¿Qué es lo más interesante del hackeo del sistema de agua de Florida? Que nos enteramos en absoluto. – Krebs sobre seguridad


Las historias sobre seguridad informática tienden a volverse virales cuando superan la gran división entre geeks y luddites, y la noticia de esta semana sobre un pirata informático que intentó envenenar el suministro de agua de un pueblo de Florida fue comprensiblemente materials de primera plana. Pero para los nerds de la seguridad que han estado advirtiendo sobre este tipo de cosas durante años, el aspecto más sorprendente del incidente parece ser que nos enteramos de ello.

Dedique unos minutos a buscar en Twitter, Reddit o en cualquier otro sitio de redes sociales y encontrará innumerables ejemplos de investigadores que publican pruebas de que pueden acceder a las llamadas «interfaces hombre-máquina», básicamente páginas world wide web diseñadas para interactuar de forma remota con varios sistemas complejos, como los que monitorean y / o controlan cosas como energía, agua, alcantarillado y plantas de fabricación.

Y, sin embargo, ha habido muy pocos incidentes conocidos de piratas informáticos malintencionados que abusan de este acceso para interrumpir estos complejos sistemas. Es decir, hasta el lunes pasado, cuando el sheriff del condado de Florida Bob Gualtieri celebró una conferencia de prensa notablemente lúcida y llena de hechos sobre un intento de envenenar el suministro de agua de Oldsmar, una ciudad de alrededor de 15.000 habitantes no lejos de Tampa.

Gualtieri dijo a los medios de comunicación que alguien (todavía no saben quién) accedió de forma remota a una computadora para el sistema de tratamiento de agua de la ciudad (usando Teamviewer) y aumentó brevemente la cantidad de hidróxido de sodio (también conocido como lejía utilizada para controlar la acidez en el agua) a 100 veces el nivel ordinary.

«El suministro de agua de la ciudad no se vio afectado», El Tampa Bay Occasions informó. “Un supervisor que trabajaba de forma remota vio cómo se cambiaba la concentración en la pantalla de su computadora e inmediatamente la revirtió, dijo Gualtieri. Los funcionarios de la ciudad enfatizaron el lunes que se han implementado varias otras salvaguardas para evitar que el agua contaminada ingrese al suministro de agua y dijeron que han desactivado el sistema de acceso remoto utilizado en el ataque «.

En resumen, un intruso probablemente sin experiencia de alguna manera aprendió las credenciales necesarias para acceder de forma remota al sistema de agua de Oldsmar, hizo poco por ocultar su actividad y luego trató de cambiar la configuración por un margen tan amplio que las alteraciones serían difíciles de pasar por alto.

«El sistema no period capaz de hacer lo que quería el atacante», dijo Joe Weiss, socio gerente en Soluciones de control aplicado, una consultoría para la industria de sistemas de handle. “El sistema no es capaz de aumentar en un variable de 100 porque hay ciertos problemas físicos involucrados allí. Además, los cambios que intentó hacer no ocurrirían instantáneamente. Los operadores habrían tenido mucho tiempo para hacer algo al respecto «.

Weiss fue solo uno de la media docena de expertos inmersos en los aspectos de ciberseguridad de los sistemas de manage industrial con los que habló KrebsOnSecurity esta semana. Si bien todos los entrevistados se hicieron eco de la conclusión de Weiss, la mayoría también dijo que estaban preocupados por las perspectivas de un adversario más avanzado.

Estas son algunas de las conclusiones aleccionadoras de esas entrevistas:

  • Hay aproximadamente 54,000 sistemas distintos de agua potable en los Estados Unidos.
  • La gran mayoría de esos sistemas atienden a menos de 50.000 residentes, y muchos atienden a unos pocos cientos o miles.
  • Prácticamente todos ellos dependen de algún tipo de acceso remoto para monitorear y / o administrar estas instalaciones.
  • Muchas de estas instalaciones están desatendidas, con fondos insuficientes y no hay nadie que vigile las operaciones de TI las 24 horas del día, los 7 días de la semana.
  • Muchas instalaciones no han separado la tecnología operativa (los bits que controlan los interruptores y palancas) de los sistemas de seguridad que pueden detectar y alertar sobre intrusiones o cambios potencialmente peligrosos.

Entonces, dado lo fácil que es buscar en la world wide web y encontrar formas de interactuar de forma remota con estos sistemas HMI, ¿por qué no hay más incidentes como el de Oldsmar en las noticias? Una razón puede ser que estas instalaciones no tienen que revelar tales eventos cuando suceden.

¿LA AUSENCIA DE MALAS NOTICIAS SON BUENAS NOTICIAS?

La única ley federal que se aplica a la ciberseguridad de las instalaciones de tratamiento de agua en los Estados Unidos es Ley de Infraestructura de Agua de Estados Unidos de 2018, que requiere que los sistemas de agua que atienden a más de 3300 personas «desarrollen o actualicen evaluaciones de riesgos y planes de respuesta a emergencias».

No hay nada en la ley que obligue a tales instalaciones a reportar incidentes de ciberseguridad, como el que sucedió en Oldsmar el pasado fin de semana.

«Es difícil lograr que las organizaciones informen sobre incidentes de ciberseguridad», dijo Michael Arceneaux, director gerente de la ISAC agua, un grupo industrial que trata de facilitar el intercambio de información y la adopción de mejores prácticas entre las empresas de servicios públicos del sector del agua. Los 450 miembros de Drinking water ISAC sirven a aproximadamente 200 millones de estadounidenses, pero su membresía comprende menos del uno por ciento de la industria normal de servicios de agua.

«Algunas empresas de servicios públicos temen que si se comparten sus vulnerabilidades, los piratas informáticos tendrán algún conocimiento interno sobre cómo piratearlas», dijo Arceneaux. «Las empresas de servicios públicos se muestran bastante reacias a poner esa información en un dominio público o tenerla en una foundation de datos que podría hacerse pública».

Weiss dijo que las agencias federales son igualmente reacias a discutir tales incidentes.

“La única razón por la que supimos de este incidente en Florida fue que el alguacil decidió realizar una conferencia de prensa”, dijo Weiss. “El FBI, el Departamento de Seguridad Nacional, ninguno de ellos quiere hablar de esto públicamente. El intercambio de información no funciona «.

A modo de ejemplo, Weiss dijo que no hace mucho fue contactado por un defensor público federal que representaba a un cliente que había sido condenado por piratear un sistema de agua potable. El abogado se negó a compartir el nombre de su cliente o divulgar muchos detalles sobre el caso. Pero quería saber si Weiss estaría dispuesto a servir como testigo experto que podría ayudar a que las acciones de un cliente parezcan menos aterradoras para un juez en el momento de la sentencia.

«Estaba defendiendo a esta persona que había pirateado un sistema de agua potable y había llegado hasta las bombas y los sistemas de control», recordó Weiss. “Dijo que su cliente solo había estado en el sistema durante aproximadamente una hora, y quería saber cuánto daño podría haber hecho realmente su cliente en tan poco tiempo. Estaba tratando de conseguir una sentencia más indulgente para el tipo «.

Weiss dijo que ha intentado obtener más información sobre el acusado, pero sospecha que los detalles del caso han sido sellados.

Andrew Hildick-Smith es un consultor que sirvió casi 20 años administrando sistemas de acceso remoto para la Autoridad de Recursos Hídricos de Massachusetts. Hildick-Smith dijo que su experiencia trabajando con numerosas empresas de agua más pequeñas le ha llevado a la realidad de que la mayoría carece de particular y fondos insuficientes.

«Una parte decente de las pequeñas empresas de agua depende de la persona de TI de su comunidad o pueblo para que les ayude con las cosas», dijo. “Cuando tienes un servicio público de agua, hay tantas cosas de las que ocuparse para que siga funcionando que no hay tiempo suficiente para mejorar lo que tienes. Eso puede extenderse al lado del acceso remoto, y es posible que no tengan una persona de TI que pueda ver si hay una mejor manera de hacer las cosas, como asegurar el acceso remoto y configurar cosas como la autenticación de dos factores «.

Hildick-Smith dijo que la mayoría de los incidentes de ciberseguridad que él conoce que involucran instalaciones de agua se dividen en dos categorías. Los más comunes son compromisos donde los sistemas afectados fueron daños colaterales de intrusiones más oportunistas.

“Ha habido un montón de ocasiones en las que se ha violado el sistema de handle de los sistemas de agua, pero la mayoría de las veces es por casualidad, lo que significa que quien lo estaba haciendo utilizó la computadora para establecer transacciones financieras, o era una computadora de conveniencia , ”Dijo Hildick-Smith. «Pero los ataques que involucraron el paso de realmente manipular las cosas son una lista bastante corta».

La otra razón, cada vez más común, dijo, son los ataques de ransomware en el lado comercial de los servicios de agua.

“Aparte del tipo de personas que ingresan a un sistema SCADA por error en el lado del agua, hay un montón de ataques de ransomware contra el lado comercial de los sistemas de agua”, dijo. «Pero incluso entonces, por lo common, no puedes escuchar los detalles del ataque».

Hildick-Smith recordó un incidente reciente en una empresa de agua bastante grande que fue atacada con la cepa de ransomware Egregor.

«Las cosas funcionaron internamente para ellos, y no necesitaban hablar con el mundo exterior ni con la prensa al respecto», dijo. «Se pusieron en contacto con el Water ISAC y el FBI, pero ciertamente no se convirtió en un evento de prensa, y las lecciones que aprendieron no se pudieron compartir con la gente».

UN RETO INTERNACIONAL

La situación no es diferente en Europa y en otros lugares, dice Marcin Dudek, investigador de seguridad de sistemas de control en CERT Polska, el equipo de respuesta a emergencias informáticas que se encarga de la notificación de incidentes cibernéticos en Polonia.

Marcin dijo que si las instalaciones de agua no han sido un objetivo importante de los piratas informáticos criminales con ánimo de lucro, probablemente se deba a que la mayoría de estas organizaciones tienen muy poco valor para robar y, por lo common, no tienen recursos para pagar a los extorsionistas.

“La parte de acceso es bastante fácil”, dijo. “No existe ningún argumento comercial para piratear este tipo de sistemas. Rara vez tienen una VPN (red privada virtual) adecuada para una conexión remota segura. Creo que es porque no hay suficiente conciencia sobre los problemas de la ciberseguridad, pero también porque no están lo suficientemente financiados. Esto no se aplica solo a EE. UU. Es muy related aquí en Polonia y también en diferentes países «.

Muchos profesionales de la seguridad han sonado en las redes sociales diciendo que los servicios públicos no tienen por qué depender de herramientas de acceso remoto como Teamviewer, que de forma predeterminada permite un handle complete sobre el sistema host y está protegido por una very simple contraseña.

Pero Marcin dice que Teamviewer en realidad sería una mejora con respecto a los tipos de sistemas de acceso remoto que comúnmente encuentra en su propia investigación, que involucra sistemas HMI diseñados para usarse a través de un sitio website público.

“He visto muchos casos en los que la HMI estaba disponible directamente desde una página web, donde simplemente inicias sesión y luego puedes cambiar algunos parámetros”, dijo Marcin. «Esto es particularmente malo porque las páginas website pueden tener vulnerabilidades, y esas vulnerabilidades pueden dar al atacante acceso completo al panel».

Según Marcin, las empresas de servicios públicos suelen tener múltiples sistemas de seguridad y, en un entorno best, estos están separados de los sistemas de regulate para que el compromiso de uno no se convierta en cascada al otro.

«En realidad, no es tan fácil introducir toxinas en el tratamiento del agua para que la gente se enferme, no es tan fácil como algunos dicen», dijo. Aún así, le preocupan los atacantes más avanzados, como los responsables de múltiples incidentes el año pasado en el que los atacantes obtuvieron acceso a algunos de los sistemas de tratamiento de agua de Israel e intentaron alterar los niveles de cloro del agua antes de ser detectados y detenidos.

“El acceso remoto es algo que no podemos evitar hoy”, dijo Marcin. “La mayoría de las instalaciones no están tripuladas. Si se trata de una planta de tratamiento de agua o de aguas residuales muy pequeña, no habrá gente adentro y solo se registrarán cuando necesiten cambiar algo «.

TIEMPO DE AUTOEVALUCIÓN

Muchos sistemas de tratamiento de agua más pequeños pronto estarán reevaluando su enfoque para asegurar el acceso remoto. O al menos esa es la esperanza de la Infraestructura de agua de 2018, que brinda a las empresas de servicios públicos que prestan servicios a menos de 50,000 residentes hasta fines de junio de 2021 para completar una evaluación de resistencia y riesgo de ciberseguridad.

“La gran mayoría de estas empresas de servicios públicos aún tienen que pensar realmente en dónde se encuentran en términos de ciberseguridad”, dijo Hildick-Smith.

El único problema con este proceso es que no hay consecuencias para las empresas de servicios públicos que no completen sus evaluaciones antes de esa fecha límite.

Hildick-Smith dijo que si bien los sistemas de agua deben reportar periódicamente datos sobre la calidad del agua a la Agencia de Protección Ambiental de los Estados Unidos (EPA), la agencia no tiene autoridad authentic para hacer cumplir las evaluaciones de ciberseguridad.

«La EPA ha hecho algún tipo de amenazas vagas, pero aquí no tienen capacidad de hacer cumplir», dijo. “La mayoría de los sistemas de agua esperarán hasta que se cierre la fecha límite y luego contratarán a alguien para que lo haga por ellos. Otros probablemente se autocertificarán, levantarán la mano y dirán: &#39Sí, estamos bien&#39 «.


Etiquetas: Andrew Hildick-Smith, Used Manage Answers, Bob Gualtieri, CERT Polska, Agencia de Protección Ambiental, Florida drinking water hack, Joe Weiss, Marcin Dudek, Teamviewer, Water ISAC

Esta entrada fue publicada el miércoles 10 de febrero de 2021 a las 5:13 pm y está archivada bajo A Very little Sunshine.
Puede seguir cualquier comentario a esta entrada a través del feed RSS 2..

Puede saltar hasta el last y dejar un comentario. Pinging no está permitido actualmente.





Enlace a la noticia original