Seguridad de los sistemasde información industrial parte 2

Protección de sistemas de automatización industrial contra software malignoMartin Naedele, Rolf Vahldieck

Tutorial

74 Revista ABB 3/2005

La primera parte de este cursillo sobre seguridad de los sistemas de informaciónen redes industriales, que consta de un total de tres, presentaba la terminologíabásica y explicaba la necesidad de adoptar medidas de seguridad. Esta necesi-dad estaba motivada en parte por varios incidentes registrados en sistemas deautomatización infectados por gusanos. No hay duda de que las infecciones porgusanos son una amenaza real para los actuales sistemas de automatizacióninterconectados. Esta parte del cursillo presenta los diferentes tipos de programas malignos ysugiere formas de defender contra ellos un sistema de automatización.Presentamos un caso de estudio en el que se aplican algunos de los mecanis-mos sugeridos en un sistema de automatización real.

Tutorial

75Revista ABB 3/2005

Seguridad de los sistemas de información industrial

Proteger los sistemas propios de auto-matización, interconectados contra

los virus, gusanos y otras amenazas aso-ciadas (el llamado software maligno) espara muchas empresas uno de los prin-cipales problemas de seguridad. Comohan puesto de manifiesto los incidentesdiscutidos en la primera parte de estecursillo [1], éste es un problema serio.Entre los posibles daños causados por elsoftware maligno están los siguientes:

Obstrucción de la comunicación entreordenadores en la red LAN, debido ala saturación de la red.Desplome del sistema operativo deordenadores centrales y paradasforzosas.Daños en ficheros de aplicaciones ydatos almacenados en los discosduros.El software maligno también puedeenviar información desde el sistema adirecciones exteriores o abrir unapuerta trasera en el sistema, permi-tiendo a un atacante controlar adistancia este ordenador central.

Ninguno de estos síntomas de infecciónpor programas malignos puede aceptar-se en un entorno de fabricación y con-trol de procesos. En este artículo examinamos diversasestrategias de defensa en niveles técni-cos y procedimentales.

Tipos de software maligno, infecciónHay cuatro tipos de software maligno,aunque las implementaciones reales pue-den tener características muy diversas [2].Un virus es un programa, generalmenteagregado a un mensaje o archivo, que in-fecta un ordenador central en el curso deuna transferencia legítima de datos. Antesde que existiera Internet, la infección deordenadores centrales se producía a tra-vés de los disquetes. Concretamente, elvirus se situaba en la parte del disco quese lee y ejecuta al arrancar. Hoy en día,los virus se propagan casi siempre porarchivos ejecutables o documentos envia-dos por la red y que contienen los llama-dos contenidos activos (macros, scripts)en forma de anexos a correos electróni-cos, mensajería instantánea o partes depáginas web. Las infecciones por mediosde memoria portátiles también existen,pero son poco frecuentes. Se denomina payload o carga explosivade un virus a los efectos producidos porla ejecución del virus. La carga explosi-va de un virus puede presentar un men-saje en pantalla o asumir por completo

el control y manipular la pantalla. Puedemodificar o borrar archivos al azar oincluso todo el sistema de archivos, oprovocar el desplome total del sistema.Su acción más característica es propa-garse añadiéndose a otros programas ydocumentos contenidos en el ordenadorcentral.Para su activación y/o propagación, unvirus depende de que el usuario ejecuteuna o varias acciones, como arrancar unprograma, navegar por una página webo insertar un medio portátil de almace-namiento. Por supuesto, el usuario des-conoce casi siempre que estas accionesactivarán el virus.Un gusano es muy similar a un virus,pero no requiere acción alguna del

usuario. Un gusano puede considerarsecomo un virus que se autopropaga co-piándose a sí mismo de ordenador enordenador a través de la red. Los gusa-nos más típicos utilizan el correo elec-trónico para propagarse: se autoenvíandesde el ordenador infectado a los desti-natarios contenidos en el libro de direc-ciones e-mail del usuario o escanean di-rectamente otros ordenadores en la redLAN o direcciones de la red en Interneten busca de posibles puntos de entrada.Dado que los gusanos no se activan conlas acciones del usuario y que con fre-cuencia se instalan en la memoria delordenador central, es posible eliminarlosvolviendo a arrancar el sistema. Hasta lafecha, pocos gusanos han tenido unpayload suficiente para causar dañospermanentes en los ordenadores centra-les infectados, aunque, por supuesto,esto no garantiza que los gusanos futu-ros sean inofensivos. Cuando se propa-gan a otros destinos, los gusanos suelensobrecargar las redes en torno al orde-nador central infectado y . Un caballo de Troya (como el de la histo-ria antigua) o troyano es una aplicaciónque se autocamufla como elemento in-ofensivo del software pero que, en reali-dad, tiene una función maligna. Un tro-yano puede considerarse como un virussin componente de propagación. Unafunción típica de un troyano es propor-cionar una puerta trasera para facilitar elcontrol remoto a un atacante externo. Pa-ra eso quiere permanecer sin ser detecta-do y, por tanto, no tiene interés en cau-sar daños perceptibles para el usuario. En realidad, ciertos troyanos, llamadoskits de base, modifican partes importantes

Tabla 11

Nombre Primera aparición Medio de propagación Magnitud e la epidemia y

tipo de daño

Sasser 30 de abril de 2004 Vulnerabilidad en servicio 1.000.000 ordenadores Windows LSA infectados (parada/reinicio

repetitivo)Blaster 11 de agosto de 2003 Vulnerabilidad en Windows 500.000 ordenadores

DCOM infectadosSlammer 25 de enero de 2003 Sobrecarga de buffers 75.000 ordenadores infec-

en Servidor SQL tados (saturación de la red)CodeRed 19 de julio de 2001 Sobrecarga de buffers en 350.000 ordenadores infec-

servidor IIS tados (congestión de la red)ILOVEYOU 4 de mayo de 2000 Agregado a scripts VB 10.000.000 ordenadores

procesados por Outlook infectadosMelissa 26 de marzo de 1999 Agregado al correo; al abrirlo 100.000 ordenadores

se autoenvía a entradas del infectadoslibro de direcciones de Outlook

Principales epidemias de gusanos/virus de los últimos años [4]Tabla 1

Propagación geográfica del virus Slammer en los 30 minutos siguientes a su activación.El diámetro de cada círculo es una función dellogaritmo del número de máquinas infectadas,de modo que los círculos grandes representanvisualmente a menor escala el número decasos infectados, con objeto de minimizar lasuperposición con zonas adyacentes. Paraalgunas máquinas, sólo podemos determinarel país de origen, no una ciudad concreta.

1

Sat Jan 25 06:00:00 2003 (UTC) Number of hosts infected with Slammer: 74,855

≥

≥

≥

≥

≥

≥

76 Revista ABB 3/2005

Seguridad de los sistemas de información industrial

del sistema operativo para evitar ser de-tectados. Por ejemplo, pueden sustituirutilidades del sistema operativo por ver-siones que ocultan la actividad del troyano.Un tipo especial de troyano es elspyware. Las aplicaciones spyware sonactivas en la sombra y transmiten deter-minadas informaciones desde el ordena-dor central infectado a destinatariosexternos, por ejemplo qué aplicacionesde software están instaladas en el orde-nador central o qué páginas web se visi-tan. A igual que los troyanos, el spywa-re trata de permanecer sin ser detectadodurante largos períodos de tiempo.

¿Cómo evitar una infección?En términos generales, las infeccionescausadas por software maligno sepueden evitar cortando sus medios depropagación y comunicación. Para evitar infecciones de virus es preci-so controlar las diferentes vías de entra-da de un archivo infectado en el siste-ma. Afortunadamente es posible elimi-nar la mayoría de estas vías de ataque alos sistemas de automatización [5]:

Anexos de e-mails o de mensajeríainstantánea (IM/IRC): En los ordenadores centrales del sistemade la red de automatización no debe en-trar ningún e-mail o IM/IRC. Esto puedelograrse no instalando aplicacionescliente e-mail o IM en los ordenadores oinhabilitando las que pertenezcan alsistema operativo. Además, se debenbloquear los protocolos correspondien-tes en el cortafuegos instalado entre lared de automatización y las redes exte-riores. Si existen razones operacionalespara recibir correo electrónico y utilizarfacilidades IM en la sala de control, sepodrá utilizar un ordenador indepen-diente no conectado a la red de automa-tización, sino conectado directamente ala intranet de la empresa. Este ordena-dor también podrá tener acceso a redesexternas de comunicación, por ADSL opor módem de marcación. Asimismo, lasaplicaciones cliente e-mail o IM se con-figurarán en este ordenador para que noejecuten ningún contenido activo. Ade-más, se utilizarán aplicaciones de filtra-do para eliminar anexos, scripts y otroselementos potencialmente peligrosos delos mensajes entrantes.

Navegación Web: Como en el caso de los e-mails entran-tes, se debe prohibir navegar por pági-

nas arbitrarias en Internet desde cual-quier ordenador central de la red de au-tomatización. Puesto que desinstalar unnavegador web no suele considerarseuna opción realista, se pueden utilizarfiltros en la configuración del cortafue-gos y VPN (red privada virtual) para ga-rantizar que sólo se pueda visitar un nú-mero pequeño de sitios previamente au-torizados para consultar, por ejemplo,documentación de referencia en la intra-net de la empresa o una página de so-porte del vendedor. Además de las res-tricciones al correo electrónico mencio-nadas, el contacto con clientes e-mailque operan en la web también reducela amenaza que han de evitar los usua-rios. También en este caso es recomen-dable acceder a la web con ordenadoresindependientes, no conectados a la redde automatización. Se deberán filtrar to-dos los contenidos descargados para eli-minar los elementos activos y potencial-mente malignos. Lo ideal sería que a laaplicación cliente solo accedieran conte-nidos en lenguaje HTML puro.

Coutilización de unidades: En general, debe prohibirse el uso com-partido de unidades entre los ordenado-res centrales interiores o exteriores a lasredes de automatización, lo cual puedeconseguirse con cortafuegos. Existenprotocolos más seguros para transmitirdatos entre el interior y el exterior de lared de automatización .

Medios portátiles (CD, DVD, disco, llave de memoria y otros): Los procesos, procedimientos y mediosfísicos de soporte (por ejemplo el blo-queo de unidades) disponibles en laplanta deben garantizar el escaneo de to-dos los medios portátiles para detectar lapresencia de software maligno con mo-dernos motores de exploración y firmasdigitales antes de que pueda entrar encontacto con un ordenador central en lared de control. Se puede mejorar laprotección con varios escaneos, hechoscon diferentes productos antivirus. Comoes natural, el ordenador central utilizadopara escanear el software maligno nodebe estar conectado a la red de control.

Aplicaciones de transferencia de datos(FTP, PCAnywhere y otras): Se debe reducir al mínimo la transferen-cia directa de ficheros dentro del sistemade control por cualquiera de estos me-dios. Debe usarse un servidor intermedio

2

de transferencia para escanear todos losdatos de entrada y detectar la presenciade programas malignos. Las firmas digita-les contribuyen a verificar que el ficheroprocede realmente del supuesto emisorde confianza y que no ha sido modifica-do entre el escaneado de virus y laimportación en el sistema de control.

Ordenadores portátiles:Todo ordenador portátil deberá tenerinstalados los últimos parches del siste-ma operativo, además de disponer deun escáner de software maligno enfuncionamiento permanente. Última-mente, algunos vendedores de produc-tos de seguridad han empezado a ofre-cer soluciones para comprobar que unordenador cumple determinados requisi-tos antes de poderlo conectar a la red.

Servicio accesible externamente: Todo ordenador central debe ser ‘endu-recido’, es decir, se han de suprimir y/odesactivar los servicios y cuentas deusuario que no sean estrictamente nece-sarios y se han fijar políticas y derechosde acceso, de modo que cada usuario(inclusive las cuentas del sistema) sólotenga el mínimo nivel necesario de pri-vilegios para sus operaciones.La arquitectura del flujo de datos del sis-tema debe diseñarse, idealmente, demodo que no sean necesarias solicitu-des externas desde ordenadores clientesa la red de control. En este caso, el cor-tafuegos se puede configurar para quebloquee todas las conexiones desde elexterior, incluyendo el escaneo de gusa-nos. Si se han de abrir puertos, existenvarias opciones para protegerlos contrael software maligno:

Si la empresa puede imponer entor-nos de aplicación en los ordenadorescliente y servidor, los puertos se pue-den redireccionar lejos de númerosbien conocidos, que son objetivo delos gusanos. Las redes VPN pueden limitar elconjunto de ordenadores clientesautorizados.Dentro de la red de control sepueden usar otros cortafuegos gene-rales y personales para crear zonas decontención.Los servicios no esenciales conpuntos débiles conocidos sólo seofrecerán en uno de varios servidoresredundantes para reducir el efecto deuna posible infección.

Una medida adicional para evitar ata-

Tutorial

77Revista ABB 3/2005

Seguridad de los sistemas de información industrial

de gusanos concretos en una red [7]. Sinembargo, es posible que, por razones defuncionamiento, ciertos ordenadorescentrales, directorios o aplicaciones ten-gan que ser excluidos del escaneo anti-virus y del control de intrusiones.En cualquier caso, todos estos mecanis-mos sólo serán útiles si existe un encar-gado de supervisar continuamente estossistemas, bien formado y provisto deherramientas de respuesta inmediata pa-ra frenar la infección y conseguir que elsistema se recupere de ella.

¿Cómo recuperarse de una infección?Para planificar y ejecutar una respuestaapropiada a una infección es preciso re-copilar determinadas informaciones:

¿Qué funciones y ordenadores centra-les se necesitan con más urgencia yhan de recuperarse prioritariamente?¿Cuánto tiempo pueden estar fuera deservicio las diferentes funciones delsistema?¿Qué personas han de ser alertadas?¿Con qué rapidez estarán disponibles?¿Quién sustituye a quién?

Basado en información sobre funciones,interdependencias y flujos de datos,puede ser posible diseñar la arquitecturadel sistema de modo que tenga puntosde aislamiento predefinidos. Si la red secorta en esos puntos, las islas restantesson al menos parcialmente funcionales.Se pueden distribuir funciones redun-dantes sobre varias de estas zonas decontención. Los medios técnicos siguientes ayudan arecuperar rápidamente el control de laplanta:

Un ordenador central auxiliar de apo-

yo semiautomático y aislado de la red,para funciones que esencialmente nopermitan fallos ni interrupcionesCopias de seguridad recientes detodo el sistema en discos durosintercambiables e inicializables parareiniciar inmediatamente los sistemasinfectados.Copias de seguridad recientes detodo el sistema en otros medios parareinstalar inmediatamente los ordena-dores centrales afectados.Mecanismos locales no interconecta-dos de control auxiliar, como válvulasmanuales y procedimientos de mane-jo y operación Medios de comunicación para elpersonal de emergencias, indepen-dientes de la red TI, por ejemplo deradiocomunicación bilateralAcceso a Internet desde otro ordena-dor independiente, por ejemplo porADSL o por marcación a un provee-dor diferente, para que sea posibleobtener información y actualizacionesde Internet aunque la red principalesté fuera de servicio

En caso de infección se darán los pasossiguientes:

Aislar los ordenadores infectados Separar las zonas de contención enlos puntos de aislamiento preparadosIdentificar y eliminar el portador de lainfección (por ejemplo, conexión conla red exterior)Una vez detenida la propagación delsoftware maligno, conectar ordenado-res centrales auxiliares de reserva,fuera de línea hasta ese momentoIdentificar el software malignoRestablecer los ordenadores infecta-

Tutorial

ques a través de un servicio accesibleexternamente es instalar en ese serviciotodas las actualizaciones contra vulnera-bilidades conocidas de la seguridad.Éste no es necesariamente el mejormétodo, ya que la instalación de losparches supone un esfuerzo considera-ble. Además, es aconsejable aplazar lainstalación hasta que el proveedor delsistema de automatización haya probadoy autorizado los parches. A pesar de laspruebas realizadas por el vendedor enuna instalación de referencia, no es po-sible garantizar que el parche no interfe-rirá con algún sistema concreto. Y, lomás importante, los parches no puedenevitar los ‘ataques de día H’, es decir,los ataques por puntos débiles descono-cidos hasta el momento del ataque. Poresta razón, ninguna política contra soft-ware maligno dependerá únicamente dela instalación de parches.

¿Cómo detectar una infección?Descubrir la infección es posible inclusoantes de que se vea afectado el correctofuncionamiento del sistema de automati-zación; por consiguiente, también sepueden poner en marcha las contrame-didas necesarias antes de que se produz-can daños. Entre otros medios se dispo-ne de las herramientas antivirus instala-das en el ordenador central, de los siste-mas de detección de intrusos en la red yen el ordenador central, y de las herra-mientas de supervisión del estado gene-ral de la red, que incluso pueden estarintegradas en la interfaz hombre-máqui-na del sistema de control [6], así co-mo de las tecnologías, relativamente re-cientes, capaces de detectar la actividad

3

Prototipo de herramienta ABB Corporate Research para avisar al opera-dor del sistema de control del proceso de que existen anomalías en elcomportamiento de la red, causadas, por ejemplo, por un gusano.

3Prototipo de herramienta de ABB Corporate Research para importarficheros de forma segura en una red de control

2

78 Revista ABB 3/2005

Seguridad de los sistemas de información industrial

dos de acuerdo con la estrategia pre-parada (disco duro, imagen duplica-da, reconstrucción desde los mediosoriginales, desinfección). Seguir elconsejo de expertos sobre cómo eli-minar el software maligno identifica-do. En caso de duda, es mejor re-construir el sistema para garantizar re-almente la eliminación en lugar deusar herramientas de eliminación deprogramas malignos.Desconectar los ordenadores auxilia-resReconectar los ordenadores restaura-dosTomar medidas, como cambiar deter-minados procedimientos, para evitarque se repita la infecciónReconectar con la red exterior

Caso de estudioEste caso describe la estrategia de pro-tección contra software maligno para unaversión simplificada de un sistema deautomatización real de un cliente deABB. El sistema de control de la plantaconsta de una interfaz HMI y de un sub-sistema de recopilación de datos de ren-dimiento y de presentación de informes. El cliente quería acceder al servidor de presentación de informes desde or-denadores clientes de su intranet, queestá también conectada a Internet. El principal problema de seguridad parael cliente era la amenaza de infeccionesde gusanos, sobre todo a través delservicio de informes que ha de estar

expuesto a través del cortafuegos. La descripción siguiente destaca algunosde los mecanismos técnicos más intere-santes de protección contra el softwaremaligno sugeridos para esta situación .Por razones de brevedad no se descri-ben las medidas procedimentales ni lastécnicas estándar.La parte operacional del sistema de con-trol está aislada del resto de la red. Todofichero importado de medios portátilesha de ser escaneado en la estación anti-virus, situada en la sala de control y co-nectada solamente a la intranet. La esta-ción tiene un cortafuegos personal quesólo puede ‘extraer’ actualizaciones des-de la red hacia el interior de la estaciónantivirus. El sistema de presentación deinformes está conectado a la red contro-ladora por vía de su propio servidor. Lared usa un bus de campo distinto deTCP/IP/Ethernet, por lo que es pocoprobable que contenga gusanos. Un cortafuegos bloquea solicitudes desdela intranet a todos los puertos del servi-dor de presentación de informes, a ex-cepción de los estrictamente necesariospara obtener datos del funcionamiento.Para reducir aún más la superficie de ata-que, el envío de datos a los puertosabiertos en el cortafuegos sólo está per-mitido a ordenadores de la Intranet, queejecutan la aplicación cliente de presenta-ción de informes de funcionamiento. Estose consigue usando entre estos ordena-dores y el cortafuegos una VPN basadaen IPSec. En este caso, la red VPN se uti-

4

liza sobre todo para asegurar la autentifi-cación del ordenador central, no paraconseguir confidencialidad de los datos.

ResumenLa protección contra el software malignoes ante todo una ‘cuestión personal’. Unapolítica clara que explique las accionespermitidas, unos procedimientos que ase-guren la correcta ejecución de tales accio-nes y una buena formación de los usua-rios son factores importantes para prote-ger un sistema. A modo de ejemplo, unapolítica sobre el flujo de datos entre elsistema de automatización y el exteriordebe definirse de modo que muchos delos portadores de infecciones antes men-cionados queden inhabilitados, aunqueesto cause ciertas molestias a los usua-rios. Los cortafuegos, escáneres de virus,filtros de contenidos y sistemas de detec-ción de intrusos son medios técnicos dis-ponibles para contribuir a la correcta eje-cución de estos procedimientos.

Martin Naedele

ABB Switzerland, Corporate Research

martin.naedele@ch.abb.com

Rolf Vahldieck

ABB Automation Products, Alemania

rolf.vahldieck@de.abb.com

Bibliografía

[1] Naedele, M. , Dzung, D.: Seguridad IT en plantas

industriales, introducción, Revista ABB 2/2005.

[2] T. Chen, J-M. Robert, ‘Worm epidemics in high-

speed networks,’ IEEE Computer, June 2004.

[3] M. Naedele: Sicherheitsstrategien für automatisierte

Produktionssysteme, in: D. Burgartz, R. Röhrig [Eds.]

Information Security Management, TÜV Verlag, to be

published in 2005.

[4] Naedele, M., Biderbost, O.: Human-Assisted Intru-

sion Detection for Process Control Systems, 2nd Int.

Conf. on Applied Cryptography and Network Secu-

rity (ACNS), Tunxi/Huangshan, China, June 2004.

[5] Riordan, J., Zamboni, D.: Billy Goat Detects Worms

and Viruses, ERCIM News No. 56, January 2004,

http://www.ercim.org/publication/Ercim_News/

enw56/riordan.html.[6] N. Weaver, V. Paxson,

S. Staniford and R. Cunningham, A Taxonomy of

Computer Worms, Proc. ACM CCS Workshop on

Rapid Malcode, October 2003.

[6] N. Weaver, V. Paxson, S. Staniford and R. Cunning-

ham, Taxonomy of Computer Worms, Proc. ACM

CCS Workshop on Rapid Malcode, October 2003.

[7] D. Moore, V. Paxson, S. Savage, C. Shannon,

S. Staniford and N. Weaver, Inside the Slammer

Worm, Security and Privacy, July/August 2003.

Lectura adicional

Richard Harrison: The Antivirus Defense-in-Depth

Guide, Microsoft, 2004

Tutorial

Diagrama de la red de un sistema de automatización protegido contra software maligno4

Operations Control Performance reporting AV

HMI HMI

Control Server

Control Server

Performance data processing

Performance analysis

workstation

Firewall

VPN

Performance analysis

workstation

Removable storage

Fieldbus (non TCP/IP/Ethernet)

Controller Controller

InternetIntranet

AV station Personal firewall