sábado, 9 de octubre de 2010

Stuxnet el terror de los SCADA

En estos días se está hablando mucho sobre el malware STUXNET y sobre todo como afecta a los SCADA. Para entender mejor la problemática, vamos analizar que hace dicho malware.

1) ¿Qué es una SCADA?
SCADA es el acrónimo de Supervisión, Control y Adquisición de Datos (Supervisory Control And Data Acquisition). Esto es un sistema basado en computadoras que permite monitorear y controlar a distancia una instalación de cualquier índole. A diferencia de otros dispositivos que son administrados o manipulados por un operador, el SCADA se caracteriza por automatizar muchas de las tareas sin intervención del operador, es decir de forma automática. Si bien hay muchas implementaciones de estas soluciones, siempre hay un operador verificando su funcionamiento. Si navegan por Internet, van a encontrar que los SCADA tambien se los denomina los "Vigilantes de Procesos".

Este tipo de plataforma no son una novedad, más bien han ido evolucionando con el correr de los años. Revisando un poco la historia vamos a encontrar que una de las mayores implementaciones realizadas en el mundo fue en 1999, cuando se puso en marcha el proyecto de ampliación de las minas Olympic Dam en Australia, en donde la plataforma Citect corría bajo plataforma MS Windows NT. 4.0.

2) ¿STUXNET?
Este código malicioso clasificado como GUSANO INFORMATICO, afecta a equipos Ms Windows. Fue descubierto por VirusBlokAda en junio del 2010, y es un gusano catalogado como espía con capacidades de reprogramar soluciones industriales como los SCADA. Este gusano es capaz de reprogramar los controladores lógicos programables y enmascarar esos cambios para que no sea detectado. Su objetivo son sistemas de SCADA y WinCC/PCS 7 de Siemens.
Si el gusano aprovecha la vulnerabilidad de un dispositivo, puede lograr la interrupción del proceso de negocios.

3) ¿Cómo ataca los S.O. Ms Windows?
Lo que hace STUXNET es aprovechar cuatro vulnerabilidades del día cero (son vulnerabilidades que alguien ha detectado y aún el fabricante no ha logrado resolver). También aprovecha la vulnerabilidad utilizada por el gusano Conficker, si el S.O. aún no ha sido parchado.

4) Metodo de propagación
Preferiblemente mediante el transporte de información utilizando dispositivos USB de los equipos conectados a la red. El acceso de los dispositivos lo hace probando las contraseñas denominadas predeterminadas (default) o conocidas.

5) Objetivo
A diferencia de otros gusanos, que normalmente se difunden en la red infectando los recursos informáticos y provocando bloqueos, envíos de correo basura o molestar en el uso de los recursos de IT, el STUXNET usa una metodología de ataque en la cual ha sido denominado como software de SABOTAJE. Esta clasificación se la otorgado en base en donde a aparecido (IRAN), instalaciones en donde se ha descubierto el gusano (Centrales nucleares o Industrias), la plataforma que afecta (SCADA o WinCC/PCS 7 de Siemens) y la conformación del código, ya que está lejos de ser un software realizado por algún estudiante universitario (Para afectar los SCADA se requiere de ciertos conocimientos profesionales como también de los procesos industriales).

6)Protección
Las actualizaciones y políticas de seguridad son importantes para proteger las redes industriales. Microsoft en el mes de septiembre publicó el boletín MS10-061, en donde el gusano estaba explotando la vulnerabilidad en Print Spooler. En el mes de octubre (el día 12/10) se lanzarán nuevas actualizaciones con el fin de proteger más aún la plataforma.
Las recomendaciones para evitar que la red industrial sea afectada por este gusano son:

1) Firewall: los dispositivos deben contar con un firewall.
2) Actualizaciones: verificar la publicación de las actualizaciones y aplicarlas.
3) Contraseñas: si se han aplicado contraseñas predeterminadas, cambiarlas y documentarlas.
4) USB: bloquear los accesos USB y mediante una politica organizacional prohibir su uso sobre equipos industriales. El traslado de algún tipo de información utilizando los puertos USB, deben ser verificado con algún procedimiento formal.
5) Antivirus: de ser posible implementar una solución de antivirus con la capacidad de detectar los gusanos.
6) VLAN: mantener la red industrial separada por VLAN o segmentación física de la red administrativa o la que normalmente realizan las operaciones los usuarios.
7) Shared folder: evitar las carpetas compartidas sobre los equipos industriales. El gusano tiende a buscar la carpeta ADMIN$, si bien seria deseable desactivarlo, hay soluciones de antivirus u otros productos que requieren de esta carpeta compartida para administrarse.
8) Accesos directos: Evitar accesos directos sobre el equipo industrial, ya que una de las metodologías es verificar los archivos .LNK.

A su vez Siemens ha puesto a disposición una herramienta de detección del gusano.
Para contar con mas información de este gusano, les recomiendo el dossier publicado por Symantec, podrán bajarlo desde AQUI.
Les recomendamos mantenerse actualizado con las novedades, ya que al momento de la redacción de este artículo, ha sido detectado una nueva variante.

Por último les recomiendo este sitio para recolectar más informacion sobre el gusano:

http://www.microsoft.com/security/portal/threat/Encyclopedia/Entry.aspx?Name=Trojan%3AWinNT%2FStuxnet.B

Fuente: Symantec y Microsoft.

Hasta la próxima.

No hay comentarios.: