¿Podría ser el Apagón Eléctrico de España un ciberataque?

Esta es la pregunta que más me han hecho desde que comenzó el apagón eléctrico de la historia de España. La respuesta no la sabremos hasta que los equipos que están investigando el incidente hayan podido analizar "Root Cause" del incidente, y para ello van a necesitar tiempo. Y lo más importante es recuperar la energía lo antes posible, que hay muchos sitios críticos donde la existencia de la energía puede salvar vidas.

Figura 1: ¿Podría ser el Apagón Eléctrico de España un ciberataque? 

Esta claro que el sistema eléctrico está basado en la tecnología, y que como tal se debe diseñar y gestionar cuando hablamos de ciberseguridad. Y no es nuevo, porque a lo largo de los años hemos visto ataques a centrales eléctricas, y hace un par de semanas se alertaba de que había repuntado el número de ciberataques a estas infraestructuras críticas en la Unión Europea también.

Figura 2: Alerta del repunte de ciberataques a centrales electricas en la Unión Europea

¿Podría haber sido un ciberataque? Pues no lo sabemos aún, y no seré yo el que vaya a especular sobre esto, pero es una de las posibilidades que podrían ser, por supuesto. Pero también podrían ser otras las causas que han producido esto, así que lo mejor es no especular y esperar a ver lo que los forenses que estén en el CSIRT ahora nos digan cuando tengan los datos.

Figura 3: "Infraestructuras críticas y sistemas industriales: Auditorias de seguridad

y fortificación (2ª Edición) por Juan Francisco Bolivar en 0xWord. 

Al final, en el pasado hemos visto caídas de sistemas de Internet, de energía, de llamadas, de gas, y de casi cualquier suministro crítico por causas que puedan interrumpir el sistema que distribuyen la luz, el gas, las redes de telefonía o datos. Y ahora no sabemos más que puede ser cualquier de ellos.

Las causas posibles, os las podéis imaginar:

• Accidente: Un incendio, una inundación, una nevada, un volcán. De todo esto hemos vivido en los años recientes con Filomena, la Dana, el Volcán de La Palma, o los Incendios que nos han asolado durante mucho años parte de nuestro territorio. Estos suelen producir cortes locales, o puntuales, porque destrozan partes del sistema, pero no han solido ser nacionales porque no han tocado el corazón del sistema, y cuando se diseña un sistema crítico es necesario redundar las partes core que pueden discontinuar el sistema.

Pero puede ser de gran intensidad o tocar un punto clave. Durante la Dana, hubo que hacer un trabajo especial para reforzar los centros de llamadas del 112 que estaban saturados, y que fue una de las prioridades durante la crisis, ya que no podían atender tantas llamadas. Que se pudieran atender todas las llamadas de emergencia lo antes posible, y para eso hubo que re-enrutar comunicaciones a centros de respaldo en otras ubicaciones.

• Error informático / humano: Tampoco es la primera vez que pasa, y yo viví muy de cerca un caso con la red de telecomunicaciones en UK, cuando el problema fue un certificado digital expirado que no había sido renovado a tiempo. Fue un error informático, sí, producido por un error en la gestión del proveedor, cuando se supo bien la causa raíz, los analistas publicaron sus conclusiones.

Figura 4: El problema fue un certificado digital expirado

• Ataque Informático: Pues podría ser también, claro. El sistema bancario SWIFT ha sido atacado muchas veces, y ha producido la caída y parada de transacciones bancarias en diferentes instituciones y regiones. En el caso de centrales de energía, el caso más importante fue STUXNET (nuclear), pero no ha sido el único, aunque sí el más importante por ser el primer APT Nation-State lanzando con un objetivo de una infraestructura crítica. Pero este mes se ha alertado del repunte de ciberataques a centrales electricas en todo el mundo usando ransomware.

Figura 5: Extorsión de documentos robados por ransomware

Pero los ha habido mucho más cercanos en el tiempo .En el año 2023 se alertó del ataque al sector eléctrico de Dinamarca, donde más de dos docenas de centrales fueron afectadas en tres oleadas, lo que deja claro que fue un ataque coordinado y organizado contra una infraestructura crítica de un país.

Figura 6: Ciberataque dirigido al sector energético de Dinamarca en 2023

Ahora mismo no sabemos nada. Serán los expertos que estén analizando el caso los que tengan que dar las informaciones, así que todo son especulaciones, por lo que hay que evitar caer en asegurar nada, porque solo los que tengan los datos tienen la información. Lo que sí que está claro es que algo ha pasado en el sistema y hay que saber qué es para que no vuelva a pasar.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  

Google Maps: Los taxistas, ciclistas y autobuseros

Soy un "power user" de Google Maps. Lo uso siempre. Para cualquier desplazamiento por Madrid. Desde ir al trabajo, hasta hacer una ruta que me conozca de memoria. La razón es que me he visto atrapado en Madrid, en estos más de treinta años que llevo conduciendo por esta ciudad, en innumerables ocasiones. Una obra, un accidente, una carrera de 10Km, un corte de calles por polución, o cualquier otro evento pueden hacer que tu día se arruine encerrado en un atasco. Así que no me desplazo en mi "malignomovil" sin usar Google Maps.

Figura 1: Un Google Maps para Taxistas, bicicletas y Autobuseros 

Entre los problemas que tiene Google Maps en Madrid, hay tres que tengo muy localizados, y que son bastante problemáticos. El primero es el de las rutas erróneas - del que ya os he hablado otra vez-, el segundo es el famoso túnel de la M-30 donde tienes que configurar las balizas BlueTooth y no es que vayan muy allá, y el tercero, que es del que voy a hablaros hoy, es el de los datos de los Taxistas y Autobuseros.

Rutas Erróneas que te cuestan pitadas, tiempo puntos y accidentes

Usar tanto Google Maps ha hecho que conozca bastante bien sus limitaciones, y la primera de ellas son los giros imposibles que me han costado alguna multa y algún susto de accidente, además de perder tiempo. Esas rutas que están erróneas y que generan problemas no sólo a mí, sino a mucha gente que lo usan y que me gustaría que Google premiara por reportar, para mejorar cuanto antes el producto.

Figura 2: Ruta imposible de hacer

Si se te ocurre hacer la ruta que tienes en la Figura 2, te vas a llevar una pitada sí o sí, además de una bonita multa de tráfico, la perdida de algún punto del carné, y si estás de suerte no generarás ningún accidente de tráfico.

Figura 3: Otro Giro recomendado por Google Maps imposible

Yo he reportado estas rutas algunas veces, y escribí un artículo titulado: "Cómo corregir las rutas erróneas y peligrosas de Google Maps" para que todos los que somos usuarios de esta plataforma nos beneficiemos, pero creo que debido al impacto que tiene esta plataforma en las ciudades, deberán incentivar más desde Google la corrección de estos errores.

Balizas Bluetooth en túneles

Google Maps añadió la opción de configurar Balizas Bluetooth en túneles en Android para evitar que te pierdas en los túneles de la M-30 - por ejemplo -, pero esta opción llevamos un año esperándola en iPhone y aún no la he visto. Así que, cada vez que me toca una ruta que pasa por los túneles, memorizo bien qué punto salida tengo que tomar, para no perderme, que ya me he perdido muchas veces. De este tema ya "haré terapia" en otro artículo.

Datos de Taxistas y Autobuseros

Este es el tema del que quería hablaros hoy, que es algo que también me lleva años comiendo la cabeza, y que me ha hecho perder tiempo y reuniones por fiarme de los datos de Google Maps en estas rutas. Se trata de aquellas rutas que te meten por calles que tienen carriles BUS y Taxi, donde los datos quedan distorsionados.

Figura 4: Atascos creados con 99 Androids y un carrito

Veréis, Google Maps utiliza los datos de - por supuesto todos los Google Maps -  y de los terminales Android para conocer la densidad de tráfico en tiempo real. Esto, lo utilizó un hacker en una demostración muy sencilla donde ponía en rojo las rutas simplemente paseando un carrito con terminales Android. Pero esto mismo sucede si los datos vienen desde fuentes de datos sesgadas, como son los Taxistas y Autobuses, además de los ciclistas, que utilizan los carriles Bus/Taxi/Bici y de los propios pasajeros de un autobús.

Figura 5: La Gran Vía de "subida" con el carril bus/taxi y bici

En la foto de arriba tenéis la Gran Vía de Madrid, donde os aseguro que el carril Bus/Taxi y el Carril Bici funciona muy bien de subida, pero el carril para los vehículos normales está totalmente colapsado siempre, especialmente en días como ayer (noche de Reyes Magos), donde el centro de Madrid estaba a reventar. Sin embargo, como podéis ver en la recomendación de mi ruta de Google Maps me sale azulito.

Figura 6: Sube gran vía la noche de Reyes Magos

en tu vehículo y me dices si es azul

Esto es porque los datos con los que se está alimentando Google Maps no están correctamente limpios, y está chupándose datos sesgados de taxistas, ciclistas, autobuses y autobuseros, algo a lo que deberían meterle un poco más de ingenieros. Además, estos datos son peligrosos porque los taxistas y autobuses tienen permitidas zonas y giros que están prohibidos para el resto de los vehículos en las ciudades, así que deterioran la experiencia de los conductores y generan problemas en las ciudades. 

Conclusiones

Personalmente creo que los datos GPS de plataformas como Waze, Google Maps, o Apple Maps, así com el uso de ellos que hacen plataformas como Uber, Cabify, Volt, FreeNow o las plataformas de movilidad y parking en las ciudades son parte de lo que es una "SmartCity" y es fundamental asegurase de que estos datos generar un buen funcionamiento de la ciudad y no lo contrario, así que hay que poner esfuerzo en mejorar estas cosas. Y nada más, que os hayan traído muchas cosas los Reyes Magos.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  

El parking que me entrega un trozo de papel en la era de la tecnología... y no lo entiendo #SmartCity

Aparcar en Madrid no es de las cosas más sencillas. Eso es un hecho. Pero tiene una red de parkings repartida por toda la ciudad que funcionan bastante bien. Por eso soy un usuario habitual de ellos, y por eso me los conozco bastante bien. Y hoy os quería hablar de algo, al igual que me sucede con la aplicación de Telpark, que me frustra desde el punto de la usabilidad. Y es trozo de papel que me entregan que sirve para nada. Dejadme que os lo explique.

Figura 1: El parking que me entrega un trozo de papel... y no lo entiendo

La mayoría de los parkings de los que os voy a hablar son parkings que tienen la siguiente característica: Tienen lector de matrícula. Fantástico. Una función de usabilidad que me encanta, pues si has pagado el ticket, cuando te acercas a la barrera a la salida, te reconoce la matrícula, comprueba que está pagado el ticket y se abre sin que tengas que poner el ticket en ningún lector. Fantástico. Me encanta. Y eso significa que: Tiene lector de matrículas a la salida del parking

Figura 2: Lector de matrículas en parking

Ahora bien, si analizamos el proceso, él sabe que el ticket de mi matrícula ha sido pagado porque el ticket lleva, de alguna forma, asociada la matrícula de mi vehículo, que ha leído... a la entrada del parking. Así que: Tiene lector de matrículas a la entrada del parking

Figura 3: Máquinas con lector de códigos de tickets de entrada y una

bonita pantalla táctil donde podría escribir mi matrícula fácilmente.

Fantástico. Así que sabemos que tenemos un parking que tiene lector de matrículas a la entrada y a la salida del parking, la pregunta es... ¿por qué me das un trozo de papel con el ticket? ¿Por qué no me dejas que cuando vaya a pagar escriba mi matrícula en esa bonita pantalla táctil que tienes? Vamos a ver las opciones.

Opción 1: Es por seguridad

La primera respuesta que he obtenido al respecto de esto que me trastorna es que lo hacen por seguridad. Y la respuesta ha sido que para probarlo, he ido a pagar y he llamado al soporte con el botón de ayuda que tienen y he dicho:

- "¡¡He perdido el ticket!!"

Y... ¿adivináis qué me han dicho?

- "No se preocupe, dígame la matrícula, pague y le dejamos salir".

Osea, que si pierdo el ticket, con comprobar mi matrícula me hacen otro ticket y listo. Fantástico. Es decir, que si alguien me roba las llaves del coche, y llega al parking, con decir que ha perdido el ticket resuelto. O sea... que por seguridad nada.

Opción 2: Es porque el sistema no permite hacer ese proceso

A ver, tiene.

•  Lector de matrículas en la entrada.
• Lector de matrículas en la salida.
• Pantalla táctil en la máquina de pagar.

¿Tan difícil es pedir la matrícula del coche y listo?

Opción 3: Es por si falla alguno de los lectores de matrículas

Algo que por lo visto no es fácil, pero.. si eso pasara. Hay un botón precioso que podéis probar a la salida al que podéis llamar y decir:

- "No me funciona el ticket".

Figura 4: Botón de ayuda por si falla el ticktet

Y... ¿adivináis qué me han dicho cuando he dicho eso?

- "No se preocupe, dígame la matrícula, comprobamos el pago y le dejamos salir".

Fantástico. O sea que para las incidencias tenemos un soporte que nos ayuda igualmente. 

Opción 4: Hay obligación legal de darte un ticket físico cuando entra el coche

Pues no debe ser así, porque los parkings más modernizados permiten entrar con apps tipo Telpark y no me dan ningún ticket físico. Todo digital.

Figura 5: Parking automático con Telpark

Conclusiones personales

El sistema está imprimiendo tickets - gastando papel y haciendo que los usuarios se preocupen de no perderlo - solo para reducir un caso. El caso en el que el lector de matrícula no funcione y evitar que llame por botón al soporte.  Podríais decir: "Es que por la noche no hay soporte". Fantástico. Pues que entregue tickets "sólo" cuando no haya soporte. Nos haría la vida mucho más fácil a todos, incluyendo al planeta, y ayudaría a:

• Evitar Colas en la entrada y salida: Muchas veces la gente tiene que maniobrar porque la dichosa máquina de coger e introducir ticket no es cómoda para todos los vehículos, y para muchos exige maniobrar y poner el coche en posición. O cuando se cae al suelo y hay que buscar el ticket.

Figura 6: Tickets de papel. Se pierden. Se vuelan.

Gastan papel. Tinta de impresión. Basura. 

Incomodidad en los usuarios. Preocupación.

• Evitar abolladuras y raspones: Lo mismo que antes pero con las abolladuras. Es decir, que no tengas que acercarte al bordillo donde han puesto la máquina. ¿Algunos habéis catado bordillo alguna vez?

Y para terminar este post en el que hago terapia sobre mis experiencias con los parkings, una serie de opciones más. 

• Telpark soporta muchos parkings  en Madrid, lo que es genial, porque al reconocer mi matrícula, me deja entrar y salir, pagando por la app evitando papel, colas en las máquinas de pago, y preocupación por el pago. Bien por el sistema de las apps para parkings, que en USA se utiliza masivamente.

• Parkings que quieras o no te emiten la factura: Mal. Papeleras enteras de papel y tinta tiradas a la basura. No lo entiendo.

El último mensaje es para los parkings que aún utilizan tickets con bandas magnéticas, de esas que se perturban con la proximidad de dispositivos electrónicos como, por ejemplo, el teléfono móvil, y que si se doblan dejan de funcionar, como, por ejemplo, cuando metes el ticket en la cartera y se deforma un poco. 

Figura 7: Tickets con bandas magnéticas. Horror++

Sed buenos, y quitad esos sistemas, que se diseñaron en 1976, pero ya tenemos otras tecnologías... A ver si las ciudades que quieren ser SmartCities fuerzan a que los parking quiten el ticket de papel y ayudan a todos, que con Cognitive Services de visión artificial se leen las matrículas perfectamente.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  

El club de los 5: SmartCities, un Genio en una caja, un blog para controlarlos a todos, un resumen y unos Trivia

Para hoy domingo os traigo unos vídeos que han estado creando mis compañeros en diferentes áreas de Telefónica, para que tengáis todo disponible y que no se os escape nada. Ya sabéis que hoy es domingo y tenemos una cita importante con el mundo del deporte que Richard Carapaz, Mikel Landa y todo el Movistar Team que tenemos en el Giro de Italia, nos tienen en vilo a ver si se traen la Maglia Rosa, un podium repleto y la clasificación general por equipos, además de los dos triunfos de etapa que ya nos dieron. Así que al lío.

Figura 1: El club de los 5: SmartCities, un Genio en una caja, un blog
para controlarlos a todos, un resumen y unos Trivia

El primer de los vídeos que os dejo es el nuevo capítulo de Las aventuras del Dr. Tech. Como sabéis tenemos al equipo de Brand Experience trabajando en animación, y nos traen un tercer capítulo con un Genio que nos enseña cómo hacer el Unboxing de Movistar Home.

Figura 2: Aventuras del Dr. Tech Capítulo 9: Unboxing Genius Movistar Home

Podéis ver los tres capítulos que hemos publicado por ahora en los siguientes enlaces que os dejo a continuación:

- Capítulo 1: Un oso, el genio de la lámpara y Movistar Home

- Capítulo 3: Genius Unboxig

- Capítulo 9: Osovisión

El segundo vídeo es del equipo de LUCA, que nos han hecho un seminario sobre SmartCities, donde Marta Rodríguez, Industry Expert de Public Sector, Transport, Tourism & Education, imparte este seminario sobre cómo las Administraciones Públicas están aprovechando el potencial del Big Data para gestionar de manera inteligente la movilidad y el turismo de las ciudades, optimizando los sistemas y rutas de transporte público para adecuarlas a las necesidades reales de los viajeros y comprendiendo el comportamiento de los visitantes para adaptar la oferta turística a la demanda real.

Figura 3: LUCA Talk SmartCites

El tercer vídeo es el que ha hecho el equipo de Movistar Home (Home as a Computer) que nos trae cómo funcionan los Trivia de las series Movistar Plus dentro de nuestro equipo Movistar Home. Os lo dejo aquí mismo.


Figura 4: Trivia de Series Movistar Plus en Movistar Home

El cuarto vídeo que os dejo es un resumen de nuestra participación como Telefónica Empresas en el último Digital Enterprise Show 2019 en Madrid, donde yo di una charla junto a mis compañeros de IoT, BigData, Cloud, Ciberseguriad, etcétera. Aquí el vídeo resumen.

Figura 5: Resumen del DES 2019 Madrid

Y el último que te dejo es anuncio de nuestro equipo de comunicación para avisar de que todos los blogs que teníamos en las unidades B2B de Telefónica para que ahora estén juntos en ThinkBig Empresas. Para que te suscribas si quieres seguir nuestros contenidos.

Figura 6: Nuevo Blog ThinkBig Empresas

Y esto es todo, ahora a disfrutar el domingo, que nos llega el lunes ya mismo. Vamos a por él y no te olvides de que hasta esta noche está disponible el código de 0xWord para que compres todo el material con un 10% de descuento.

Saludos Malignos!

Barcelona: Changing the Game with Big Data. Registro abierto

El próximo 13 de Julio llega a Barcelona el evento Changing the Game with Big Data, organizado por LUCA D3, la unidad de Telefónica que ayuda a las compañías a recorrer el camino hacia empresas Data-Driven. 

Figura 1: Changing the Game with Big Data en Barcelona

El registro está ya abierto, y tendrá lugar en el Auditorio en Torre Telefónica en Diagonal 00, sito en Plaça d'Ernest Lluch i Martin, 5, 08019 Barcelona. Este fue el lugar en el que presentamos por primera vez nuestra querida Aura, y es el lugar elegido para realizar el primer evento en Barcelona de LUCA D3, donde se podrán ver los productos y servicios que realiza Telefónica para clientes.

Figura 2: Ponentes de Changing the Game with Big Data en Barcelona

En este evento, además de poder ver casos concretos de usos de BigData para negocios como el transporte, el retail, el turismo, el mundo de la publicidad o las smartcities, se podrán ver casos concretos con clientes que los utilizan, contando en primera persona sus experiencias.

Figura 3: Agenda de Changing the Game with Big Data en Barcelona

Si quieres asistir, puedes hacerlo registrándote en la web, para reservar tu sitio. Nos vemos en Barcelona el próximo 13 de Julio.

Actualización: Contacta con hello@luca-d3.com para conseguir tu código de invitación

Equipo de LUCA D3

Sesiones de Changing the Game with Big Data en Vídeo

Ha sido hace nada, y ya están disponibles los vídeos del evento que realizaron los compañeros de LUCA en Madrid. Bajo el título de "Changing the Game with Big Data" presentaron algunos de los proyectos en los que hemos estado trabajando durante los últimos tiempo, con experiencias concretas contadas directamente por los propios clientes.

Figura 1: Sesiones de Changing the Game with Big Data en Vídeo

Yo tuve el honor de dar la bienvenida a los asistentes que puedes ver aquí, pero lo realmente importante son las charlas donde se pudo ver todo lo en lo que desde el equipo de LUCA Data-Driven Decisions se ha estado trabajando. Estas son las sesiones.

Figura 2: La propuesta de LUCA para transformar tu sector 

Figura 3: LUCA Store: Conociendo mejor a tu cliente

En el Mobile World Congress presentamos LUCA Store, con varios casos concretos de clientes, que puedes ver en este vídeo de dos minutos donde se ve el poder de los insights generados.

Figura 4: LUCA Store

Figura 5: LUCA Transit: Innovación en la gestión de la movilidad en las smartciteis

Además del caso explicado en la charla de LUCA Transit de la movilidad de Zaragoza, ya en el Mobile World Congress de este año hablamos de cómo usar LUCA Transit con datos OpenData de las ciudades para medir la seguridad de las ciudades. Esta es la explicación de cómo se saca esa información.

Figura 6: LUCA Transit: Cómo medir la seguridad de las carreteras con Big Data

Figura 7: LUCA Tourism: Optimizando la oferta turística con Big Data 

Figura 8: Big Data & Business con Synergic Partners

Figura 9: Sesión de Preguntas y Respuestas

No hay nada mejor que ver a tus clientes hablando de las soluciones creadas, y en el mundo del Big Data, donde la aplicación de los insights que se extraen de los datos tiene tanto impacto, más todavía. Esperamos que estas experiencias os den ideas para aplicar el poder del Big Data en vuestro entorno.

Saludos Malignos!

Intentan envenenar agua de un planta depuradora en UK

Los ataques a los sistemas SCADA utilizados en el control industrial es algo que puede tener consecuencias graves si no se han hecho los deberes de seguridad adecuados. Los sistemas industriales utilizados en estos entornos están formados por una buena cantidad de componentes de distintos fabricantes, PLCs, protocolos especiales y sistemas que a veces pasan muchos años antes de ser cambiados - o tan siquiera actualizados -. Y por supuesto, tienen vulnerabilidades que aparecen en sistemas PLCs [PLCs exponen passwords, PLCs vulnerables a Brute-Force]  en el equipamiento utilizado en la construcción del sistema y en el software que se haya desarrollado a medida para dicha plataforma.

Figura 1: Intentan envenenar el agua en una planta depuradora en UK

Es un ecosistema complejo del que hay que preocuparse con cariño. Nuestro compañero en Eleven Paths Claudio Caracciolo (@holosec) conoce a la perfección estos entornos por su experiencia trabajando con ellos,  y nos explicó en detalle cómo funciona en la charla que impartió dentro de las Eleven Paths Talks y que puedes ver online ya.

Figura 2: Comprendiendo la seguridad en sistemas industriales

Dicho esto, hoy quería centrarme en un caso explicado en el último informe Data Brech Digest publicado por Verizon, en el que cuentan cómo fue la investigación para descubrir el ataque que se había producido a un planta depuradora de agua de un distrito en Reino Unido. Los equipos de gestión del funcionamiento de la planta depuradora se dieron cuenta de que algo había pasado cuando saltaron las alarmas de control que vigilan que nada vaya mal en la planta al detectarse que la mezcla de componentes químicos que se estaba usando podría dañar la salud de las personas que la bebieran.

Figura 3: Intento de configurar agua "no potable" variando los compuestos químos

Esto sucede porque los sistemas SCADA se crearon para ayudar a los ingenieros a tomar las decisiones de seguridad más adecuadas, pero además del sistema informatizado y automatizados existen controles que verifican que ningún fallo provoque una situación no deseada, como la de que el agua que se entrega a los usuarios sea de mala calidad y nociva para su salud.

Errores en la gestión de la seguridad de la planta depuradora

Tras la investigación realizada por el Equipo de Respuesta ante Incidentes, la explicación resulto ser la acumulación de una serie de BASICS de seguridad no realizados por la empresa que gestiona el IT de la planta de seguridad y que os paso a resumir a continuación.

1) Arquitectura no segmentada de la red

La empresa cuenta con una aplicación web/mobile a la que los clientes se pueden conectar para la gestión de sus cuentas y sus pagos. Esto está alojado en un servidor web, pero que tiene conexión directa con el servidor SCADA, basado en un AS/400 (que también debería fortificarse). Este servidor AS/400, además, tenía conexión de a Internet, por lo que una vez llegado a él se podría sacar datos. Llegando a un servidor, es fácil acceder a las credenciales de acceso a otros servicios, incluso acceder a las passwords de gestión de los PLCs e incluso mucho más fácil, ya que puede que haya sistemas PLC sin passwords o fácilmente saltables.

Figura 4: Arquitectura de red de los sistemas de la planta. Desde el AS/400 acceso a todo.

2) Aplicación de pagos con mala gestión de identidades

Cualquier cliente de la empresa se podía conectar al sistema de pagos con un sistema de credenciales basado en usuario y contraseña, sin que hubiera ninguna protección de Segundo Factor de Autenticación o Autenticación Robusta, lo que permitía a un atacante hacerse fácilmente con alguna cuenta de usuario con ataques simples de phishing, troyanos, etcétera.

3) Aplicación de pagos con vulnerabilidades en el código del backend

La aplicación de pagos no estaba correctamente auditada y desde la sesión de un usuario era posible explotar bugs en el backend que permitieran acceder a los ficheros del servidor. No se sabe si la vulnerabilidad permitía subir una shell, era un ataque de LFI, o un Directory listing, pero con este fallo se podía acceder a los ficheros del servidor.

4) Credenciales de acceso al sistema SCADA en AS/400 sin 2FA

De nuevo, el acceso al sistema SCADA utilizaba usuarios y contraseñas sin ninguna protección de Segundo Factor de Autenticación, así que cualquiera que se hiciera con las credenciales podría entrar a manipular el servidor.

5) Credenciales almacenadas en el servidor de la aplicación de pagos

Como sucede en muchos casos, las herramientas de adminsitración de servidores permiten guardar información de las conexiones que realizan los técnicos para que sea cómodo acceder a ellos a golpe de clic. Según parece, en el servidor de la aplicación de pagos había un fichero .INI con las credenciales del sistema SCADA, así que una vez accedido a los ficheros del servidor fue fácil obtener el acceso al sistema SCADA.

Figura 5: Cúmulo de fallos en la gestión de las credenciales de acceso a los sitemas

6) Reutilización de credenciales en distintos sistemas

Al final, los atacantes se pudieron llevar la base de datos de los usuarios, ya que las credenciales funcionaban en otros sistemas conectados, como el servidor que hospedaba la aplicación financiera de la planta.

Por suerte, al manipular las cantidades de productos químicos con las que se hace la depuración del agua, las alertas de seguridad de la planta levantaron las alertas. De nuevo, un caso en el que el cúmulo de errores de seguridad lleva a que casi Security se convierta en Safety y haya un verdadero problema para los clientes de esta planta. Hay que agradecer que las Infraestructuras Críticas aplican conceptos de defensa en profundidad para no depender totalmente de un sistema informatizado y, en este caso, ha evitado una catástrofe.

Saludos Malignos!

SmartGrids protegidos con Latch: Concentradores de Telegestión de Contadores PLC de Telecon integran Latch

Ayer se publicó en el blog de Eleven Paths un caso de uso de la tecnología Latch que nos pareció más que interesante, ya que combina el uso de dispositivos hardware con nuestra tecnología Latch. El caso de uso es bastante sencillo de entender, es una protección de un dispositivo físico desplegado en instalaciones contra accesos no autorizados. En concreto le permite a la empresa instaladora controlar el acceso a los Concentradores de Telegestión que se encargan de gestionar los Contadores PLC y que fabrica TELECON.

Figura 1: SmartGrids protegidos con Latch: Concentradores de Telegestión
de Contadores PLC de Telecon integran Latch

TELECON es una compañía española de origen gallego centrada en la fabricación de dispositivos inteligentes que se puedan aplicar a escenarios de Control Industrial Inteligente, SmartCites, soluciones (IoT) Internet of Things, o sistemas de vigilancia. Uno de los grandes problemas que se han detectado en los dispositivos hardware que se despliegan es la ausencia de segundos factores de autenticación en los procesos de control de acceso, y mucho peor, la implantación de los mismos con contraseñas por defecto o comunes.

Figura 2: Empresa Telecon

Para hacer más fácil el control de acceso a los dispositivos, desde TELECON han lanzado una línea de dispositivos hardware, estos Concentradores de Telegestión de Contadores PLC utilizados en soluciones de eficiencia energética y SmartGrids, que vienen incluidos con Latch. Esto permite a la empresa instaladora controlar el acceso a los mismos desde un dispositivo centralizo que abra y cierre las cuentas a los técnicos que deben ir a hacer las revisiones de forma centralizada.

Figura 3: Nuevos Concentradores de Telegestión que incorporan Latch

Es decir, es un dispositivo de supervisión que no solo permite elegir cuándo se van a poder realizar los accesos al dispositivo, si no que además permite - con la posibilidad de recibir una alerta cuando se acceda con el Latch abierto - saber cuándo se está accediendo a cada uno de los mismos.

Figura 4: Control del acceso a los Concentradores con Latch

Este es un caso de uso de Latch como capa de protección a un escenario de seguridad industrial, ya que desde estos dispositivos se pueden hacer cosas como cortar la luz de la instalación a la que estén conectados y tener esta posibilidad de gestión remota y supervisión de accesos mejora la protección de toda la infraestructura. Si tienes algún otro caso de uso en el que hayas implementado Latch, cuéntamelo, que nos llena de alegría ver cómo se usan nuestras tecnologías.

Saludos Malignos!

Smartcities: Cómo parar el tráfico de Moscú con porno

Hace poco en una reunión recordé el hackeo que tuvo lugar hace ya unos años en un sistema de televisión publicitario de Moscú... que tuvo su gracia y fue un aviso para el futuro. Para que estéis informados aquellos que no conozcáis el incidente, todo sucedió en una gran pantalla publicitaria que proyecta anuncios en formato vídeo, de esas que se ponen ahora en las ciudades para que las vean los conductores. Y un día alguien decidió que esos anuncios eran muy aburridos.

El sistema publicitario en cuestión estaba situado en la conocida Garden Ring de Moscú. A esta vía de circulación se la conoce también como el Anillo B porque es la segunda vía que rodea la capital rusa, tal y como se puede ver en este mapa. 

Figura 1: La Garden Ring (marcada con el punto A en el mapa)

Viendo el tamaño de Moscú, y su ubicación en la ciudad, os podéis imaginar la importancia y el volumen de tráfico que debe soportar en horas punta cuando entran o salen los trabajadores de sus puestos laborales.

Pues alguien decidió un jueves noche, 13 de Enero de 2010, que había que hacer que la gente se animara un poco más, y teniendo en cuenta que en Rusia hay una ley que prohibe la emisión de películas pornográficas por la televisión, hackeó el sistema donde se almacenaban los anuncios y puso algo de contenido pornográfico en lugar de los aburridos vídeos con eslóganes publicitarios. Y desde luego capturó la atención de los conductores que frenaron su circulación y se formó un atasco de tráfico monumental. Aquí tenéis un vídeo con la noticia comentada.

Figura 2: Vídeo de cobertura de la noticia

La empresa detrás del sistema, Panno.ru, se enteró a los tres minutos de estar reproduciendo el material, y tuvo que tumbar abajo el sistema durante 15 minutos hasta que fueron capaces de localizar el archivo y cambiarlo por los aburridos anuncios que prometen una vida mejor al comprar algo.

No se sabe quién lo hizo ni porqué, pero hay que reconocer que abre las puertas a lo que puede pasar en las presentes y futuras smartcities si no se aplican buenas medidas de seguridad a los dispositivos conectados, así que, habrá que esperar a ver qué depara el futuro.

Saludos Malignos!