Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
08/11/2012
Segon informe sobre Protecció d'Infraestructures Crítiques
Esta setmana fem públic el segon informe relatiu a la protecció d’infraestructures crítiques, en este cas focalitzat en els aspectes pràctics d'eixa protecció a Espanya.
El plantejament és senzill: després de la publicació, fa un temps, del primer informe —on analitzaven els aspectes normatius de la PIC, especialment al nostre país—, decidim comprovar de forma aproximada quin era l’estat real de la seguretat de les infraestructures crítiques espanyoles. Per a això ens plantejarem una anàlisi generalista —en no cap moment dirigida— per mitjà de proves no hostils (obvi) i l’ús de ferramentes no avançades; és a dir, volíem saber on podria arribar un atacant sense un objectiu específic ni coneixements o ferramentes avançades, senzillament amb un poc de temps i una connexió a Internet.
Per a això, identificarem una sèrie de firmes associades a sistemes de control —fabricants, models concrets…— a operadors d’infraestructures crítiques o estratègiques, a estes infraestructures en general… i les complementem amb més informació sobre eixes infraestructures, com dades WHOIS o direccionaments públics. Amb estes dades, el nostre amic SHODAN i la seua magnífica API, començaren a buscar entorns associats a IICC a Espanya que foren accessibles des d’Internet.
Són estos entorns realment vulnerables? No tenen per què ser-ho, però per a nosaltres que s’arribe amb un simple navegador a un sistema de control, per posar només un exemple, és francament preocupant. Continuem, que és qüestió de temps, per no dir una altra cosa. Estan estos entorns associats a infraestructures crítiques o estratègiques? Tampoc tenen per què, jo puc muntar-me un SCADA a casa o pot estar desplegat en una infraestructura no crítica. Per això s’ha realitzat, amb els resultats ja normalitzats obtinguts de forma automàtica en les busques anteriors, un treball considerable per a reduir el nombre de falsos positius, que n'hi havia i molts. I finalment, sobre estes dades ja processades, ens posarem a analitzar el que havíem obtingut. Atenció! No es tracta d’un estudi estadístic —i sobre este tema insistim una altra vegada, tot i que algú no ha volgut veure-ho així— amb una mostra seleccionada acuradament, amb una metodologia estadísticament perfecta ni res semblant. Molt més senzill: volíem pegar una ullada a les IICC a Espanya, amb les premisses indicades abans.
El resultat? Sense ser l'estudi estadístic, tal com diem, i com que se'ns hauran colat falsos positius o haurem descartat falsos negatius —és el que té treballar amb grans volums de dades— la veritat és que espanta un poc el que ens hem trobat: protocols insegurs (el 75% aproximadament), més de 1.000 “trastos” de qualsevol tipus accessibles des d’Internet —en molts casos sense autenticació— i una sensació de “risc zero” més que palpable: com si no s’explica que ens trobem amb alguns dispositius de control industrial que espanten o alguns routers troncals d’IICC accessibles des de qualsevol part del món amb un simple telnet o http, per posar-ne només uns exemples?
Encara queda prou per fer, segons la nostra opinió, en la (ciber) protecció d’infraestructures crítiques a Espanya… esperem que ens done temps! Vos deixem ací l’informe, accessible des de la pàgina web de S2 Grup:
Informe sobre Protecció de les Infraestructures Crítiques a Espanya 2012
PD. Abans que algú ho pregunte novament, en l’informe ni estan les firmes d’entrada ni els resultats obtinguts :)<