En los libros de historia de muchos centros escolares ya se puede leer que muy probablemente la Tercera Guerra Mundial, de existir se gestará a través de los  diferentes sistemas informáticos de los distintos estados. Afirmación que no es tan descabellada si observamos como van evolucionando estos sistemas y como cada vez mas, se introduce la informática en tareas tan comprometidas como la seguridad nacional o tan banales como la temperatura de nuestros hogares. Si bien es cierto que los distintos países tratan de controlar este tipo de problemática “online” con los servicios de inteligencia, no siempre esto es posible, ya que aquí normalmente gana el mas fuerte. Como dice uno que yo me se: “saludad que nos están leyendo”.

En este articulo voy hablar en concreto sobre los sistemas SCADA y un conocido virus que dio mas de un quebradero de cabeza a los técnicos de las centrales nucleares Iraníes y a los ingenieros de SIEMENS, estamos hablando el virus STUXNET (vaya tiene el nombre de la mascota de Linux). Lo definen los entendidos de la seguridad digital como: “un prototipo funcional y aterrador de un arma cibernética que conducirá a la creación de una nueva carrera armamentística mundial”, palabras de Kevin Hogan uno de los ejecutivos de Symantec.

^{virus desarrollado para dañar centrales nucleares}

Lógicamente en este articulo NO se va hablar de como infectar o sabotear sistemas industriales, o dar información reservada o comprometida. La idea de este articulo, es informar sobre los riesgos que algunos administradores de sistemas someten a sus instalaciones, casi de forma temeraria y sin ninguna necesidad. Detalles que a priori parecen nimios, una vez analizados en su totalidad pueden dar lugar a grandes desastres, y mas si estamos tratando con estructuras criticas.

SCADA:

Los sistemas de Control de Supervisión y Adquisición de Datos, mas conocidos por las siglas SCADA, es un sistema formado por hardware y software que en conjunto ayudan a controlar un proceso industrial, sin la necesidad de la intervención humana. Poniendo un ejemplo, este sistema permite a una fabrica de cemento controlar la cantidad de materiales que se tienen que mezclar para obtener un determinar tipo de hormigón. El proceso por el cual se llega a este determinado tipo de hormigón es el siguiente:

• Primero se le dice al sistema la proporción de materiales que se necesita para fabrican el hormigón.

• Es sistema automáticamente va añadiendo mas o menos cantidad de cada material para llegar a la mezcla idónea.

• Si los sensores del sistema detectan que la mezcla lleva demasiada agua, enviara esta información al ordenador central el cual funciona bajo SCADA, y este emitirá la orden para que se cierre el conducto de agua durante cierto tiempo.

Cómo podéis comprobar sin la necesidad de la interacción humana, un sistema informático puede ser totalmente autónomo para realizar una tarea concreta y posiblemente compleja. Antes era una persona la que tenía que decidir si se echaba mas o menos agua a la mezcla, ahora es un ordenador quien lo decide y actúa en consecuencia. Teóricamente con el sistema SCADA ahorraremos gastos y aumentaremos el rendimiento, ya que las variaciones son instantáneas y no se perderá material. Bien, ¿Pero que pasa si en vez de una planta de fabricación de hormigón estamos trabajando en un centra nuclear, hidroeléctrica, depuradora... o cualquier otra infraestructura critica?, pues ocurriría los mismo,un ordenar central automáticamente decide que es lo que se debe de hacer en cada momento, a partir de unos parámetros establecidos por el ser humano.

Si visteis la película “Juegos de Guerra” de Jhon Badham, quizás os suene un poco todo esto, al comienzo de la película, unos militares que estaban en un búnker al cargo de varias ojivas nucleares, reciben la orden de una “maquina” de lanzar los misiles nucleares.

Debido a que muchos de estos soldados no lanzaron los misiles que se les ordenó,  los sustituyeron por un ordenador que sería el encargado del lanzamiento de las bombas en caso de que fuera necesario, eliminado la responsabilidad del soldado de presionar el botón. El problema aparece cuando el ordenador encargado del lanzamiento sufre un ataque y los militares pierden el control sobre el mismo. Parece ciencia ficción ¿Verdad?, pues igual el argumento de esta película no iba tan desencaminado. Voy intentar explicar el motivo:

Cómo ya he dicho anteriormente muchos por no decir todos los procesos de las instalaciones industriales actuales, están controlados por ordenadores, la mayor parte de estos funcionando con el sistema SCADA creado por la empresa Siemens (si la misma empresa que diseñó el secador de pelo que tienes en tu casa y se para a los cinco minutos por que se calienta).

^{edificio de la compañía siemens}

El sistema SCADA funciona mediante un ordenador central, el cual controla y decide que hacer en cada situación, ayudado por la información que le están enviando continuamente los sensores del sistema, para mantener los parámetros que su creador le ha indicado, como podéis observar este es un sistema totalmente retro-alimentado, en el cual la información sale de los sensores, pasa al ordenador central, el ordenador emite una orden y el mismo sensor comprueba que esta orden se ha cumplido.

Se ve muy bien en el ejemplo de la planta de hormigón, el sensor detecta que falta agua, le manda la información al ordenador, este envía la orden para que se cierre la llave de agua, el sensor detecta que todo esta bien, y el ordenador no hace nada, cuando el sensor detecte que falta agua en el mezcla, envía la información al ordenador y este envía la orden para que abra la llave de paso, hasta que de nuevo el sensor indique que ya es suficiente agua, para que el ordenador emita la orden de cerrar la llave, podríamos estar así horas, pero al fin y al cabo es lo que significa “retroalimentación”.

Hasta aquí todo bien, el problema como en casi todos los problemas informáticos, se produce en cuanto introducimos en la ecuación el parámetro “persona”.

Los sistemas SCADA están gestionados por paneles de control, en los cuales el usuario indica  los parámetros idóneos para que el producto se fabrique según las especificaciones acordadas, volviendo al símil del hormigón, el usuario le indica a SCADA que la mezcla tiene que ser del 40% de agua, 30% de cemento, 20% de grava y 10% de aditivos, y a partir de ahí el SCADA va dosificando las cantidades de cada material para lograr el producto deseado.

Como ya dije antes el problema aparece cuando se introduce al factor humano en la ecuación, SCADA en realidad es un ordenador como el que cada uno de nosotros podemos tener en casa (no hace falta que sea muy potente), corriendo bajo Windows, con SCADA instalado y conectado a una red, seguro que todos vosotros estaréis pensando ¿y cual es el problema?, muy sencillo, la seguridad de acceso que tiene el mencionado ordenador. Lo lógico es que solo personal autorizado y con los conocimientos adecuados tuviera acceso a esta terminal, pero la realidad es que esto no siempre es así, y nos podemos encontrar con fallas de seguridad tan diversas como:

• Terminales SCADA conectados Internet: os sorprendería saber cuantos ordenadores que están gestionando procesos industriales están conectados directamente a Internet sin ningún tipo de protección, ya me contareis para que coj*** damos acceso a internet a un sistema de este tipo, y mas si no lo protegemos adecuadamente.

• Claves maestras: si no le bastaba al administrador de sistemas con tener el sistema SCADA conectado a internet libremente, en muchas ocasiones ni tan siquiera se le ha cambiado la clave de acceso que trae por defecto de fabrica, así podemos encontrarnos  numerosos sistemas SCADA conectado a internet (si la misma que utilizas para visitar el Facebook) con el usuario “admin” y la clave de acceso “admin”.

• Utilización de Pendrives: increíble pero cierto, muchos de los encargados de estos centros, conectan a los sistemas SCADA pendrives que han utilizado en sus domicilios o ordenadores personales, con todo el riesgo que esto conlleva.

• Apertura de emails de origen desconocido: si no bastaba con introducir pendrives en sistemas que estuvieran conectados a internet, otros muchos usuarios de sistemas SCADA abren correos electrónicos de origen desconocidos en terminales que están conectados a la red interna del sistema, una de las formas mas sencillas de comprometer toda una infraestructura critica.

Permitidme que os lea el pensamiento, ahora estaréis pensado: “Si claro... como si fuera tan fácil encontrar un sistema SCADA de estos”. Bueno, realmente fácil no es, pero tampoco hay que ser un ingeniero informático con cuatro masters para localizar redes de este tipo. Tan solo con entrar en esta web: www.shodanhq.com y escribir en el buscador términos como “SCADA”, “PLC” (componente de los sistemas SCADA), “PLANT”... Nos devuelve una serie de resultados, estos no son mas que sistemas SCADA que están conectados a internet, simplemente es cuestión de ir probando uno por uno con las claves de administrador hasta dar con un sistema que nos franquee el acceso, (lógicamente no voy comentar como encontrar estas claves) una vez dentro podremos modificar sus parámetros en función del tipo de instalación que sea,

^{pantalla de acceso a un sistema scada}

A continuación os dejo una serie de instalaciones SCADA que están totalmente operativas desde internet:

• Planta Depuradora de Agua: una persona con malas intenciones podría modificar los parámetros idóneos de agua limpia y enviar a la red de abastecimiento agua no apta para el consumo humano.

^{panel de control de una depurado de agua}

• Lavandería: es esta caso como mucho se podría hacer desteñir la ropa, nada que conlleve un grave riesgo.

^{panel de control de una lavandería}

• Alarmas: no se muy bien, para que puede servir este sistema, pero desde aquí se pueden modificar los valores para que salten las alarmas, algo bastante peligroso dependiendo del tipo de instalaciones que sea.

^{sistema de alarmas}

• Central Eléctrica: creo que no es necesario decir lo que se puede llegar hacer si un terrorista tuviera acceso a este panel de control y modificara alguno de los parámetros que controlan esta instalación, decir que algo parecido paso hace unos años en Estados Unidos, dónde unos atacantes se hicieron con el control de una subestación eléctrica, que casualmente utilizaba SCADA y aumentaron la potencia de emisión, “chamuscando” los cables de medio estado.

^{panel de control de una central eléctrica}

Decir que lo lógico es que las personas que localicen estas fallas de seguridad en los sistemas, su intención no sea causar daños, procediendo normalmente a avisar a los administradores del sistema para que lo solucionen. También hay que tener en cuenta que la mayor parte de estas instalaciones que se encuentran sin las medidas de seguridad apropiadas, son terminales que controlan aspectos poco importantes, como el caso de la lavandería, control de temperatura de un edificio, o la fabrica de hormigón.

Pero no todo son buenas intenciones y sonrisas, existen numerosas redes criminales que buscan hacerse con el control de los sistemas SCADA de infraestructuras criticas, para chantajear a sus responsables a cambio de dinero o comentar actos terroristas.

Una vez que ya quedó claro el tema de los sistemas SCADA y de la importancia de su protección de cara al exterior, vamos hablar de uno de los virus mas dañinos para este tipo de sistema, se trata de STUXNET.

STUXNET:

STUXNET es catalogado por mucho como una maravilla de la ingeniería informática, y mas si tenemos en cuenta el potencial de este “gusano” de poco mas de 1500Kb (realmente es bastante pesado). Los entendidos en el mundo del malware comentan que este virus no se podría haber creado sin el apoyo de una gran potencia como Estados Unidos o Israel y mas si tenemos en cuenta cual es el objetivo del virus.

Este virus fue descubierto en junio de 2010 en una centran nuclear de Irán, cuando este ya había completado su misión.

La operativa de STUXNET es muy sencilla:

• Se introduce el virus en varios pendrives de empleados de la empresa a atacar, en este caso empleados de las centrales nucleares de Irán, por ejemplo alguien que deja un pendrive olvidado en una sala de reunión, y la curiosidad del empleado le lleva a ojear que hay dentro conectándolo en una terminal de la empresa.

• Una vez que el virus se encuentra en el interior del pendrive solo hay que esperar a que alguno de estos empleados lo conecte a una terminal enlazada al sistema SCADA de control de la central.

• Gracias a una vulnerabilidad de Windows (ya conocida y reparada) y a unos certificados digitales robados a una empresa de fabricación de hardware de Taiwan (certificado ya revocados) STUXNET, se puede instalar con toda la facilidad en cualquier sistema SCADA sin que el anfitrión lo perciba.

• STUXNET, posee un filtro para detectar cuando se encuentran instalado en el lugar deseado, es decir es una central nuclear de Irán, si se cumplen las siguientes características el virus se activa, si no permanecerá inactivo hasta que se elimine:

* Que exista un determinado componente (PLC) desarrollado por Siemens.

* Que se trate de una infraestructura dedicada a la producción de energía nuclear.

* Que la infraestructura este situada en Irán.

Si se cumplen estas tres premisas, el virus se activará y pasará al siguiente nivel.

• Una vez STUXNET ya esta corriendo por el sistema, es capaz de avisar a sus creadores a través de un “rootkit” (troyano), del lugar en el que se encuentra instalado, esto ya es la “creme de la creme” del software espía. Esto lo hace de tal manera que ninguno de los técnicos del sistema lo pueda apreciar, trabajando en un segundo plano y mostrando en todo momento una apariencia de absoluta normalidad.

• El siguiente paso ya es el ataque propiamente dicho, STUXNET, se hace con el control del componente PLC  (Control Lógico Programable) que ya había mencionado anteriormente, mas concretamente con el sensor que controla las revoluciones de las maquinas centrifugadoras de la central nuclear. Una vez STUXNET tiene el control de este sensor y del propio sistema SCADA, lo que hace es sencillo, si os acordáis de lo que hablaba al principio del articulo de la fabrica de hormigón y el sensor del agua, esto es muy similar, STUXNET se hace con el control del sensor que determina cuanta agua hay en la mezcla, en ese caso con el sensor que dice a cuantas revoluciones están trabajando las centrifugadoras. Al controlar este parámetro STUXNET envía la orden a través del sistema SCADA para que se reprograme y las centrifugadoras giren a máxima potencia, mientras el propio virus esta indicado en el panel de control que las centrifugadoras están girando a velocidad normal, logrando que los técnicos no sospechen lo que realmente esta ocurriendo.

• Debido al esfuerzo mecánico de las centrifugadoras al girar a tan altas revoluciones durante un tiempo indeterminado, estas se rompen, y al ser tan complejo el mecanismo se tardará varios años en poder reparar los daños ocasionados por la fractura de estas maquinas. Logrando que la carrera nuclear de Irán se paralice durante un tiempo.

De todo esto se pueden sacar muchas conclusiones, pero yo me quedo con las siguientes:

1.) ¿Cuantas centrifugadores han tenido que destrozar los creadores de STUXNET para dar con los parámetros adecuados?

2.) Ya me imagino yo a Pepe y Paco, encargados del turno de noche de la central nuclear Iraní, diciéndole uno a otro, - Oye Paco esto hace mucho ruido!, - Tranquilo Pepe el ordenador dice que todo va bien, sigamos descansado.

3.) Todo el dinero invertido para la creación de STUXNET para lograr desarmar Irán

Si estáis pensando como es posible que solo se hayan infectado centrales nucleares de Irán y no del resto de países, decir que esto no es así del todo. Se han infectado centrales de muchos países con el virus STUXNET, pero como ya dije anteriormente este solo se activo en las centrales que estaban localizadas en Irán, a continuación os dejo el informe en el que se puede ver el número total de infecciones en todo el mundo:

* Irán: 62.867 centrales en las que se activo STUXNET

* Indonesia: 13.336 centrales en las que permaneció inactivo

* India 6.552 centrales en las que permaneció inactivo

* Estados Unidos de América: 2.913 centrales en las que permaneció inactivo

* Australia: 2.436 centrales en las que permaneció inactivo

* Gran Bretaña: 1.038 centrales en las que permaneció inactivo

* Malasia: 1.013 centrales en las que permaneció inactivo

* Pakistán: 993 centrales en las que permaneció inactivo

* Alemania: 15 centrales en las que permaneció inactivo

Realmente STUXNET, no acabó con la carrera nuclear de Irán, simplemente la retrasó un par de años, hasta la fecha salieron a la luz dos nuevos virus que afecarón a las centrales nucleares iraníes, se trata de STARS y DUQUE.

Características de STARS:

• Se descubre en abril de 2011

• Existe muy poco información sobre el, incluso algunas fuentes creen que se pudiera tratar de una estratagema del gobierno iraní, para justificar un ataque armado contra Estados Unidos

Características DUQUE:

• Se descubre el 21 de octubre de 2011

• Logra introducirse en los sistemas SCADA de las centrales nucleares, a través de una vulnerabilidad de las fuentes de Windows en el programa Microsoft Word (falla reparada)

• Se dice que lo creo el gobierno Israelí con la ayuda de Estados Unidos

• Otorga un control remoto al creador del virus, sobre los paneles de control de las centrales nucleares infectadas.

• Su finalidad es recabar información del sistema, sin llegar a dañarlo.

• Se prevee que sea la antesala para un nuevo STUXNET

• Se elimina automáticamente del sistema en 36 días

Estos virus se pueden definir como los nuevos misiles de la guerra, una guerra que se gesta en un campo de batalla distinto, en el campo de la informática, y es una guerra que no se antoja que finalice pronto, ya que después de analizar virus como DUQUE, se prevee que este sea la antesala a un nuevo STUXNET, que vuelva a paralizar las centrales iraníes.

Este articulo ha sido creado con la colaboración del GDT.