Jose R. Leonett nos compartió en el #DragonJARCON 2020 una charla titulada "IoT Cyber Attacks: Comprometiendo la Ciberseguridad de Gasolineras en Latinoamérica" cuya descripción es:
Una charla 70% demostrativa, donde vamos de cero a mas para comprender los sistemas Automatizados de gestión de gasolineras y la exposición de la ciberseguridad de dichas estaciones, las cuales las convierten mas allá de un blanco de ciberdelincuencia en una herramienta de ciberterrorismo. "Una charla en la cual vamos de cero a mas para comprender los sistemas Automatizados de gestión de gasolineras y la exposición de la ciberseguridad de dichas estaciones, las cuales las convierten mas allá de un blanco de ciberdelincuencia en una herramienta de ciberterrorismo pues se pueden manipular desde precios, datos y lomas grave, los sensores de acumulación de gases y generadores de alarmas los cuales pueden provocar fallos graves dentro de cada tanque subterráneo!!! Gracias, esta no es una falla nueva, va repleta de muchas fallas de seguridad y viene desde el año 2012 que fue reportada a nivel mundial y hoy en día, esta vulnerabilidad persiste y ha sido usada para cometer muchos ciberdelitos, pero lo mas grave de todo, es que puede ser usada como un arma de terrorismo. La ponencia sera ampliada y actualizada, con demostraciones de intrusiones en VIVO en tres modalidadesTelnet: para rastrear acceso con y sin contraseñas desde el IoT via Http: acceso full a los ATG\ Via Remota Netbios directo al disco duro del equipo comprometido.
-----------------------------------------------------------------------------------------------
Youtube: DragonJARtv (http://bit.ly/DragonJARtv)
Facebook: La.Comunidad.DragonJAR (http://bit.ly/DragonJARfb)
Twitter: @DragonJAR (http://bit.ly/DragonJARt)
Instagram: Dragon.JAR (http://bit.ly/DragonJARig)
Discord: https://invite.gg/DragonJAR
Blog: Comunidad DragonJAR (http://bit.ly/DragonJAR)
-----------------------------------------------------------------------------------------------
2. “Cuando era niño, me enseñaron
en la escuela secundaria que
piratear era genial”.
Kevin Mitnick
3. ¿Que es una estación de Gasolina?
La primera estación fue construida en 1907 por la empresa Standard oil of
California (hoy en día llamada ChevronTexaco) en la ciudad de Seattle, en
Washington.
Una estación de servicio, gasolinera o servicentro, tradicionalmente ha
sido un punto de venta de combustible y lubricantes para vehículos de
motor. En la actualidad las estaciones de servicio pueden ofrecer
muchos otros servicio complementarios, que tienen que ver o no, con las
necesidades de los vehículos. Así las estaciones de servicio han pasado a
ofrecer también otros productos, según países, teniendo éstas ahora,
tiendas de conveniencia, pequeños supermercados, talleres mecánicos,
lavado y lubricación de vehículos y otros muchos servicios.
En los años noventa, las estaciones de servicio ampliaron su oferta con
artículos variados, dando lugar a las tiendas de conveniencia o
minimercados, que pasaron a ser habituales en las gasolineras.
6. La Ingeniería detrás de una estación de Gasolina
Estudios necesarios para construir una gasolinera
• Levantamientos topográficos
• Estudios de mecánica de suelos
• Estudios de impacto ambiental, eso dependerá del
lugar en que se desea construir pero por lo general se
exigen estos estudios, también se deben tomar en
cuenta que se harán gestiones para concesiones y
permisos de construcción.
• Permisos de construcción con el ente encargado de
obras mayores
Fuente: https://ingenieriareal.com/especificaciones-construir-gasolineras/
7. La Ingeniería detrás de una estación de Gasolina
Fuente: https://ingenieriareal.com/especificaciones-construir-gasolineras/
Esquema simple de cómo sería la ubicación de los tanques subterráneos de abastecimiento de combustible.
13. Como funciona una estación de Gasolina
Medidores Automáticos
de Tanques (ATG)
14. Como funciona una estación de Gasolina
Medidores Automáticos de Tanques (ATG)
15. “Como todas las plantas de procesamiento de petróleo
y gas están ahora conectadas a Internet de alguna
manera, la protección de la infraestructura digital vital
contra los ciberataques también garantiza operaciones
seguras y una óptima regularidad de la producción”.
Trond Winther, jefe del Departamento de Operaciones de DNV GL - Oil & Gas.
17. Automatizando una Gasolinera
Una estación de servicio domotizada puede optimizar
gastos gracias al software de gestión integral que
permite un control eficiente de personal, costes
energéticos y reducción de incidencias.
Ventajas de tener un sistema de monitoreo de
tanques:
• Medición de Nivel con alta exactitud
• Medición de temperatura y perfil de temperatura
• Medición de interface de agua y emulsión
• Permite incluir datos manuales para medición de
referencia por cinta de inmersión.
• Manejo de alarmas de nivel y temperatura
• Permite la conectividad a sistemas existentes de
otros fabricantes.
Automatizando una estación de Gasolina
19. Automatizando una GasolineraAutomatizando una estación de Gasolina
Controlador de combustible del sitio.
El Controlador de combustible del sitio puede estar alojado en su propio recinto o puede estar ubicado dentro de una
FIT (Terminal de la Isla de Combustible )
26. Automatizando una GasolineraAutomatizando una estación de Gasolina
Los Medidores Automáticos de Tanques
(ATG: Automatic Tank Gauges ) se usan para
monitorear los niveles de inventario del
tanque de combustible, rastrear entregas,
alarmas que indican problemas con el
tanque o el medidor (como un derrame de
combustible) y para realizar pruebas de
fugas de acuerdo con el cumplimiento de las
normas ambientales. Los ATG son utilizados
por casi todas las estaciones de servicio en
los Estados Unidos y decenas de miles de
sistemas a nivel internacional.
28. Automatizando una GasolineraAutomatizando una estación de Gasolina
Los Medidores Automáticos de Tanques (ATG)
Lantronix UDS1100 Device Server
“Es un medidor de tanque cuya dirección de Protocolo
de Internet (IP) se encuentra fácilmente, y al que se
puede acceder a través de Internet para leer
información y realizar todos los cambios de
configuración, utilizando herramientas fácilmente
disponibles como Telnet".
A diferencia de un ataque físico, un ataque cibernético
no puede dejar rastros. Los cambios de configuración
se pueden hacer y luego revertir sin saber cómo
ocurrieron.
Fuente: kachoolie
30. Automatizando una GasolineraMedidores Automáticos de Tanques (ATG)
Automatic Tank Gauges (ATG)
Un atacante con acceso a la interfaz de puerto serie de un ATG puede apagar la estación falsificando el nivel
de combustible informado, generando falsas alarmas y bloqueando el servicio de monitoreo fuera del
sistema. Los fallos de funcionamiento del medidor del tanque se consideran un problema grave debido a
los problemas de seguridad y reglamentarios que pueden aplicarse.
31. Automatizando una GasolineraMedidores Automáticos de Tanques (ATG)
Muchos Medidores de Tanques
pueden programarse y monitorearse
a través de un puerto serie
incorporado, un puerto serie
enchufable, un fax/módem o una
placa de circuito TCP/IP. Para
monitorear estos sistemas de forma
remota, muchos operadores utilizan
una tarjeta TCP/IP o un servidor de
puerto serie de terceros para asignar
la interfaz serie Medidores de
Tanques a un puerto TCP que se
encuentra frente a Internet.
33. Automatizando una GasolineraMedidores Automáticos de Tanques (ATG)
¿Qué tan serio es esto?
Los ATG están diseñados para detectar fugas y otros
problemas con los tanques de combustible. El
acceso remoto al puerto de control de un ATG
podría proporcionar a un atacante la capacidad de
reconfigurar los umbrales de alarma, reiniciar el
sistema y, de lo contrario, interrumpir el
funcionamiento del tanque de combustible. Un
ataque puede evitar el uso total del tanque de
combustible cambiando la configuración de acceso
y simulando condiciones falsas, provocando un
apagado manual. Teóricamente, un atacante podría
cerrar más de 7000 estaciones de combustible en
todo el mundo con poco esfuerzo.
En el estudio mas reciente, hemos encontrado fallos
de los ATG con acceso vía Telnet, Web y los mas
críticos, a disco duros.
39. Automatizando una GasolineraMedidores Automáticos de Tanques (ATG)
Los agujeros de seguridad también pueden
permitir a los piratas informáticos moverse
lateralmente dentro de la red de la empresa
objetivo, obtener acceso a los sistemas de pago y
robar datos financieros, y obtener información
sobre los clientes de la estación (por ejemplo,
placas de licencia, datos de identidad del
conductor). Otro posible escenario descrito por
Kaspersky implica interrumpir las operaciones de
la estación y exigir un rescate.
45. Automatizando una Gasolinera
Informe de historial de alarmas de
prioridad
Establecer el factor de
pérdida de vapor del
tanque
Establecer nivel de
filtro de alarma de
agua del tanque
47. Automatizando una GasolineraLas 10 principales amenazas a la seguridad cibernética para la
industria del petróleo y el gas
1. Falta de concienciación y capacitación en seguridad cibernética entre los empleados.
2. Trabajo remoto durante las operaciones y el mantenimiento.
3. Uso de productos de TI estándar con vulnerabilidades conocidas en el entorno de producción.
4. Una cultura de seguridad cibernética limitada entre proveedores, proveedores y contratistas.
5. Separación insuficiente de redes de datos.
6. El uso de dispositivos móviles y unidades de almacenamiento, incluidos teléfonos inteligentes.
7. Redes de datos entre instalaciones en tierra y mar adentro.
8. Seguridad física insuficiente de las salas de datos, gabinetes, etc.
9. Software vulnerable.
10. Sistemas de control obsoletos y anticuados en las instalaciones.
https://www.offshore-energy.biz/top-10-cyber-security-threats-for-oil-and-gas-industry/
48. “Muchas empresas no tienen ni idea, porque
gastan la mayor parte o todo su presupuesto de
seguridad en seguridad de alta tecnología,
como firewall y autenticación biométrica, que
son importantes y necesarias, pero luego no
capacitan a su personal.”
Kevin Mitnick
49. Automatizando una Gasolinera
GRACIAS:/>_
JOSÉ R. LEONETT
Gerente de Ciberseguridad en INFO Y MAS Guatemala
Founder del Observatorio Guatemalteco de Delitos Informáticos – OGDI
Founder Open Hacking Guatemala
Coordinador REDLIF y El Derecho Informático para Guatemala
leonett@ciberdelitos.org
:/>_ Twitter: jrleonett
:/>_ Facebook: jrleonett
:/>_ Linkedin: jose-leonett