Si los marcos de referencia de la industria están para informar y asegurar la infraestructura crítica, aquí en Black Hat hay mucha gente buscando agujeros en ellos.
Sería otro el panorama si algunos de los sistemas más críticos tuvieran protecciones básicas implementadas, como tráfico cifrado y contraseñas robustas, pero como señala la charla sobre ataques a parque eólicos, muchos o la mayoría no las tienen.
Las redes no deberían ser comprometidas por ataques Man in the Middle (MITM) desde una Rapsberry Pi 3 haciendo ARPspoof y enviando instrucciones para detener los generadores eólicos de repente. Pero pueden serlo, y lo son.
¿Qué se necesita para lograr eso? Algunas herramientas muy simples (presentadas aquí en la conferencia) y algún acceso físico rudimentario.
Una vez que se obtiene acceso, se puede enviar comandos a través de una interfaz SOAP, pero también pivotar y moverse lateralmente entre los campos de control industrial y continuar haciendo maldades.
Por supuesto, el orador dijo que su equipo había trabajado con los manufactureros para tapar los agujeros, pero fue sorprendente cuántos de ellos parecían no querer escuchar. Afortunadamente algunos lo hicieron, y él trabajó con ellos para ayudar a que todos estemos seguros.
En nuestra investigación, descubrimos sorprendentes agujeros en las defensas digitales de proveedores de infraestructura crítica, y nosotros intentamos educarlos y asistirlos, pero si los protocolos y el hardware por defecto tienen credenciales por defecto y los operadores usan sistemas operativos viejos, sin soporte y no parcheados, es luchar contra la corriente.
¿Cuándo cambiará? Si los iluminados equipos de TI de proveedores de infraestructura crítica pueden construir puentes, seguro pueden educar a los ingenieros senior que saben cómo manejar la planta, pero a menudo saben poco sobre cómo funcionan los paquetes y las redes.
Esta es una cuestión generacional, ya que la gente que es muy buena haciendo funcionar centrales eléctricas, que han operado año tras año durante décadas, han pasado sus carreras perfeccionando el equipamiento sin ninguna "necesidad" de redes de paquetes, y por lo tanto, les encuentran poco valor. A medida que se acercan a la jubilación y son reemplazados por una generación creada en las redes, parte de la educación se transferirá, pero igualmente llevará años.
Mientras tanto, los marcos destinados a asegurar la infraestructura crítica u ofrecer orientación a los operadores para hacer que suceda, se están extendiendo a la industria como un primer paso esperanzador (de muchos) que ayudará a proteger todo el ecosistema.
Pero ya que muchas piezas en el ecosistema más grande son interdependientes, especialmente en el caso de un modo de falla en cascada, esto no puede llegar lo suficientemente pronto.
En los últimos años, ha habido una escalada en los intentos de obtener acceso a estos sistemas conectados en red, que pinta una especie de mapa de calor de cuán interesado puede estar un potencial adversario, y de hecho están interesados. Ahora, quedará en manos de los operadores de planta abrazar la transición a un entorno más consciente de la TI. Todavía queda por ver si será o no suave.
Pero el cambio debe llegar, de manera que los sencillos ataques basados en redes presentados aquí en Black Hat no sean eficaces para derribar las vastas áreas de la infraestructura crítica que todos usamos y (en su mayoría) damos por sentada.