Durante años, los ataques contra plantas industriales físicas fueron altamente teóricos, o parte del sofisticado reino de los estados-nación. Si bien hemos dedicado tiempo a este tema en otros artículos, parece que varias herramientas para automatización de ataques y técnicas están saliendo a la luz, como quedó claro aquí en Black Hat 2017.
Por ejemplo, hace algunas décadas, nadie hubiese sospechado que atacar el sistema de climatización (HVAC) derivaría en una gran brecha, pero sucedió. Este año, hay una variedad de charlas sobre hacking a la infraestructura física, que abarca desde parques eólicos hasta automatización de edificios y otra serie de componentes industriales.
la infraestructura física no ha tenido el mismo foco en seguridad que otros sistemas de TI más tradicionales
Es fácil de entender, ya que la infraestructura física no ha tenido el mismo foco en seguridad que otros sistemas de TI más tradicionales, que suelen salir en las noticias por ser atacados frecuentemente. Pero típicamente tienen incorporados procesadores completos y sistemas operativos, que ahora se incluyen en minúsculos sistemas completos que son rentables. Esto significa que es fácil atornillar un sistema operativo a un sistema de control industrial, de gestión de edificios y otros sistemas similares.
Los fabricantes que tienen un ciclo de parches claro son muchos menos en el plano de sistemas de administración de plantas físicas que en el plano tradicional de TI. Incluso en aquellos que lo tienen, a menudo requiere de técnicas no estándar para intalar los parches, incluyendo dejar offline el equipamiento, lo que no alienta demasiado a los operarios. Por esta razón, muchos sistemas permanecen no parcheados durante años.
Muchos se enfocan en la seguridad a través de la oscuridad, esperando que los atacantes no presten atención a su equipamiento. A menudo esto significa que están usando sistemas operativos muy viejos, en los que los parches ya no están disponibles, lo que obstaculiza aún más los esfuerzos por mantener la seguridad.
muchos esperan que los atacantes no presten atención a su equipamiento
Los pentesters del futuro tendrán que incorporar los ataques a plantas físicas a su repertorio, ya que estos dispositivos representarán activos conectados en red, y seguramente se les otorgará algún tipo de acceso a una red interna de administración.
Aquí en Black Hat, y después en Def Con, tendrás muchas oportunidades para interactuar con otros y encontrar las últimas herramientas y técnicas para contribuir a los esfuerzos defensivos de tu infraestructura. En muchos casos (o la mayoría), estas herramientas están disponibles de manera gratuita o a bajo costo, así que el presupuesto no debería ser un problema.
Mientras tanto, debería ser una prioridad más alta entrenar al equipo de TI para que reconozca esta superficie de ataque siempre creciente, lo que le dará la capacidad de analizar potenciales vulnerabilidades y corregirlas.
Si trajiste a tu equipo a Black Hat, muy bien, será un gran comienzo para tu organización. Si no, deberías sentarte en alguna de las conversaciones y llevarte esta información a tu entorno.
Te alegrará haberlo hecho.