Impacto de SPECTRE y MELTDOWN en los Sistemas Industriales y cómo responder a la Amenaza

Durante los últimos meses se han dado a conocer varias vulnerabilidades atribuidas a los microprocesadores que ponen en evidencia la importancia de disponer de sistemas con CiberSeguridad interna. Este tipo de vulnerabilidades nos están alertando de los potenciales riesgos cibernéticos en las tecnologías emergentes basadas en IoT e IIoT. Hace un tiempo difundimos un artículo muy interesante de MAXIM INTEGRATED sobre cripto-procesadores que se puede acceder desde aquí.

SPECTRE y MELTDOWN son dos vulnerabilidades recientemente descubiertas que afectan el hardware que se ejecuta en la mayoría de los dispositivos del mundo. Lo más probable es que cada usuario tenga un dispositivo afectado en su proximidad.

Casi todas las máquinas con un procesador moderno se ven afectadas, desde estaciones de trabajo hasta, sistemas de control, servidores, teléfonos y tabletas.

Esto incluye Microsoft Windows, Linux, Android, Google ChromeOS, macOS de Apple en procesadores Intel, ARM y sistemas embebidos. La mayoría de los chips INTEL fabricados después de 2010 son vulnerables, mientras que muchos chips AMD, ARM y otros también se ven afectados.

SPECTRE y MELTDOWN son vulnerabilidades diferentes, pero relacionadas. SPECTRE comprende dos vulnerabilidades: CVE-2017-5753: circunvalación de verificación de límites y CVE-2017-5715: inyección de blanco de ramificación, mientras que MELTDOWN consta de uno: CVE-2017-5754: carga de caché con datos falsos.

Estas vulnerabilidades hacen que los sistemas sean susceptibles a los llamados ataques de “canal lateral”, que se basan en la implementación de hardware físico y no atacan directamente la lógica o el código. Estos tipos de ataques generalmente incluyen a acciones tales como rastrear la radiación electromagnética (es decir TEMPEST), monitorear el consumo de energía, analizar luces intermitentes, análisis de caché, etc.

Dado que los dispositivos IT, IoT y IIoT son muy frecuentes y se actualizan con poca frecuencia, la presencia de dispositivos vulnerables puede permanecer en entornos de producción por varias generaciones venideras.

¿Cuál es el impacto de SPECTRE y MELTDOWN?

Si una de estas vulnerabilidades se utiliza para comprometer un dispositivo, esto podría dar a un atacante acceso a datos privilegiados en el sistema. Las vulnerabilidades no otorgan acceso al sistema; solo permiten a los atacantes leer datos que, de lo contrario, deberían restringirse. En otras palabras, un atacante aún necesita ingresar al sistema para ejecutar el ataque.

Mientras que esto puede sonar “alentador”, en realidad es una preocupación crítica en sistemas con múltiples usuarios, donde los datos de un espacio de memoria perteneciente a un usuario aún deben estar aislados de los demás.

En pocas palabras, en entornos compartidos o multi-tenant, como un entorno virtual, en la nube o cualquier otro entorno multiusuario, deben existir barreras estrictas entre los usuarios. De lo contrario, cualquier cliente en la nube podría acceder a los datos que pertenecen a otros clientes que comparten la misma CPU.

La misma compartimentación se produce dentro de las aplicaciones, que deben aislarse unas de otras. Por ejemplo, un navegador web no debe tener acceso directo a los datos que usa el sistema operativo Windows para almacenar contraseñas u otra información confidencial.

Todos los sistemas operativos implementan múltiples niveles de seguridad para evitar que ocurra este comportamiento, incluidos Windows UAC, SELinux y más. Por esa razón, resulta que las vulnerabilidades de SPECTRE y MELTDOWN pueden no ser tan malas como se las ha reportado, especialmente si no eres un usuario de la nube.

Explicación Sencilla

En los dos videos siguientes se explican las vulnerabilidades de SPECTRE y MELTDOWN de forma simple pero muy clara y concreta. La noticia es que mientras los parches están siendo desarrollados y publicados en los sistemas operativos para evitar este problema, estos provocan demoras en los sistemas. La vulnerabilidad aprovecha una técnica creada en los microprocesadores modernos que les permite adelantar parte del trabajo para mejorar su rendimiento.

En caso de que estos cálculos anticipados no sean necesarios el sistema los descarta y elimina dejándolos en zonas de memoria desprotegidas al alcance de otras aplicaciones y/o usuarios no autorizados.

Explicación en términos de Layman

Imaginemos, por un momento, que ha sido recientemente galardonado con: Spectre Meltdown Mindreading Capability

Para simplificar, vamos a llamarlo SMMC. SMMC le da el ‘poder’ para leer la mente de otra persona, siempre y cuando ambos estén en la misma habitación.

Su SMMC puede funcionar en casi cualquier persona, en cualquier lugar: el centro comercial, el teatro e incluso las mesas de póquer en Las Vegas. Independientemente de su ubicación, puede leer la mente de los demás, siempre y cuando esté en la misma habitación que ellos. Ahora tiene acceso a datos que deben ser privados, como secretos, información confidencial o crítica, y más.

SMMC no funciona de forma remota; debe estar cerca de la otra persona y en la misma habitación. Además, debe tener permiso para ingresar a esta sala (es decir, en Las Vegas, debe tener al menos 21 años para ingresar a ciertos casinos).

Ahora, imaginemos un escenario diferente: usted está en su propia habitación, usted mismo, y usa SMMC para obtener acceso a sus propios datos. Además del potencial estallido del reflejo mental, ¿qué sentido tiene ejecutar un ataque en tu propia mente? Ya tiene acceso a los datos, y puede recuperarlos a voluntad.

En pocas palabras, esa es la idea detrás de SPECTRE y MELTDOWN. Son efectivos en una sala de múltiples inquilinos donde los secretos de más de una persona deben mantenerse en privado.

Sin embargo, no tiene sentido ejecutar un ataque en una habitación con un solo propietario, ya que, técnicamente, no hay secretos. Mientras seas la única persona que alguna vez ocupe la habitación, tus datos estarán seguros, aunque sigas siendo vulnerable al ataque.

Explicación Detallada

Una explicación técnica bien detallada requiere conocimientos de programación en microprocesadores. En este LINK tendrá acceso a información relevante publicada por los descubridores de estas dos vulnerabilidades que afecta a todos los microprocesadores modernos del mercado, salvo aquellos que sean cripto-procesadores.

¿Por qué SPECTRE y MELTDOWN han recibido tanta difusión?

SPECTRE y MELTDOWN han generado cobertura en los medios convencionales debido a la gran cantidad de sistemas que han impactado. Casi todos poseen un dispositivo que es vulnerable al ataque.

Sin embargo, ser vulnerable no significa necesariamente que este le afectará en sus sistemas de la planta. A veces, como en el caso del parche de Microsoft, la cura causa el dolor, no el ataque en sí mismo. Como se sugiere en la norma ANSI/ISA99/IEC-62443 las acciones de mitigación deben ser el resultado de una evaluación de riesgos cibernéticos en OT y un análisis de criticidad además de un cuidadoso proceso de instalación y de gestión de cambios.

Un claro ejemplo es el impacto del parche MELTDOWN/SPECTRE en Rockwell Factory Talk, que provocó interrupciones en los servidores FactoryTalk.  A partir de ahora, el parche aún no ha sido probado por Rockwell, y actualmente no está aprobado para su uso en ningún sistema FactoryTalk (puede que no sea por un tiempo …). En el caso de Wonderware el parche afectó al tradicional histórico de planta. La actualización de Microsoft “KB4056896” a generado consecuencias inesperadas para el líder de software SCADA provocando inestabilidad en el sistema y bloqueo del acceso a los servidores de datos.

Las mitigación es todavía un tema de considerable debate. Algunos han tenido un impacto negativo en el rendimiento, inutilizando los sistemas y creando otros problemas que aún están siendo resueltos por varios proveedores y comunidades de usuarios. Algunos parches ya no están disponibles para el público y aún no se han vuelto a emitir.

Los ataques a los sistemas industriales son cada vez más sofisticados capaces de causar cada vez más daños. Al inicio los ataques se concentraban en las capas más altas de las redes industriales y tecnologías comerciales de IT, mientras que en los últimos años los ataques han golpeado sobre las redes más bajas y propietarias de los sistemas de control y tecnologías de OT. Los daños provocados por año, ante la misma cantidad de incidentes, se han incrementado en 10 veces!

¿Cuál es el impacto de SPECTRE y MELTDOWN en los sistemas industriales?

Los entornos industriales poseen una gran variedad de equipos, de los cuales algunos de ellos suelen incluir a los siguientes:

  • Estaciones de Operacipon.
  • Estaciones de Ingeniería.
  • Servidores sobre Windows (DNS, AD, etc.)
  • Servidores sobre Linux (historiadores, firewalls, sistemas de automatización)
  • PLCs de varios fabricantes
  • DCSs de varios fabricantes
  • Sistemas Instrumentados de Seguridad
  • Sistemas de Control de Motores CCM
  • HMI de varios fabricantes
  • Interruptores en estaciones eléctricas
  • y muchos otros dispositivos con sistemas embebidos

Casi todas las redes de ICS son vulnerables al ataque. Que un dispositivo específico esté o no en riesgo depende de múltiples factores, como el conjunto de chips, el nivel de firmware, etc. No está demás decir que podemos esperar una investigación sustancial y parches en el futuro cercano.

Muchos HMI, paneles y pantallas utilizan los microprocesadores afectados. La gran mayorías de los fabricantes sistemas industriales todavía están evaluando la amenaza. Muchos sistemas que admiten controladores industriales como sistemas de automatización, sistemas de control de lotes, servidores de control de producción, impresoras, sistemas OPC, sistemas SCADA, dispositivos periféricos y dispositivos IIoT, incluidas cámaras, sensores, etc., son los más vulnerables.

¿Cómo podemos ayudar a mitigar este tipo de vulnerabilidades?

Se trate de sistemas nuevos que serán incorporados en las plantas industriales y que luego deberán ser soportados por décadas, o bien se trate de sistemas industriales existentes tendremos que tomar una decisión para mitigar los riesgos asociadas a este tipo de amenazas. Lo mismo que sucede con otras amenazas.

En el ámbito industrial existen tantos dispositivos inteligentes distribuidos en la planta que no podemos tratar a todos por igual. Una evaluación de riesgos cibernéticos para ámbitos industriales es de un valor sustancial para determinar las acciones correctas. Esta evaluación nos proveerá de los elementos necesarios para tomar decisiones y determinar los requerimientos de seguridad cibernética para satisfacer el nivel de riesgo tolerable por la organización. Una buena evaluación de riesgos dará los elementos necesarios para no gastar de más ni invertir de menos.

La segmentación de los sistemas industriales en Zonas y Conductos nos permitirá crear sistemas industriales seguros por diseño. Existen muchos tipos de vulnerabilidades en todas las etapas del ciclo de vida de los sistemas, desde el diseño y concepción, pasado por las etapas de construcción, configuración, instalación, puesta en marcha, la operación y el mantenimiento. Muchas personas creen que la tecnología tiene todas las respuestas a la seguridad cuando en realidad esto es completamente falso. La metodología de ISA99 registrada ANSI/IEC-62443 nos garantiza una seguridad óptima por diseño que satisface las necesidades de la organización a la medida de cada Zona y cada Conducto.

 
Ciberseguridad por Diseño

Consiste en diseñar (sistemas industriales nuevos) o rediseñar (sistemas industriales existentes) con una metodología probada para identificar, reducir, mitigar y controlar los riesgos cibernéticos industriales. A esta metodología le llamamos Ciberseguridad por Diseño.

La forma más práctica consiste en incorporar sistemas industriales con Seguridad Cibernética intrínsecamente embebida dentro del equipo (BUILT-IN, por su definición del inglés) evitando la necesidad de tener que incorporar Seguridad Cibernética Agregada. Los sistemas con tecnologías de Seguridad Cibernética embebida proveen de varias ventajas para los usuarios finales e integradores. Estas ventajas se resumen en (a) menor costo de propiedad del sistema. (b) menor coste de la seguridad, (c) mayor confiabilidad del sistema – menor tasa de fallas, (d) mayor vida útil, (e) mayores de nivel de seguridad cibernética para satisfacer los más elevados requerimientos.

Un claro ejemplo de este tipo de soluciones los podemos encontrar en los sistemas de BEDROCK AUTOMATION. Para sistemas nuevos la mejor forma y más segura consiste en la implementación de sistemas industriales con CiberSeguridad embebida como la de BEDROCK. Estos sistemas de BEDROCK han sido concebidos con Cripto-Procesadores haciendo que este tipo de vulnerabilidades sean virtualmente imposibles. La tecnología de BEDROCK permite a los usuarios crear una Red de Confianza (ROOT OF TRUST) que se puede extender al respecto de la organización.

Los vectores de ataque a los sistemas industriales son cada vez más sofisticados. El exponencial crecimiento del mercado negro en el descubrimiento y el notable interés por utilizar estos métodos cada vez más sofisticados hacen pensar que las tecnologías de los sistemas sin Ciber-Seguridad embebida serán un juego de niños para los chicos malos en apenas unos pocos años. Mucho antes de que estos sistemas piensen en ser reemplazados.

 
Automatización Abierta y Segura

Consiste en la implementación de soluciones de automatización industrial con seguridad cibernética embebida, o intrínsecamente seguros, que no requieren de seguridad cibernérica agregada. Los sistemas de BEDROCK AUTOMATION proveen de la más robusta y segura automatización industrial.

Para los sistemas ya instalados en primer lugar, ser consciente de lo que existe en su entorno industrial es fundamental para asegurarlo con éxito. No podrá proteger lo que no conoce. A su vez, tener un inventario de activos automatizado en su caja de herramientas es esencial para entender qué equipo está en riesgo y requiere atención.

Tener visibilidad en profundidad de su inventario de activos es vital. Sin esto, se queda con una lista de dispositivos industriales que deben examinarse manualmente para determinar si su módulo de hardware específico se ve afectado.

Un inventario de activos automatizado es clave para identificar activos vulnerables y seguir los esfuerzos de su mantenimiento. Una solución de CiberSeguridad industrial como la de INDEGY recopila automáticamente esta información de dispositivos industriales y la pone a disposición en su Inventario de activos.

Finalmente, para explotar estas vulnerabilidades, un atacante necesita acceso a la red. Esto enfatiza la importancia de tener un sistema de monitoreo de red, que le permita identificar a cualquier persona que se conecte a la red, comunicándose con o modificando activos clave.

 
Detección y Monitoreo

Consiste en la incorporación de sistemas que estén permanentemente monitoreando la salud cibernética de las redes industriales, por medio de técnicas y métodos Pasivos y Activos No Instrusivos. INDEGY provee las soluciones tecnológicas para el monitoreo y detección de incidentes y anomalías en las redes industriales.

Aplicacion de parches en sistemas vulnerables

Los sistemas de aplicación de parches en entornos industriales de ningún modo son un proceso trivial, ya que a menudo se requieren estos sistemas para garantizar la seguridad y la estabilidad de los procesos industriales.

Podemos ayudar a las organizaciones con el proceso de parches de dos maneras:

  • Para la supervisión del progreso de parchado INDEGY le permite ver qué sistemas se han parcheado y cuáles son aún vulnerables. Si un sistema no está parcheado por error, el sistema de INDEGY le informará sobre esto.
  • Para el monitoreo de personal y sistemas involucrados en la aplicación de parches existe la posibilidad de que varias personas implementen varias mitigaciones, parches, actualizaciones de firmware, etc. en una variedad de plataformas, desde estaciones de trabajo hasta servidores, PLC, HMI y dispositivos IIoT. Esto puede dar como resultado que varias personas, en una variedad de funciones, de diferentes organizaciones entren potencialmente en su entorno de producción. ¿Cómo sabrá en qué está trabajando cada persona? ¿Puede alguna de sus actividades causar interrupciones en sus procesos industriales? ¿Qué pasa con el uso de portátiles de terceros no administrados que pueden verse comprometidos? ¿O casos en los que se abren conexiones remotas para habilitar el trabajo necesario? Todos estos pueden exponer sus sistemas industriales a amenazas no deseadas.

Con la plataforma de INDEGY, se puede monitorear los sistemas industriales de forma segura a medida que los empleados y contratistas externos entran y salen de la planta, o cuando se conectan y desconectan de su red. La plataforma le permite realizar un seguimiento de todas sus actividades y recibir alertas en tiempo real sobre cualquier actividad no autorizada o sospechosa.

Indegy le permite confirmar que sus sistemas de control industrial de misión crítica no han sido tocados por usuarios no autorizados, y que no se cometieron errores al intentar actualizar sus sistemas. Póngase en contacto con nosotros si desea obtener más información sobre cómo proteger a los sistemas de control industrial.

Notas relacionadas