SlideShare une entreprise Scribd logo

Monitoring Emerging Threats: SCADA Security

M
Manuel Santander

This is the presentation I gave at the UNAM Security Congress 2010

1  sur  30
Télécharger pour lire hors ligne
Monitoring emerging threats: SCADA Security Next step in cyberterrorism Manuel Santander, GCFA, GCIH Manuel.santander@epm.com.co msantand@isc.sans.org Monitoring emerging threats: SCADA Security Congreso Seguridad en Cómputo 2010
Agenda ● Introducción ● Riesgos sistemas SCADA ● Stuxnet: Amenaza para el ciberterrorismo ● Medidas de seguridad para sistemas SCADA ● Conclusión Monitoring emerging threats: SCADA Security Congreso Seguridad en Cómputo 2010
INTRODUCCIÓN Monitoring emerging threats: SCADA Security Congreso Seguridad en Cómputo 2010
SANS INTERNET STORM CENTER ● Nuestro objetivo: alertar a las personas sobre los eventos de seguridad más relevantes ocurridos en internet ● Somos un grupo de 39 personas alrededor del mundo de varias industrias: bancos, servicios públicos, gobierno, universidades ● Cada día, uno de nosotros toma el cargo de Handler on Duty, haciendo turnos de 24 horas iniciando a las 00:00 GMT ● Nuestra labor es monitorear anormalidades en Internet y alertar a nuestros lectores (http://isc.sans.edu) Monitoring emerging threats: SCADA Security Congreso Seguridad en Cómputo 2010
DSHIELD: Distributed log correlation Monitoring emerging threats: SCADA Security Congreso Seguridad en Cómputo 2010
Recibimos otros reportes ... Monitoring emerging threats: SCADA Security Congreso Seguridad en Cómputo 2010
Múltiples formas de fraude ● Virus configurado específicamente para la compañía que usted guste = $50,000 USD ● Virus reciclado modificado para que no sea detectado por virus = $200 USD ● 10 millones de direcciones de correo electrónico = $160 USD ● Número de tarjeta de crédito= $2~6 USD ● Número de tarjeta de crédito con código de seguridad = $20~60 USD ● Alquiler de equipo que controla una botnet de 5,000 a 10,000 equipos = $100/day Fuente: G-Data Monitoring emerging threats: SCADA Security Congreso Seguridad en Cómputo 2010
Recibimos este reporte …. Monitoring emerging threats: SCADA Security Congreso Seguridad en Cómputo 2010
RIESGOS SISTEMAS SCADA Monitoring emerging threats: SCADA Security Congreso Seguridad en Cómputo 2010
Componentes del Sistema SCADA Monitoring emerging threats: SCADA Security Congreso Seguridad en Cómputo 2010
Componentes del Sistema SCADA (2) ● Unidad Terminal Remota (RTU): Recopila datos de los dispositivos de campo en la memoria hasta que la MTU solicite esa información y procesa los pedidos del HMI. ● Master Terminal Unit (MTU): Inicia la comunicación con las unidades remotas y las interfaces con el DAS y el HMI. ● Adquisición de Datos (DAS): la información del DAS se reúne a partir de la MTU, y genera alertas que necesita la atención del operador. ● Interfaz Hombre-Máquina (HMI): El panel de operador se define como la interfaz donde el operador se conecta a monitorear las variables del sistema. Reúne información del DAS. Monitoring emerging threats: SCADA Security Congreso Seguridad en Cómputo 2010
Riesgos del Sistema SCADA ● Aumento de la rotación de las turbinas de generación , aumentando el flujo de energía superior a la capacidad de una línea de transmisión o simplemente apagar las turbinas de una central eléctrica. ● Desbordamiento de los tanques de agua y ruptura de tuberías en las calles ● ¿Causas? – Robo de identidad – Malware – Acceso no autorizado – Aprovechamiento de vulnerabilidades Monitoring emerging threats: SCADA Security Congreso Seguridad en Cómputo 2010
Riesgos del Sistema SCADA (2) ● Los sistemas SCADA se hicieron orientados a tiempo-real – Las alertas de datos y órdenes a los sistemas deben llegar en el menor tiempo posible, pues un retardo adicional de 10 ms puede incluso ocasionar un apagón ● Los sistemas SCADA funcionan bajo configuraciones muy específicas – Orientadas al funcionamiento y no a seguridad – Los vendedores casi nunca soportan parches – Medidas externas para aseguramiento Monitoring emerging threats: SCADA Security Congreso Seguridad en Cómputo 2010
STUXNET: AMENAZA PARA CIBERTERRORISMO Monitoring emerging threats: SCADA Security Congreso Seguridad en Cómputo 2010
STUXNET se volvió popular … Monitoring emerging threats: SCADA Security Congreso Seguridad en Cómputo 2010
STUXNET se volvió popular … (2) ● Software hecho para atacar sistemas SCADA ● Modifica funcionamiento de componentes ● Aprovecha cuatro vulnerabilidades de Windows ● Permite interacción remota ● Ciberterrorismo Monitoring emerging threats: SCADA Security Congreso Seguridad en Cómputo 2010
Infección de STUXNET a PLC ● Afecta al software WinCC/Step7 ● El programador puede conectar el PLC y acceder a la memoria , reconfigurarlo y bajar un nuevo programa Monitoring emerging threats: SCADA Security Congreso Seguridad en Cómputo 2010
Infección de STUXNET a PLC (2) ● Stuxnet necesita acceder al PLC ● Necesita intervenir la comunicación entre el programador y el PLC ● Modifica el dll de comunicaciones s7otbxdx.dll utilizado para la comunicación. El original se renombra a s7otbxsx.dll ● El nuevo queda con el nombre que el ejecutable invoca ● 93 exports del dll se reenvían al original de fábrica ● 16 exports se modifican para que stuxnet infecte el PLC Monitoring emerging threats: SCADA Security Congreso Seguridad en Cómputo 2010
Infección de STUXNET a PLC (3) Funcionamiento original de Step7 Monitoring emerging threats: SCADA Security Congreso Seguridad en Cómputo 2010
Infección de STUXNET a PLC (3) Funcionamiento modificado de Step7 Monitoring emerging threats: SCADA Security Congreso Seguridad en Cómputo 2010
¿Cómo son los programas de PLC? ● Bloques de código y datos que el operador carga ● Tipos de Bloques – Bloques de datos: Argumentos para los bloques de organización – Bloques de Datos de Sistema: Contiene información específica sobre cómo está configurado el PLC – Bloques de organización: Corresponden los entry points de los programas. Stuxnet usa los siguientes: ● OB1: Entry point del programa del PLC. Se ejecuta cíclicamente ● OB35: Watchdog ejecutado cada 100 ms para propósitos de monitoreo Monitoring emerging threats: SCADA Security Congreso Seguridad en Cómputo 2010
Secuencia de infección del PLC ● Stuxnet inicia la secuencia de infección si: – La CPU del PLC es referencia 6ES7-417 y 6ES7315-2 – El System Data Block contiene los valores 7050h y 9500h ● Modifica el código del coprocesador DP_RECV, teniendo con esto comunicación al bus industrial Profibus (comunicación con los dispositivos de la red industrial) ● Modifica el bloque OB1 instalando código troyano al inicio del bloque, para que el virus se ejecute al inicio de cada ciclo Monitoring emerging threats: SCADA Security Congreso Seguridad en Cómputo 2010
¿Cómo se camufla stuxnet? ● No puede permitir que sobreescriban el código del virus que ya existe en los bloques infectados ● No puede mostrar al operador/programador que existen bloques infectados ● Los siguientes exports son vitales: – s7blk_read: No se muestran los bloques infectados – s7blk_write: Se asegura que los bloques OB1 y OB25 continúen infectados si son modificados – s7blk_findfirst/s7blk_findnext: Se usan para enumerar los bloques en el PLC. No se muestran los infectados Monitoring emerging threats: SCADA Security Congreso Seguridad en Cómputo 2010
MEDIDAS DE SEGURIDAD PARA EL SISTEMA SCADA Monitoring emerging threats: SCADA Security Congreso Seguridad en Cómputo 2010
Controles para sistemas SCADA ● Premisas – No pueden modificar el desempeño del sistema – Deben preservar las funcionalidades originales de los protocolos – El más mínimo retardo puede ocasionar una catástrofe ● Puntos de control – Sistema de seguridad perimetral: Intercambio de información – Control de modificación de configuraciones en las máquinas Monitoring emerging threats: SCADA Security Congreso Seguridad en Cómputo 2010
Controles para sistemas SCADA (2) ● Puntos de control – Uso de nuevos protocolos que incorporan sistemas de seguridad ● Controles tecnológicos – Firewalls, IDS e IPS: Vitales para establecer un monitoreo de lo que ocurre en la red, ya que el SCADA es un sistema distribuido que funciona a través del intercambio de mensajes – Monitoreo de integridad de archivos: Con esto se verifica que no se modifiquen los parámetros de configuración de los elementos SCADA (http://www.solidcore.com) Monitoring emerging threats: SCADA Security Congreso Seguridad en Cómputo 2010
Diagrama ejemplo Monitoring emerging threats: SCADA Security Congreso Seguridad en Cómputo 2010
CONCLUSIÓN Monitoring emerging threats: SCADA Security Congreso Seguridad en Cómputo 2010
Ciberterrorismo es una posibilidad real ● Sistemas SCADA con poca seguridad – Los proveedores no incorporan medidas de seguridad fiables en sus sistemas – Los ponen accesibles a los usuarios a precios astronómicos ● La seguridad es un costo para la organización – ¿Cuál es la postura de riesgo de la compañía? – ¿Debemos esperar a que ocurra un desastre para invertir? – El esquema de monitoreo es vital para determinar que ocurre Monitoring emerging threats: SCADA Security Congreso Seguridad en Cómputo 2010
¿Preguntas? ¿Inquietudes? Manuel Humberto Santander Peláez http://manuel.santander.name http://twitter.com/manuelsantander msantand@isc.sans.org / manuel.santander@epm.com.co Monitoring emerging threats: SCADA Security Congreso Seguridad en Cómputo 2010

Recommandé

¿Qué es SCADA y cómo me afecta su (in)seguridad?
¿Qué es SCADA y cómo me afecta su (in)seguridad? ¿Qué es SCADA y cómo me afecta su (in)seguridad?
¿Qué es SCADA y cómo me afecta su (in)seguridad? campus party
 
Guion sistema scada
Guion sistema scadaGuion sistema scada
Guion sistema scadasistemascada20
 
Artículo sistema scada
Artículo sistema scadaArtículo sistema scada
Artículo sistema scadasistemascada20
 
DCS & SCADA
DCS & SCADADCS & SCADA
DCS & SCADAAndres Rosales
 
Sistemas de control y supervisión scada
Sistemas de control y supervisión scadaSistemas de control y supervisión scada
Sistemas de control y supervisión scadaJose Antonio Velasquez Costa
 
Arqitectura del sistema SCADA
Arqitectura del sistema SCADAArqitectura del sistema SCADA
Arqitectura del sistema SCADARed de Energía del Perú
 
Scada3
Scada3Scada3
Scada3Abraham Vega
 
Implementación sistema scada en eurocerámica
Implementación sistema scada en eurocerámicaImplementación sistema scada en eurocerámica
Implementación sistema scada en eurocerámicaXavier Espinoza
 

Recommandé

¿Qué es SCADA y cómo me afecta su (in)seguridad?
¿Qué es SCADA y cómo me afecta su (in)seguridad? ¿Qué es SCADA y cómo me afecta su (in)seguridad?
¿Qué es SCADA y cómo me afecta su (in)seguridad? campus party
 
Guion sistema scada
Guion sistema scadaGuion sistema scada
Guion sistema scadasistemascada20
 
Artículo sistema scada
Artículo sistema scadaArtículo sistema scada
Artículo sistema scadasistemascada20
 
DCS & SCADA
DCS & SCADADCS & SCADA
DCS & SCADAAndres Rosales
 
Sistemas de control y supervisión scada
Sistemas de control y supervisión scadaSistemas de control y supervisión scada
Sistemas de control y supervisión scadaJose Antonio Velasquez Costa
 
Arqitectura del sistema SCADA
Arqitectura del sistema SCADAArqitectura del sistema SCADA
Arqitectura del sistema SCADARed de Energía del Perú
 
Scada3
Scada3Scada3
Scada3Abraham Vega
 
Implementación sistema scada en eurocerámica
Implementación sistema scada en eurocerámicaImplementación sistema scada en eurocerámica
Implementación sistema scada en eurocerámicaXavier Espinoza
 
Sistema scada
Sistema scadaSistema scada
Sistema scadasistemascada20
 
Sistema scada
Sistema scada Sistema scada
Sistema scada sistemascada20
 
Sy ti 2015-a_trabajo_ (1)
Sy ti 2015-a_trabajo_ (1)Sy ti 2015-a_trabajo_ (1)
Sy ti 2015-a_trabajo_ (1)Andresrz
 
Curso scada
Curso scadaCurso scada
Curso scadaEnrique Davila
 
Desmitificando SNMP
Desmitificando SNMPDesmitificando SNMP
Desmitificando SNMPManageEngine
 
Scada, DCS
Scada, DCSScada, DCS
Scada, DCSDocumentosAreas4
 
SCADA presentación
SCADA presentación SCADA presentación
SCADA presentación Erick Merida
 
1. introduccion a sistemas scada
1. introduccion a sistemas scada1. introduccion a sistemas scada
1. introduccion a sistemas scadaJorgeSantiago653953
 
Sistemas integrados de_seguridad
Sistemas integrados de_seguridadSistemas integrados de_seguridad
Sistemas integrados de_seguridadJesus Salamanca
 
R1 e _copy_
R1 e _copy_R1 e _copy_
R1 e _copy_Natt-N
 
Cam unidad 4 - tema 1 - scada y dcs.
Cam unidad 4 - tema 1 - scada y dcs.Cam unidad 4 - tema 1 - scada y dcs.
Cam unidad 4 - tema 1 - scada y dcs.UDO Monagas
 
Micom reles-espanol-2011
Micom reles-espanol-2011Micom reles-espanol-2011
Micom reles-espanol-2011Omar Jaramillo
 
Presentación trabajo informática
Presentación trabajo informáticaPresentación trabajo informática
Presentación trabajo informáticagemaji
 
Curso de Comunicaciones para Sistema SCADA Caracas de Hidrocapital
Curso de Comunicaciones para Sistema SCADA Caracas de HidrocapitalCurso de Comunicaciones para Sistema SCADA Caracas de Hidrocapital
Curso de Comunicaciones para Sistema SCADA Caracas de HidrocapitalJuan Manuel Fleitas
 
Tp8 28
Tp8 28 Tp8 28
Tp8 28 Roberto Torreggiani
 
Scada
ScadaScada
ScadaArgenis Pinto
 
Catálogo Suprema 2015
Catálogo Suprema 2015Catálogo Suprema 2015
Catálogo Suprema 2015Juan Carlos Abaunza Ardila
 
Sistema de monitoreo y control(SCADA)
Sistema de monitoreo y control(SCADA)Sistema de monitoreo y control(SCADA)
Sistema de monitoreo y control(SCADA)LIGIA CARDENAS LEMUS
 
Scada2
Scada2Scada2
Scada2Angela Giraldo
 
A3sec Webinar AlienVault USM - Sistemas de detección de ataques en tiempo real
A3sec Webinar AlienVault USM - Sistemas de detección de ataques en tiempo realA3sec Webinar AlienVault USM - Sistemas de detección de ataques en tiempo real
A3sec Webinar AlienVault USM - Sistemas de detección de ataques en tiempo reala3sec
 
Web 2
Web 2Web 2
Web 2amdeus
 
Expo Ricardo
Expo RicardoExpo Ricardo
Expo Ricardojefry
 

Contenu connexe

Tendances

Sy ti 2015-a_trabajo_ (1)
Sy ti 2015-a_trabajo_ (1)Sy ti 2015-a_trabajo_ (1)
Sy ti 2015-a_trabajo_ (1)Andresrz
 
Desmitificando SNMP
Desmitificando SNMPDesmitificando SNMP
Desmitificando SNMPManageEngine
 
SCADA presentación
SCADA presentación SCADA presentación
SCADA presentación Erick Merida
 
1. introduccion a sistemas scada
1. introduccion a sistemas scada1. introduccion a sistemas scada
1. introduccion a sistemas scadaJorgeSantiago653953
 
Sistemas integrados de_seguridad
Sistemas integrados de_seguridadSistemas integrados de_seguridad
Sistemas integrados de_seguridadJesus Salamanca
 
R1 e _copy_
R1 e _copy_R1 e _copy_
R1 e _copy_Natt-N
 
Cam unidad 4 - tema 1 - scada y dcs.
Cam unidad 4 - tema 1 - scada y dcs.Cam unidad 4 - tema 1 - scada y dcs.
Cam unidad 4 - tema 1 - scada y dcs.UDO Monagas
 
Micom reles-espanol-2011
Micom reles-espanol-2011Micom reles-espanol-2011
Micom reles-espanol-2011Omar Jaramillo
 
Presentación trabajo informática
Presentación trabajo informáticaPresentación trabajo informática
Presentación trabajo informáticagemaji
 
Curso de Comunicaciones para Sistema SCADA Caracas de Hidrocapital
Curso de Comunicaciones para Sistema SCADA Caracas de HidrocapitalCurso de Comunicaciones para Sistema SCADA Caracas de Hidrocapital
Curso de Comunicaciones para Sistema SCADA Caracas de HidrocapitalJuan Manuel Fleitas
 
Sistema de monitoreo y control(SCADA)
Sistema de monitoreo y control(SCADA)Sistema de monitoreo y control(SCADA)
Sistema de monitoreo y control(SCADA)LIGIA CARDENAS LEMUS
 
A3sec Webinar AlienVault USM - Sistemas de detección de ataques en tiempo real
A3sec Webinar AlienVault USM - Sistemas de detección de ataques en tiempo realA3sec Webinar AlienVault USM - Sistemas de detección de ataques en tiempo real
A3sec Webinar AlienVault USM - Sistemas de detección de ataques en tiempo reala3sec
 

Tendances (20)

Sistema scada
Sistema scadaSistema scada
Sistema scada
 
Sistema scada
Sistema scada Sistema scada
Sistema scada
 
Sy ti 2015-a_trabajo_ (1)
Sy ti 2015-a_trabajo_ (1)Sy ti 2015-a_trabajo_ (1)
Sy ti 2015-a_trabajo_ (1)
 
Curso scada
Curso scadaCurso scada
Curso scada
 
Desmitificando SNMP
Desmitificando SNMPDesmitificando SNMP
Desmitificando SNMP
 
Scada, DCS
Scada, DCSScada, DCS
Scada, DCS
 
SCADA presentación
SCADA presentación SCADA presentación
SCADA presentación
 
1. introduccion a sistemas scada
1. introduccion a sistemas scada1. introduccion a sistemas scada
1. introduccion a sistemas scada
 
Sistemas integrados de_seguridad
Sistemas integrados de_seguridadSistemas integrados de_seguridad
Sistemas integrados de_seguridad
 
R1 e _copy_
R1 e _copy_R1 e _copy_
R1 e _copy_
 
Cam unidad 4 - tema 1 - scada y dcs.
Cam unidad 4 - tema 1 - scada y dcs.Cam unidad 4 - tema 1 - scada y dcs.
Cam unidad 4 - tema 1 - scada y dcs.
 
Micom reles-espanol-2011
Micom reles-espanol-2011Micom reles-espanol-2011
Micom reles-espanol-2011
 
Presentación trabajo informática
Presentación trabajo informáticaPresentación trabajo informática
Presentación trabajo informática
 
Curso de Comunicaciones para Sistema SCADA Caracas de Hidrocapital
Curso de Comunicaciones para Sistema SCADA Caracas de HidrocapitalCurso de Comunicaciones para Sistema SCADA Caracas de Hidrocapital
Curso de Comunicaciones para Sistema SCADA Caracas de Hidrocapital
 
Tp8 28
Tp8 28 Tp8 28
Tp8 28
 
Scada
ScadaScada
Scada
 
Catálogo Suprema 2015
Catálogo Suprema 2015Catálogo Suprema 2015
Catálogo Suprema 2015
 
Sistema de monitoreo y control(SCADA)
Sistema de monitoreo y control(SCADA)Sistema de monitoreo y control(SCADA)
Sistema de monitoreo y control(SCADA)
 
Scada2
Scada2Scada2
Scada2
 
A3sec Webinar AlienVault USM - Sistemas de detección de ataques en tiempo real
A3sec Webinar AlienVault USM - Sistemas de detección de ataques en tiempo realA3sec Webinar AlienVault USM - Sistemas de detección de ataques en tiempo real
A3sec Webinar AlienVault USM - Sistemas de detección de ataques en tiempo real
 

En vedette

Expo Ricardo
Expo RicardoExpo Ricardo
Expo Ricardojefry
 
Castaño del Robledo. Autor: Timoteo Teba
Castaño del Robledo. Autor: Timoteo TebaCastaño del Robledo. Autor: Timoteo Teba
Castaño del Robledo. Autor: Timoteo TebaTimoteo Teba Romero
 
Capacidades emprendedoras
Capacidades emprendedorasCapacidades emprendedoras
Capacidades emprendedorasDora Mayer
 
El nino huerfano_osea_yop
El nino huerfano_osea_yopEl nino huerfano_osea_yop
El nino huerfano_osea_yopalix
 
PRESENTACIÓN SEGUNDO CORTE
PRESENTACIÓN SEGUNDO CORTEPRESENTACIÓN SEGUNDO CORTE
PRESENTACIÓN SEGUNDO CORTECAMILO
 
BPM. para exportacionpdf
BPM. para exportacionpdfBPM. para exportacionpdf
BPM. para exportacionpdfpostcosecha
 
Casos de crisis: Cómo intervenir
Casos de crisis: Cómo intervenirCasos de crisis: Cómo intervenir
Casos de crisis: Cómo intervenirMaria Infante
 
La tecnologia educativa como disciplina pedagogica
La tecnologia educativa como disciplina pedagogicaLa tecnologia educativa como disciplina pedagogica
La tecnologia educativa como disciplina pedagogicaexaell
 
Ejercicios la empresa
Ejercicios la empresaEjercicios la empresa
Ejercicios la empresaalfredoahva
 
Ejercitemonos parte 1 y 2
Ejercitemonos parte 1 y 2Ejercitemonos parte 1 y 2
Ejercitemonos parte 1 y 2camilo
 

En vedette (20)

Web 2
Web 2Web 2
Web 2
 
Expo Ricardo
Expo RicardoExpo Ricardo
Expo Ricardo
 
Castaño del Robledo. Autor: Timoteo Teba
Castaño del Robledo. Autor: Timoteo TebaCastaño del Robledo. Autor: Timoteo Teba
Castaño del Robledo. Autor: Timoteo Teba
 
Capacidades emprendedoras
Capacidades emprendedorasCapacidades emprendedoras
Capacidades emprendedoras
 
Web 2
Web 2Web 2
Web 2
 
El nino huerfano_osea_yop
El nino huerfano_osea_yopEl nino huerfano_osea_yop
El nino huerfano_osea_yop
 
Quechua
QuechuaQuechua
Quechua
 
Dfs
DfsDfs
Dfs
 
Diapositiva
DiapositivaDiapositiva
Diapositiva
 
Presentación proyecto
Presentación proyectoPresentación proyecto
Presentación proyecto
 
Web 2.0
Web 2.0Web 2.0
Web 2.0
 
PRESENTACIÓN SEGUNDO CORTE
PRESENTACIÓN SEGUNDO CORTEPRESENTACIÓN SEGUNDO CORTE
PRESENTACIÓN SEGUNDO CORTE
 
BPM. para exportacionpdf
BPM. para exportacionpdfBPM. para exportacionpdf
BPM. para exportacionpdf
 
Casos de crisis: Cómo intervenir
Casos de crisis: Cómo intervenirCasos de crisis: Cómo intervenir
Casos de crisis: Cómo intervenir
 
La tecnologia educativa como disciplina pedagogica
La tecnologia educativa como disciplina pedagogicaLa tecnologia educativa como disciplina pedagogica
La tecnologia educativa como disciplina pedagogica
 
Ejercicios la empresa
Ejercicios la empresaEjercicios la empresa
Ejercicios la empresa
 
Ejercitemonos parte 1 y 2
Ejercitemonos parte 1 y 2Ejercitemonos parte 1 y 2
Ejercitemonos parte 1 y 2
 
Reglamento bco 2011
Reglamento bco 2011Reglamento bco 2011
Reglamento bco 2011
 
Pres3
Pres3Pres3
Pres3
 
DIAPOSITIVA
DIAPOSITIVADIAPOSITIVA
DIAPOSITIVA
 

Similaire à Monitoring Emerging Threats: SCADA Security

Seguridad en infraestructuras críticas
Seguridad en infraestructuras críticasSeguridad en infraestructuras críticas
Seguridad en infraestructuras críticasEventos Creativos
 
CIBERSEGURIDAD EN LA EMPRESA
CIBERSEGURIDAD EN LA EMPRESACIBERSEGURIDAD EN LA EMPRESA
CIBERSEGURIDAD EN LA EMPRESAMiguel Cabrera
 
Guion sistema scada am, ar, rr
Guion sistema scada am, ar, rrGuion sistema scada am, ar, rr
Guion sistema scada am, ar, rrsistemascada20
 
Guion sistema scada am, ar, rr
Guion sistema scada am, ar, rrGuion sistema scada am, ar, rr
Guion sistema scada am, ar, rrsistemascada20
 
Guion sistema scada am, ar, rr
Guion sistema scada am, ar, rrGuion sistema scada am, ar, rr
Guion sistema scada am, ar, rrsistemascada20
 
Guion sistema scada am, ar, rr
Guion sistema scada am, ar, rrGuion sistema scada am, ar, rr
Guion sistema scada am, ar, rrsistemascada20
 
Proyecto automatizacion
Proyecto automatizacionProyecto automatizacion
Proyecto automatizacionhagaxo
 
Smart Building - Gateway Cloudgate de Option
Smart Building - Gateway Cloudgate de OptionSmart Building - Gateway Cloudgate de Option
Smart Building - Gateway Cloudgate de OptionMonolitic, S.A.
 
Sistema de cartelería digital MagicInfo de Samsung
Sistema de cartelería digital MagicInfo de SamsungSistema de cartelería digital MagicInfo de Samsung
Sistema de cartelería digital MagicInfo de Samsungvideowalls
 
Lista de precios 18 dic.
Lista de precios 18 dic.Lista de precios 18 dic.
Lista de precios 18 dic.DarkrizDeath PB
 
Universidad técnica de ambato
Universidad técnica de ambatoUniversidad técnica de ambato
Universidad técnica de ambatoestudents
 

Similaire à Monitoring Emerging Threats: SCADA Security (20)

18188206 sistema-scada
18188206 sistema-scada18188206 sistema-scada
18188206 sistema-scada
 
Seguridad en infraestructuras críticas
Seguridad en infraestructuras críticasSeguridad en infraestructuras críticas
Seguridad en infraestructuras críticas
 
CIBERSEGURIDAD EN LA EMPRESA
CIBERSEGURIDAD EN LA EMPRESACIBERSEGURIDAD EN LA EMPRESA
CIBERSEGURIDAD EN LA EMPRESA
 
Guión sistema scada
Guión sistema scadaGuión sistema scada
Guión sistema scada
 
Guión sistema scada
Guión sistema scadaGuión sistema scada
Guión sistema scada
 
SCADAS COMERCIALES
SCADAS COMERCIALESSCADAS COMERCIALES
SCADAS COMERCIALES
 
Guion sistema scada am, ar, rr
Guion sistema scada am, ar, rrGuion sistema scada am, ar, rr
Guion sistema scada am, ar, rr
 
Guion sistema scada am, ar, rr
Guion sistema scada am, ar, rrGuion sistema scada am, ar, rr
Guion sistema scada am, ar, rr
 
Guion sistema scada am, ar, rr
Guion sistema scada am, ar, rrGuion sistema scada am, ar, rr
Guion sistema scada am, ar, rr
 
Guion sistema scada am, ar, rr
Guion sistema scada am, ar, rrGuion sistema scada am, ar, rr
Guion sistema scada am, ar, rr
 
Proyecto automatizacion
Proyecto automatizacionProyecto automatizacion
Proyecto automatizacion
 
seguridade
seguridadeseguridade
seguridade
 
Smart Building - Gateway Cloudgate de Option
Smart Building - Gateway Cloudgate de OptionSmart Building - Gateway Cloudgate de Option
Smart Building - Gateway Cloudgate de Option
 
Sistema de cartelería digital MagicInfo de Samsung
Sistema de cartelería digital MagicInfo de SamsungSistema de cartelería digital MagicInfo de Samsung
Sistema de cartelería digital MagicInfo de Samsung
 
Proyecto pic
Proyecto picProyecto pic
Proyecto pic
 
Scada
ScadaScada
Scada
 
Lista de precios 18 dic.
Lista de precios 18 dic.Lista de precios 18 dic.
Lista de precios 18 dic.
 
Scada
ScadaScada
Scada
 
Universidad técnica de ambato
Universidad técnica de ambatoUniversidad técnica de ambato
Universidad técnica de ambato
 
presentation_6562_1550112618.pdf
presentation_6562_1550112618.pdfpresentation_6562_1550112618.pdf
presentation_6562_1550112618.pdf
 

Plus de Manuel Santander

Ciberseguridad en tiempos de trabajo en casa
Ciberseguridad en tiempos de trabajo en casaCiberseguridad en tiempos de trabajo en casa
Ciberseguridad en tiempos de trabajo en casaManuel Santander
 
Respuesta a incidentes en sistemas de transmisión y distribución de energía
Respuesta a incidentes en sistemas de transmisión y distribución de energíaRespuesta a incidentes en sistemas de transmisión y distribución de energía
Respuesta a incidentes en sistemas de transmisión y distribución de energíaManuel Santander
 
Avoiding Cyberterrorism Threats Inside Hydraulic Power Generation Plants
Avoiding Cyberterrorism Threats Inside Hydraulic Power Generation PlantsAvoiding Cyberterrorism Threats Inside Hydraulic Power Generation Plants
Avoiding Cyberterrorism Threats Inside Hydraulic Power Generation PlantsManuel Santander
 
Ciberterrorismo: La nueva realidad de la Seguridad de la Información
Ciberterrorismo: La nueva realidad de la Seguridad de la InformaciónCiberterrorismo: La nueva realidad de la Seguridad de la Información
Ciberterrorismo: La nueva realidad de la Seguridad de la InformaciónManuel Santander
 
Authentication Issues between entities during protocol message exchange in SC...
Authentication Issues between entities during protocol message exchange in SC...Authentication Issues between entities during protocol message exchange in SC...
Authentication Issues between entities during protocol message exchange in SC...Manuel Santander
 
Cisco Malware: A new risk to consider in perimeter security designs
Cisco Malware: A new risk to consider in perimeter security designsCisco Malware: A new risk to consider in perimeter security designs
Cisco Malware: A new risk to consider in perimeter security designsManuel Santander
 
Acciones Empresariales En La PrevencióN De Criminalidad Virtual Para Mitigar ...
Acciones Empresariales En La PrevencióN De Criminalidad Virtual Para Mitigar ...Acciones Empresariales En La PrevencióN De Criminalidad Virtual Para Mitigar ...
Acciones Empresariales En La PrevencióN De Criminalidad Virtual Para Mitigar ...Manuel Santander
 

Plus de Manuel Santander (7)

Ciberseguridad en tiempos de trabajo en casa
Ciberseguridad en tiempos de trabajo en casaCiberseguridad en tiempos de trabajo en casa
Ciberseguridad en tiempos de trabajo en casa
 
Respuesta a incidentes en sistemas de transmisión y distribución de energía
Respuesta a incidentes en sistemas de transmisión y distribución de energíaRespuesta a incidentes en sistemas de transmisión y distribución de energía
Respuesta a incidentes en sistemas de transmisión y distribución de energía
 
Avoiding Cyberterrorism Threats Inside Hydraulic Power Generation Plants
Avoiding Cyberterrorism Threats Inside Hydraulic Power Generation PlantsAvoiding Cyberterrorism Threats Inside Hydraulic Power Generation Plants
Avoiding Cyberterrorism Threats Inside Hydraulic Power Generation Plants
 
Ciberterrorismo: La nueva realidad de la Seguridad de la Información
Ciberterrorismo: La nueva realidad de la Seguridad de la InformaciónCiberterrorismo: La nueva realidad de la Seguridad de la Información
Ciberterrorismo: La nueva realidad de la Seguridad de la Información
 
Authentication Issues between entities during protocol message exchange in SC...
Authentication Issues between entities during protocol message exchange in SC...Authentication Issues between entities during protocol message exchange in SC...
Authentication Issues between entities during protocol message exchange in SC...
 
Cisco Malware: A new risk to consider in perimeter security designs
Cisco Malware: A new risk to consider in perimeter security designsCisco Malware: A new risk to consider in perimeter security designs
Cisco Malware: A new risk to consider in perimeter security designs
 
Acciones Empresariales En La PrevencióN De Criminalidad Virtual Para Mitigar ...
Acciones Empresariales En La PrevencióN De Criminalidad Virtual Para Mitigar ...Acciones Empresariales En La PrevencióN De Criminalidad Virtual Para Mitigar ...
Acciones Empresariales En La PrevencióN De Criminalidad Virtual Para Mitigar ...
 

Monitoring Emerging Threats: SCADA Security

  • 1. Monitoring emerging threats: SCADA Security Next step in cyberterrorism Manuel Santander, GCFA, GCIH Manuel.santander@epm.com.co msantand@isc.sans.org Monitoring emerging threats: SCADA Security Congreso Seguridad en Cómputo 2010
  • 2. Agenda ● Introducción ● Riesgos sistemas SCADA ● Stuxnet: Amenaza para el ciberterrorismo ● Medidas de seguridad para sistemas SCADA ● Conclusión Monitoring emerging threats: SCADA Security Congreso Seguridad en Cómputo 2010
  • 3. INTRODUCCIÓN Monitoring emerging threats: SCADA Security Congreso Seguridad en Cómputo 2010
  • 4. SANS INTERNET STORM CENTER ● Nuestro objetivo: alertar a las personas sobre los eventos de seguridad más relevantes ocurridos en internet ● Somos un grupo de 39 personas alrededor del mundo de varias industrias: bancos, servicios públicos, gobierno, universidades ● Cada día, uno de nosotros toma el cargo de Handler on Duty, haciendo turnos de 24 horas iniciando a las 00:00 GMT ● Nuestra labor es monitorear anormalidades en Internet y alertar a nuestros lectores (http://isc.sans.edu) Monitoring emerging threats: SCADA Security Congreso Seguridad en Cómputo 2010
  • 5. DSHIELD: Distributed log correlation Monitoring emerging threats: SCADA Security Congreso Seguridad en Cómputo 2010
  • 6. Recibimos otros reportes ... Monitoring emerging threats: SCADA Security Congreso Seguridad en Cómputo 2010
  • 7. Múltiples formas de fraude ● Virus configurado específicamente para la compañía que usted guste = $50,000 USD ● Virus reciclado modificado para que no sea detectado por virus = $200 USD ● 10 millones de direcciones de correo electrónico = $160 USD ● Número de tarjeta de crédito= $2~6 USD ● Número de tarjeta de crédito con código de seguridad = $20~60 USD ● Alquiler de equipo que controla una botnet de 5,000 a 10,000 equipos = $100/day Fuente: G-Data Monitoring emerging threats: SCADA Security Congreso Seguridad en Cómputo 2010
  • 8. Recibimos este reporte …. Monitoring emerging threats: SCADA Security Congreso Seguridad en Cómputo 2010
  • 9. RIESGOS SISTEMAS SCADA Monitoring emerging threats: SCADA Security Congreso Seguridad en Cómputo 2010
  • 10. Componentes del Sistema SCADA Monitoring emerging threats: SCADA Security Congreso Seguridad en Cómputo 2010
  • 11. Componentes del Sistema SCADA (2) ● Unidad Terminal Remota (RTU): Recopila datos de los dispositivos de campo en la memoria hasta que la MTU solicite esa información y procesa los pedidos del HMI. ● Master Terminal Unit (MTU): Inicia la comunicación con las unidades remotas y las interfaces con el DAS y el HMI. ● Adquisición de Datos (DAS): la información del DAS se reúne a partir de la MTU, y genera alertas que necesita la atención del operador. ● Interfaz Hombre-Máquina (HMI): El panel de operador se define como la interfaz donde el operador se conecta a monitorear las variables del sistema. Reúne información del DAS. Monitoring emerging threats: SCADA Security Congreso Seguridad en Cómputo 2010
  • 12. Riesgos del Sistema SCADA ● Aumento de la rotación de las turbinas de generación , aumentando el flujo de energía superior a la capacidad de una línea de transmisión o simplemente apagar las turbinas de una central eléctrica. ● Desbordamiento de los tanques de agua y ruptura de tuberías en las calles ● ¿Causas? – Robo de identidad – Malware – Acceso no autorizado – Aprovechamiento de vulnerabilidades Monitoring emerging threats: SCADA Security Congreso Seguridad en Cómputo 2010
  • 13. Riesgos del Sistema SCADA (2) ● Los sistemas SCADA se hicieron orientados a tiempo-real – Las alertas de datos y órdenes a los sistemas deben llegar en el menor tiempo posible, pues un retardo adicional de 10 ms puede incluso ocasionar un apagón ● Los sistemas SCADA funcionan bajo configuraciones muy específicas – Orientadas al funcionamiento y no a seguridad – Los vendedores casi nunca soportan parches – Medidas externas para aseguramiento Monitoring emerging threats: SCADA Security Congreso Seguridad en Cómputo 2010
  • 14. STUXNET: AMENAZA PARA CIBERTERRORISMO Monitoring emerging threats: SCADA Security Congreso Seguridad en Cómputo 2010
  • 15. STUXNET se volvió popular … Monitoring emerging threats: SCADA Security Congreso Seguridad en Cómputo 2010
  • 16. STUXNET se volvió popular … (2) ● Software hecho para atacar sistemas SCADA ● Modifica funcionamiento de componentes ● Aprovecha cuatro vulnerabilidades de Windows ● Permite interacción remota ● Ciberterrorismo Monitoring emerging threats: SCADA Security Congreso Seguridad en Cómputo 2010
  • 17. Infección de STUXNET a PLC ● Afecta al software WinCC/Step7 ● El programador puede conectar el PLC y acceder a la memoria , reconfigurarlo y bajar un nuevo programa Monitoring emerging threats: SCADA Security Congreso Seguridad en Cómputo 2010
  • 18. Infección de STUXNET a PLC (2) ● Stuxnet necesita acceder al PLC ● Necesita intervenir la comunicación entre el programador y el PLC ● Modifica el dll de comunicaciones s7otbxdx.dll utilizado para la comunicación. El original se renombra a s7otbxsx.dll ● El nuevo queda con el nombre que el ejecutable invoca ● 93 exports del dll se reenvían al original de fábrica ● 16 exports se modifican para que stuxnet infecte el PLC Monitoring emerging threats: SCADA Security Congreso Seguridad en Cómputo 2010
  • 19. Infección de STUXNET a PLC (3) Funcionamiento original de Step7 Monitoring emerging threats: SCADA Security Congreso Seguridad en Cómputo 2010
  • 20. Infección de STUXNET a PLC (3) Funcionamiento modificado de Step7 Monitoring emerging threats: SCADA Security Congreso Seguridad en Cómputo 2010
  • 21. ¿Cómo son los programas de PLC? ● Bloques de código y datos que el operador carga ● Tipos de Bloques – Bloques de datos: Argumentos para los bloques de organización – Bloques de Datos de Sistema: Contiene información específica sobre cómo está configurado el PLC – Bloques de organización: Corresponden los entry points de los programas. Stuxnet usa los siguientes: ● OB1: Entry point del programa del PLC. Se ejecuta cíclicamente ● OB35: Watchdog ejecutado cada 100 ms para propósitos de monitoreo Monitoring emerging threats: SCADA Security Congreso Seguridad en Cómputo 2010
  • 22. Secuencia de infección del PLC ● Stuxnet inicia la secuencia de infección si: – La CPU del PLC es referencia 6ES7-417 y 6ES7315-2 – El System Data Block contiene los valores 7050h y 9500h ● Modifica el código del coprocesador DP_RECV, teniendo con esto comunicación al bus industrial Profibus (comunicación con los dispositivos de la red industrial) ● Modifica el bloque OB1 instalando código troyano al inicio del bloque, para que el virus se ejecute al inicio de cada ciclo Monitoring emerging threats: SCADA Security Congreso Seguridad en Cómputo 2010
  • 23. ¿Cómo se camufla stuxnet? ● No puede permitir que sobreescriban el código del virus que ya existe en los bloques infectados ● No puede mostrar al operador/programador que existen bloques infectados ● Los siguientes exports son vitales: – s7blk_read: No se muestran los bloques infectados – s7blk_write: Se asegura que los bloques OB1 y OB25 continúen infectados si son modificados – s7blk_findfirst/s7blk_findnext: Se usan para enumerar los bloques en el PLC. No se muestran los infectados Monitoring emerging threats: SCADA Security Congreso Seguridad en Cómputo 2010
  • 24. MEDIDAS DE SEGURIDAD PARA EL SISTEMA SCADA Monitoring emerging threats: SCADA Security Congreso Seguridad en Cómputo 2010
  • 25. Controles para sistemas SCADA ● Premisas – No pueden modificar el desempeño del sistema – Deben preservar las funcionalidades originales de los protocolos – El más mínimo retardo puede ocasionar una catástrofe ● Puntos de control – Sistema de seguridad perimetral: Intercambio de información – Control de modificación de configuraciones en las máquinas Monitoring emerging threats: SCADA Security Congreso Seguridad en Cómputo 2010
  • 26. Controles para sistemas SCADA (2) ● Puntos de control – Uso de nuevos protocolos que incorporan sistemas de seguridad ● Controles tecnológicos – Firewalls, IDS e IPS: Vitales para establecer un monitoreo de lo que ocurre en la red, ya que el SCADA es un sistema distribuido que funciona a través del intercambio de mensajes – Monitoreo de integridad de archivos: Con esto se verifica que no se modifiquen los parámetros de configuración de los elementos SCADA (http://www.solidcore.com) Monitoring emerging threats: SCADA Security Congreso Seguridad en Cómputo 2010
  • 27. Diagrama ejemplo Monitoring emerging threats: SCADA Security Congreso Seguridad en Cómputo 2010
  • 28. CONCLUSIÓN Monitoring emerging threats: SCADA Security Congreso Seguridad en Cómputo 2010
  • 29. Ciberterrorismo es una posibilidad real ● Sistemas SCADA con poca seguridad – Los proveedores no incorporan medidas de seguridad fiables en sus sistemas – Los ponen accesibles a los usuarios a precios astronómicos ● La seguridad es un costo para la organización – ¿Cuál es la postura de riesgo de la compañía? – ¿Debemos esperar a que ocurra un desastre para invertir? – El esquema de monitoreo es vital para determinar que ocurre Monitoring emerging threats: SCADA Security Congreso Seguridad en Cómputo 2010
  • 30. ¿Preguntas? ¿Inquietudes? Manuel Humberto Santander Peláez http://manuel.santander.name http://twitter.com/manuelsantander msantand@isc.sans.org / manuel.santander@epm.com.co Monitoring emerging threats: SCADA Security Congreso Seguridad en Cómputo 2010