Inicio
 > Informes e investigaciones > Blog de TEC > Stuxnet: códigos maliciosos al ataque de la indu...

Stuxnet: códigos maliciosos al ataque de la industria

Escrito por: David Clark
Publicado: diciembre 15 2010


Cuando el código malicioso (malware) Stuxnet llegó a los medios de comunicación en septiembre de 2010, la noticia sonó como la trama de una novela de Tom Clancy. Después de todo, el primer gusano desarrollado para reprogramar los sistemas industriales fue diseñado, según los informes, para atacar las centrales de energía nuclear de Irán. Más específicamente, Stuxnet le apuntó a los controladores industriales de las implementaciones de Siemens en las llamadas “infraestructuras de alto valor” en Irán.

La respuesta de los medios fue apropiadamente histérica. 

<

Clark entrevista a Stefan Woronka, el director de servicios profesionales de Siemens:


P1. Cuéntenos por favor sobre el rol que ejerce usted en Siemens.

Soy el Director de Servicios Profesionales, responsable de los Servicios de Seguridad TI Industrial dentro de la Unidad Empresarial de Automatización de Sistemas Industriales. Ofrecemos consultoría e implementación de soluciones de seguridad TI industrial. Ello comienza con la valoración del riesgo para sitios existentes y sugerencias de medidas para implementación. Nosotros apoyamos la implementación y realizamos revisiones periódicas. Las revisiones se llevan a cabo bien sea como parte de una política establecida por el cliente o como parte de un procedimiento estándar.

P2. ¿Podría contarnos un poco sobre la forma en que Stuxnet llamó su atención por primera vez, y sobre sus ideas y reacciones iniciales?

Nuestra administración informó a los departamentos más importantes, incluyendo a los Servicios de Seguridad TI Industrial. Las primeras ideas que llegaron a mi mente fueron: “Qué es eso, debo saber más al respecto,” ya que los primeros datos sobre Stuxnet no eran realmente claros sobre las intensiones del código malicioso. En cuestión de unas horas activamos un equipo en nuestra organización y definimos las acciones a tomar, como un análisis detallado en nuestros laboratorios de seguridad junto con el ciber CERT de Siemens, los expertos forenses.  [Nota del editor: CERT es la sigla de computer emergency response team que en español significa grupo de respuesta a las emergencias computacionales.]

P3. De acuerdo con la noticia de Kaspersky Lab, “Stuxnet es un prototipo temible de un arma cibernética, que llevará a la creación de nuevas carreras armamentistas en el mundo.” ¿Es realmente algo que nos debe preocupar o es simplemente una hipérbole?

Ahora, más de tres meses después de la primera aparición de Stuxnet en las noticias, podemos decir que en ninguno de los casos conocidos por Siemens se afectó los sistemas de control de la planta en los ambientes industriales.

Los fabricantes de sistemas para la búsqueda de virus han informado de masivas infecciones de Stuxnet en algunos países, sin distinción alguna sobre si afectaron las PC de oficina o los sistemas industriales. En los cuatro meses, un total de 21 clientes de Siemens en el mundo a nivel industrial han informado haber sido infectados con el virus troyano (programa espía). 

En todos los casos, Stuxnet aprovechó las brechas en la seguridad de los sistemas operacionales basados en Windows. El virus pudo eliminarse en todos los casos sin efectos adversos en los procesos de las plantas. En ninguno de los casos Stuxnet influenció los sistemas de control o intento hacerlo. Este comportamiento corresponde con la información obtenida en el análisis que Siemens realizó sobre el virus.

Stuxnet busca sistemáticamente una configuración específica de la planta de producción. Si no encuentra tal configuración, el virus no se activa. Pero la posibilidad que presenta Stuxnet es algo que todos debemos tomar seriamente. Este es obviamente el primer intento de crear códigos maliciosos para aplicaciones industriales o de infraestructura. Y según los expertos, este no será el último atentado de su tipo. De allí que tanto las empresas como los integradores de sistemas deberán sensibilizarse y tomar medidas preventivas para analizar su seguridad. 

La seguridad no puede ser comprada como un producto único o una característica técnica. La seguridad es un proceso continuo que une productos, personas y procesos. 

P4. ¿Piensa usted que habrá quienes intentaran copiar algunas o todas las características de Stuxnet?

Microsoft ha lanzado los parches de seguridad para cerrar la entrada del virus "Stuxnet."Entonces, el caso “Stuxnet” se cerrará muy pronto. Pero como dije anteriormente, según los expertos este no será el último atentado de su tipo. Toda la comunidad en el área de seguridad, así como Siemens, están trabajando en los conceptos y las mejoras para resistir ataques futuros. 

P5. Tenga por favor paciencia mientras le hago una pregunta hipotética: imagine que es usted el administrador del proyecto para la concepción y desarrollo de Stuxnet. ¿Qué tipo de críticas le daría a su grupo de desarrollo en este momento? ¿tiene lecciones aprendidas para el grupo de desarrollo de Stuxnet?

Si encuentra usted el grupo que desarrollo esto, déjemelo saber. Yo también tengo algunas preguntas. Estoy trabajando en el lado opuesto.

P6. Bien, ahora me gustaría pasar a preguntas generales sobre las preocupaciones de los fabricantes sobre la seguridad de TI. El White Paper de Siemens Security Concept PCS 7 and WinCC señala las estrategias para enfrentarse a las siguientes amenazas (pág. 23):

• Negación de la prestación del servicio
• Evasión de mecanismos específicos de seguridad (tales como “Man in the Middle” o intermediario en español) 
• Mal funcionamiento por medio de acciones permitidas (tales como el robo de contraseñas)
• Mal funcionamiento por medio de derechos de usuarios sin configurar
• Espías de datos (como recetas y secretos empresariales o planes operacionales para las plantas de producción y sus mecanismos de seguridad)
• Manipulación de información (ejemplo: minimizar la importancia de las alarmas)
• Eliminación de datos (ejemplo: los archivos de registro para encubrir las actividades de ataque)

Esas son bastantes preocupaciones. ¿Es posible lograr una seguridad “a prueba de balas”?

Básicamente quiero anotar que 

• No existe tal cosa como la seguridad al 100% 
• No existe una “bala de plata” en cuanto a la seguridad 

Para cada defensa existe una ataque y para cada ataque debe haber una defensa.

Una seguridad solida toca tres aspectos: las personas, los productos y los procesos. Para empezar un proyecto, usted debe diseñar la seguridad dentro de la solución, además debe crear conciencia dentro de todos los participantes en el proyecto y quienes luego utilizaran el sistema, y adicionalmente debe tener en cuenta los procedimientos operacionales estándares para tener incluir todos los aspectos relevantes. Además, usted debe construir su arquitectura de seguridad con varias capas defensivas. Estas capas deben incluir uno del los tres aspectos mencionados con anterioridad.

P7. Como usted bien sabe, los proveedores de software están promoviendo fuertemente la computación en nubes; si creo en los White Papers y casos de estudio, pareciera que los fabricantes realmente se están cambiando hacia la adopción de la computación en nubes. Entonces, ¿la computación en nubes trae consigo retos de seguridad que usted quisiera señalar para que los fabricantes tengan en cuenta en pensar en este tipo de adopciones?

La computación en nubes como cualquier otra solución de TI tiene riesgos generales y específicos que deben ser analizados.  Una vez analizados, se deben tomar las medidas necesarias para mitigar los riesgos.

P8. Soluciones de seguridad para la industria: ¿Existen soluciones/funciones/desarrollos nuevos o futuros que quisiera usted resaltar?

Existen soluciones que se están haciendo más populares dentro de la comunidad de seguridad TI industrial, pero que deben ser evaluadas y desarrolladas aun mas.  En mi opinión, las tecnologías para detectar intrusos y para crear listas de sistemas a los cuales se les permite funcionar en las computadoras de la empresa (whitelisting technology), le permite tener mejores niveles de seguridad en el futuro.  Además veremos soluciones especiales para la seguridad industrial que tienen en cuenta las necesidades de priorización de los operadores, lo cual descansa sobre la habilidad e integridad (sin clasificar estos dos) y por ultimo en la confidencialidad.   

Pero estos son solo productos y soluciones, los cuales aun deben ser implementados apropiadamente.  Es aquí donde nuestra organización juega un papel importante. Nosotros ayudamos a nuestros clientes en la implementación de soluciones de seguridades pero ello no termina con la simple solución.  Todo nos conduce a los tres aspectos mencionados: las personas, los productos y los procesos.  Establecer un programa de seguridad y recurrir al conocimiento externo puede ayudar a incrementar el nivel general de seguridad.

P9. ¿Qué tipo de recomendaciones le daría usted a los administradores TI quienes están perpetuamente tratando de disipar la percepción de que el departamento de TI no contribuye con la productividad del usuario (ejemplo: son ellos quienes restringen el acceso a información y artefactos móviles, gestionan los diferentes derechos de los usuarios, etc.)?

Las prioridades más importantes para el operador de una planta descansan sobre la integridad y disponibilidad, y por ultimo en la confidencialidad. El departamento de TI tiene la responsabilidad de comprender su orden y de ajustar las medidas y obrar en consecuencia. Pero también recae sobre el operador la responsabilidad de comprender la necesidad de tener una seguridad TI y el departamento de TI debe ofrecerles su apoyo y experiencia. Trabajando unidos se ayudan entre sí, y dan a las operaciones un nivel más alto de seguridad.

De allí que esperamos que la comunidad saque al mercado programas con más altos niveles de seguridad.

P10. ¿Qué recomendaciones generales le daría usted a las empresas fabricantes que están en la búsqueda de una exhaustiva solución de seguridad por primera vez?

Mi primera pregunta sería: “¿Tiene usted establecida una política de seguridad para sus operaciones?”

Dentro de dicha política las organizaciones deberán incluir todos los temas relevantes. Para poder comenzar a crear dicha política, las organizaciones fabricantes deben comenzar con la valoración de todos sus activos importantes.  Al valorar los riesgos se logra un mejor conocimiento de lo que es realmente importante y que requiere mayor atención. De allí, se pueden definir las medidas a tomar para mitigar esos riesgos. Finalmente, la seguridad TI no es un proyecto que se realiza solo una vez. Debe ser un asunto diario para todos en la empresa.

 
comments powered by Disqus