4 sistemas scada - galeon.comgaleon.com/mayosorio/parte8.pdf · scada los usuarios pueden acceder a...
TRANSCRIPT
106
4 Sistemas SCADA
Los Usuarios pueden acceder a los datos de forma rápida y sencilla, pudiendo realizar sus propias estructuras de interrogación (queries) y obtener los datos adecuados a sus necesidades para su posterior tratamiento (hojas de cálculo, documentación, etc.) - Aplicaciones El efecto de compartir estos datos es el de “afinar” el negocio, pues la empresa podrá adecuar sus acciones al estado real del sistema. Pensemos, por ejemplo, en una empresa que controle el tratamiento de aguas en una ciudad, podrá ver el estado real del suministro, adecuando sus acciones a las necesidades reales de los clientes, consiguiendo así optimizar sus costes y mejorar su calidad. La combinación de los dos mundos pone al alcance de cualquiera los datos de producción, por ejemplo. Nada más sencillo que integrarlos en una hoja de cálculo y enviarlos por correo electrónico. Ahora todo se basa en los estándares, las comunicaciones, el control, las bases de datos, etc.… El problema es que estos estándares están al alcance de todo el mundo, y también pueden hacerse servir para obtener datos de manera irregular. Si se conoce un protocolo, es fácil emularlo y robar información. Generalmente, los requerimientos de seguridad han sido siempre más elevados en el entorno ofimático, por lo cual, el equipamiento Scada debe “ponerse al día”. Las tareas de mantenimiento de usuarios, la rotación de contraseñas, los niveles de seguridad requeridos para cada tarea, etc.
4.2 Intrusión en sistemas de control La norma IEEE 1402-2000, “Guide for Electric Power Substation Physical and Electronic Security”, ya contempla los riesgos informáticos como problemas comunes de los equipos de control y monitorización, y hace hincapié en la necesidad de implantar sistemas de seguridad orientados a impedir las intrusiones de tipo electrónico. En cuanto a los destinatarios de los problemas, podemos clasificarlos en función de su cometido dentro del sistema. - El Sistema Maestro El Sistema Maestro, dentro de un sistema Scada, cumple el cometido de procesar la información proveniente de la red de automatización, y presentarla de una manera comprensible al Operador mediante representaciones gráficas y numéricas. Se trata del cerebro de la instalación de control y supervisión, y se le supone acceso ilimitado a todos y cada uno de los componentes del sistema, locales o remotos. Su interés estratégico dentro de la estructura de control es evidente. La realización física de un sistema Scada, su topología, puede consistir en un ordenador unido directamente al elemento de control en una Planta de fabricación (peer to peer, punto a punto), o en una serie de sistemas con elementos maestros de supervisión, dentro de otros, más extensos, que los coordinen. En los ordenadores del centro de control se ubicarán los paquetes de software que tendrán el cometido de adquirir, gestionar, evaluar, y presentar los datos.
107
4Sistemas SCADA
Según la estructura del control, los problemas también son de diferente índole: - Sistemas Centralizados
Los sistemas centralizados consisten, básicamente, en Unidades Centrales de gran potencia que controlan y gestionan directamente todos los parámetros del proceso y en equipos remotos sin autonomía, que solamente interpretan las órdenes que reciben desde el centro de control.
- Sistemas distribuidos
Este tipo de estructura se basa en la disgregación del control en pequeñas unidades de mando con autonomía para tomar cierto tipo de decisiones.
Fig. 4.2 Intrusos en el Control Central (MTU)
- Las Estaciones Remotas (RTU) Son los equipos encargados de la adquisición de datos y el control de Planta, así como la comunicación con el sistema Maestro. También se les conoce como subestaciones. Los Autómatas Programables, Registradores, Controladores, Reguladores, y demás equipamiento con capacidad de autogestión, también llamados IED (Intelligent Electronic Devices) entran también dentro de la categoría RTU, debido a las capacidades de comunicación integradas, o integrables, en la mayoría de ellos. Hoy en día, prácticamente cualquier autómata de gama media tiene la opción de incorporar, si no lo lleva ya, cartas procesadoras de comunicaciones con los principales buses de campo del mercado. Como ejemplo de un IED, en la fotografía se puede observar un Terminal del tipo CPX, de Festo Pneumatic. A la izquierda se encuentra el nodo de comunicación de bus de campo (Profibus, DeviceNet, Ethernet) y, hacia la derecha, se va integrando la electrónica de control (digital y analógica) y los terminales neumáticos, componiendo
108
4 Sistemas SCADA
así un Terminal de entradas y salidas remotas. Si es necesario, el nodo de comunicación puede sustituirse por un autómata programable, permitiendo entonces que el equipo tenga posibilidad de autogestión en caso de caída del canal de comunicación.
Fig. 4.3 Terminal CPX FEC, de Festo Pneumatic
El grado creciente de automatización y capacidad de mando de los equipos que ahora se consideran unidades remotas, RTU, ha hecho que también se incremente la “responsabilidad” de control delegada en estos equipos. Esto los hace más deseables como blanco de un ataque, ya sea por modificación directa de sus funciones (configuraciones mediante selectores), local (alterando su programación con una consola) o remota, a través de enlaces de comunicación mal protegidos.
Fig. 4.4 Intrusos en estaciones remotas RTU
La reciente irrupción de equipos PC con plataformas de software estándar, como Windows o Linux, provistos de tarjetas de interfase con el proceso, haciendo las funciones de estaciones remotas, conlleva el riesgo añadido de que las vulnerabilidades de los sistemas operativos son bien conocidas y pueden ser
109
4Sistemas SCADA
aprovechadas por usuarios con aviesas intenciones, por no hablar de los virus informáticos. - Los Enlaces de Comunicaciones Son los nexos de unión entre los equipos remotos (RTU) y los equipos del centro de control (MTU). Los medios de comunicación más habituales son la radio, el satélite, las líneas telefónicas, analógicas y digitales, o las conexiones vía cable.
Fig. 4.5 Intrusos en el canal de comunicación
Hasta ahora, al hablar de la seguridad de un enlace, se hacía referencia más a la capacidad de transmitir y recibir de forma fiable los datos frente a los problemas típicos del canal, que a la posibilidad de que pudiesen ser utilizados sin permiso. La seguridad debe contemplar ahora casos como el que la intrusión en una estación remota permita la entrada en otras subestaciones o en el propio sistema de control (MTU)
Fig. 4.6 IPC, PC industrial comunicado por radio
(Festo Pneumatic)
110
4 Sistemas SCADA
En la fotografía anterior se puede observar un equipo de control basado en un PC industrial, de la empresa Festo Pneumatic. Tiene capacidad de comunicación por radio mediante tecnología GSM, lo cual obliga a “pensar” cómo proteger dicho enlace ante intentos de conexión irregulares.
4.3 Puntos débiles Un aspecto destacado en la seguridad de sistemas es el de las vulnerabilidades relacionadas con la obtención o modificación de datos de funcionamiento o configuraciones de equipos. Esto puede ocurrir antes de la puesta en marcha, durante ésta, o en las tareas de mantenimiento posteriores.
4.3.1 La puesta en marcha Durante la puesta en marcha de cualquier sistema automatizado, se produce el conocido “descontrol” que los que nos hemos visto implicados alguna vez en este proceso, ya conocemos. Durante este periodo de tiempo multitud de personas convergen en los mismos espacios, haciendo muy difícil la vigilancia en busca de individuos con intereses poco amistosos, como podrían ser trabajadores insatisfechos o empresas competidoras. Es casi inevitable el acceso de muchas personas a zonas o a materiales que se pueden considerar “sensibles” o “estratégicos”.
� Personal auxiliar de montaje de subcontratas o de otras empresas que es muy fácil que campen a sus anchas por las instalaciones.
� Integradores de sistemas que pueden sentir curiosidad por otras tecnologías. � Suministradores de equipos, que quieren saber detalles técnicos de posibles
competidores. � Ingenieros que, según se dice, siempre están metidos en todas partes.
Este tipo de problemas pueden concretarse en:
� Proveedores de equipos que detectan material de la competencia y optan por sabotear el equipamiento “enemigo”.
� Trabajadores cualificados que tienen acceso de alto nivel al equipamiento y que protegen ciertas funciones con contraseñas propias.
� Integradores que colocan “bombas de tiempo” en sus programas para asegurar el cobro de los honorarios o futuros mantenimientos.
� Proveedores que modifican las especificaciones de sus equipos para que otros, de otros proveedores, bajo estas condiciones, no funcionen correctamente.
� Sobornos de personal para proporcionar contraseñas o formas de acceso externas.
� Programadores que colocan “puertas traseras” en sus aplicaciones, que permitirán accesibilidad a los sistemas.
4.3.2 Los Datos Es fácil que información comprometida pueda quedar al alcance de los usuarios no autorizados si no se establecen unas pautas de comportamiento. La información debe tener una clasificación determinada, de manera que solamente las personas con autorización suficiente puedan acceder a la misma.
111
4Sistemas SCADA
La documentación “libre”, entendida como manuales de usuario, esquemas, hojas de especificaciones, también debería estar localizada en sitios controlados, fuera del alcance de cualquier persona no autorizada. Por documentación “sensible” podemos entender: - Esquemas eléctricos, gracias a los cuales pueden determinarse los puntos
débiles de la instalación. - Planos de distribución o montaje (en las películas, los “malos” siempre consiguen
estos dos tipos de planos) - Esquemas de funcionamiento (permitirían interferir en el funcionamiento normal
del proceso) - Manuales de usuario de sistemas de control, gracias a los cuales sería posible
deducir el funcionamiento de elementos del sistema susceptibles de manipulación.
- Manuales de mantenimiento, que permiten conocer los equipos y sus características.
- Variables de proceso, mediante las cuales se pueden manipular ajustes de proceso.
- Manuales de configuración, que permitirían manipular equipamiento de las estaciones.
- Especificaciones de funcionamiento, ya que, Conociendo las características de hardware y software, puede interferirse en su funcionamiento.
- Contraseñas, por supuesto, son las llaves de casa - Bases de datos, donde se guarda información estratégica.
Toda información concerniente a la estructura de red, equipamientos, personal de mantenimiento de los sistemas y datos referentes al sistema Scada, debe tratarse como confidencial.
4.3.3 Política de Seguridad La política de seguridad es un pilar principal sobre el cual se podrán apoyar las necesidades de crecimiento, operatividad y mantenimiento de un sistema. Mediante la implementación de procedimientos, y la formación del personal en su aplicación, se evitarán problemas tales como: - Fallos de procedimiento en el tratamiento de la información. Es muy fácil dejar las
contraseñas “de fábrica” en sistemas críticos, o permitir que documentación importante esté al alcance de cualquiera.
- Falta de planes de contingencia que orienten al personal en caso de problemas. Por ejemplo, volver a poner en marcha el sistema central de control en caso de un fallo del mismo, puede no ser tan sencillo como parece.
- Falta de entrenamiento del personal frente a problemas de funcionamiento o fallos de los sistemas de control.
- Un empleado abandona la empresa por motivos laborales o personales. Una política de seguridad correcta pondría en marcha un procedimiento de cambio de todas las contraseñas relacionadas con este individuo, de manera que no existiera la posibilidad de que fueran utilizadas “desde afuera”.
- Una llamada desde un departamento de la zona de gestión (IT, Information Technology) a un empleado de la Planta de Proceso, requiriendo una contraseña determinada (éste empleado la posee), permitirá hacer unos ajustes en un determinado proceso. No tiene por qué negarse, pero ¿y si la llamada no es de alguien de la Empresa?
112
4 Sistemas SCADA
- Un empleado que teme ser despedido coloca una bomba de tiempo en un determinado servidor. Si no se va reiniciando periódicamente, se activa y borra el disco duro del mismo. Por supuesto, las copias de seguridad deberían ayudar en casos como este, pero ¿cuándo se hizo la última?
Una gestión eficiente dará lugar a una serie de niveles de importancia que llevarán implícitos unos niveles de seguridad: Protección con contraseñas de ciertas bases de datos, enlaces de comunicación de propósito general y enlaces protegidos, niveles de atribuciones según listas de usuarios, estrategias de actuación en caso de incidencias, etc.
4.3.4 Arquitectura Una fuente de problemas importante, por el hecho de que solo hace falta uno para provocar el caos, es la centralización. Es bastante normal que todos los datos o el control estén focalizados en un solo equipo, principalmente, por el tema de costes (¿y si ocurre lo peor?)
Fig. 4.7 Sistemas de alta disponibilidad (WinCC, Siemens)
La falta de previsión en la implementación de estos sistemas suele acabar con toda una serie de “parches” añadidos que, generalmente provocarán fallos de funcionamiento o de seguridad donde menos se espere. Hoy en día, los sistemas de control ya prevén situaciones de este tipo y, por ejemplo, permiten distribuir los datos “delicados” entre varios equipos que se van actualizando de forma automática, permitiendo que cualquiera de ellos tome el control si uno falla. En la imagen anterior, servidores redundantes del Scada WinCC, de Siemens, proporcionan una elevada disponibilidad de red ante fallos. Tanto los servidores, como los autómatas, pueden configurarse como elementos redundantes gracias a la herramienta adecuada (WinCC/Redundancy)
4.3.5 Comunicaciones La transmisión de datos entre sistemas se realiza, generalmente, de forma transparente al usuario. Los datos entran por un sitio y salen por otro sin necesidad de intervención humana. No exactamente.
113
4Sistemas SCADA
Hay toda una serie de equipamiento que “antes no estaba allí”; equipos de comunicación más o menos sofisticados con alguna que otra “caja negra” en su interior que nadie sabe lo que hace (módems, routers, switches, hubs, y un largo etcétera), cables, antenas, etc. Todo este equipamiento esperamos que haga una labor cuidadosa de guía de datos hacia destino y de su integridad y privacidad. Pero… - Los routers pueden tener mantenimiento remoto, con lo cual es posible que
alguien añada alguna dirección “extra” a las tablas de encaminamiento o, simplemente, los inutilice.
- Los firewalls pueden no estar bien configurados y, por ejemplo, vigilar solamente
el tráfico de entrada y no preocuparse del tráfico de salida. - Las contraseñas suelen estar almacenadas sin fecha de caducidad y, tarde o
temprano, alguien puede hacer servir una contraseña antigua, y válida (En la saga Guerra de las Galaxias, cuando Luke Skywalker y sus compañeros intentan aterrizar en el bosque de Endor para sabotear el campo de fuerza que protege a la Estrella de la Muerte, hacen servir una lanzadera que, como dice uno de los “malos”, envía una “contraseña antigua, pero válida”)
- Los sistemas están generalmente protegidos mediante contraseñas locales de
dudosa efectividad, las redes de comunicación inalámbricas (wi-fi) no siempre son tan seguras y, a veces, incluso están desprotegidas (¿cuántos lectores tienen acceso a Internet gracias a algún vecino “generoso/descuidado”?)
- La principal fuente de problemas aparece en las conexiones de los sistemas de
control a través de redes públicas (Internet), no suelen aplicarse políticas de seguridad especiales a las conexiones de control y mando, confiando que los enlaces son seguros (Trusted Links), y se olvida alguien de aplicar la encriptación de datos, por ejemplo.
Un punto importante que no se suele cuidar es la vigilancia de la red de comunicaciones. Es decir, quién está conectado, saber si es conocido, y si tiene permiso para hacer lo que está haciendo. En los sistemas de comunicaciones, los fallos más habituales son: - No hacer servir redes virtuales (VPN, Virtual Private Networks) - No restringir el acceso a las redes corporativas. - Falta de caducidad y especificaciones de las contraseñas (una contraseña de tres
dígitos numéricos ofrece bastantes menos garantías que una de entre seis y diez dígitos, con cualquier tipo de carácter y una semana de validez tras la primera activación, por ejemplo)
- Los equipos críticos (servidores, routers, etc.) no están en recintos protegidos, o permiten acceso indiscriminado a todo el personal.
- Las redes de control de procesos se hacen servir para tráfico corporativo sin probar su capacidad para tal efecto.
- Cortafuegos, Routers y equipos similares no son vigilados. - Los accesos a las redes corporativas o de control no se monitorizan, pudiendo
haber conexiones no autorizadas. - Accesos inalámbricos con poca o ninguna protección.
114
4 Sistemas SCADA
4.3.6 Plataformas Por plataformas se entienden los elementos de control del sistema, donde los programas de aplicación realizan su labor; los ordenadores, Controladores, autómatas, y los sistemas operativos. En los equipos situados en ubicaciones remotas, las plataformas son los equipos de transmisión (RTU, Remote Terminal Units), Autómatas, Registradores y demás elementos con capacidades de autogestión. Las protecciones mediante contraseñas suelen aplicarse menos de lo necesario y no son un impedimento mayor para gente con experiencia. Además, suele haber un solo nivel de protección (una contraseña), saltado el cual, el equipo queda completamente desprotegido. Otro elemento preocupante es el acceso a los equipos de control para tareas de mantenimiento remoto, que suele limitarse a una contraseña que debe ser enviada a través del sistema de comunicación y, por tanto, interceptada. Las aplicaciones implementadas sobre ordenadores, bases de datos, protocolos y demás componentes se van estandarizando, lo cual los hace más accesibles y, por tanto, más vulnerables. Los nuevos equipos y aplicaciones vienen provistos de utilidades orientadas a la seguridad, pero la configuración de seguridad, en muchos casos suele ser la “de fabrica” o, si se implementa, no se realizan las correspondientes actualizaciones. Los fallos más comunes en sistemas informáticos: - Ordenadores sin protección de contraseña o de inactividad (log-on) - Actualizaciones periódicas de los sistemas operativos, programas y antivirus - Cortafuegos con opciones “por defecto”, o anulados. - Utilización de configuraciones “por defecto” - Contraseñas evidentes o al alcance de personal no autorizado. - Contraseñas sin caducidad - Falta de encriptación en los datos. - Falta de verificación en el origen de los datos - Privilegios de usuario sin jerarquizar. - Accesos remotos a estaciones de control sin protección adecuada - Elementos de control sin contraseñas de acceso a los programas - Almacenamiento de los códigos fuente (los listados) en los equipos que lo
permiten. - Protección física inadecuada (armarios sin llave o equipos accesibles físicamente
por cualquiera)
4.4 Amenazas Debido a la integración de los ordenadores y las redes informáticas en el entorno industrial, las amenazas en los equipos Scada son similares a las detectadas en sistemas informáticos de ámbito general. Los sistemas Scada pueden verse afectados por dos clases peligro: Físico e Informático Un intruso “físico”, dentro de un cuarto de control, se dedicará a pulsar botones para “ver qué pasa”, o con una finalidad concreta, generalmente mala, si conoce el sistema. Un intruso “informático” se dedicará a hacer lo mismo, pero de otra manera…
115
4Sistemas SCADA
Generalmente, las prestaciones de seguridad de los sistemas SCADA se organizan en torno a:
- Seguridad física, consistente en vallas metálicas, paredes, puertas, y demás elementos de restricción de acceso personal.
- Complejidad en los sistemas, que obligan a un conocimiento profundo de los mismos para poder trabajar con ellos.
- Canales de comunicación dedicados que no permitan intrusiones desde puntos ajenos al entorno corporativo o de control.
- Protocolos de comunicación propietarios que no están al alcance (en teoría) de personal ajeno al fabricante.
- Comunicaciones puntuales que solamente se activan cuando son necesarias. Si hacemos un listado de amenazas, las más habituales serán:
- Daños físicos (accidentales, o no) - Sabotaje - Terrorismo - Fallos de diseño - Defectos de configuración e implementación - Defectos debidos a mantenimiento (actualizaciones) - Errores de utilización - Intrusiones (piratas, espionaje, robo de información por terceros, curiosos) - Virus informáticos - Malware
En este capítulo nos centraremos únicamente en la vertiente informática de los problemas.
4.4.1 Categorías Como se ha explicado en capítulos anteriores, la evolución de la electrónica ha permitido crecer en complejidad y prestaciones a los elementos de control y de comunicaciones, llegando a extremos de autocontrol impensables hasta hace pocos años en cualquier sistema remoto. En el ámbito industrial, la implantación de estándares ha permitido una rápida evolución de las tecnologías de comunicación gracias a la implementación de numerosos protocolos de tipo abierto, cuyas especificaciones están al alcance de todo el mundo. Esto quiere decir que los “malos” ahora no necesitan salir de casa, pues pueden acceder a los sistemas de comunicación desde cualquier punto si disponen del equipo de comunicaciones adecuado, y hacer cosas feas con las tramas de datos que circulan por las redes. Las amenazas que pueden sufrir estos sistemas pueden tipificarse en las siguientes categorías: Espionaje
Es la acción de recopilar información de forma legal (publicidad, promociones, muestras de producto), o ilegal (intrusión, vigilancia, robo), acerca de los competidores o posibles clientes, de manera que se obtenga una posición de privilegio a la hora de ofrecer servicios o productos.
Sabotaje
Originado principalmente por el deseo de obtener ganancias o ventajas competitivas de tipo personal, político o económico mediante la destrucción de los medios del competidor.
116
4 Sistemas SCADA
Aparece un nuevo cuño en las categorías del sabotaje, el “Hactivismo”, o el sabotaje llevado a cabo por piratas informáticos (Crackers), con la finalidad de destruir o apropiarse de información corporativa vital (IT, Information Technology) en nombre de algún tipo de causa.
Vandalismo
Básicamente es lo mismo que el sabotaje, pero con la única finalidad de destruir información sin ningún tipo de provecho.
Intrusión (Crackers)
Los Crackers, o Hackers “malos”, son aquellos usuarios de ordenador que se introducen, sin permiso, en sistemas informáticos con la finalidad de demostrar que “sí pueden” hacerlo. Por muchas que sean las barreras de seguridad que se implementen, serán capaces de rebasarlas. Los “buenos”, simplemente lo hacen como un reto personal, limitándose a curiosear o dejar una “firma”. El “lado oscuro” es el preocupante.
Robo (electrónico)
Los datos tienen valor. Para un competidor, por ejemplo, la cartera de clientes de la competencia marcaría una ventaja estratégica a la hora de planificar las ventas. En el caso de sistemas de control, hay toda una serie de datos que sería peligroso que estuvieran al alcance de terceros (contraseñas, datos de acceso y configuración, especificaciones técnicas de equipos, etc.) En muchos casos, diseños de características especiales pueden marcar una ventaja competitiva (el “know how”), y la posibilidad de que alguien de dentro de la empresa pueda facilitar datos a cambio de dinero es tan elevada como la confidencialidad de éstos.
Troyanos
Ciertas rutinas de programa pueden permanecer ocultas a los usuarios y provocar fallos de funcionamiento o permitir la extracción de datos sin permiso. Por ejemplo, sería posible extraer datos sobre la formulación de fármacos que estuvieran almacenados en una base de datos del laboratorio.
Bombas de tiempo
Ciertas condiciones pueden activar programas que realicen determinadas acciones de forma automática (y no prevista, por supuesto), o que impidan realizarlas. Por ejemplo, activación de secuencias no permitidas, que puedan alterar el funcionamiento normal de los controles y provocar daños en el equipamiento, o que bloqueen funciones de usuario.
Puertas traseras
Se denomina así a fallos de seguridad ”intencionados y no documentados”, que pueden permitir el acceso a datos confidenciales sin la autorización necesaria.
DoS (Denial of Service)
El ataque de Negación de Servicio se basa en saturar los recursos de una red informática con la finalidad de que los usuarios legítimos de la misma no puedan hacer servir sus recursos.
Su modus operandi se basa en el envío masivo de solicitudes a un servidor determinado, que terminan por agotar sus recursos de servicio, haciéndolo
117
4Sistemas SCADA
inutilizable. Cualquier ordenador conectado en red y que haga uso de servicios TCP, es susceptible de un ataque DoS. Una forma más elaborada es la que se consigue cuando un pirata informático consigue “colar” programas de llamada sobre múltiples equipos conectados a Internet. Coordinados desde el equipo del pirata, lanzarán ataques DoS sobre otras máquinas. Esta variante es más elaborada, pues los ataques provienen de múltiples equipos, ninguno del pirata, haciendo muy difícil su localización. Esta variante se denomina DDoS (Distributed DoS)
4.4.2 ¿Existen realmente? Los sistemas Scada, tradicionalmente trabajaban como entes aislados y, por tanto, el mundo exterior era algo lejano. En su integración a los grandes medios de comunicación, al mundo exterior, aparecen los siguientes problemas:
- Las redes de telecomunicaciones se hacen servir como medio de transmisión de información, pero los sistemas Scada, trabajando de forma aislada, haciendo servir protocolos propietarios, no habían desarrollado defensas frente a intrusiones provenientes desde el exterior (intrusiones electrónicas)
- El uso de protocolos de comunicación estandarizados por parte de estos sistemas, los hace vulnerables a los mismos males que afectan al resto de sistemas informáticos (virus, piratas)
- La integración en las redes corporativas puede hacer que los datos estén al alcance de individuos no recomendables.
- La falta de mecanismos de encriptación en muchos sistemas hace que los datos sean fáciles de interceptar y manipular.
- Muchos sistemas no poseen mecanismos de autentificación adecuada de usuarios, con el riesgo que ello conlleva.
Según un estudio del año 2003, llevado a cabo por la consultora británica Mi2g, el sistema operativo más atacado en máquinas públicas conectadas a Internet, es LINUX (61,7%), frente a Windows (23,7%) - Escenarios ¿hipotéticos? Hay de todo; piratas informáticos que acceden a servidores de compañías de distribución eléctrica o de telefonía para jugar o dejar su firma (fulanito estuvo aquí, etc.), curiosos que acaban de terminar su curso de seguridad informática y quieren intentar entrar en algún servidor “para probar”. La lista no tiene fin: - Una persona conocedora de los diferentes sistemas de control de, por ejemplo,
una estación transformadora importante, puede modificar los ajustes de las protecciones para que éstas se activen en condiciones normales (por ejemplo, bajando las tolerancias de los sistemas de protección térmica). Esto provocaría interrupciones en el servicio eléctrico.
- Un programa de marcación automática puede realizar llamadas a miles de
números de teléfono de forma automática. Cada vez que hay contestación (electrónica), unas rutinas se encargan de intentar hallar la manera de conectarse (login) mediante la emisión de comandos más o menos usuales (hola, pipo, programador, etc.) Cuando se ha conseguido un usuario, se establecen estrategias de entrada para intentar hallar la contraseña del equipo (lanzar contraseñas probables o usuales) Una vez dentro del equipo…
118
4 Sistemas SCADA
- El caso anterior, pero con equipos de rastreo de puertos red. Estos programas buscan los “puertos” desprotegidos en los equipos de red y, al encontrar una “entrada”, activan unas rutinas encargadas de buscar usuarios válidos. Una vez conseguido un usuario, se vuelve a probar la búsqueda de contraseñas (Un ataque mediante un programa que pruebe listas de contraseñas puede hacer servir miles de combinaciones en pocos minutos sobre una red de alta velocidad)
- Un correo electrónico podría contener una aplicación aparentemente inocente,
pero con una rutina interna que buscaría la manera de establecer comunicación “desde dentro” con el ordenador del “malo”. De esta manera, la conexión queda abierta de forma indetectable, permitiendo la entrada al sistema y el libre acceso a los datos y a los equipos.
- Un programa de escaneo de datos (sniffer) puede observar el tráfico de red entre
dos puntos, permitiendo obtener patrones en los paquetes de datos que permitan extraer la información que se intercambia entre estaciones. Obtenidos los patrones, se pueden hacer servir más tarde para transmitir información dañina (hacer que los equipos de control vean cosas que no existen, por ejemplo)
- Etc… - Escenarios reales Hay múltiples incidentes relacionados con intrusiones electrónicas en sistemas informáticos responsables del control de infraestructuras. Una muestra de más conocidos aparece a continuación: Maroochy Shire Council, Queensland, Australia
En Abril del año 2000 fue arrestado un ex empleado de una compañía suministradora de equipos de control y telemetría que trabajaba para la “compañía del agua” del Condado de Maroochy. Lo acusaron de acceso ilegal al sistema de control de alcantarillado del Condado. Esta persona trabajó durante dos años en la supervisión de la implantación del sistema de control, consistente en 150 estaciones de bombeo. Cuando terminó el trabajo, se despidió de su compañía y ofreció sus servicios como experto. Fue rechazado, y empezaron los problemas. Con el tiempo se vio que los fallos inexplicables de los equipos eran provocados. Hasta que fue arrestado, realizó varias entradas al sistema de control para alterar su funcionamiento. El equipo que hizo servir para el sabotaje consistió en un ordenador portátil provisto del software de control adecuado y un módem provisto de radio. La forma de acceder al sistema consistía en conectar el ordenador al sistema “disfrazado” de estación de bombeo. De esta manera podía alterar las funciones del sistema de control, provocando numerosas incidencias que dieron como resultado vertidos de aguas residuales en ríos y parques, y el perjuicio evidente a la empresa responsable de la gestión del alcantarillado.
Gusanos
El 25 de Enero del año 2003, el virus de gusano SQL Slammer aparece en Internet. Los virus de gusano explotan los recursos de la red, saturándolos e impidiendo que los ususarios “normales” puedan hacer servir la red. Este virus atacaba una vulnerabilidad de un producto de Microsoft, por tanto, los sistemas Scada que hacían servir este producto eran vulnerables al gusano.
119
4Sistemas SCADA
En la central de energía nuclear de Davis-Besse, en Ohio, Estados Unidos, el gusano se introdujo en la red de Control de Procesos a través de un ordenador portátil de una subcontrata, causando problemas en el sistema de monitorización de seguridad, bloqueándolo durante varias horas. En agosto de 2003, una compañía de ferrocarriles de los Estados Unidos, CSX Transportation, sufrió la invasión de un gusano de red en su sistema de telecomunicaciones, deteniendo el tráfico ferroviario durante varias horas.
4.4.3 Intrusión electrónica Según el IEEE, en su normativa respecto a subestaciones de distribución de energía eléctrica, pero aplicable al resto de sistemas de automatización, la “intrusión electrónica” se define como la entrada en una subestación por vía electrónica (teléfono, radio) para manipular o interferir el equipamiento electrónico (controladores, ordenadores, autómatas, etc.)
Fig. 4.8 Intrusión electrónica
En el momento en que un sistema de control presenta la posibilidad de ser accedido de forma remota, las posibilidades de intrusión crecen de forma alarmante. Cualquier punto de conexión es susceptible de ser utilizado por personas con aviesas intenciones. Dependiendo del punto de acceso, los riesgos serán de diferente índole: - En el caso de que el intruso consiguiera acceder al Servidor Scada local, tendría
la posibilidad de acceder a todos los elementos de planta, tanto locales como remotos.
- Los elementos de control que permiten acceso telefónico (modem) pueden ser
controlados de forma remota y alterar sus configuraciones. Generalmente están poco protegidos. Una contraseña de acceso permitirá acceder a su programa o configuraciones.
- Los elementos con conexiones de red están expuestos a través de sus
direcciones (escaneo de IP), puertos de comunicación (ports), al escaneo del
120
4 Sistemas SCADA
tráfico que intercambian, o a los ataques DoS (Denial of Service) que los inutilizarían.
- Los equipos conectados remotamente a una red privada pueden ser accedidos de
forma directa, permitiendo entonces, a través de ellos, la entrada a la red corporativa.
En la fotografía se muestra un autómata compacto que dispone, además de las consabidas entradas y salidas analógicas y digitales, un puerto de comunicación Ethernet y tiene capacidad de almacenar páginas Web (servidor Web). Se trata de un elemento con un valor añadido interesante, como es el estándar de comunicación TCP/IP en un equipo de este tamaño, pero es evidente que puede verse afectado por las vulnerabilidades de este protocolo (escaneo de puertos, ataques DoS) La labor de ingeniería deberá situar el equipo en una ubicación adecuada dentro de la red, y hacer servir las herramientas de seguridad del equipo, tales como contraseñas o la compilación de programas.
4.4.4 Los responsables Generalmente, a los “malos” les han colgado la etiqueta: Hacker. El sentido real de la palabra “Hack” es el de designar a alguien sobresaliente en todo lo relacionado con el mundo de la informática, a nivel de hardware o de software, y que hace del afán de conocimiento de esta parcela del conocimiento su forma de vida. Vamos, lo que en otras palabras se suele designar como un “enterado” (pero de los de verdad), de la aplicación de sus conocimientos dependerá su clasificación real dentro del mundo legal. El hacker del “lado oscuro” es el que se denomina “cracker”. Su móvil es el descubrir y obtener información de tipo confidencial, y utilizarla con motivos ilícitos.
4.5 Políticas de seguridad La política de seguridad de la empresa debe proporcionar los medios para establecer los niveles de seguridad requeridos por los diferentes puestos de trabajo: - Autorizar a los usuarios debidamente para poder desarrollar sus labores. - Permitir el acceso a los medios necesarios en cada momento. - Documentar los procedimientos para poder realizar auditorias que permitan
determinar las acciones efectuadas y los responsables de las mismas. - Detectar las vulnerabilidades y establecer las acciones de corrección necesarias. - Detectar los intentos de intrusión y poder controlarlos.
Fig. 4.9 Autómata FEC600 con Ethernet (Festo Pneumatic)
121
4Sistemas SCADA
Los principales aspectos de seguridad en sistemas Scada se pueden agrupar en cuatro grandes grupos: - Características Físicas:
La fiabilidad en los equipos y su disponibilidad es directamente proporcional a su coste. Los precios de un ordenador industrial con su homólogo casero son muy diferentes.
- Sistemas operativos:
El tener unos sistemas operativos considerados como estándares (Linux y Windows, principalmente) conlleva “adoptar” los riesgos de los propios sistemas, de dominio público, como las conexiones desde el exterior del sistema sin conocimiento del usuario.
- Comunicaciones:
Al hacer servir protocolos abiertos, como ocurre con los sistemas operativos, se añaden más vulnerabilidades a los sistemas de control.
- Aplicaciones:
La falta de medidas de seguridad (contraseñas, privilegios, limitación de tiempo) hace que los sistemas sean vulnerables. La posibilidad de conexión indiscriminada durante las puestas en marcha o durante el funcionamiento normal abre las puertas a multitud de amenazas, tales como los virus o los piratas informáticos.
4.5.1 El comienzo Para iniciar el camino que permita crear, establecer y activar las políticas de seguridad, hay una serie de factores básicos: - Personal:
El individuo es el eslabón más débil de la cadena de la seguridad.
- Medios: Las herramientas y recursos disponibles para llevar a cabo los procesos necesarios que permitan establecer las bases de la seguridad.
- Entorno: Dónde estamos “funcionando”, en qué condiciones se desarrolla la actividad de la empresa, y qué problemas pueden surgir que afecten a su normal desarrollo.
Mediante una valoración de éstos factores se podrá establecer una serie de acciones encaminadas a mantener una fiabilidad del sistema y asegurar su operatividad. Estas acciones darán lugar a un Plan de Seguridad que permita llevar a la práctica las acciones descritas anteriormente mediante una serie de procedimientos y normas que indiquen la manera de obtener el nivel de seguridad deseado.
4.5.2 El ciclo de la Seguridad La seguridad de Planta no es un objetivo estático que se puede alcanzar y convertir nuestra red en invulnerable, sino que se trata de un proceso cíclico de cuatro etapas:
1. Revisión de todo el sistema (procedimientos, procesos, políticas corporativas) y realización de un análisis de riesgos (intrusiones, pérdidas de datos, robos, fallos de hardware, etc.)
122
4 Sistemas SCADA
2. Diseño de políticas de seguridad en función de los análisis de riesgos y establecimiento de unas estrategias de contención y tratamiento de desastres.
3. Implementación de: - Políticas que adecuen las respuestas del personal a las posibles
situaciones. - Procesos que determinen las actividades a realizar como aplicación
de las políticas definidas con anterioridad. - Procedimientos que describen detalladamente las respuestas
necesarias para aplicar los procesos definidos dentro de la Empresa. - Productos que permitan llevar a cabo los requerimientos descritos en
los Procedimientos. 4. Mantenimiento y vigilancia de estos últimos (Políticas, Procesos,
Procedimientos, Productos).
Este proceso se denomina Ciclo de la Seguridad de Planta. Intenta reflejar la necesidad de mejora continua necesaria para mantener el nivel de seguridad en su máximo valor. Cualquier tipo de cambio dentro de la estructura (cambio de personal, de equipamiento, ampliación de funciones o capacidades) debería provocar una vuelta al ciclo de seguridad para volver a evaluar todas las variables implicadas en el cambio y sus posibles consecuencias. Para conseguir iniciar un Ciclo de Seguridad en una Planta de Producción, los expertos aconsejan llevar a cabo los siguientes pasos: - Crear un sentimiento de
protección en el sentido de que la seguridad de Planta es importante, los datos de Planta son tan valiosos como los datos corporativos o las redes de comunicaciones de la Empresa, y dar a conocer las consecuencias de cualquier incidente que los afecte.
- Formar convenientemente al personal, de manera que se cree un ambiente de
confianza que permita afrontar cualquier imprevisto con unas mínimas garantías de éxito y, de pasada, incremente la motivación y el sentido de propiedad de las personas (Su trabajo, Su empresa)
- Analizar convenientemente la situación actual de la Empresa; sus instalaciones,
medios disponibles, amenazas, posibles riesgos, y priorizar todos los temas por su importancia.
- Establecer una estructura defensiva alrededor de los elementos más críticos
mediante la implementación de Redes Privadas Virtuales, protección antivirus, cortafuegos, sistemas de detección de intrusos, etc.
Fig. 4.10 Ciclo de Seguridad en Planta
Fig. 4.11 Perímetros defensivos
123
4Sistemas SCADA
- La idea más aconsejable es trabajar desde fuera hacia adentro. Es más
adecuado proteger primero el entorno corporativo, comunicado con el exterior, y sectorizar más tarde las áreas de Producción.
- Una vez establecidas las barreras que se crean convenientes, tratar todas las
conexiones con la red corporativa como inseguras (el enemigo también puede estar dentro…)
- No es aconsejable depender de un solo proveedor, pues en caso de que un
producto determinado tenga algún tipo de vulnerabilidad, es improbable que varios proveedores tengan los mismos puntos débiles.
- Definir un Plan de Mantenimiento que permita, por ejemplo, regularizar copias de
seguridad de los datos con la periodicidad adecuada (no valen copias de más de una año, por ejemplo), la correcta formación del personal, el uso de herramientas adecuadas y actualizadas, etc.
4.5.3 Técnicas de Prevención Por seguridad se entiende algo más que no dejar las llaves de casa al vecino despistado. Engloba aspectos tales como la previsión de crecimiento, el control interno (auditorias), o la correcta administración de los recursos. Una falta de prevención frente a un problema de intrusión o de mal funcionamiento puede causar problemas muy graves en cualquier sistema y, consecuentemente, a la organización que lo controla. Cualquier sistema carente de una política de seguridad acaba presentando problemas de funcionamiento debidos a la atrofia técnica (falta de previsión, carencias de auto corrección, mala administración, falta de reciclaje) - Restricción de acceso Nadie se imagina al director del departamento de formación accediendo a un autómata de la Planta de Producción, y modificando una salida del mismo, ni a uno de los operarios de mantenimiento de la línea de extrusionado cambiando parámetros de la estación depuradora de la empresa. Para limitar el acceso a sistemas, la restricción puede ser física (llaves, sin ir más lejos) o electrónica (claves de acceso, PIN). La cantidad y las combinaciones de los sistemas de restricción de acceso determinarán la robustez del sistema de seguridad. Permite la autentificación de usuarios mediante:
- Restricción de software: Contraseña, PIN (Personal Identification Number) - Restricción de hardware: Tarjetas codificadas (SmartCard, token) - Restricción biológica: Huellas digitales, identificación de retina, identificación
por voz. Actualmente se hace un uso casi exclusivo de las contraseñas. No es mala práctica si se hace servir adecuadamente. Por ejemplo, el uso de contraseñas de longitud mínima obligatoria, que permitan la mezcla de caracteres alfanuméricos y caracteres especiales, hace que sean un método efectivo de protección.
124
4 Sistemas SCADA
- Registros de acceso Es el Diario del Sistema. Se guarda cualquier tipo de acción llevada a cabo en el mismo: todos los nombres de usuario, contraseñas utilizadas, tiempos de conexión al sistema, acciones que se han realizado, cuándo se han desconectado, etc. Los intentos de acceso erróneos son también registrados, identificando incluso el punto de acceso utilizado. De esta manera se pueden realizar diagnósticos de seguridad en la red y se pueden detectar posibles intrusiones. - Dispositivos de identificación Cualquier elemento que permite el acceso a su portador como, por ejemplo, una tarjeta de crédito, un código de barras. Generalmente se trata de dispositivos electrónicos que permiten generar códigos de forma sencilla, e incluso programarlos según patrones predefinidos, o determinar su periodo de validez de forma automática, pudiendo ser de un solo uso, evitando así que sean capturados en una red y que sean utilizados posteriormente. Las lecturas biológicas hacen servir características biológicas del usuario como claves de acceso. La más conocida son las huellas dactilares, pero hay todo un abanico de posibilidades, de mayor o menor complejidad, tales como la lectura de retina o el reconocimiento de voz. - Comunicaciones seguras Los canales de comunicación son objetivos primordiales en cualquier intento de intrusión que pretenda influir sobre cualquier equipamiento del sistema informático. Una forma de establecer un canal de comunicación seguro es colocar dos equipos que solo se reconozcan entre ellos. Esto es relativamente sencillo, y existen múltiples métodos que permiten garantizar un enlace de comunicación: - Parejas de módems que hacen servir un patrón único de encriptado colocando
ciertas características que los identifican en el intercambio de información. - Módems con tablas de correspondencia. Solamente reconocen las llamadas que,
además de la contraseña, son identificadas con el número de teléfono asociado a esta contraseña.
- Equipos de radio con salto automático de canal, cambiando múltiples veces de canal durante la transmisión, haciendo virtualmente imposible un seguimiento de la transmisión.
- Tecnologías de encriptación de datos que hacen que los paquetes que circulan por la red, aunque sean interceptados, sean prácticamente indescifrables sin la correspondiente clave.
En la figura siguiente se ha representado un sistema de control de bombeo compuesto por varios equipos, donde cada autómata de control está conectado a un módem GSM que permite la comunicación con el centro de control y con sistemas de telefonía móvil. Si se detecta alguna incidencia, se activa una rutina determinada que permite enviar mensajes de texto o de voz a una serie de números de teléfono prefijados (Móvil 1). Estos mensajes indicarán a los destinatarios la naturaleza de la incidencia. De esta manera se optimiza el tiempo de respuesta ante eventualidades en un sistema de control, pues son notificadas a los interesados justo en el momento de producirse (por ejemplo, una alarma de fallo de un relé térmico de protección del motor de una bomba)
125
4Sistemas SCADA
Fig. 4.12 Control de acceso GSM
Además, es posible enviar mensajes a los autómatas, permitiendo que el personal de mantenimiento responda de inmediato (órdenes de paro, marcha, reconocimiento de alarmas). El autómata reconocerá como válidos los mensajes provenientes de los números de teléfono que tenga almacenados en su memoria, rechazando las conexiones de números desconocidos (Móvil X).
4.5.4 Estrategias de defensa Para implementar las aplicaciones de seguridad de red, se colocan uno o varios servidores como paso obligado entre la red corporativa y el mundo exterior. De esta manera, los equipos de la Empresa estarán aislados de las influencias exteriores que los puedan perjudicar (un virus que sature la red, envíos masivos de información, conexiones remotas, etc.)
4.5.4.1 Topologías La estructura física de la red es importante a la hora de determinar su robustez frente a posibles intrusiones o fallos
- Una topología en estrella, con conexiones punto a punto, proporciona el nivel de seguridad más elevado, pues no hay puntos de acceso exteriores a los equipos.
- La topología de anillo es delicada en el supuesto de caída de una estación a
causa de una intrusión, pudiendo quedar las comunicaciones colapsadas. - Un sistema de bus hace que todos los datos sean accesibles desde cualquier
estación. Ethernet sufre de esta dolencia, pues los elementos conectados a un Hub comparten todos los datos. Se solventa con la implantación de los Switches, que ya gestionan el tráfico por cada puerto, dirigiendo a cada dispositivo solo la información que le corresponde.
En el sistema de la figura, el switch cumple el cometido de separar redes, aislando el tráfico de cada una de ellas. De esta manera, un posible acceso a una de las subredes a través de uno de los ordenadores de éstas, quedaría restringido gracias al switch, que no permitiría “saltar” de una a otra.
126
4 Sistemas SCADA
Fig. 4.13 Segmentación en subredes
4.5.4.2 Técnicas Para cumplir con el requisito de aislamiento, todos los elementos vinculados a las tareas de control y supervisión deberían estar agrupados en una red de Proceso, aislada de las otras redes de la Empresa. Para ello, todos los posibles puntos de acceso deberían estar claramente definidos y documentados para poder establecer los niveles de seguridad adecuados en cada uno. - Cortafuegos Según las actuales tendencias, que apuntan hacia Ethernet (TCP/IP) como medio universal de intercambio de información, se establece la necesidad de colocar divisiones entre redes para intentar contener en espacios definidos cualquier posible amenaza: son los cortafuegos (firewalls) Los cortafuegos cumplen la función de proteger la red corporativa de accesos desde el exterior. Se trata de barreras lógicas entre redes diferentes, una red local (LAN) y otra pública (Internet), o entre redes de jerarquía diferente (redes corporativas, o Intranets) Sus funciones principales son:
- Detener cualquier intento de conexión “entrante” (desde Internet o desde otra red diferente)
- Ocultar la red de cara a Internet (todo el tráfico parece salir del cortafuegos) - Filtrar el tráfico de salida restringiendo el acceso a Internet.
En la figura se observa una estructura típica de Cortafuegos entre una red privada y una red pública (Internet).
Fig. 4.14 Estructura básica con cortafuegos