HoneyCon 2020, otro apoyo de TECNOideas a un gran evento
Desde que empezamos nuestra especialización en seguridad, hace ya dos años, apostamos por tener una estrecha relación con el mundo Hacker, de donde provenimos gran parte del equipo técnico. Ahora le toca el turno al congreso HoneyCon 2020.
HoneyCon es un congreso de seguridad informática que organiza HoneySec, una asociación sin ánimo de lucro que tiene su sede en Guadalajara.
Pero este año va a tener un formato diferente al del año pasado, donde ya estuvimos presentes, tal y como anunciamos en este blog.
Y es que dadas las circunstancias actuales, incluso estuvo en el aire su celebración. Pero finalmente ya tiene fechas seguras: será el fin de semana del 7 y 8 de noviembre. Recordamos que antes de la crisis sanitaria se prolongaba durante toda una semana en Guadalajara. Además, la pandemia obliga a que no pueda ser presencial, por lo que la edición de este año será online.
Sin embargo, el formato es un poco diferente a todos los “onlines” actuales, ya que será una maratón de 24 horas de duración, que comenzará el 7 de noviembre.
TECNOideas en HoneyCon20
Nuestro compañero Jordi Ubach ha sido escogido para dar una charla sobre uno de los temas que más nos apasionan porque somos expertos : la ciberseguridad industrial. De hecho, poseemos la certificación más alta del Centro de Ciberseguridad Industrial.
Jordi Ubach realizará la charla, de la historia real de un ataque a un sistema de control industrial considerado como crítico. Se trata de una subestación eléctrica de distribución, que daba servicio a mas de 25.000 personas. Un ataque real donde se realizó un análisis forense de dispositivos como SCADA, PLC, RTU, etc.
TECNOideas 2.0 estará presente y aprovechará el congreso para dar a conocer sus nuevos vídeos promocionales. Os avanzamos que os sorprenderán, porque son divertidos y en un formato que no suele verse en nuestro sector. ¡No os los perdáis!
- Publicado en Análisis forense, Errores, General, Informática industrial
La ciberseguridad industrial también existe (II). Ataques al nivel “1” en OT
“Ataques al nivel 1 en OT” es el segundo artículo que publicamos de nuestra anunciada serie sobre ciberseguridad industrial OT.
Como el anterior, titulado “Primera línea de defensa OT, el cortafuegos”, el autor es nuestro estrecho colaborador Jordi Ubach.
El conjunto de normas ISA99 comenzó a desarrollarse con la entrada del nuevo siglo, pretendiendo dar un nuevo empuje a la seguridad de los sistemas de control industrial y creando para ello un conjunto de documentos que ayudasen al incremento de la protección de estos sistemas frente a ataques informáticos.
La generación de esta norma fue a cargo de la International Society of Automation, (ISA), una sociedad de ingenieros, técnicos, comerciantes, educadores y estudiantes creada en Pittsburgh (Estados Unidos) en 1946. La ISA posee también en la actualidad una sección española.
Fue esta asociación la que creó estos estándares de automatización a partir de diferentes grupos de trabajo, cada uno de los cuales se ocupó de una parte del conjunto de normas.
Poco a poco, desde la inicial ISA99 se fue avanzando para adecuarse a la nomenclatura de la Comisión Electrotécnica Internacional (IEC de la voz inglesa) hasta llegar a la IEC62443.
Evolución del conjunto de normas: de la ISA99 a la norma IEC62443.
La automatización es el primer nivel del ISA99, entre la parte física con los sistemas de control mas básicos, los PLCs y y sus periféricos, los sensores y actuadores en general. Consta de toda la parte eléctrica-electrónica y de control. Los PLCs son máquinas simples que realizan un programa cíclicamente.
Hasta aquel momento, en general, los elementos de sensorización del nivel “1” , estaban cableados, por lo que el nivel de intrusión, era nulo debido a la barrera física. Pero actualmente esta preocupación va al alza, debido a los múltiples elementos de sensorización, detección, posicionamiento, etc. que funcionan basándose en conectividad inalámbrica, ya sea wifi, Bluetooth, o NFC (Near-Field Communication).
Esta conectividad proporciona una serie de ventajas técnicas, pero a la vez, es una “puerta de entrada” directa a los sistemas y buses de comunicaciones que anteriormente no existía. Por si esto fuera poco, hay que añadir una preocupante falta de seguridad en los sistemas, ya que en la mayoría de ocasiones carecen de la mínima configuración en materia de ciberseguridad, sin credenciales o las credenciales por defecto, y utilizando softwares o apps de terceros para su configuración.
(Ver figuras 2 y 3).
Intrusión en sistemas industriales y mínima
configuración de ciberseguridad.
Una posible intrusión no controlada de estos elementos, puede causar graves problemas en los sistemas de control industrial, ya que sus valores o consignas pueden modificarse de forma aleatoria, pudiendo causar graves daños, principalmente en la parte del nivel 1 y 2, además de propagar los daños a la parte física de la infraestructura.
Para mitigar dichos ataques, debemos ser conscientes del tipo de dispositivos que vamos a instalar, además de configurar de forma segura los mismos, estableciendo credenciales robustas y evitando, en la medida de lo posible, el acceso no controlado a estos sistemas.
Otra buena medida es disponer de sistemas de detección de intrusos (IDS).
Sistemas que carecen de la mínima ciberseguridad
utilizan softwares o apps de terceros.
Todo esto nos lleva a preguntarnos sobre la seguridad de la implantación de estos nuevos dispositivos, abriendo una vez más la “puerta” a nuevas intrusiones, que parecía que teníamos controladas.
La proliferación de estos dispositivos pone de nuevo en el punto de mira una parte de esa “pirámide”, que afecta de forma vertical al resto de la infraestructura.
Hay que pensar en buenos profesionales para impedir los ataques al nivel 1 en OT.
TECNOideas 2.0 es una empresa de ciberseguridad que tiene una importante rama de especialización en ciberseguridad industrial OT.
Poseemos la certificación profesional de más categoría (nivel negro) del Centro de Ciberseguridad Industrial, entidad de referencia del sector.
Jordi Ubach
Consultor-formador en Ciberseguridad
Forense informático. Lead auditor ISO 27001
ICS security Consultant
@jubachm
linkedin.com/in/jordi-ubach-9971a1a5
Ver el primer capítulo de
La ciberseguridad industrial también existe:
Primera línea de defensa OT, el cortafuegos (firewall).
- Publicado en Consultoría, Formación, General, Informática industrial, Seguridad
La ciberseguridad industrial también existe (I)
La ciberseguridad industrial se ha convertido ya en un problema que no puede ignorarse. Todos sabemos que las comunicaciones y tecnologías de la información son esenciales actualmente. Pero no es tan conocido que estos servicios esenciales dependen mucho de los Sistemas Industriales, que se han convertido en la base de las principales infraestructuras.
TECNOideas 2.0 inicia con este artículo una serie de capítulos dedicados a la ciberseguridad industrial OT.
Primera línea de defensa OT, el cortafuegos (firewall)
Muchos entornos industriales implementan firewalls como primera y principal línea de defensa para sus redes industriales / tecnología de operaciones (OT). Configurar y administrar este tipo de firewalls y sus peculiaridades es complejo, llevando en muchas ocasiones a cometer errores.
Derivar toda la seguridad de nuestra red OT sobre este dispositivo es un gran error, ya que las medidas de seguridad deben ser divididas y dimensionadas entre los diferentes elementos y usuarios que forman la red OT.
• Regla por defecto “any-any”
Para algunos modelos de firewalls, dejar por error una regla de “permitir el any-any” es un error común. Las graves consecuencias de dejar por error una regla predeterminada visible o invisible implícita de “any-any” provoca que muchos tipos de conexiones en nuestras redes queden con todos los parámetros habilitados.
• Interfaces de administración no usados
Por facilidad, el fabricante del firewall habilita varios tipos de interfaces administrativas de forma predeterminada: SSH, Telnet accesos serial, USB, interfaces web cifradas en el mejor de los casos… Aunque muchos de ellos son sin cifrar, por lo que un posible atacante podría ver las credenciales enviadas. Dejando todas estas posibilidades de acceso, aumenta de forma exponencial y peligrosa la superficie de exposición.
• Orden incorrecto de las reglas
Uno de los grandes errores de configuración en los firewalls, es el posicionamiento incorrecto de las rules, es decir las reglas que deben cumplirse para la protección de nuestros dispositivos. Un mal orden implica que alguna de las reglas posiblemente no se ejecute a su debido momento.
• Credenciales por defecto
Aproximadamente un 45% de los firewalls visualizados, cuentan todavía con las credenciales de administración por defecto, ya sea por descuido o por falta de conocimientos a la hora de configurar este hardware.
Estas credenciales por defecto provocan que cualquier atacante pueda acceder al sistema, pudiendo modificar cualquier regla, o simplemente desactivar el firewall y saltar todas las protecciones del sistema.
• Creencia que el Firewall es “solo salida”
En las redes de sistemas de control industrial y de procesos, a menudo existe la creencia de que estamos protegidos porque el firewall se ha configurado para permitir solo conexiones salientes, desde la red industrial a una red externa. Esta es una creencia errónea y un posible error fatal. Todas las conexiones TCP, incluso aquellas a través de un firewall, son conexiones bidireccionales. De manera más general, los dispositivos industriales que se conectan a servicios empresariales comprometidos corren el riesgo de propagar ese compromiso a los sistemas de control y poner en peligro todas las operaciones industriales.
• Caducidad de las reglas
No es suficiente y menos recomendable configurar el firewall en el momento de su instalación. Las reglas del firewall deben actualizarse y revisarse periódicamente. Debemos evitar todo lo posible las reglas “temporales” que se introducen para pruebas a corto plazo, reparaciones de emergencia y otras necesidades. Deben eliminarse estas reglas para equipos y sistemas de software obsoletos o no conectados. Deben eliminarse las reglas que brindan acceso OT para las direcciones IP utilizadas por los empleados que han dejado la organización o que han cambiado de responsabilidades.
• Conexiones remotas y apps
Otro gran punto y elemento olvidado, son las conexiones entrantes remotas, utilizadas habitualmente por terceras empresas para tareas de telemantenimiento. Dichas conexiones utilizadas mediante softwares estándar como pueden ser Teamviewer, AnyDesk, etc. o a través de apps deben ser filtradas y monitorizadas poniendo especial cuidado en ellas, y poner el foco específicamente sobre los puertos que utilizan.
TECNOideas 2.0 es una empresa de ciberseguridad que tiene una importante rama de especialización en ciberseguridad industrial OT.
Poseemos la certificación profesional de más categoría (nivel negro) del Centro de Ciberseguridad Industrial, entidad de referencia del sector.
Jordi Ubach
Consultor-formador en Ciberseguridad
Forense informáticoÇLead auditor ISO 27001
ICS security Consultant
@jubachm
linkedin.com/in/jordi-ubach-9971a1a5
Si necesita más información sobre nuestros servicios, no dude en contactar con nosotros.
- Publicado en Consultoría, General, Informática industrial, Seguridad
Exposición de activos OT
En un entorno globalizado, y en plena expansión de la “mal” llamada integración IT/OT, realizamos una serie de búsquedas de activos OT que nuestras empresas tienen publicados en Internet.
Así evaluamos el nivel real de exposición, y extraemos ciertas conclusiones en materia de Ciberseguridad, en entornos industriales.
La llamada industria 4.0 obliga a muchas empresas a tomar la decisión de conectar sus dispositivos industriales a la “red”.
Con ello ofrecen mejores servicios, o simplemente tareas de monitorización y optimización de sus procesos. También para acceso remoto a estos dispositivos mediante telecontrol, o para realizar tareas de mantenimiento sobre los mismos.
Toda esta conectividad, ofrece un amplio espectro de funcionalidades positivas en toda la cadena de producción o control.
Pero por otra parte oculta una serie de aspectos preocupantes en materia de Ciberseguridad frente a ataques dirigidos a OT, o accesos incontrolados a los sistemas.
Son generalmente sistemas de alta disponibilidad 24×7 o infraestructuras críticas, por lo que la preocupación es mayor.
Antecedentes
Click para ampliar.
Tras una búsqueda de activos expuestos a Internet dentro el estado español, realizando búsquedas filtradas para ciertos modelos, protocolos de comunicación o servicios expuestos, podremos extraer una serie de conclusiones, afirmaciones y categorizaciones sobre la exposición y vulnerabilidad de estos activos, evaluando un rango de vulnerabilidad de los mismos.
Operativa
Se realiza una búsqueda exhaustiva de algunos de los equipos mas comunes y utilizados en las empresas en materia de automatización.
Por ejemplo, plc’s de Siemens, Omron ,Modicon, Mitsubishi, y equipos que utilizan el protocolo (de propósito general y ampliamente utilizado y desplegado) Modbus, junto con routers industriales de acceso remoto Ewon .
La muestra se basa en la recolección de información de los diversos elementos publicados, y el análisis de puertos, acceso sin credenciales y servicios activos desactualizados según cve’s:
- Modicon 463 equipos
- Ewon 102 equipos
- Siemens S7 394 equipos
- Omron 486 equipos
- Modbus 1367 equipos
Después de realizar todo el análisis y filtrar los datos, los resultados en cuanto a vulnerabilidades de los equipos y servicios expuestos se resume de la siguiente forma, en base al riesgo calculado en base a:
Número de equipos expuestos por provincia, puertos abiertos, posible acceso sin credenciales y servicios desactualizados.
Valorándolos de la siguiente forma:
- 0-5 Leve
- 5-7 Media
- 7-10 Grave
Como conclusión final, se observa que existen centenares de dispositivos expuestos, que tal vez deberíamos plantearnos si realmente deben estar conectados a Internet
En caso afirmativo aplicar sobre estos elementos de OT, las mismas políticas de seguridad del área de IT, actualizando firmware’s o servicios que corren sobre estos sistemas.
Jordi ubach @jubachm
- Publicado en Consultoría, Informática industrial
TECH.PARTY.2019 (PARTE-4). Final y resumen.
También fuimos a otras charlas y talleres, pero el tiempo no daba para desdoblarnos e ir a más o poder hacer más reseñas.
Estuvimos con Kneda y su “Día a día de un pentester”, que bien podría hacer una novela con sus vivencias. Con Rafael Guerrero y su Elemental querido hacker, con un punto de vista más de detective privado (con los que nosotros colaboramos bastante). O con Pablo González & Alberto Sánchez, y su UAC history.
No queremos desmerecer a nadie, haciendo estas reseñas o menciones, porque según lo que comentamos con otros ponentes y asistentes, todas estuvieron a un alto nivel.
También desde “Plusradio la radio en positivo”, el programa El Cronovisor, con su podcast de dos horas de duración, realizaron entrevistas a participantes del evento.
Lo podéis escuchar AQUÍ, y a ellos seguirlos en Twitter @ElCronovisor, facebook @radioelcronovisor e Instagram @elcronovisor, y también plusradio.es
Desde nuestra parte felicitar a la organización, de diez, a los ponentes, y todo el público, que sin todo este conjunto no sería posible.
Quizás el único pero, que nos hubiera gustado asistir a muchos más eventos, y ojalá fuera posible en futuros eventos, que esperemos que los haya, que fuera menos denso por horarios, hacerlo en un par de jornadas, para que podamos asistir y empaparnos de más conocimiento.
Gracias!
- Publicado en Análisis forense, Consultoría, Formación, Informática industrial, Protección de datos, Seguridad, software libre
TECH.PARTY.2019 (PARTE-3)
Qubes Os. Aunque ya lo conocíamos no lo habíamos probado, ya que nunca nos coincidía con un hardware compatible.
Elena Mateos nos realizó una demo de este sistema, y nos explicó sus interioridades. Un sistema muy interesante enfocado a seguridad personal, ya que creas unas máquinas virtuales, Qubos, en los que configurar ciertas aplicaciones.
Así por configuración y rango de colores tendrás unas VM listas para ejecutar lo que necesites en cada momento, y tener el core del sistema completamente separado de estas máquinas.
Lo malo es la compatibilidad de hardware, un poco limitada, sobre todo si lo quieres usar en un portátil, pero algo más amplia en clónicos. Puedes ver los requerimientos AQUÍ, y la lista de componentes y modelos concretos AQUÍ.
¿Como hay que tratar un tema que la os que lo seguimos nos hace parecer paranoicos, y a los neófitos no les importa, porque “quien va a querer nada mis datos si no tengo nada de valor?
Pues con gracia, de forma ágil, amena y divertida. Esa fue la charla sobre Privacidad, a cargo de Ulises Gascón.
Unas cuantas demostraciones, sobre todo el buscador de cámaras online, que no solo son dispositivos que cuelga la gente para compartir su vida, sino de gente que no lo hace con esa intención, sino que simplemente deja este hardware con usuario y password por defecto de fábrica.
Y antes de seguir asustando a la gente, explica que es un plan de amenazas, que saca el Big 5 de nuestra información (que suele ser mucho, ya que se la regalamos y ellos la guardan a perpetuidad). la publicidad invasiva y como bloquearla, y etc … etc….
Resumen, no hay que reglar datos, desconfiar de la red en general, y blindarnos. No hay que ponérselo nunca fácil a los delincuentes (no hackers).
- Publicado en Análisis forense, Consultoría, Formación, Hazlo tu mismo, Informática industrial, Seguridad, software libre
Nueva versión del entorno de programació Arduino IDE.
Hace unas semanas el equipo de desarrollo de Arduino anunciaba una nueva versión, la 1.0 del entorno de programación Arudino IDE, con mejoras tan prácticas como soporte DNS y DHCP, nueva y mejorada librería SoftSerial, mejoras en la interfaz, una barra de progreso al compilar, etc…
Arduino, para quién no lo conozca, es un entorno de prototipos electrónicos de hardware y software libre, opensource, con el que realizar multitud de proyectos. Podéis conocer mucho más sobre este entorno en la tienda BricoGeek, aquí.
- Publicado en Informática industrial
Redes inalámbricas en la industria: Parte 2.
.jpg)
El ejemplo.
Pongamos ahora un ejemplo real aunque simplificado para abordar con mayor claridad este artículo. Estamos hablando de una instalación logística, en la cual existe una gran cantidad de cintas transportadoras. En la primera cosa que debemos de fijarnos es en la dimensión de la instalación. Estamos hablando de decenas de metros de cintas transportadoras, cada una con innumerables detectores (fotocélulas) y actuadores (contactores, relés). Simplemente la tarea de comprobar cada una de las señales del autómata (entradas y salidas) puede ser una ardua tarea. Por lo general el autómata estará en un cuadro eléctrico en una esquina de la instalación y a partir de él, se extenderán cientos de metros de cables para las señales de dichos elementos. No hace falta mencionar que el uso de un cable para conectarse al autómata y comprobar señales o depurar el programa sería un procedimiento lento que implicaría la incapacidad de efectuar el trabajo por una sola persona. Es aquí donde la conexión inalámbrica nos ofrece su potencia y su ventaja frente al cable. Con un simple Router conectado al autómata y un portátil con conexión Wifi, podemos movernos a lo largo de toda la instalación y efectuar las tares necesarias para realizar nuestro trabajo, con comodidad, celeridad y efectividad.
El uso de una red, no solo se limita a la conexión inalámbrica, con ella podemos tener conectado el autómata a cualquier dispositivo que tenga conexión Ethernet, impresoras, servidores de ficheros, base de datos, PDAs, etc. y con algo de imaginación , el rendimiento, las prestaciones y el resultado final de nuestra instalación puede ser ¡impresionante!.
Conclusión.
Estamos ante un claro ejemplo de cómo una solución doméstica, nos puede ayudar en una situación profesional y nos brinda la posibilidad de realizar un buen trabajo, rápido, efectivo y aprovechar al máximo las facilidades que aportan las nuevas tecnologías.
- Publicado en Informática industrial
Redes inalámbricas en la industria: Parte 1.
Los inicios.
La aparición de las redes inalámbricas (y más en concreto las redes Wifi) han supuesto un gran avance para evitarnos la tediosa tarea de tener conectados nuestro equipo constantemente a un punto fijo y más si nuestro equipo es un ordenador portátil. Esta comodidad que vemos cotidianamente en nuestra casa, en nuestra oficina, en bares, aeropuertos, ha llegado también al sector industrial, concretamente al sector de la automatización industrial, a los autómatas programables o PLCs.
Antaño cuando necesitábamos programar algún autómata, monitorizar datos o depurar el programa in situ, dependíamos de un cable que por lo general era “especial” con el cual nos conectábamos mediante el puerto serie de nuestro ordenador al puerto de comunicaciones del autómata. Que decir queda, que antiguamente no era difícil encontrar ordenadores portátiles con el legendario puerto serie (RS232), pero actualmente es casi misión imposible encontrar algún portátil con dicho puerto. Naturalmente, nos queda siempre el famoso adaptador de USB a RS232, pero según el modelo, el fabricante, la aplicación y numerosas condiciones más, es fácil que dicho adaptador no acabe de funcionar bien del todo.
La evolución.
.jpg)
De la misma manera que la evolución en la informática de consumo está haciendo desaparecer el puerto serie de los ordenadores portátiles, la evolución en los autómatas programables está haciendo que cada vez más fabricantes estén montando puertos USB en sus modelos. Esta solución nos está quitando un problema que tenemos con el puerto serie e incluso nos ofrece la posibilidad de poder trabajar mucho más rápido con estos aparatos ya que el puerto USB es por definición muchísimo más rápido que el puerto serie RS232. Pero aún nos queda un problema y es el tener que usar un cable y el tener que estar conectados físicamente.
Después de que ciertos fabricantes de autómatas pasaran del puerto RS232 al USB, ahora le ha tocado el turno al puerto Ethernet. Mirando fríamente a dicho puerto, podemos pensar que se trata una vez más de un puerto físico, con el que tenemos que utilizar un cable si queremos intercambiar información entre el autómata y nuestro portátil. Pero echándole un poco de imaginación podemos pensar la cantidad de recursos “baratos” y de fácil solución que podemos conectar en dicho puerto Ethernet.
La solución.
Un autómata con un puerto Ethernet no es solo un autómata con un puerto más para intercambiar datos. Es en la naturaleza de dicho puerto donde encontramos la solución para librarnos del los cables físicos. En este puerto podemos conectar sin ningún tipo de problemas un punto de acceso Wifi o si queremos podemos conectar un Router, el cual no es necesario que esté conectado a Internet ya que nos brindará la interlocución entre nuestro portátil y el autómata vía Wifi.
Debemos pensar siempre en un autómata como una aparato que está ligado estrechamente a una máquina o a una instalación. Dicha máquina o instalación puede ser pequeña, mediana o grande y a la hora de poner en marcha dicha instalación o máquina, el hecho de que nuestro portátil no esté conectado físicamente a nada, nos puede ayudar enormemente para alcanzar nuestro objetivo de depurar el programa para conseguir el correcto funcionamiento de nuestra máquina o instalación.
Una de las ventajas de este sistema es que nos podemos olvidar del problema del puerto serie y de los cables específicos para comunicar con el autómata. Eso sí, no debemos olvidar de que un autómata con un puerto Ethernet, no es corriente y casi siempre será una opción o un módulo de ampliación, debiendo de tener en cuenta su coste extra.
<- Mañana segunda parte del artículo con un ejemplo práctico ->
- Publicado en Informática industrial
Español 
Català