Conferencia: SCADA, Infraestructuras Críticas… and How to…

Hace unas semanas tuve la oportunidad de participar en los Primeros Juegos Cibernéticos Regionales. Allí además de estar al frente del desarrollo e implementación de la competencia entre los CERT’s / CSIRT de diferentes países participantes, también pude realizar una conferencia introductoria a los sistemas SCADA y las infraestructuras críticas en general.

A continuación dejo todo el recorrido de la presentación realizada en este importante evento.

Introducción y presentación de proyectos y agenda:

Proyecto Corporación ElHackLab: www.HackLab.me

Proyecto Colaborativo de Entrenamiento en Seguridad: Sec-Track.org

Proyecto Colaborativo Contra Pederastas en Internet: Anti-Depredadores.org

Proyecto Colaborativo de Publicación de Retos en Seguridad: TryToHack.me

Proyecto Colaborativo de Lectura, Análisis y Distribución de Recursos Académicos en Seguridad Informática: InfoSecNotes.me

Mi primer acercamiento a las infraestructuras críticas (y creo que el de muchos)… Una gran mayoría de personas las conocimos gracias a ellos:

 

Luego las vimos así en las películas:

Ahora bien… ¿Qué son las Infraestructuras Críticas?

Aquí hago la presentación de un increíble recurso para el aprendizaje didáctico de los sistemas SCADA. Y tomo como referencia el magnífico libro a modo de historieta SCADA and ME de Robert M. Lee con ilustraciones de Jeff Haas.

Esta corta historieta nos hace un recorrido sobre la historia del pequeño Bobby, en su proceso de aprendizaje sobre los sistemas SCADA. Todo esto de la mano de Matt, un amigo que le explica de la mejor manera en qué consisten y los desafíos en seguridad de los mismos.

Aquí los autores de esta maravillosa obra

Origen de los sistemas tecnológicos

Continúa la historia

Desde aquí una vez que Bobby (y nosotros) sabemos qué son los sistemas SCADA, decidí hacer una prueba de concepto de cómo podemos identificarlos desde Internet. Todo esto utilizando la plataforma ShodanHQ.

Otra manera muy sencilla de identificar estos sistemas puede ser utilizando las propias empresas que implementan o están relacionadas de alguna manera con estas. Con un poco de Google Hacking podríamos identificar plenamente las mismas, gracias a la típica costumbre de publicar quienes son los clientes de las empresas.

Siguiendo la recomendación de Matt en la historieta, veamos como podemos proteger SCADA. Aquí hago la presentación de un entorno de trabajo llamado SamuraiSTFU (Security Testing Framework for Utilities). Una distribución de los mismos autores de SamuraiWTF (Samurai Web Testing Framework) y basada en la misma, pero enfocada al Test de Seguridad a dichas tecnologías.

Algunos ejemplos de estos

Recomendaciones finales

Aquí hice la presentación de un pequeño desafío introductorio a lo que sería el CTF en el propio evento. Para ello implementé un pequeño sistema simulado de SCADA que fue comprometido por delincuentes informáticos. La misión del juego era recuperar el control del sistema y restablecer la temperatura de un sistema automatizado de control. El cual fue alterado por los ciber criminales para que de manera automática se incrementara la temperatura del mismo en un periodo de 24 horas. Tiempo establecido para la realización del desafío.

Ninguno de los participantes pudo recuperar el acceso del sistema. Por lo tanto el premio y el reto quedarán abiertos para otra oportunidad (estén atentos). Pues hice la presentación de un nuevo proyecto enfocado al entrenamiento en seguridad de sistemas SCADA, sobretodo a lo que a pruebas de intrusión se refiere. Este proyecto decidí llamarlo HackingSCADA.me

 

Como reflexión final dejo un concepto clave. Y es precisamente la integración de la seguridad física y lógica en las infraestructuras críticas. Estas a su vez compartiendo una responsabilidad por parte del sector público y privado.