Aunque algunos prefieran pensar que el mundo de la
seguridad es
exclusivo del "underground" y que solo personas muy esmeradas y
profesionales están en ello, no podemos negar que
en nuestra profesión también existen modas, nombres "cool" y por supuesto, existe el marketing.
Nos encanta lo que hacemos pero no deja de ser un negocio y una
profesión además de un hobby. Por eso, el hecho de enfrentarse con
una nueva moda en
seguridad, nos pone frente a una situación muy
particular:
la necesidad de volver a estudiar. Aunque parezcan
conceptos viejos, aunque la
seguridad sea cíclica en cuanto a sus
errores, cada nueva moda, o cada nueva tecnología o cada nueva
implementación supone un nuevo desafío y no podemos darnos el lujo de
abordarlo desde la confianza. Al contrario debemos ser muy cautos y
volver a nuestras bases. Volver a estudiar.
Por qué explicar la seguridad industrial
Hoy en día, las modas de la seguridad de la información están relacionadas directamente con las redes de sistemas industriales, con drones, con dispositivos médicos, con el internet de las cosas, ciberguerra y algún que otro tema más. En esta serie de entradas, trataremos exclusivamente la relacionada con los sistemas industriales. Los
métodos "tradicionales" de abordar esta disciplina (se puede buscar
"hacking scada" o "ataques a redes scada" en Google) no ofrecerán más
que exploits, sin conocer qué afecta realmente o cuáles son los vectores
de ataque en una red industrial. Pero en esta serie veremos por qué se
supone que los SCADA son distintos a los demás sistemas.
Parece necesario porque hay mucha información pero no tantos datos concretos, porque el mercado empieza incluso a lanzar carreras relacionadas con este tema; porque se organizan congresos sobre seguridad en las redes industriales; porque
está relacionada directamente con la ciber-defensa de un país o una
región; porque sus vulnerabilidades afectan a todos de una manera
diferente a las que puedan existir en otros ambientes:
está en juego incluso la vida y la salud de las personas.
Safety is not security
Un sistema de control industrial tiene por objeto controlar de manera
automática un proceso industrial (antes controlado manualmente, aunque
cabe aclarar que todavía existen en muchas fábricas) sin tener que
depender de la reacción o interpretación de un operador sobre una
medida. Los procesos industriales manuales dependen en gran parte de
la experiencia del operador, pero agregan variables difíciles de
controlar: el nivel de cansancio, su estado de ánimo, las frecuencias en
que el cerebro humano puede tener huecos o vacíos de atención ante un
proceso de alta concentración, etc. La automatización de estos temas no
es algo novedoso, los sistemas de control industrial existen desde hace
muchísimos años y funcionan bien.
La integración a las redes TCP/IP es lo que ha hecho que se convierta
en una moda porque principalmente cambia varios escenarios. Ahora están expuestos a internet, cualquier usuario de la LAN puede alcanzar los controles del sistema, el malware comienza a desarrollarse con el fin de afectarlos directamente, etc.), pero sobre todo plantean una especie de dogma: "
safety is not security".
En los sectores o áreas de operaciones, hablar de "safety" (hablar
de la protección de las vidas humanas) es algo muy común y sobre todo
muy tenido en cuenta; pero hablar de "security" no es cosa de todos los
días. Un buen objetivo como profesionales de la seguridad es tener
presente siempre que
una planta industrial que piensa en concepto de
"safety" no necesariamente involucra "security". Sin embargo una que
piensa en "security", colabora a mantener los niveles de "safety" donde
deben permanecer. Vamos a ir entendiendo por qué a medida que avancemos en el tema.
Los sistemas de control industriales se basan en 3 etapas:
- Medición de los datos del proceso (monitorización).
- Evaluación de la información obtenida en cuanto a parámetros estándar.
- Control del proceso en base a la información medida y evaluada.
Estos sistemas de control pueden ser completamente manuales,
automatizados en su totalidad, o ambas formas (híbridos). Los sistemas
conocidos particularmente como SCADA ("supervisory control and data
acquisition") pueden permitir
evaluar desde una consola la información de múltiples puntos de un proceso y tomar decisiones de control.
Esto nos lleva a la necesidad describir cuáles son los componentes
habituales, y por qué no, de una forma que nos resulte conocida como el
modelo OSI.
Un modelo de capas
En este modelo, de la misma manera que en el modelo OSI, las capas están relacionadas entre sí.
 |
| Fuente cci-es.org |
Empezando por la capa inferior (1), la capa de los Sensores y Actuadores
(equipos que regulan las variables y ejecutan los controles),
sería algo así como la capa física, donde lo que importa es el medio o los dispositivos de campo.
Básicamente, aquí se concentran a nivel de dispositivos de campo, los
sensores de movimiento, sensores de temperatura (termopar o
termocuplas), sensores de niveles, sensores magnéticos, etc. y por otro
lado, a este nivel lo que se transmiten son señales.
En la capa siguiente (2), se encuentran:
- Los famosos PLC (Programmable Logic Controller o Controlador Lógico Programable)
- Las RTU (Remote Terminal Unit o Unidad Terminal Remota) que básicamente son un microprocesador capaz de adquirir señales de campo y actuar en consecuencia en base a una programación existente.
- DCS (Distributed Control System). Son un Sistema de Control
Distribuido (se comunica con los dispositivos de campo y presenta los
datos a un HMI o interfaz para humanos), que obtiene información de los
PLC o de las RTU. Por lo general la forma antigua más común de
interconexión era RS232 o Ethernet utilizando protocolos específicos
como MODBUS o DNP3, entre otros (existen más protocolos y más medios de
interconexión). Los términos y conceptos de DCS y SCADA son muy
similares entre sí, y en ocasiones se utilizan indistintamente,
dependiendo del sector en el que se esté trabajando.
Subiendo un poco más en el modelo hasta la capa (3), nos encontramos con
el nivel de los HMI/SCADA donde, fundamentalmente, se recolecta toda la
información de los PLC y/o RTU distribuidos de manera automática, y
donde empezamos a encontrarnos con un protocolo conocido como TCP/IP.
En la capa superior siguiente (4) aparece un nuevo jugador pocas veces mencionado, el MES (Manufacturing Execution System)
cuyo objetivo no es la evaluación del proceso en sí mismo, sino la de su eficiencia a partir de la información recibida.
Por ejemplo, si determinada máquina no tuvo el mantenimiento
necesario en fecha y tiene disponible otro equipo que sí lo tuvo como
para asegurar la calidad; el cumplimiento de un determinado proceso; o
si el turno de tarde produce más que el turno de mañana, etc.
Y finalmente, en la última capa (5) se encuentra el también conocido ERP, donde básicamente se decide
qué tipo de controles se ejecutarán, con qué frecuencia y con qué
esfuerzo, con el objetivo de disponer de una planificación coherente.
No todas las plantas industriales o las fábricas disponen de la totalidad de estos componentes aplicados en sistemas. Por ejemplo, puede que
muchas
no cuentan con un ERP y todo lo relacionado a ella lo hacen "en
procesos manuales". Pero lo importante es comprobar la existencia de
vectores de ataque, que veremos en el próximo artículo junto a los
principales protocolos.
Claudio Caracciolo
claudio.caracciolo@11paths.com
