Informe sobre el estado de la ciberseguridad industrial dirigido a la Comisión Europea

Europa
Espacios Europeos
(22/2/2018)
La Comisión Ejecutiva del pleno de la Asociación Mediterránea de Peritos de las TIC, reunidos en su asamblea de invierno en Barcelona los días  16 y 17 de febrero de 2018, ante la extrema gravedad de los resultados del informe encargado a los peritos firmantes de ese informe; extrema gravedad que conforma un riesgo cierto de desastre ecológico de muy graves proporciones, que puede ser provocado por impericia, mala fe, delincuencia organizada o terrorismo, acuerdan elevar a las autoridades y hacer público el siguiente informe. Personas  físicas directamente están en riesgo, y el patrimonio de todos, también.

INFORME SOBRE EL ACCESO LIBRE POR INTERNET A LAS VÁLVULAS DE LOS DEPÓSITOS DE COMBUSTIBLE DE  LAS GASOLINERAS
PRIMERO.- El número de sistemas de control industrial (ICS) accesibles LIBREMENTE desde Internet ha aumentado significativamente en el último año, alcanzando más de 175.000 componentes. Búsquedas similares realizadas por los expertos en el año anterior descubrieron  ya un poco más de 162.000 válvulas en situación de inminente riesgo.

SEGUNDO.- Pero hoy vamos a abordar un problema, sobre el que empezaron a saltar las primeras alarmas entre los técnicos ya desde año 2015 referente a la seguridad de los medidores y válvulas de control de tanques automáticos de las gasolineras, pero que sorprendentemente no ha sido corregido. Estos dispositivos se utilizan en las estaciones de servicio y realizan diversas funciones, como monitorizar los niveles de combustible agua, temperatura, ordenar traspasos, o generar alarmas cuando proceda. Estas válvulas se usan en muchas estaciones de servicio en todo el mundo incluido España.

Veamos un ejemplo de una gasolinera de la ciudad de Madrid.

TERCERO.- Muchas válvulas tienen un puerto en serie incorporado para programación y monitorización. Algunos sistemas también tienen una tarjeta TCP / IP o incluso un adaptador de serie a TCP / IP. Estas tarjetas permiten a los técnicos supervisar el sistema de forma remota. El puerto TCP más común utilizado en estos sistemas es el puerto 10001. Algunos de estos sistemas tienen los mecanismos para estar protegidos con contraseña, pero de las 189  gasolineras o tanques localizados en España solo 1 está protegida por contraseña.

CUARTO.- A nivel europeo o internacional la situación no está mucho mejor siendo posible localizar en una sola búsqueda cerca de 12.000 dispositivos.

Acceder a estos sistemas es relativamente sencillo y se realiza vía telnet. Existen  más de 600 comandos que se pueden ejecutar, algunos de los cuales incluyen el establecimiento de umbrales de alarma, la edición de configuraciones del sensor y la ejecución de pruebas de tanques. Más aún, podemos descargar en internet todos los comandos explicados y detallados en el manual que el fabricante proporciona para este dispositivo.

Son todos los datos que se necesitan para provocar, bien sea por negligencia o por un ataque dirigido, daños a centenares de propiedades (mezclar gasolina, agua y/o gas-oil), vertidos de millones de litros de combustible por rebosamiento o incluso graves explosiones en carreteras y ciudades. Sólo recordar que muchas gasolineras están en cascos urbanos y un incidente con ellas comportaría la pérdida de vidas humanas.

QUINTO.- Desde ASPERTIC hacemos un llamamiento URGENTE a las autoridades para que los propietarios de estos sistemas aseguren un nivel de seguridad mínimo para evitar tanto una grave pérdida económica como un desastre ecológico o la afectación de personas físicas, en caso de que alguien remotamente intente manipular estos dispositivos con malas intenciones.

SEXTO.- Lejos de ser un hecho aislado, la conexión a internet de dispositivos críticos como el caso de estas gasolineras, es algo más común de lo que pensamos. Otro fallo detectado recientemente permite CAMBIAR LOS PRECIOS en los surtidores de cerca de 100 gasolineras a nivel nacional. Este sí, es un agujero de ciberseguridad sólo achacable a la avaricia de las petroleras.

SEPTIMO.- Tendemos a creer que la ciberseguridad del IoT (Internet of Things) recae fundamentalmente en la securización de los dispositivos y su conexión a la red, y estamos equivocados. Como punto de partida, vemos que ni la securización de los dispositivos, ni su conexión a la red están actualmente en la mente de muchos despliegues industriales, como el caso comentado de gasolineras.

Muchos de los aplicativos de administración, métodos de actualización o autentificación del software embebido de los dispositivos IoT no están desarrollando políticas de seguridad elementales. La seguridad de información ha de ser un factor determinante para la salida al mercado de nuevos productos. Existe un grave y cierto riesgo ya que los nuevos productos adolecen de todo tipo de vulnerabilidades clásicas en los mismos que permiten que el atacante consiga una intrusión fácil y sin ningún tipo de esfuerzo, en el mismo.

Estos dispositivos inseguros, forman parte de una niebla de dispositivos, una colmena electrónica que se comunica en multitud de protocolos, algunos de ellos inseguros, en multitud de canales poco seguros y que comprometen a los teóricamente seguros

OCTAVO.- De mayor gravedad es que, estos dispositivos suelen reportar a servicios que están alojados en la nube, con niveles mínimos o nulos de securización… Por lo tanto, este es otra área a la que dedicar esfuerzos en facilitar la usabilidad sin desproteger la seguridad.

El secuestro, manipulación o destrucción de sistemas industriales críticos es más real de lo que la mayoría de las personas tienden a creer, y ha dejado de ser hace tiempo un sueño o el argumento de una película.

Firman este informe de ASPERTIC, los peritos Claudio Chifa, Antonio Fernándes y Josep Jover i Padro, Presidente ASPERTIC

Etiquetas:
Antonio Fernándes, ASPERTIC, ataques informaticos, Ciberseguridad industrial, Claudio Chifa, Internet libre, Josep Jover, software libre