¿Qué es lo más interesante del hackeo del sistema de agua de Florida? Que escuchamos sobre eso en absoluto. – Krebs sobre seguridad

Las historias sobre seguridad informática tienden a volverse virales cuando cierran la gran brecha entre geeks y luditas, y las noticias de esta semana sobre un hacker que intentó envenenar el suministro de agua de un pueblo de Florida comprensiblemente fueron material de primera plana. Pero para los nerds de la seguridad que han estado advirtiendo sobre este tipo de cosas durante mucho tiempo, el aspecto más sorprendente del incidente parece ser que nos enteramos.

Dedique unos minutos a buscar en Twitter, Reddit o cualquier número de otros sitios de redes sociales y encontrará innumerables ejemplos de investigadores que publican pruebas de poder acceder a las llamadas «interfaces hombre-máquina», básicamente páginas web diseñadas para interactuar de forma remota con varios sistemas complejos, como los que monitorean y/o controlan cosas como la energía, el agua, el alcantarillado y las plantas de fabricación.

Y, sin embargo, ha habido muy pocos incidentes conocidos de piratas informáticos maliciosos que abusan de este acceso para interrumpir estos sistemas complejos. Es decir, hasta este pasado lunes, cuando el alguacil del condado de Florida Bob Gualtieri realizó una conferencia de prensa notablemente lúcida y llena de hechos sobre un intento de envenenar el suministro de agua de Oldsmar, una ciudad de alrededor de 15,000 habitantes no lejos de Tampa.

Gualtieri le dijo a los medios que alguien (todavía no saben quién) accedió de forma remota a una computadora para el sistema de tratamiento de agua de la ciudad (usando Teamviewer) y aumentó brevemente la cantidad de hidróxido de sodio (también conocido como lejía que se usa para controlar la acidez en el agua) a 100 veces el nivel normal.

“El suministro de agua de la ciudad no se vio afectado”, Los tiempos de la bahía de Tampa reportado. “Un supervisor que trabajaba de forma remota vio que se cambiaba la concentración en la pantalla de su computadora e inmediatamente la revirtió”, dijo Gualtieri. Los funcionarios de la ciudad enfatizaron el lunes que existen otras medidas de seguridad para evitar que el agua contaminada ingrese al suministro de agua y dijeron que han desactivado el sistema de acceso remoto utilizado en el ataque.

En resumen, un intruso probablemente sin experiencia de alguna manera aprendió las credenciales necesarias para acceder de forma remota al sistema de agua de Oldsmar, hizo poco para ocultar su actividad y luego trató de cambiar la configuración por un margen tan amplio que las alteraciones serían difíciles de pasar por alto.

“El sistema no era capaz de hacer lo que quería el atacante”, dijo Joe Weisssocio gerente en Soluciones de control aplicadas, una consultoría para la industria de sistemas de control. “El sistema no es capaz de aumentar por un factor de 100 porque hay ciertos problemas de física involucrados allí. Además, los cambios que trató de hacer no ocurrirían instantáneamente. Los operadores habrían tenido mucho tiempo para hacer algo al respecto”.

Weiss fue solo uno de la media docena de expertos inmersos en los aspectos de ciberseguridad de los sistemas de control industrial con los que KrebsOnSecurity habló esta semana. Si bien todos los entrevistados se hicieron eco de la conclusión de Weiss, la mayoría también dijo que estaban preocupados por las perspectivas de un adversario más avanzado.

Estas son algunas de las lecciones aleccionadoras de esas entrevistas:

• Hay aproximadamente 54,000 sistemas distintos de agua potable en los Estados Unidos.
• La gran mayoría de esos sistemas atienden a menos de 50,000 residentes, y muchos atienden solo a unos pocos cientos o miles.
• Prácticamente todos ellos cuentan con algún tipo de acceso remoto para monitorear y/o administrar estas instalaciones.
• Muchas de estas instalaciones están desatendidas, sin fondos suficientes y no tienen a alguien que vigile las operaciones de TI las 24 horas del día, los 7 días de la semana.
• Muchas instalaciones no han separado la tecnología operativa (los bits que controlan los interruptores y las palancas) de los sistemas de seguridad que podrían detectar y alertar sobre intrusiones o cambios potencialmente peligrosos.

Entonces, dado lo fácil que es buscar en la web y encontrar formas de interactuar de forma remota con estos sistemas HMI, ¿por qué no hay más incidentes como el de Oldsmar en las noticias? Una razón puede ser que estas instalaciones no tienen que revelar tales eventos cuando suceden.

¿LA AUSENCIA DE MALAS NOTICIAS SON BUENAS NOTICIAS?

La única ley federal que se aplica a la seguridad cibernética de las instalaciones de tratamiento de agua en los Estados Unidos es Ley de infraestructura de agua de Estados Unidos de 2018que requiere sistemas de agua que atienden a más de 3.300 personas “para desarrollar o actualizar evaluaciones de riesgo y planes de respuesta a emergencias”.

No hay nada en la ley que requiera que dichas instalaciones informen incidentes de seguridad cibernética, como el que sucedió en Oldsmar el pasado fin de semana.

“Es difícil lograr que las organizaciones informen sobre incidentes de ciberseguridad”, dijo miguel arceneauxdirector gerente de la Agua ISAC, un grupo de la industria que trata de facilitar el intercambio de información y la adopción de mejores prácticas entre las empresas de servicios públicos en el sector del agua. Los 450 miembros de Water ISAC atienden a aproximadamente 200 millones de estadounidenses, pero su membresía comprende menos del uno por ciento de la industria de servicios públicos de agua en general.

“Algunas empresas de servicios públicos temen que si se comparten sus vulnerabilidades, los piratas informáticos tendrán algún conocimiento interno sobre cómo piratearlos”, dijo Arceneaux. “Las empresas de servicios públicos dudan bastante en poner esa información en un dominio público o tenerla en una base de datos que podría volverse pública”.

Weiss dijo que las agencias federales son igualmente renuentes a discutir tales incidentes.

“La única razón por la que supimos sobre este incidente en Florida fue que el alguacil decidió realizar una conferencia de prensa”, dijo Weiss. “El FBI, el Departamento de Seguridad Nacional, ninguno de ellos quiere hablar de esto públicamente. El intercambio de información está roto”.

A modo de ejemplo, Weiss dijo que no hace mucho tiempo fue contactado por un defensor público federal que representaba a un cliente que había sido condenado por piratear un sistema de agua potable. El abogado se negó a compartir el nombre de su cliente o divulgar muchos detalles sobre el caso. Pero quería saber si Weiss estaría dispuesto a servir como testigo experto que podría ayudar a que las acciones de un cliente suenen menos aterradoras para un juez en el momento de la sentencia.

“Estaba defendiendo a esta persona que había pirateado un sistema de agua potable y había llegado hasta las bombas y los sistemas de control”, recordó Weiss. “Dijo que su cliente solo había estado en el sistema durante aproximadamente una hora, y quería saber cuánto daño podría haber hecho realmente su cliente en ese corto tiempo. Estaba tratando de obtener una sentencia más indulgente para el tipo”.

Weiss dijo que ha tratado de obtener más información sobre el acusado, pero sospecha que los detalles del caso han sido sellados.

Andrew Hildick-Smith es un consultor que se desempeñó durante casi 20 años administrando sistemas de acceso remoto para la Autoridad de Recursos Hídricos de Massachusetts. Hildick-Smith dijo que su experiencia trabajando con numerosos servicios públicos de agua más pequeños ha llevado a casa la realidad de que la mayoría tiene una gran falta de personal y fondos.

“Una parte decente de las pequeñas empresas de servicios públicos de agua dependen de la persona de TI de su comunidad o pueblo para que les ayude con las cosas”, dijo. “Cuando administra un servicio de agua, hay tantas cosas de las que ocuparse para que todo siga funcionando que realmente no hay suficiente tiempo para mejorar lo que tiene. Eso puede extenderse al lado del acceso remoto, y es posible que no tengan una persona de TI que pueda ver si hay una mejor manera de hacer las cosas, como asegurar el acceso remoto y configurar cosas como la autenticación de dos factores”.

Hildick-Smith dijo que la mayoría de los incidentes de seguridad cibernética de los que tiene conocimiento que involucran instalaciones de agua se dividen en dos categorías. Los más comunes son compromisos donde los sistemas afectados fueron daños colaterales de intrusiones más oportunistas.

“Ha habido un montón de veces en las que se ha violado el sistema de control de los sistemas de agua, pero la mayoría de las veces es por casualidad, lo que significa que quienquiera que lo estaba haciendo usó la computadora para configurar transacciones financieras, o era una computadora de conveniencia. , dijo Hildick-Smith. “Pero los ataques que involucraron el paso de manipular cosas son una lista bastante corta”.

La otra razón, cada vez más común, dijo, son, por supuesto, los ataques de ransomware en el lado comercial de las empresas de servicios públicos de agua.

“Aparte del tipo de personas que ingresan a un sistema SCADA por error en el lado del agua, hay un montón de ataques de ransomware contra el lado comercial de los sistemas de agua”, dijo. “Pero incluso entonces, por lo general, no puedes escuchar los detalles del ataque”.

Hildick-Smith recordó un incidente reciente en una empresa de agua bastante grande que se vio afectada por la cepa de ransomware Egregor.

“Las cosas funcionaron internamente para ellos, y no necesitaban hablar con el mundo exterior o con la prensa al respecto”, dijo. “Se pusieron en contacto con Water ISAC y el FBI, pero ciertamente no se convirtió en un evento de prensa, y las lecciones que aprendieron no se pudieron compartir con la gente”.

UN INTERNACIONAL DESAFÍO

La situación no es diferente en Europa y en otros lugares, dice Marcin Dudekinvestigador de seguridad de sistemas de control en CERT Poloniael equipo de respuesta a emergencias informáticas que se encarga de la notificación de incidentes cibernéticos en Polonia.

Marcin dijo que si las instalaciones de agua no han sido un objetivo importante de los piratas informáticos criminales con fines de lucro, probablemente se deba a que la mayoría de estas organizaciones tienen muy poco valor para robar y, por lo general, no tienen recursos para pagar a los extorsionadores.

“La parte de acceso es bastante fácil”, dijo. “No hay ningún caso comercial para piratear este tipo de sistemas. Muy rara vez tienen una VPN adecuada [virtual private network] para una conexión remota segura. Creo que es porque no hay suficiente concienciación sobre los problemas de la ciberseguridad, pero también porque no se financian lo suficiente. Esto va no sólo para los EE.UU. Es muy similar aquí en Polonia y también en diferentes países”.

Muchos profesionales de la seguridad han expresado en las redes sociales que las empresas de servicios públicos no tienen por qué confiar en herramientas de acceso remoto como Teamviewer, que de forma predeterminada permite un control total sobre el sistema host y está protegido por una contraseña simple.

Pero Marcin dice que Teamviewer en realidad sería una mejora sobre los tipos de sistemas de acceso remoto que comúnmente encuentra en su propia investigación, que involucra sistemas HMI diseñados para usarse a través de un sitio web público.

“He visto muchos casos en los que la HMI estaba directamente disponible desde una página web, donde simplemente inicia sesión y luego puede cambiar algunos parámetros”, dijo Marcin. “Esto es particularmente malo porque las páginas web pueden tener vulnerabilidades, y esas vulnerabilidades pueden dar al atacante acceso completo al panel”.

Según Marcin, las empresas de servicios públicos suelen tener múltiples sistemas de seguridad y, en un entorno ideal, estos están separados de los sistemas de control para que el compromiso de uno no se convierta en cascada en el otro.

“En realidad, no es tan fácil introducir toxinas en el tratamiento del agua para que la gente se enferme, no es tan fácil como dicen algunas personas”, dijo. Aún así, le preocupan los atacantes más avanzados, como los responsables de múltiples incidentes el año pasado en el que los atacantes obtuvieron acceso a algunos de los sistemas de tratamiento de agua de Israel e intentaron alterar los niveles de cloro del agua antes de ser detectados y detenidos.

“El acceso remoto es algo que no podemos evitar hoy”, dijo Marcin. “La mayoría de las instalaciones no están tripuladas. Si se trata de una planta de tratamiento de agua o aguas residuales muy pequeña, no habrá personas dentro y solo se conectarán cada vez que necesiten cambiar algo”.

TIEMPO DE AUTOEVALUACIÓN

Es posible que muchos sistemas de tratamiento de agua más pequeños pronto reevalúen su enfoque para asegurar el acceso remoto. O al menos esa es la esperanza de la Ley de Infraestructura del Agua de 2018, que otorga a las empresas de servicios públicos que atienden a menos de 50,000 residentes hasta fines de junio de 2021 para completar una evaluación de resiliencia y riesgo de seguridad cibernética.

“La gran mayoría de estas empresas de servicios públicos aún tienen que pensar realmente cuál es su posición en términos de ciberseguridad”, dijo Hildick-Smith.

El único problema con este proceso es que no hay consecuencias para las empresas de servicios públicos que no completen sus evaluaciones antes de esa fecha límite.

Hildick-Smith dijo que si bien se requiere que los sistemas de agua informen periódicamente datos sobre la calidad del agua a la Agencia de Protección Ambiental (EPA) de EE. UU., la agencia no tiene autoridad real para hacer cumplir las evaluaciones de seguridad cibernética.

“La EPA ha hecho algún tipo de amenazas vagas, pero no tienen la capacidad de hacer cumplir la ley aquí”, dijo. “La mayoría de los sistemas de agua esperarán hasta que se cierre la fecha límite y luego contratarán a alguien para que lo haga por ellos. Otros probablemente simplemente se autocertifiquen, levanten la mano y digan: ‘Sí, estamos bien’”.

Actualización, 11 de febrero, 4:15 p. m. ET: Hildick-Smith ha pedido matizar su última declaración sobre la autoridad de la EPA. Él dice que si bien la EPA no está recopilando copias de las evaluaciones de riesgo y resiliencia y los planes de respuesta de emergencia, o haciendo cumplir los controles de calidad en los documentos, pueden multar a las empresas de servicios públicos por no cumplir con el proceso y certificar que han completado los requisitos. La EPA explica más aquí (PDF).