas empleados y la relativa aparición de buscadores especializados en este tipo de dispositivos hace que no exista una amplia literatura sobre el tema. Jason Larsen, de IO Active, impartió una conferencia en la Black Hat DC 2008, titulada SCADA Security, sobre sistemas SCADA y los diferentes tipos de ataques que se pueden llevar a cabo sobre este tipo de sistemas, realizando una descripción de los mismos. En el año 2010 Michael “theprez98” Schearer impartió una conferencia, en el ámbito de la DEFCON 18, titulada SHODAN for Penetration Tester, en la que realiza una introducción sobre el buscador y expone las características de las que dispone para su utilización como herramienta para realizar test de penetración sobre diferentes tipos de dispositivos de comunicaciones. Esta conferencia será el punto de comienzo para el desarrollo del presente trabajo. En el año 2011 se publicó el libro Cybersecurity for Industrial Control Systems: SCADA, DCS, PLC, HMI, and SIS, de los autores Tyson Macaulay y Bryan L. Singer en el que hacen un estudio sobre los sistemas de control industrial y las herramientas capaces de asegurar la protección de sus redes, sin sacrificar la eficiencia y funcionalidad. Las amenazas y riesgos a los que se enfrentan y las vulnerabilidades de este tipo de sistemas. En 2016 la editorial 0xWord publicó un libro de Juan Francisco Bolívar, titulado Infraestructuras críticas y sistemas industriales, en el que proporciona información para entender este tipo de infraestructuras y detectar los puntos de ataque sobre estos sistemas, introduciendo al buscador Shodan y diversas herramientas especializadas para la detección de vulnerabilidades y la securización de los sistemas. Más recientemente, en febrero de 2017, Yolanda Corral moderó un debate, enmarcado en su canal de ciberseguridad Palabra de hacker titulado ¿Qué es Shodan? El buscador, al descubierto, con la participación de Enrique Rando, Miguel Ángel Arroyo, Jorge Coronado y Eduardo Sánchez, en el que indagan y ponen al descubierto este buscador.

Ataques a infraestructuras críticas a través de servicios SHODAN y SCADA

15

Máster Universitario en Seguridad Informática

Alvaro Martín Quílez

2.1. Marco legal En el Estado Español la legislación que recoge las disposiciones referidas a las infraestructuras críticas es la Ley 8/2011, de Protección de las Infraestructuras Críticas. En ella se define infraestructura crítica como aquellas instalaciones, redes, sistemas, equipos físicos y de tecnologías de la información en las que funcionan aquellos servicios esenciales para el mantenimiento de las funciones sociales básicas, de seguridad, bienestar social, salud y económico de los ciudadanos, o el eficaz funcionamiento de las Administraciones Públicas y las Instituciones del Estado, y cuyo funcionamiento es indispensable, que no permite soluciones alternativas, en las que su destrucción o perturbación causaría un grave impacto en dichos servicios. El Centro Nacional para la Protección de las Infraestructuras Críticas se centra más en los servicios desempeñados que en las propias infraestructuras, por lo que recoge aquellas actividades relacionadas con la Administración, Agua, Alimentación, Energía, Espacio, Industria Química y Nuclear, Instalaciones de Investigación, Salud, Sistema Financiero y Tributario, Tecnologías de la Información y Comunicaciones y Transporte. Anteriormente la Unión Europea, mediante la Directiva 2008/114/CE del Consejo, estableció la obligatoriedad de los estados miembros para la identificación y designación de las infraestructuras críticas y la evaluación de las necesidades para mejorar su protección, proporcionando una lista mínima de aquellos sectores afectados relacionados con la Energía (Electricidad, Petróleo, Gas) y los Transportes. Según el artículo 197 bis del Código Penal español se considera un delito, penado con cárcel, el acceso no autorizado a un sistema de información vulnerando las medidas de seguridad establecidas. La interceptación de las comunicaciones no públicas de datos informáticos transmitidas entre sistemas también se considera delito.

2.2. Evolución de la tecnología Desde el año, 1982 con el ataque al gasoducto siberiano, hasta los últimos ataques producidos

en

2016,

la

tecnología

sobre

sistemas

industriales

ha

avanzado

considerablemente permitiendo la interconexión remota de los mismos. Esta evolución no ha sido pareja con la seguridad referida a los mismos, la aparición de herramientas especializadas sobre este tipo de sistemas ha hecho que se incremente considerablemente el número de incidencias referidas a este tipo de sistemas. Según IBM X-Force el número de ataques sobre sistemas industriales aumentaron un 110% en el año 2016 sobre los números de años anteriores, esto fue debido a la liberación en Github de una herramienta para la realización de pruebas de penetración sobre Modbus, Ataques a infraestructuras críticas a través de servicios SHODAN y SCADA

16

Máster Universitario en Seguridad Informática

Alvaro Martín Quílez

junto con el aumento del número de dispositivos conectados y buscadores especializados, hizo que el número de ataques de fuerza bruta sobre dispositivos SCADA aumentase en busca de usuarios por defecto o contraseñas débiles. Desde el primer Informe sobre la Protección de Infraestructuras Críticas en España, publicado por S2 Grupo en 2011 hasta el cuarto informe publicado en 2016, se constata que la investigación de vulnerabilidades en componentes de sistemas industriales sigue siendo minoritaria en comparación con el mundo TI (Tecnologías de la Información). El número de vulnerabilidades descubiertas es de 136 frente a 10000, por lo que la mayor parte de las mismas no se descubren. La mayor parte de las vulnerabilidades las descubren empresas de seguridad frente a un 14% que son descubiertas por los fabricantes.

Ilustración 1: Porcentaje descubrimiento vulnerabilidades Fuente: S2 Grupo

La mayor parte de las vulnerabilidades publicadas en el ICS-CERT son de autenticación y denegación de servicio, debido a que este sector no ha adoptado las prácticas de desarrollo seguro para las aplicaciones.

Ataques a infraestructuras críticas a través de servicios SHODAN y SCADA

17

Máster Universitario en Seguridad Informática

Alvaro Martín Quílez

Ilustración 2: Tipos de vulnerabilidades Fuente: S2 Grupo

Para el 95% de las vulnerabilidades existen actualizaciones proporcionadas por el fabricante, pero el 86% de las vulnerabilidades que no disponen de un parche de actualización se encuentran en el hardware, esto es debido a que muchos de los dispositivos se diseñaron hace mucho tiempo y no disponen de mecanismos para actualizar el firmware. Debido al alto grado de conocimiento técnico necesario el 82% de las vulnerabilidades no poseen exploits de conocimiento público, la misma característica que hace difícil parchear los dispositivos hace que sea también complicado explotar la vulnerabilidad, esto no quiere decir que se puedan adquirir los conocimientos necesarios para ello. Una conclusión a la que llega el estudio es que el 19% de las vulnerabilidades que disponen de actualización también disponen de un exploit público, por lo que el resultado de no aplicar las actualizaciones de seguridad puede ser desastroso. El 84% de las vulnerabilidades son explotables de forma remota, unido a que el 87% de ellas están catalogadas de alto riesgo y el 47% requieren de pocos conocimientos técnicos, hace que mediante herramientas como Shodan este tipo de sistemas sean especialmente vulnerables a atacantes con pocos conocimientos técnicos y de graves consecuencias.

Ataques a infraestructuras críticas a través de servicios SHODAN y SCADA

18

Máster Universitario en Seguridad Informática

Alvaro Martín Quílez

2.3. Resumen del contexto Las conclusiones que podemos obtener del estudio del contexto se pueden enunciar en varias sentencias. La primera es que los sistemas de control industrial cuyo funcionamiento es considerado indispensable se denominan infraestructuras críticas, teniendo un marco regulado por ley para su funcionamiento y protección. En los últimos años ha aumentado el número de ataques sobre infraestructuras de este tipo, observándose un interés creciente por parte de gobiernos y empresas en su seguridad. El número de sistemas de este tipo ha aumentado considerablemente en todo el mundo, conllevando un aumento del número de vulnerabilidades descubiertas en este tipo de sistemas, aunque comparativamente menor que en el mundo TI. Se ha ido ampliando la información sobre este tipo de sistemas y han aparecido diversas herramientas especializadas en la recolección de información, por lo que unido al aumento del número de dispositivos conectados hacen que muchas de las vulnerabilidades sean fácilmente explotables por personal no especializado.

Ataques a infraestructuras críticas a través de servicios SHODAN y SCADA

19

Máster Universitario en Seguridad Informática

Alvaro Martín Quílez

3. Objetivos y metodología de trabajo 3.1. Objetivos Con la realización del presente trabajo se pretenden determinar varios objetivos, un objetivo general y varios objetivos específicos. El objetivo principal es explorar los sistemas de control industrial, y más en concreto las infraestructuras críticas. Partiendo de este objetivo tenemos otro objetivo fundamental que es estudiar la viabilidad de la utilización de motores de búsqueda especializados para la recolección de información sobre los dispositivos que conforman este tipo de sistemas. Como objetivos más específicos tenemos los siguientes: 

Verificar la viabilidad del buscador Shodan como herramienta para la realización de test de penetración.



Analizar diferentes protocolos de comunicaciones utilizados en este tipo de sistemas y sus vulnerabilidades asociadas.



Conocer diferentes tipos de dispositivos y sus vulnerabilidades asociadas.



Establecer una línea temporal entre los ataques más importantes realizados sobre infraestructuras críticas y la evolución seguida en su desarrollo.

3.2. Metodología El plan de trabajo empleado para la realización del proyecto se ha basado en un modelo iterativo, caracterizado por la realización de varias iteraciones para la consecución de las diferentes tareas en las que se ha dividido el proyecto. La primera iteración consistió en la búsqueda de información sobre ataques producidos sobre infraestructuras críticas en la historia. En la segunda iteración se documentó la normativa legal aplicable y el estado del arte de la seguridad en este tipo de infraestructuras. Posteriormente se investigó sobre los protocolos de comunicación más extendidos en este tipo de infraestructuras, así como los diferentes elementos que las constituyen en la tercera iteración. Finalmente, en la cuarta iteración se investiga acerca de la viabilidad del motor de búsqueda Shodan en la realización de test de penetración en este tipo de sistemas. El desarrollo del presente proyectó comenzó a fraguarse a finales de 2016 mediante un intercambio de correos con el tutor. Cuando comienza el plazo oficial se presenta por parte del tutor una propuesta, la cual es seleccionada por el alumno presentando. Se entrega a mediados de Febrero la redacción de la propuesta siendo considerada como No apta,

Ataques a infraestructuras críticas a través de servicios SHODAN y SCADA

20

Máster Universitario en Seguridad Informática

Alvaro Martín Quílez

teniendo que concretarla y mejorarla para volverla a presentar a mediados de Marzo, la cual es aceptada. Se presenta un plan de trabajo en el que se hacen constar las diferentes actividades que se van a realizar para la consecución del proyecto, habiendo comenzado y terminado la primera iteración a primeros de Marzo. En la tercera iteración se emplean tres semanas para documentar el estado del arte y la normativa legal aplicable. El mayor tiempo empleado ha sido en la tercera actividad, se han empleado dos meses para documentar los protocolos de comunicaciones y los elementos que conforman los sistemas. En la cuarta iteración se ha empleado un mes y medio para obtener información y realizar las diferentes pruebas de concepto que se muestran posteriormente. Se finaliza el proyecto terminando de redactar la memoria con las conclusiones obtenidas.

3.3. Protocolos de comunicaciones Modbus Modbus Serie es uno de los protocolos con más antigüedad, aparecido en 1979 y muy empleado en la industria, desarrollado originalmente por Schneider Electrics, hoy en día está mantenido por The Modbus Organization. Diseñado para la programación de elementos de control, tales como PLC o RTU. En 1999 apareció la versión Modbus/TCP, diseñada para ser utilizada en redes TCP/IP, por lo que existen dos tipos de implementaciones. Modbus Serie utiliza como tecnología de transmisión el estándar High-Level Data Link Control (HDLC), que es un protocolo de comunicaciones de propósito general punto a punto operando a nivel de enlace de datos, o bien emplea RS232 o RS485, protocolos a nivel físico si se implementa en modo maestro esclavo. Modbus TCP/IP es un protocolo a nivel de aplicación, capa 7 del modelo OSI, por lo que se pueden utilizar distintos soportes físicos para el transporte. Provee comunicación entre dispositivos cliente/servidor conectados a diferentes redes o buses mediante el empleo del puerto 502 de la pila TCP/IP.

Ataques a infraestructuras críticas a través de servicios SHODAN y SCADA

21

Máster Universitario en Seguridad Informática

Alvaro Martín Quílez

Ilustración 3: Pila de Comunicaciones Modbus Fuente: Modbus Organization

A nivel físico no existe seguridad, puesto que los protocolos RS se encargan de transmitir bits entre estaciones y las medidas de seguridad se implementan en capas superiores. La capa de enlace se encuentra por encima del nivel físico, aquí se implementa HDLC o Ethernet según la implementación, Bus Serie o TCP respectivamente. Tampoco existen implementadas características de seguridad en esta capa. Al haber sido diseñado para la utilización en entornos controlados, Modbus no implementa mecanismos de seguridad en la capa de aplicación, por lo que no existen mecanismos de autentificación empleando para la sesión una dirección y un código de función válidos. Se pueden suplantar tanto maestros como esclavos e incluso enviar datos falsos desde un esclavo hacia un maestro. Tampoco permite el uso de cifrado de la información por lo que la información viaja en texto claro, pudiendo capturar la misma con un simple sniffer de red. En las implementaciones de Bus Serie los comandos se envían por broadcast, por lo que todos los elementos que se encuentren conectados pueden sufrir ataques contra la disponibilidad mediante la realización de ataques de Denegación de Servicio (DoS). Los elementos de control interconectados a través de este protocolo son susceptibles de sufrir ataques de inyección de código malicioso. Al no estar diseñado con mecanismos de seguridad, la implementación de los mismos se debe realizar mediante la introducción de elementos de seguridad adicionales que mitiguen dichas vulnerabilidades.

Ataques a infraestructuras críticas a través de servicios SHODAN y SCADA

22

Máster Universitario en Seguridad Informática

Alvaro Martín Quílez

La primera es el cifrado de las comunicaciones, es una solución efectiva pero de difícil implementación puesto que los dispositivos que implementan el protocolo no suelen tener la capacidad de realizarla, habría que utilizar aplicaciones externas con lo que se incrementan los problemas de gestión y distribución de contraseñas. También sería necesario utilizar un elemento para realizar esta tarea en cada uno de los dispositivos que implementen el protocolo. La opción más extendida es la utilización de cortafuegos entre los distintos dispositivos, tanto a nivel de red para controlar las direcciones tanto del maestro como de los esclavos, como a nivel de aplicación que permite revisar los datos de la trama. Junto a los cortafuegos para controlar el tráfico en las redes se pueden emplear Sistemas de Detección y Sistemas de Prevención de Intrusos (IDS e IPS), con los que detectar paquetes de datos enviados desde direcciones no controladas y el uso de funciones no permitidas y actuar en consecuencia. Profibus Profibus es una familia de buses estándar de comunicación abierto utilizado en millones de dispositivos, promovido por el gobierno alemán junto a varias compañías industriales a finales de los años ochenta. Hoy en día lo mantienen dos organizaciones, la Organización de Usuarios Profibus (PNO) y Profibus Internacional (PI), que se encargan de formación, estándares y desarrollo de nuevas tecnologías. El primer protocolo desarrollado fue Profibus FMS (Field Message Specification), diseñado para la comunicación entre ordenadores y Controladores Programables a través del envío de información compleja entre ellos. No tiene gran flexibilidad por lo que no es apropiado para información más simple o redes complejas y extensas. Debido a la poca flexibilidad se desarrolló en 1993 Profibus DP (Decentralized Periphery), para la operación de sensores y actuadores a través de controlador centralizado, es más rápido y flexible que el anterior. A su vez está dividido en tres versiones, que van de la DPV0 a la DP-V3, proporcionando características nuevas y más complejas. Posteriormente apareció Profibus PA (Process Automation), para la monitorización de equipos a través de automatización de procesos, diseñado especialmente para la utilización en entornos peligrosos puede utilizar tecnología Manchester Bus Powered (MBP) en vez de par trenzado RS485, que podría provocar chispas con riesgo de explosión en dichos entornos. Esta tecnología se diseñó para la transmisión de datos y energía, pudiendo reducir la energía transmitida reduciendo el riesgo de explosiones.

Ataques a infraestructuras críticas a través de servicios SHODAN y SCADA

23

Máster Universitario en Seguridad Informática

Alvaro Martín Quílez

Profibus opera en el nivel físico, de enlace y aplicación del modelo OSI.

Ilustración 4: Pila de Comunicaciones Profibus Fuente: Real Time Automation Inc

En la capa física, además de par trenzado RS485 y MBP, se puede utilizar fibra óptica. La capa de enlace emplea como mecanismo de gestión de acceso al medio FDL (Field bus Data Link), combinando las tecnologías maestro-esclavo con el paso de testigo para decidir quién inicia la comunicación y ocupa el bus. A nivel de aplicación se emplean FMS, DP-V0 para intercambiar datos periódicos, DP-V1 para comunicaciones no periódicas, y DP-V2 para las comunicaciones asíncronas a través de broadcast. Además, se proporcionan los servicios PROFIsafe y PROFIdrive, que pueden emplear la TCP/IP como protocolo de transporte en la fase inicial de asignación de dispositivos. No se implementan mecanismos de autentificación por lo que es susceptible de sufrir ataques de suplantación. La ausencia de cifrado de la información permite la captura de los datos transmitidos y la falta de seguridad en el protocolo hace que está expuesto a ataques de denegación de servicio y de inyección de código. Es necesaria una buena seguridad perimetral con cortafuegos, segmentación de redes, y la utilización de IDS/IPS para mitigar la posibilidad de ataques.

Ataques a infraestructuras críticas a través de servicios SHODAN y SCADA

24

Máster Universitario en Seguridad Informática

Alvaro Martín Quílez

Profinet Profinet es el estándar de Profibus Internacional desarrollado a partir de Profibus utilizando Ethernet en vez de RS485 y la funcionalidad completa de TCP/IP, por lo que le permite altas velocidades de transferencia y posibilidades inalámbricas. Ampliamente utilizado en equipos orientados a fiabilidad, usabilidad y comunicaciones en tiempo real, se encuentra muy expuesto en Internet debido a su utilización para la gestión remota de dispositivos de campo. Los puertos por defecto empleados son 34962-64. Utiliza tres tipos de servicios de comunicación. El servicio TCP/IP para funciones de parametrización, transferencias de datos, video y audio a sistemas de nivel superior, descubrimiento de dispositivos. Servicio de Tiempo Real para aplicaciones típicas de E/S con necesidades de alto rendimiento y control de movimiento. Servicio de Tiempo Real Isócrono con sincronización de mucha precisión para control de movimiento, en los que se prioriza la señal y la conmutación programada.

Ilustración 5: Arquitectura Profinet Fuente: INCIBE

Dentro del estándar existen varios protocolos diseñados especialmente para usos concretos:

Ataques a infraestructuras críticas a través de servicios SHODAN y SCADA

25

Máster Universitario en Seguridad Informática

Alvaro Martín Quílez

Profinet/CBA, utilizado en entornos industriales para aplicaciones de automatización distribuida. Profinet/DCP, empleado para configurar nombres de dispositivos y direcciones IP. Profinet/IO, o Real Time (RT) se utilizada para comunicaciones con periferias descentralizadas. Profinet/MRRT, para proporcionar redundancia de medios en la anterior. Profinet/MRP, se emplea en redes de alta disponibilidad con topología en anillo, proporciona reestructuración de una red en caso de fallo. Profinet/PTCP, diseñado para sincronizar las señales de reloj en PLC’s. Profinet/RT, transferencia de datos en tiempo real. Profinet/IRT, transferencia isócrona de datos en tiempo real. Al ser un protocolo orientado a la fiabilidad y disponibilidad de los sistemas no dispone de mecanismos de seguridad nativos. La falta de elementos de autenticación y la alta exposición de los dispositivos les hace especialmente vulnerables a accesos no autorizados. Se deben emplear mecanismos de segmentación de redes y seguridad perimetral para disminuir el riesgo de accesos no autorizados, junto al uso de cifrado de comunicaciones y mecanismos de autentificación implementados en capas superiores. DNP3 Distributed Network Protocol es un protocolo de comunicaciones de uso industrial para componentes de sistemas SCADA, utilizado en el sector eléctrico para comunicar estaciones controladores y equipos inteligentes (IED) ampliamente utilizado en Estados Unidos y Canadá. Desarrollado originalmente por Harris, Distributed Automation Products a partir de 1993 es mantenido por el DNP Users Group, que lo mantiene como un protocolo abierto y público. Diseñado para ser más eficiente, robusto y compatible que otros protocolos más antiguos como Modbus, es más complejo. Originalmente empleaba como medio físico RS232 pero hoy en día las tramas se encapsulan sobre TCP o UDP, sobre Ethernet, empleando por defecto el puerto 20000. Emplea las capas de nivel de enlace, nivel de aplicación y una capa de pseudo-transporte, ya que no se corresponde exactamente con la capa de transporte de OSI.

Ataques a infraestructuras críticas a través de servicios SHODAN y SCADA

26

Máster Universitario en Seguridad Informática

Alvaro Martín Quílez

Maximiza la disponibilidad del sistema frente a la confidencialidad e integridad de los datos, dispone de una implementación segura para proporcionar mecanismos de autenticación a nivel de aplicación para proporcionar comunicaciones seguras. Con lo que se evitan los problemas de captura de mensajes, transmisión de mensajes maliciosos, modificación de mensajes y suplantación de identidad. También se puede emplear encapsulado en un protocolo de transporte seguro, como TLS. Common Industrial Protocol CIP es un protocolo de comunicaciones independiente del medio desarrollado por ODVA, utiliza un modelo de comunicaciones productor-consumidor y está estrictamente orientado a objetos en las capas superiores. Engloba un conjunto de mensajes y servicios capaces de integrarse en Internet y redes Ethernet. Cuenta con un gran número de objetos que cubren las funciones típicas y las comunicaciones de elementos comunes en los procesos de industrialización, estos objetos están formados por atributos (datos), servicios (comandos), conexiones y comportamientos (relación entre valores de atributo y servicios). Un mismo objeto se comporta de idéntica manera implementado en diferentes dispositivos conformando un perfil de dispositivo, con lo que responde de igual manera a los mismos comandos manteniendo el mismo comportamiento de red. El modelo de comunicaciones sigue una arquitectura de tipo multicast en la que el productor pone en circulación el mensaje que será consumido por el receptor al que esté dirigido en base a un identificador, el resto de los receptores desecharán el mensaje al no estar dirigido a ellos. Existen dos tipos de mensajes: Mensajes implícitos, contienen un identificador que utiliza el nodo consumidor para conocer si el mensaje está destinado a él y la acción a emprender. Mensajes explícitos, contienen la dirección de origen/destino de los nodos y la acción concreta a realizar. Mediante varias adaptaciones proporciona comunicación e integración para distintos tipos de redes: ControlNet, integración con tecnologías CTDMA (Concurrent Time Domain, Multiple Access). Utiliza como medio de transmisión cable coaxial RG-6. DeviceNet, adaptada con CAN (Controller Area Network).

Ataques a infraestructuras críticas a través de servicios SHODAN y SCADA

27

Máster Universitario en Seguridad Informática

Alvaro Martín Quílez

CompoNet, adaptada a tecnologías TDMA (Time Division Multiple Access), utilizando cables redondos como medio de transmisión, en vez de cables planos. Ethernet/IP, adaptada a TCP/IP, hace uso de la misma para las tareas de red y transporte adaptando CIP en la capa de aplicación. Utiliza los mensajes explícitos a través del puerto TCP 44818, mediante conexión cliente/servidor para transmitir los mensajes entre los PLC y los HMI, realizar transferencia de ficheros y envío de mensajes de diagnóstico. También emplea los mensajes implícitos a través del puerto UDP 2222 para comunicaciones en tiempo real, operando en multicast por cuestiones de eficiencia, mandando un mismo mensaje a varios dispositivos.

Ilustración 6: Arquitectura Ethernet/IP Fuente: INCIBE

El protocolo CIP no define ningún mecanismo de seguridad, al disponer de objetos para la identificación de dispositivos proporciona un mecanismo para el descubrimiento de los objetivos dentro de la red. Mediante el empleo de objetos comunes para el intercambio de información se pueden manipular los distintos dispositivos modificando este tipo de objetos. No proporciona ningún tipo de cifrado debido a las características de los mensajes implícitos para las comunicaciones en tiempo real en modo multicast. Además, Ethernet/IP al estar basado en Ethernet, mantiene todas las vulnerabilidades del mismo, como la suplantación de identidad y la captura de tráfico. Debido a que el protocolo

Ataques a infraestructuras críticas a través de servicios SHODAN y SCADA

28

Máster Universitario en Seguridad Informática

Alvaro Martín Quílez

UDP no tiene control de transmisión se puede realizar inyección de tráfico malicioso con los mensajes implícitos y mediante el empleo de IGMP (Internet Group Management Protocol) se puede manipular la ruta de transmisión. Inter-Control Center Communications Protocol ICCP es un protocolo cliente servidor independiente del vendedor, diseñado para la transmisión de información en redes WAN. También conocido como TASE.2 (Telecontrol Application Service Element 2) fue diseñado a mediados de los años noventa del siglo pasado, muy utilizado en la industria de energía eléctrica. Utilizado para el intercambio de datos de monitorización y control define un mecanismo para la transferencia de mensajes críticos en tiempo real entre diferentes localizaciones, empleando para el servicio de mensajería el estándar Manufacturing Message Specification (MMS) orientado a objetos, por lo que ICCP emplea objetos MMS para definir las estructuras de datos y los mensajes. Emplea las capas OSI para el encapsulado de la información por lo que es susceptible de múltiples vulnerabilidades, el único mecanismo de seguridad que implementa es el control de acceso basado en tablas mantenidas en un servidor ICCP. Puede sufrir ataques de suplantación de identidad y captura de tráfico, se puede realizar inyección de tráfico malicioso para enviar información falsa con la que manipular los dispositivos conectados por parte de un usuario malicioso. No implementa ningún tipo de cifrado de la información. EtherCAT Ethernet for Control Automation Technology es un protocolo de código abierto introducido en 2003, desarrollado originalmente por Beckhoff Automation y mantenido por el EtherCAT Technology Group. Empleado en aplicaciones de automatización con requerimientos de tiempo real es el protocolo más rápido disponible en la actualidad. Los paquetes se procesan sobre la marcha en cada nodo esclavo mientras se envían al siguiente dispositivo, en vez de recibirlos, interpretarlos y enviarlos como se realiza en el modelo de almacenamiento y reenvío. Emplea el puerto 34980 por defecto. Al estar basado en Ethernet, mantiene todas las vulnerabilidades del mismo, es susceptible de sufrir ataques de denegación de servicio, también es vulnerable a ataques de inyección por lo que se puede alterar el servicio mediante el envío de paquetes. Debido a la falta de autenticación puede sufrir ataques Man In The Middle y es vulnerable a ataques de suplantación de identidad.

Ataques a infraestructuras críticas a través de servicios SHODAN y SCADA

29

Máster Universitario en Seguridad Informática

Alvaro Martín Quílez

OPC OLE for Process Control es un conjunto de protocolos de comunicación para sistemas de control de procesos basados en sistemas Windows, mantenido por la OPC Foundation. La especificación clásica se basa en tecnologías COM/DCOM utilizando objetos enlazados y embebidos (OLE) y protocolos como RPC. En 2008 se liberó la especificación OPC Unified Architecture (OPC UA) basada en una arquitectura orientada a servicio, que permite el empleo de SOAP bajo HTTPS, más segura al permitir cifrado y autenticación. La especificación clásica es susceptible a múltiples vulnerabilidades relacionadas con DCOM, RPC y OLE, al estar basado en sistemas Windows también puede verse afectado por las vulnerabilidades de ese sistema operativo. Protocolos propietarios de fabricantes Numerosos fabricantes disponen de sus propios protocolos propietarios. El protocolo S7 de Siemens es un protocolo propietario que corre entre los dispositivos lógicos programables de la familia de productos S7 de Siemens. El protocolo Fox, desarrollado como parte del framework Niagara de Tridium, es más utilizado en la automatización de sistemas de edificios. El Protocolo de Transporte de Solicitud de Servicio (GE-SRTP) es desarrollado por GE Intelligent Platforms para transferir datos de los PLC’s. PCWorx es un programa y protocolo desarrollado por Phoenix Contact utilizado en una gran variedad de industrias. Factory Interface Network Service (FINS), es un protocolo de red utilizado por los PLC’s de Omron, a través de diferentes redes físicas como Ethernet, Controller Link, DeviceNet y RS232C.

3.4. Dispositivos de las Infraestructuras Críticas En este apartado se hará una descripción de los diferentes tipos de dispositivos que forman parte de los Sistemas Industriales, y por tanto de las Infraestructuras Críticas, en función de los cinco niveles de operaciones que describe la International Society of Automation (ISA) en su norma ISA 95.

Ataques a infraestructuras críticas a través de servicios SHODAN y SCADA

30

Máster Universitario en Seguridad Informática

Alvaro Martín Quílez

Ilustración 7: Niveles ISA-95 Fuente: BR&L Consulting

Estos niveles son: Nivel 0 Este nivel engloba el propio proceso productivo, define los propios procesos físicos. Nivel 1 Sensores y actuadores, define las actividades que manipulan y actúan sobre el proceso productivo. 

Sensores y actuadores, los sensores son dispositivos que reciben los datos físicos y los convierten a una señal eléctrica. Los actuadores son los dispositivos finales capaces de transformar la energía eléctrica, hidráulica o neumática para realizar una acción sobre el proceso físico.



Intelligent Electronic Device (IED), los Dispositivos Electrónicos Inteligentes son elementos utilizados en la industria eléctrica capaces de monitorizar, controlar y proteger dispositivos como transformadores, generadores, motores e interruptores, recibiendo información de sensores y dispositivos eléctricos pudiendo reaccionar frente a variaciones de corriente eléctrica o tensión, manteniendo comunicación con dispositivos de nivel superior de manera independiente. Son dispositivos que pueden ser controlados de forma remota pero la característica que los define es que pueden

Ataques a infraestructuras críticas a través de servicios SHODAN y SCADA

31

Máster Universitario en Seguridad Informática

Alvaro Martín Quílez

realizar las tareas programadas de forma autónoma para la gestión de las redes de electricidad. 

Programmable Logic Controller (PLC), un Controlador Lógico Programable es un ordenador industrial de estado sólido empleado para monitorizar las entradas y salidas conectadas y en base a los datos obtenidos tomar decisiones lógicas sobre dispositivos o procesos automatizados. Con medio siglo de existencia son elementos muy robustos que pueden soportar condiciones ambientales adversas, son modulares por lo que se pueden conectar a diferentes configuraciones disponiendo de cinco diferentes lenguajes de programación muy sencillos definidos por el estándar IEC 61131. No son capaces de trabajar con datos complejos y no muestran bien los datos en pantalla, por lo que se necesitan monitores externos. Se componen de microprocesadores de 16 o 32 bits como CPU para la ejecución de las instrucciones de control, comunicaciones, operaciones aritméticas y lógicas, y la realización de las funciones de diagnóstico local. Con memoria ROM para el almacenamiento de los datos permanentes y memoria RAM utilizada para el almacenamiento de los datos obtenidos por los dispositivos de E/S, temporizadores, contadores y dispositivos internos. Se necesita un ordenador o consola para la programación de los datos en la CPU.

Ilustración 8: Arquitectura PLC

Ataques a infraestructuras críticas a través de servicios SHODAN y SCADA

32

Máster Universitario en Seguridad Informática

Alvaro Martín Quílez

Fuente: Machine Design



Programmable Automation Controller (PAC), los Controladores de Automatización Programable son pequeños sistemas de control local relativamente recientes compuestos por un controlador (CPU), módulos de E/S y buses de interconexión de datos, programados con un lenguaje de programación moderno. Proporcionan mayor flexibilidad que los PLC’s debido al software y hardware de alto nivel de los que disponen ofreciendo capacidades de proceso y desempeño de operaciones complejas, pudiendo utilizar múltiples sistemas de adquisición de datos ampliando las funcionalidades para las que se pueden emplear. Basados en arquitecturas modulares y abiertas y empleando distintos estándares de comunicaciones proporcionan capacidades de administración de recursos, conectividad vía web, memoria no volátil de los que no disponen los PLC’s, pudiéndose conectar a diferentes servidores en redes corporativas.



Remote Terminal Unit (RTU), la Unidad Terminal Remota es un dispositivo multifunción empleado para la supervisión y control remoto de sistemas industriales, interactuando con dispositivos SCADA y sistemas de control distribuido. También llamados Unidades Remotas de Telecontrol son versiones más avanzadas que los PLC’s con mayores funcionalidades funcionando en un grado superior, pudiendo controlar múltiples procesos sin ninguna intervención monitorizando los parámetros recibidos de los sensores, dispositivos y sistemas conectados enviando los datos de telemetría a una estación central de monitorización. Compuestos de procesador, memoria, almacenamiento e interfaces de comunicación proporcionan mayor versatilidad que los PLC’s y son ampliables mediante tarjetas con lo que son fácilmente personalizables para ampliar el número de tareas a desarrollar.



Distributed Control System (DCS), los Sistemas de Control Distribuido son sistemas de control automatizado aplicados a procesos industriales complejos, distribuidos sobre el área de control. Un DCS consta de varios controladores locales distribuidos en varias secciones conectados a través de una red de comunicación de alta velocidad. Estas unidades están basadas en microprocesadores y se encuentran conectadas a dispositivos de campo como sensores y actuadores, garantizando el intercambio de datos recopilados a través de buses de campo o protocolos de comunicaciones estándar. Adecuado a plantas industriales a gran escala con la ventaja que al estar distribuido en caso de fallo de una parte del sistema el resto de la planta puede seguir funcionando con independencia. Mediante el sistema de comunicaciones se conectan entre sí los diferentes elementos del sistema, que incluyen estaciones de trabajo de ingeniería, son los controladores de supervisión del sistema; estaciones de operación (HMI), utilizadas para monitorizar, controlar y

Ataques a infraestructuras críticas a través de servicios SHODAN y SCADA

33

Máster Universitario en Seguridad Informática

Alvaro Martín Quílez

operar los parámetros del sistema; las unidades de control de procesos, son estaciones de proceso ampliables con módulos de E/S para conectar sensores y actuadores encargados de recibir información y controlar los actuadores y relés; dispositivos inteligentes de campo, no necesitan de módulos de entrada salida para conectarse directamente al bus de campo.

Ilustración 9: Arquitectura DCS Fuente: Electrical Technology

Nivel 2 Define las actividades que monitorizan, supervisan y controlan los procesos físicos. 

Human Machine Interface (HMI), una Interfaz Hombre Máquina es un entorno visual que conecta un operador con el controlador del sistema industrial, permitiendo la interacción de una persona con los sistemas implementados. Facilitan la monitorización e interacción con los diferentes elementos de los sistemas, traduciendo los datos obtenidos en representaciones visuales legibles por el ser humano. La accesibilidad de estos elementos es un grave riesgo de seguridad, al estar conectados con los PLC’s, RTU’s y otros controladores industriales, permitiendo la comunicación con estos sistemas.



Master Terminal Unit (MTU), una Unidad Terminal Maestra es el dispositivo o servidor que actúa como elemento maestro en un sistema industrial, conectando los diferentes PLC’s, RTU’s o controladores industriales, es decir, de los dispositivos de campo ubicados en sitios remotos. Almacena y procesa la información de los

Ataques a infraestructuras críticas a través de servicios SHODAN y SCADA

34

Máster Universitario en Seguridad Informática

Alvaro Martín Quílez

dispositivos para presentarla al operador para la toma de decisiones o monitorización, a través de una interfaz visual. 

Supervisory Control and Data Acquisition (SCADA), los sistemas de Control de Supervisión y Adquisición de Datos controlan el proceso de producción de forma automática proporcionando comunicación con los dispositivos de campo y recopilando los datos obtenidos por los dispositivos para presentarlos al usuario. Son sistemas de arquitectura abierta, ampliables según las necesidades del entorno. Disponen de comunicaciones sencillas y transparentes al usuario para conectar los diferentes sistemas existentes. No disponen de grandes exigencias de hardware y son fácilmente instalables, disponiendo de interfaces de usuario amigables.

Nivel 3 Define las actividades de control de flujo para crear los productos finales, el mantenimiento y la optimización del proceso productivo. Nivel 4 Define las actividades de alto nivel relacionadas con la organización, engloba los procesos económicos y logísticos.

Ataques a infraestructuras críticas a través de servicios SHODAN y SCADA

35

Máster Universitario en Seguridad Informática

Alvaro Martín Quílez

4. SHODAN 4.1. Introducción Shodan es un motor de búsqueda aparecido en 2009 y desarrollado por John Matherly, un experto en seguridad informática suizo. Al contrario que buscadores clásicos, como Google o Bing, que localizan páginas web, Shodan es un motor de búsqueda de dispositivos conectados a Internet. Utilizado por el proyecto SHINE (SHodan INtelligence Extraction) para recolectar datos sobre dispositivos ICS en el periodo que abarca abril de 2012 y enero de 2014, se descubrieron más de dos millones de dispositivos conectados, incluyendo dispositivos de control, dispositivos de apoyo, equipos de ingeniería médica, dispositivos convertidores de señal serie a Ethernet y demás. A partir de octubre de 2015 proporciona información sobre dispositivos accesibles por IPv6, aunque el número de resultados es muy inferior al de dispositivos sobre IPv4, debido al menor número de sistemas que lo emplean. Dispone de tres versiones, una versión libre para usuarios no registrados con las capacidades de filtros limitadas. Otra versión para usuarios registrados en la que aparecen más resultados (50), se pueden utilizar mayor cantidad de filtros y se dispone de una API de desarrollo. Y por último, una versión para usuarios de pago, sin limitaciones (10000 resultados). Los resultados de las búsquedas proporcionan gran información, desde la localización geográfica aproximada, los datos generales sobre el proveedor de servicios, y los puertos junto los servicios que corren en ellos y la respuesta ofrecida por el servicio a la petición del motor. Permite la descarga de resultados en varios formatos y la realización de informes sobre los resultados obtenidos de manera sencilla, conteniendo gráficos para una mejor vista sobre cómo los resultados se distribuyen a través de Internet. Proporciona una base de datos de búsquedas ya realizadas por usuarios que las comparten para la comunidad y entre sus funcionalidades también dispone de un servicio de búsqueda de vulnerabilidades conocidas y de los correspondientes exploits existentes, siendo muy útil para la realización de test de penetración, obteniéndose de CVE (Common Vulnerabilities and Exposures), Exploit DB y Metasploit.

Ilustración 10: Interfaz de SHODAN Fuente: www.shodan.io

Ataques a infraestructuras críticas a través de servicios SHODAN y SCADA

36

Máster Universitario en Seguridad Informática

Alvaro Martín Quílez

Como herramientas externas proporciona una interfaz de línea de comandos en la librería oficial de Python para Shodan, con gran versatilidad sin tener que usar el entorno web. Dispone de integración con Maltego para la visualización y correlación de datos y de sendas extensiones para los navegadores Firefox y Chrome. La característica más destacada es que posee un apartado especial para sistemas de control industrial, en base a los resultados obtenidos en el proyecto SHINE se descubrieron unas 7200 infraestructuras críticas sobre medio millón de resultados en los Estados Unidos de América, proporcionando gran información sobre diferentes protocolos y puertos utilizados por este tipo de sistemas.

4.2. Características Como se ha comentado anteriormente el motor de búsqueda localiza dispositivos a través de los servicios que ofrecen, para ello hace uso de las cabeceras de respuesta de los mismos a través de peticiones. Estas cabeceras proporcionan información textual que describe el servicio que ofrece el dispositivo, el contenido de la misma varía considerablemente en función del servicio. No es igual una cabecera HTTP, que FTP o de un protocolo de un sistema industrial.

Ilustración 11: Cabecera HTTP Fuente: www.shodan.io

Ilustración 12: Cabecera dispositivo PLC

Ataques a infraestructuras críticas a través de servicios SHODAN y SCADA

37

Máster Universitario en Seguridad Informática

Alvaro Martín Quílez

Fuente: www.shodan.io

Junto a la cabecera principal graba metadatos sobre el dispositivo como las propiedades HTTP cuando encuentra una respuesta adecuada que no redirige a un protocolo seguro, datos de geolocalización, número de sistema autónomo, direcciones IP, puertos, sistema operativo, lista de etiquetas que describen el propósito del dispositivo (sólo en la versión empresarial), protocolo de transporte utilizado, propiedades SSH, SSL, ISAKMP si aplican.

Ilustración 13: Información sobre dispositivo Fuente: www.shodan.io

Una de las características fundamentales es el empleo de filtros, los filtros nos permiten restringir y focalizar las búsquedas para un mejor desempeño de un test de penetración. Los más usuales son los siguientes: 

after y before, muestra resultados recolectados por encima o por debajo de la fecha dada.



asn, número de sistema autónomo.



category, categorías disponibles (ics, malware).



city, nombre de la ciudad.



country, dos letras que identifican el país.



html, busca en el código HTML.



net, rango de red.



os, sistema operativo.



port, puerto del servicio.



product, nombre del software que proporciona la cabecera.



title, busca en la etiqueta “title” del código HTML.

Ataques a infraestructuras críticas a través de servicios SHODAN y SCADA

38

Máster Universitario en Seguridad Informática 

version, versión del producto.



vuln, identificador CVE de una vulnerabilidad.

Alvaro Martín Quílez

También se disponen de filtros especiales para los protocolos HTTP, NTP, SSL y Telnet. La forma más sencilla de comenzar a utilizar el buscador es a través de la función Explore del menú principal, que nos lleva a una base de datos de búsquedas de otros usuarios, con un apartado para sistemas de control industrial, en los que se incluyen apartados específicos para diferentes protocolos.

Ilustración 14: Protocolos ICS en Shodan Fuente: www.shodan.io

Realizando una pequeña búsqueda sobre dispositivos industriales en España nos hacemos una idea del número de dispositivos conectados y las diferentes estadísticas que nos muestra.

Ataques a infraestructuras críticas a través de servicios SHODAN y SCADA

39

Máster Universitario en Seguridad Informática

Alvaro Martín Quílez

Ataques a infraestructuras críticas a través de servicios SHODAN y SCADA

40

Máster Universitario en Seguridad Informática

Alvaro Martín Quílez

Ilustración 15: Dispositivos ICS en España Fuente: www.shodan.io

Filtrando un poco la búsqueda y eliminando los protocolos más comunes que corren en los mismos puertos eliminamos pocos dispositivos, por lo que la mayoría de los sistemas corren protocolos ICS inseguros.

Ilustración 16: Dispositivos ICS en España Fuente: www.shodan.io

Una vez vistas las características del buscador vamos a realizar varias pruebas de concepto para mostrar la potencia del mismo.

Ataques a infraestructuras críticas a través de servicios SHODAN y SCADA

41

Máster Universitario en Seguridad Informática

Alvaro Martín Quílez

PoC: PLC’s de OMRON Omron es un fabricante de productos de automatización industrial, componentes electrónicos y tecnología para la industria médica. La conexión por defecto que emplean los controladores programables es el puerto 9600. Realizando una búsqueda obtenemos 969 registros.

Ilustración 17: PLC's de OMRON Fuente: www.shodan.io

Muchos de los cuales disponen de página de autenticación, por lo que se puede intentar un ataque de fuerza bruta, en caso de que no haya límite de intentos, o probar con el usuario y contraseña por defecto.

Ilustración 18: Detalles dispositivo Fuente: www.shodan.io

PoC: Contador de energía PowerLogic EM4800 Los contadores de energía PowerLogic EM4800, de múltiples circuitos para redes de alta densidad, son fabricados por Schneider Electric para gestionar la energía eléctrica. Tienen un dispositivo que se comunica mediante el protocolo BacNET. Realizando una búsqueda por PowerLogic nos salen 38 resultados.

Ataques a infraestructuras críticas a través de servicios SHODAN y SCADA

42

Máster Universitario en Seguridad Informática

Alvaro Martín Quílez

Ilustración 19: Resultados PowerLogic Fuente: www.shodan.io

Observamos que uno emplea este protocolo. Si accedemos a las características del mismo podemos observar que también ofrece un servidor web y varios dispositivos que emplean el protocolo Modbus.

Ataques a infraestructuras críticas a través de servicios SHODAN y SCADA

43

Máster Universitario en Seguridad Informática

Alvaro Martín Quílez

Ilustración 20: Características PowerLogic Fuente: www.shodan.io

Podemos comprobar que no dispone de autenticación y nos permite acceder a la página de gestión del dispositivo con sus diferentes opciones.

Ilustración 21: Servidor Web PowerLogic

PoC: Dispositivos Modbus con página de autenticación sin cifrado Realizando una búsqueda mediante los puertos 502 y 80 obtenemos numerosos resultados.

Ataques a infraestructuras críticas a través de servicios SHODAN y SCADA

44

Máster Universitario en Seguridad Informática

Alvaro Martín Quílez

Ilustración 22: Dispositivos Modbus con puerto 80 Fuente: www.shodan.io

Seleccionamos uno de ellos y vemos sus características.

Ilustración 23: Dispositivo Schneider Electric BMX P34 2020 Fuente: www.shodan.io

Si accedemos a la página web comprobamos que no dispone de cifrado para la autenticación de los usuarios, por lo que se podrían obtener las credenciales al mandarse en texto en claro.

Ataques a infraestructuras críticas a través de servicios SHODAN y SCADA

45

Máster Universitario en Seguridad Informática

Alvaro Martín Quílez

Ilustración 24: Página de autenticación sin cifrado

PoC: Dispositivos SCADA con servidor web Realizando una búsqueda con la palabra scada en la cabecera html y mediante el puerto 8080 obtenemos 17 dispositivos.

Ataques a infraestructuras críticas a través de servicios SHODAN y SCADA

46

Máster Universitario en Seguridad Informática

Alvaro Martín Quílez

Ilustración 25: Dispositivos SCADA con puerto 8080 Fuente: www.shodan.io

Si filtramos los dos que corren Microsoft IIS y comprobamos los detalles de los mismos, podemos observar que uno de ellos corre un escritorio remoto basado en Microsoft Windows XP, susceptible a múltiples ataques y sin soporte.

Ataques a infraestructuras críticas a través de servicios SHODAN y SCADA

47

Máster Universitario en Seguridad Informática

Alvaro Martín Quílez

Ilustración 26: Escritorio remoto XP Fuente: www.shodan.io

Y un servidor web.

Ataques a infraestructuras críticas a través de servicios SHODAN y SCADA

48

Máster Universitario en Seguridad Informática

Alvaro Martín Quílez

Ilustración 27: Servidor web Fuente: www.shodan.io

Que nos da acceso al panel de información de varios depósitos de tratamiento de aguas en Vielha.

Ataques a infraestructuras críticas a través de servicios SHODAN y SCADA

49

Máster Universitario en Seguridad Informática

Alvaro Martín Quílez

Ilustración 28: Panel de información SCADA

PoC: Dispositivos Modbus y router con contraseña por defecto Realizamos una búsqueda de dispositivos Modbus mediante el puerto 8080 obteniendo 1161 dispositivos.

Ilustración 29: Dispositivos con puerto 502 Fuente: www.shodan.io

Filtramos la búsqueda por organización.

Ataques a infraestructuras críticas a través de servicios SHODAN y SCADA

50

Máster Universitario en Seguridad Informática

Alvaro Martín Quílez

Ilustración 30: Dispositivos filtrados Fuente: www.shodan.io

Buscamos uno con servidor HTTP seguro embebido en el dispositivo.

Ilustración 31: Servidor HTTPS embebido Fuente: www.shodan.io

Si accedemos a la página comprobamos que es el servidor de un router D-Link DSR500N.

Ataques a infraestructuras críticas a través de servicios SHODAN y SCADA

51

Máster Universitario en Seguridad Informática

Alvaro Martín Quílez

Ilustración 32: Pantalla acceso DSR-500N

Realizando una pequeña búsqueda en Google comprobamos que el usuario y la contraseña por defecto es admin.

Ilustración 33: Usuario y contraseña DSR-500N Fuente: www.setuprouter.com

Se podría intentar lograr acceso al dispositivo mediante las credenciales por defecto, en caso de que no se hubieran cambiado nos encontraríamos con la página de configuración del dispositivo.

Ataques a infraestructuras críticas a través de servicios SHODAN y SCADA

52

Máster Universitario en Seguridad Informática

Alvaro Martín Quílez

Ilustración 34: Pantalla control DSR-500N

PoC: Anybus X-gateway de HMS Industrial Networks AB HMS desarrolla soluciones de conectividad para dispositivos y sistemas en redes industriales, las puertas de enlace Anybus X-gateway están diseñadas para su uso en plantas de automatización industrial para la conectividad de dispositivos Modbus y TCP/IP. Realizando una búsqueda de los servidores web integrados que llevan los dispositivos (HMS AnyBus-S WebServer) obtenemos 52 resultados.

Ilustración 35: Dispositivos de HMS Fuente: www.shodan.io

Filtramos por servidor web en el puerto 8080 y nos quedan dos resultados.

Ataques a infraestructuras críticas a través de servicios SHODAN y SCADA

53

Máster Universitario en Seguridad Informática

Alvaro Martín Quílez

Ilustración 36: Dispositivos filtrados Fuente: www.shodan.io

Accedemos a las características del primero y vemos que dispone de servicios en puertos Modbus (502) y servidores web (80, 8080, 8081).

Ilustración 37: Servicios dispositivo Fuente: www.shodan.io

Y un servidor activo en el puerto 8080.

Ataques a infraestructuras críticas a través de servicios SHODAN y SCADA

54

Máster Universitario en Seguridad Informática

Alvaro Martín Quílez

Ilustración 38: Servidor HTTP embebido Fuente: www.shodan.io

Si accedemos a la página comprobamos que nos da acceso a las distintas opciones que posee.

Ilustración 39: HMS AnyBus-S WebServer

Entre ellas la de la configuración de la red interna.

Ataques a infraestructuras críticas a través de servicios SHODAN y SCADA

55

Máster Universitario en Seguridad Informática

Alvaro Martín Quílez

Ilustración 40: Configuración de red

PoC: Pass-the-Hass con dispositivos Scada de Honeywell Los controladores Honeywell XL Web son sistemas Scada basados en web utilizados en industrias críticas sobre todo en Europa y el Medio Este. Existe una vulnerabilidad documentada en el año 2014 que permite a un atacante lograr acceso al dispositivo con permisos de administrador sin conocer el usuario ni la contraseña. Las versiones afectadas son FALCON Linux 2.04.01, FALCON XLWebExe 2.02.11 y anteriores. Mediante una herramienta como OWASP ZAP intentamos acceder al dispositivo capturando la respuesta de las credenciales introducidas, así se obtiene el resumen MD5 de los datos introducidos y la forma de obtenerlo. Usuario=MD5 (UsuarioIntroducido) Contraseña=MD5 (IDSesion + UsuarioIntroducido + MD5 (ContraseñaIntroducida)) Mediante una petición GET de HTTP logramos un token de sesión válido y obteniendo el resumen MD5 del usuario administrador por defecto SystemAdmin creamos una petición POST para utilizar con la técnica Pass-the-Hass y lograr acceso al dispositivo. Utilizando una sencilla búsqueda podemos comprobar que todavía existen seis dispositivos vulnerables en nuestro país.

Ataques a infraestructuras críticas a través de servicios SHODAN y SCADA

56

Máster Universitario en Seguridad Informática

Alvaro Martín Quílez

Ilustración 41: Dispositivos Honeywell vulnerables Fuente: www.shodan.io

Si accedemos a uno de ellos podemos comprobar cómo la conexión no se encuentra cifrada.

Ilustración 42: Dispositivo vulnerable

PoC: Exploits de Shodan sobre servicio FTP en DNP3 Realizando una búsqueda de dispositivos ics sobre DNP3 observamos que existen servicios de ftp sobre el puerto 20000 utilizado por DNP3.

Ataques a infraestructuras críticas a través de servicios SHODAN y SCADA

57

Máster Universitario en Seguridad Informática

Alvaro Martín Quílez

Ilustración 43: Dispositivos DNP3 Fuente: www.shodan.io

Ataques a infraestructuras críticas a través de servicios SHODAN y SCADA

58

Máster Universitario en Seguridad Informática

Alvaro Martín Quílez

El producto ProFTPD aparece en 146 ocasiones por lo que buscamos en Shodan algún exploit para el mismo.

Ilustración 44: Exploits ProFTPD Fuente: www.shodan.io

Y el primero que nos aparece es un módulo de Metasploit para una puerta trasera que se añadió en la versión 1.3.3, procedemos a filtrar la búsqueda de los dispositivos que tengan esa versión del producto y aparece un resultado que sería vulnerable a este ataque.

Ilustración 45: Dispositivo vulnerable Fuente: www.shodan.io

PoC: Múltiples vulnerabilidades en dispositivos Solar-Log Los dispositivos Solar-Log son sistemas empleados para la monitorización y gestión de plantas fotovoltaicas fabricados por la empresa Solare Datensysteme GmbH. En enero de 2017 un investigador de SEC Consult Vulnerability Lab llamado Weber descubrió varias vulnerabilidades que afectan a los dispositivos Solar-Log 250/300/500/800e/1000/1000

Ataques a infraestructuras críticas a través de servicios SHODAN y SCADA

59

Máster Universitario en Seguridad Informática

Alvaro Martín Quílez

PM+/1200/2000, con versiones de firmware 3.5.2-85 y 2.8.4-56. Debido a estas vulnerabilidades un atacante remoto puede conseguir información de autenticación de los dispositivos, realizar ataques de denegación de servicio, cambiar la configuración de la red y reprogramar la memoria sin autenticar, subir cualquier tipo de fichero al dispositivo, y hacerse con el control de un dispositivo mediante Cross-Site Request Forgery (CSRF). Las vulnerabilidades se encuentran subsanadas en la versión 3.5.3-86 del firmare, pero se pueden localizar todavía dispositivos sin actualizar. Mediante una búsqueda comprobamos que existen en nuestro país tres dispositivos de este tipo.

Ilustración 46: Dispositivos Solar-Log Fuente: www.shodan.io

Miramos las características del primero de ellos.

Ataques a infraestructuras críticas a través de servicios SHODAN y SCADA

60

Máster Universitario en Seguridad Informática

Alvaro Martín Quílez

Ilustración 47: Características dispositivo Fuente: www.shodan.io

Comprobando que dispone de servicios en varios puertos.

Ilustración 48: Servicios dispositivo Fuente: www.shodan.io

Accedemos al servidor de configuración del dispositivo, observamos que es un dispositivo Solar-Log 2000, que podría ser vulnerable.

Ataques a infraestructuras críticas a través de servicios SHODAN y SCADA

61

Máster Universitario en Seguridad Informática

Alvaro Martín Quílez

Ilustración 49: Página de configuración

Nos dirigimos al apartado de información del sistema y vemos que la versión del firmware es una de las indicadas, no ha sido actualizada por lo que es vulnerable a los ataques descritos.

Ilustración 50: Información del sistema

PoC: Utilización de productos discontinuados Comprobando los avisos de seguridad emitidos podemos ver que aparecen vulnerabilidades en dispositivos que no se parchean, el producto deja de mantenerse pero en numerosas

Ataques a infraestructuras críticas a través de servicios SHODAN y SCADA

62

Máster Universitario en Seguridad Informática

Alvaro Martín Quílez

ocasiones no se sustituye. A finales de mayo de 2017 el CERTSI informaba de múltiples vulnerabilidades críticas en dispositivos OnCell de Moxa, son módems de comunicación empleados en la industria para conectar dispositivos serie y Ethernet ofreciendo comunicación a través de redes celulares. En este aviso se especifica que los productos OnCell

G31x0-HSDPA

y

OnCell

5x04-HSDPA

están

siendo

discontinuados,

la

recomendación es deshabilitar HTTP para acceder a la web UI y emplear HTTPS o Telnet. Las vulnerabilidades son explotables remotamente y permiten obtener los ficheros que almacenan las contraseñas en claro y utilizar la fuerza bruta para acceder a la aplicación. Mediante una búsqueda del producto G3110 HSDPA podemos observar que existe en nuestro país un dispositivo con el puerto 80 abierto.

Ilustración 51: Dispositivos G3110-HSDPA Fuente: www.shodan.io

Vemos las características del dispositivo para comprobar los servicios que ofrece.

Ataques a infraestructuras críticas a través de servicios SHODAN y SCADA

63

Máster Universitario en Seguridad Informática

Alvaro Martín Quílez

Ilustración 52: Características dispositivo Fuente: www.shodan.io

Comprobamos que muestra servicios en puertos vulnerables, como el puerto 80.

Ilustración 53: Servicios dispositivo Fuente: www.shodan.io

Y el puerto 8080.

Ataques a infraestructuras críticas a través de servicios SHODAN y SCADA

64

Máster Universitario en Seguridad Informática

Alvaro Martín Quílez

Ilustración 54: Servicios dispositivo Fuente: www.shodan.io

Para finalmente comprobar que es vulnerable a los ataques.

Ilustración 55: Servidor de autenticación en puerto 80

Ataques a infraestructuras críticas a través de servicios SHODAN y SCADA

65

Máster Universitario en Seguridad Informática

Alvaro Martín Quílez

Ilustración 56: Servidor en puerto 8080

Ataques a infraestructuras críticas a través de servicios SHODAN y SCADA

66

Máster Universitario en Seguridad Informática

Alvaro Martín Quílez

5. Conclusiones En el presente capítulo exponemos los resultados finales obtenidos con la realización del proyecto, así como los trabajos futuros a realizar para mejorar el piloto. A través de estos resultados se muestran los objetivos que se han logrado en comparación con los objetivos que se marcaron al inicio del proyecto. Los trabajos futuros muestran las acciones a tomar en cuenta para la mejora de la idea inicial.

5.1. Resultados De acuerdo a los objetivos que se marcaron al inicio del trabajo a continuación se exponen los resultados logrados: 

Se ha llevado a cabo una investigación sobre los ataques más importantes realizados sobre infraestructuras críticas, estableciendo una línea temporal sobre la evolución seguida en su desarrollo.



Se han analizado diferentes protocolos de comunicaciones empleados en este tipo de sistemas y sus vulnerabilidades asociadas.



Se ha realizado un estudio sobre los diferentes tipos de elementos que componen estos sistemas.



Se han investigado dispositivos concretos junto a sus vulnerabilidades asociadas.



Se ha demostrado la viabilidad del motor de búsqueda Shodan como una herramienta válida para la realización de test de penetración.

Mediante el análisis de las conclusiones obtenidas, y en función de los objetivos marcados, podemos asegurar que el número de dispositivos conectados que se utilizan en infraestructuras críticas ha aumentado considerablemente, unido a la falta de seguridad en los protocolos de comunicaciones empleados junto a la escasa seguridad que muestran dichos dispositivos, hace que el empleo de motores de búsqueda especializados se convierta en una herramienta valiosa para la realización de auditorías en dichos sistemas.

5.2. Trabajos futuros .En este apartado mostramos las líneas futuras que se pueden seguir para la mejora del piloto: 

Utilización de la funcionalidad completa que proporciona el buscador, como la API de desarrollo, para mejorar los resultados en las auditorías.



Investigar acerca del empleo de herramientas especializadas en la detección y explotación de vulnerabilidades en redes industriales.

Ataques a infraestructuras críticas a través de servicios SHODAN y SCADA

67

Máster Universitario en Seguridad Informática 

Alvaro Martín Quílez

Explorar la implementación de mecanismos de seguridad para la securización de infraestructuras críticas.

Ataques a infraestructuras críticas a través de servicios SHODAN y SCADA

68

Máster Universitario en Seguridad Informática

Alvaro Martín Quílez

6. Referencias Murphy, M. (2010, 1 de Julio). War in the fifth domain. The Economist. Edición digital. Recuperado

el

4

de

Marzo

de

2017

de

http://www.economist.com/node/16478792?story_id=16478792 Jeter, C. (2011). From sci-fi to Stuxnet: Exploding gas pipelines and the Farewell Dossier. SC Magazine US. Recuperado el 4 de Marzo de 2017 de https://www.scmagazine.com/fromsci-fi-to-stuxnet-exploding-gas-pipelines-and-the-farewell-dossier/article/558197/ Hacker Takes Over Russian Gas System. The Repository of Industrial Security Incidents. Recuperado el 4 de Marzo de 2017 de http://www.risidata.com/Database/Detail/hackertakes-over-russian-gas-system Maroochy Shire Sewage Spill. The Repository of Industrial Security Incidents. Recuperado el 4 de Marzo de 2017 de http://www.risidata.com/Database/Detail/maroochy-shire-sewagespill Julián, G. (2013, 2 de Diciembre). Stuxnet: historia del primer arma de la ciberguerra. Genbeta.

Recuperado

el

4

de

Marzo

de

2017

de

https://www.genbeta.com/seguridad/stuxnet-historia-del-primer-arma-de-la-ciberguerra Delgado, L. (2012, 30 de Mayo). Todo sobre FLAME (qué es y cómo detectarlo). Security by Default.

Recuperado

el

5

de

Marzo

de

2017

de

http://www.securitybydefault.com/2012/05/todo-sobre-flame-que-es-y-como.html Cherepanov, A. y Lipovsky, R. (2016, 5 de Junio). El troyano BlackEnergy ataca a una planta de energía eléctrica en Ucrania. WeLiveSecurity. Recuperado el 5 de Marzo de 2017 de

http://www.welivesecurity.com/la-es/2016/01/05/troyano-blackenergy-ataca-planta-

energia-electrica-ucrania/ Russon, M. A. (2016, 23 de Marzo). Hackers hijacking water treatment plant controls shows how easily civilians could be poisoned. International Business Times. Recuperado el 5 de marzo

de

2017

de

http://www.ibtimes.co.uk/hackers-hijacked-chemical-controls-water-

treatment-plant-utility-company-was-using-1988-server-1551266 Schearer, M. (2010). SHODAN for Penetration Testers. Recuperado el 22 de Marzo de 2017 de

https://www.defcon.org/images/defcon-18/dc-18-presentations/Schearer/DEFCON-18-

Schearer-SHODAN.pdf

Ataques a infraestructuras críticas a través de servicios SHODAN y SCADA

69

Máster Universitario en Seguridad Informática

Alvaro Martín Quílez

¿Qué es Shodan? El buscador, al descubierto. Yolanda Corral. (07/02/2017). [Video]. Recuperado el 22 de Marzo de 2017 de https://www.youtube.com/watch?v=wV6hYcD7a2g McMillen, D. (2016, 27 de Diciembre). Attacks Targeting Industrial Control Systems (ICS) Up 110

Percent.

Security Intelligence.

Recuperado

el

23

de

Marzo

de

2017

de

https://securityintelligence.com/attacks-targeting-industrial-control-systems-ics-up-110percent/ Protección de Infraestructuras Críticas 2011. S2 Grupo. Recuperado el 23 de Marzo de 2017 de https://s2grupo.es/wp-content/uploads/2017/01/Informe_PIC2011_S2Grupo.pdf Protección de Infraestructuras Críticas. 4º informe técnico. S2 Grupo. Recuperado el 23 de Marzo de 2017 de https://s2grupo.es/wp-content/uploads/2017/01/PROTECCI%C3%93NDE-INFRAESTRUCTURAS-CR%C3%8DTICAS-4%C2%BA-INFORME-T%C3%89CNICOWEB..pdf Ley Orgánica 1/2015, de 30 de Marzo, por la que se modifica la Ley Orgánica 10/1995, de 23 de Noviembre, del Código Penal, 27124, de 31 de Marzo de 2015. Ley Orgánica 8/2011, de 28 de Abril, de Protección de Infraestructuras Críticas, 102, de 29 de Abril de 2011. ¿Qué es una Infraestructura Crítica? Preguntas Frecuentes. CNPIC. Recuperado el 24 de Marzo

de

2017

de

http://www.cnpic.es/Preguntas_Frecuentes/Que_es_una_Infraestructura_Critica/index.html Directiva 2008/114/CE, de 8 de Diciembre, sobre la Identificación y Designación de Infraestructuras Críticas Europeas y la Evaluación de la Necesidad de Mejorar su Protección, de 8 de Diciembre de 2008. Modbus Application Protocol Specification. Modbus Organization. Recuperado el 25 de Marzo de 2017 de http://modbus.org/docs/Modbus_Application_Protocol_V1_1b3.pdf Collantes, M. H. y Padilla, A. L. (2015, Mayo). Protocolos y seguridad de red en infraestructuras

SCI.

INCIBE.

Recuperado

el

25

de

Marzo

de

2017

de

https://www.incibe.es/extfrontinteco/img/File/intecocert/ManualesGuias/incibe_protocolos_se guridad_red_sci.pdf Desmontando

Modbus.

INCIBE.

Recuperado

el

25

de

Marzo

de

2017

https://www.certsi.es/blog/desmontando-modbus

Ataques a infraestructuras críticas a través de servicios SHODAN y SCADA

70

de

Máster Universitario en Seguridad Informática

Alvaro Martín Quílez

Profibus Technology. Profibus International. Recuperado el 26 de Marzo de 2017 de http://www.profibus.com/technology/ Profibus. Real Time Automation Inc. Recuperado el 26 de Marzo de 2017 de http://www.rtaautomation.com/technologies/profibus/ Características y seguridad en Profinet. INCIBE. Recuperado el 26 de Marzo de 2017 de https://www.certsi.es/blog/caracteristicas-y-seguridad-profinet Overview of the DNP3 Protocol. DNP Users Group. Recuperado el 26 de Marzo de 2017 de https://www.dnp.org/Pages/AboutDefault.aspx The Common Industrial Protocol. ODVA. Recuperado el 26 de Abril de 2017 de https://www.odva.org/Technology-Standards/Common-Industrial-Protocol-CIP/Overview Inter-Control Center Communications Protocol: Threats to Data Security and Potential Solutions.

EPRI.

Recuperado

el

27

de

Abril

de

2017

de

https://scadahacker.com/library/Documents/ICS_Vulnerabilities/EPRI%20%20ICCP%20Protocol%20%20Threats%20to%20Data%20Security%20and%20Potential%20Solutions.pdf Technical Introduction and Overview. EtherCAT Technology Group. Recuperado el 8 de Mayo de 2017 de https://www.ethercat.org/en/technology.html What

is

OPC?

OPC

Foundation.

Recuperado

el

8

de

Mayo

de

2017

de

https://opcfoundation.org/about/what-is-opc/ Brandl, D. (2008, 19 de Mayo). What is ISA-95. BR&L Consulting. Recuperado el 10 de Mayo de 2017 de http://apsom.org/docs/T061_isa95-04.pdf What is Distributed Control System. Electrical Technology. Recuperado el 11 de Mayo de 2017 de http://www.electricaltechnology.org/2016/08/distributed-control-system-dcs.html Strauss, C. (2003). Capítulo 5: Remote substation access and local intelligence. En Newnes, (1ª Ed.), Practical Electrical Network Automation and Communication Systems (pp. 48-50). Amsterdam: Elsevier González, C. (2015, 1 de Junio). Engineering Essentials: What Is A Programmable Logic Controller?

Machine

Design.

Recuperado

el

17

de

Mayo

de

2017

http://www.machinedesign.com/engineering-essentials/engineering-essentials-whatprogrammable-logic-controller

Ataques a infraestructuras críticas a través de servicios SHODAN y SCADA

71

de

Máster Universitario en Seguridad Informática

Alvaro Martín Quílez

Qué es un PAC. Sistemas Industriales Beckhoff. Recuperado el 17 de Mayo de 2017 de http://www.logicelectronic.com/BECKHOFF/Que%20es%20un%20PAC.htm Remote Terminal Unit (RTU). Techopedia. Recuperado el 17 de Mayo de 2017 de https://www.techopedia.com/definition/1033/remote-terminal-unit-rtu Herrero, M. (2015, 17 de Febrero). La problemática de la ciberseguridad para los profesionales de los sistemas de control industrial. CERTSI. Recuperado el 18 de Mayo de 2017 de https://www.certsi.es/blog/cert-ciberseguridad Human-Machine Interface (HMI). TechTarget. Recuperado el 18 de Mayo de 2017 de http://whatis.techtarget.com/definition/human-machine-interface-HMI ICS. Quizlet. Recuperado el 18 de Mayo de 2017 de https://quizlet.com/6442033/ics-flashcards/ Sistemas SCADA. Autómatas Industriales. Recuperado el 22 de Mayo de 2017 de http://www.automatas.org/redes/scadas.htm Matherly, J. (2016). Complete Guide to Shodan. Canadá: Leanpub SCADA StrangeLove Default/Hardcoded Passwords List. Recuperado el 6 de Junio de 2017 de https://github.com/scadastrangelove/SCADAPASS PowerLogic Series EM4800. Configuration Guide. Recuperado el 7 de Junio de 2017 de http://azzo.com.au/wp-content/uploads/2015/01/EM4800_User-Manual.pdf Cherepanov, A. (2016, 12 de Junio). Win32/Industroyer. A new threat for industrial control systems.

WeLiveSecurity.

Recuperado

el

19

de

Junio

de

2017

de

https://www.welivesecurity.com/wp-content/uploads/2017/06/Win32_Industroyer.pdf Carlsson, O. (2014, 30 de Septiembre). CVE-2014-2717: Attacking the Honeywell Falcon XLWeb. Outpost24. Recuperado el 19 de Junio de 2017 de https://www.outpost24.com/cve2014-2717-attacking-honeywell-falcon-xlweb Weber, T. (2017, 23 de Enero). Multiple vulnerabilities. SEC Consult Vulnerability Lab Security

Advisory.

Recuperado

el

5

de

Julio

de

2017

de

https://www.sec-

consult.com/fxdata/seccons/prod/temedia/advisories_txt/201703220_Solare_Datensysteme_SolarLog_Multiple_vulnerabilities_v10.txt

Ataques a infraestructuras críticas a través de servicios SHODAN y SCADA

72

Máster Universitario en Seguridad Informática

Alvaro Martín Quílez

CERTSI (2017, 24 de Mayo). Múltiples vulnerabilidades en dispositivos OnCell de Moxa. Recuperado el 6 de Julio de 2017 de https://www.certsi.es/alerta-temprana/avisossci/multiples-vulnerabilidades-dispositivos-oncell-moxa

Ataques a infraestructuras críticas a través de servicios SHODAN y SCADA

73

Ataques A Infraestructuras Críticas A Través De Servicios Shodan Y Scada

Overview

More details

Related Documents

Servicios-a-la-comunidad-practico.pdf

Servicios A La Comunidad Tema

Scada

Scada

Agarres Y Ataques En Aikido

Tema 32 Servicios A La Comunidad

More Documents from "raulsifredy"

Isa 101

-biologia-de-la-piel-cordero.pdf

Derecho Penal Parte Genaral Casos Practicos

150 Phrasal Verbs With Traduction And Examples