¡Vd. usa un navegador obsoleto!

Es posible que la página no se visualice correctamente.

¡Vigilen sus cosas!

Следите за вещами!

Otras ediciones de este tema (20)
  • añadir a favoritos
    Añadir a marcadores

Producción atacada

Consultas: 1150 Comentarios: 1 Ranking: 8

viernes, 11 de mayo de 2018

A veces aparecen noticias que “make someone´s day”. Un mensaje publicado en el sitio web de una empresa IT importante es similar:

La vulnerabilidad del «día cero» fue encontrada en los controladores del subsistema de seguridad del sistema automatizado de administración de procesos tecnológicos de la producción Schneider Electric. Según algunos datos, ya afectó a la empresa de producción en Arabia Saudí.

Sobre el incidente han informado los grupos «Dragos» y FireEye que por lo visto no tienen nada que ver con la vulnerabilidad. Fue desarrollada en Irán que tiene problemas religiosos con Arabia Saudí desde hace mucho.

... El vendedor declara que la vulnerabilidad se nota cuando el controlador está en modo programado. Por lo tanto, se recomienda que el administrador siempre esté al tanto cuando el controlador decida cambiar a este modo.

Una vulnerabilidad que afecta a la empresa, un controlador que decide de forma autónoma en qué modo va a funcionar...

¿De qué en realidad se trata en la noticia?

Además de los dispositivos “inteligentes” de los cuales se informa mucho, hay un gran número de dispositivos que controlan varios procesos y funcionan en respuesta al cambio de las opciones controladas. Son sistemas contra incendios, los equipos programados en las plantas, los sistemas de guiado de misiles de combate y mucho más. Hace poco estos sistemas eran analógicos y se podía volver a programarlos solo manualmente, lo cual impedía que los hackers los atacaran, pero con el tiempo los sistemas analógicos se cambiaron por los digitales. Ya hay más trabajos de outsourcing, lo cual automáticamente significa acceso remoto a los objetos críticos, con mayor frecuencia se usa el control a distancia en vez del acceso directo al equipamiento.

Los objetos de producción peligrosos de I y II clase de peligro a partir del 1 de enero de 2020 se equiparán con sistemas de control a distancia. Según la decisión de las operadoras, los objetos de producción de III y IV clase de peligro se equiparán con sistemas de control a distancia.

http://www.consultant.ru/law/hotdocs/52993.html

Últimamente con mucha frecuencia se mencionan los ataques a sistema digitales de control de la producción, pero no hay muchos ejemplos de estos ataques. La causa es obvia – la administración de equipamiento tecnológico requiere conocimiento específico, la experiencia de programación de microcontroladores. Y es muy probable que no haya beneficios. Por lo tanto, normalmente se trata de los ataques objetivo que se realizan por encargo, para el equipamiento específico. Y como los objetivos de estos ataques son producciones bastante importantes, normalmente no se indican muchos detalles: «En la declaración oficial de Saudi Aramco se indica que la empresa no fue sometida a ciberataques. En FireEye se negaron a comentar un mensaje diciendo que el objeto de ataque fue el sistema informático Saudi Aramco». Casi en todas las presentaciones como ejemplos se mencionan los ataques a una planta metalúrgica en Alemania, la central nuclear en Asia y una petrolera en Arabia Saudí.

Sobre la última se trataba en la noticia que mencionamos a principios de la edición. ¿Qué pasó si tomamos en cuenta los datos existentes?

En agosto del año 2017 un software nocivo atacó el sistema de seguridad de la petrolera nacional de Arabia Saudí, Saudi Aramco.

Por primera vez la información sobre el ataque al objeto de producción apareció por primera vez en el blog de la empresa FireEye que se especializa en la protección informática.

https://regnum.ru/news/2361333.html

El mismo grupo que «por lo visto, no tiene nada que ver con la vulnerabilidad». :-)

Es interesante que los malintencionados atacaron un sistema responsable de prevenir una catástrofe en el objeto de la fábrica:

Según los representantes de FireEye, el software nocivo atacó un sistema conocido como Triconex, producido por la empresa alemana Schneider Electric. Triconex se usa en todo el mundo y se encarga de la función de desactivación emergente.

Triton intentó cambiar un controlador del sistema de seguridad, y, como resultado, el controlador desactivó un proceso de producción no previsto.

https://regnum.ru/news/2361333.html

El programa nocivo Trisis Industrial Control System (ICS) por primera vez fue detectado por el grupo de desarrolladores de amenazas Fireiant en Mandiant el 14 de diciembre de 2017 una vez atacada la organización desconocida.

El programa nocivo estaba destinado para los controladores Triconex Safety Instrumented System (SIS), fabricados por Schneider Electric, y por eso fue llamado Triton o Trisis.

https://copni.ru/trisis-ics-vredonosnoe-po-obnaruzhennoe-posle/

Es decir, alguien estaba usando una vulnerabilidad desconocida en un controlador que proporcionaba seguridad. Permitía, así mismo, volver a programar el controlador que luego pudo omitir alguna situación, lo cual, a su vez, provocaría una avería.

#drweb

https://www.google.ru/url?sa=t&rct=j&q=&esrc=s&source=web&cd=8&cad=rja&uact=8&ved=2ahUKEwiDqNzuyf3ZAhVOxaYKHcdoCRIQFjAHegQIABBV&url=http%3A%2F%2Fwww.xn--90acqjv.xn--p1ai%2Fwp-content%2Fuploads%2F2018%2F03%2F13-SHipulin.pptx&usg=AOvVaw0YLzsoIXsfO5Q6d8nt_Ouf

Vamos a recordar que se volvía a programar desde un equipo de trabajo, lo cual otra vez confirma que la seguridad de sistemas tecnológicas empieza en las estaciones de trabajo de operadores. El análisis del incidente demostró que hay conexión de red no autorizada, y que además luego se inició una aplicación no autorizada.

Más tarde, el software nocivo se filtró en Internet:

Un programa nocivo usado como resultado de un ataque a los sistemas de control de producción en diciembre, fue publicado en Internet.

https://copni.ru/trisis-ics-vredonosnoe-po-obnaruzhennoe-posle/

Peor no huno nuevos ataques similares.

Es interesante que las noticias sobre los ataques del mismo objeto en los medios de comunicación aparecen varias veces:

Noticia de 21.03.2018

En agosto del año 2016 los malintencionados desconocidos atacaron a una petrolera en Arabia Saudí perteneciente a la empresa Saudi Aramco, informó New York Times.

No hubo ninguna explosión solo por causa de un error en el código nocivo. Como resultado, la infraestructura atacada se desconectó y no cambió al modo de funcionamiento peligroso por causa de lo cual podría haber sido destruida.

http://safe.cnews.ru/news/top/2018-03-21_nefteperegonnyj_zavod_chut_ne_vzorvali_s_pomoshchyu

Noticia de 23.12.2017

En agosto del año 2017 un software nocivo atacó el sistema de seguridad de la petrolera nacional de Arabia Saudí, Saudi Aramco.

https://regnum.ru/news/2361333.html

¿Se trata del mismo evento o de varios eventos?

#hackeo #seguridad_corporativa #acceso_remoto #vulnerabilidad

El mundo de antivirus recomienda

La protección de sistemas de administración es muy distinta de la protección de los equipos ordinarios. Primero, en la mayoría de los casos los controladores y otro equipamiento no disponen de recursos necesarios para instalar un antivirus. Pero este problema no es el más importante.

Los más importante es que los sistemas de administración deben funcionar continuamente y de forma garantizada. Cualquier sistema externo supone demoras. No sabemos de antemano qué demoras puede suponer otra actualización del antivirus. Por lo tanto, no se recomienda instalar los antivirus directamente en el equipamiento. La seguridad del mismo se proporciona con el control del estado integro de componentes (lo cual, por supuesto, no protege contra programas nocivos).

Se puede proteger las estaciones de operadores desde los cuales los comandos llegan a los controladores, es donde es real instalar el software antivirus. Pero hay un riesgo de falso positivo. Imagine una situación cuando, una vez actualizado, algún programa específico, desconocido para el vendedor, será considerado un virus. Para que no pase eso, se celebran los acuerdos específicos sobre las pruebas recíprocas del software y las pruebas preliminares de actualizaciones (esta función existe en los productos corporativos de Dr.Web).

Pero no todos los expertos en seguridad aceptan los sistemas de protección, por lo cual los programas nocivos penetran en los sistemas de administración. Y tarde o temprano esto provoca la aparición de la “pantalla azul de la muerte” o un requerimiento de rescate.

[Twitter]

Nos importa su opinión

Para redactar un comentario, debe iniciar sesión para entrar en su cuenta del sitio web Doctor Web. - Si aún no tiene la cuenta, puede crearla.

Comentarios de usuarios

Comentarios a otras ediciones | Mis comentarios