SISTEMAS SCADA

A raíz del último incidente relacionado con sistemas SCADA [1] ocasionado por una
vulnerabilidad zero-day en sistemas Windows (CVE-2010-2568) [2], hemos creído conveniente
dar una breve descripción de lo que representan estos sistemas y los inconvenientes que nos
encontramos con ellos hoy en día.

Los sistemas SCADA (Supervisory Control and Data Acquisition), están destinados a la gestión
de infraestructuras, como por ejemplo procesos industriales. Estos sistemas están
conformados por una serie de elementos como bien podrían ser autómatas, PLC [3] o PAC [4],
dispositivos de adquisición, procesado y visualización de datos entre otros, los cuales son
controlados por un sistema central encargado de gestionar y monitorizar una plataforma de
producción (cadena de montaje, determinados procesos de una central nuclear, etc).

Para comunicar los diferentes dispositivos entre sí y con los centros de control, existen una
serie de protocolos que realizan esta tarea:

DNP3 (Distributed Network Protocol) [5] está orientado a comunicaciones entre

equipos inteligentes (IED - innovative electronic designs) y estaciones controladoras
aunque este protocolo no fue diseñado teniendo en cuenta mecanismos de seguridad,
por tanto carece de cualquier forma de autenticación o cifrado. Posteriormente
apareció DNPSec, que incorpora confidencialidad, integridad y autenticación en las
implementaciones DNP3 existentes.

Otro protocolo es Modbus [6]. Está basado en el modelo cliente/servidor y es de

carácter público y por tanto libre. Se diseñó pensando en la conectividad de PLCs.

OPC (OLE for Process Control) [7] es una interfaz estándar de comunicación usada en la
industria de control de procesos. Garantiza la interoperabilidad entre equipamiento
de distintos fabricantes y se basa en los estándares de Microsoft OLE, DCOM y RPC.
Una de las problemáticas de dicho protocolo recae precisamente en los componentes
de Microsoft, algunos de los cuales, han sido tradicionalmente fuente de agujeros de
seguridad.

En sus orígenes, los sistemas SCADA eran controlados físicamente por empleados con distintos
grados de acceso según la criticidad del sistema (lo cual se sigue manteniendo por cuestiones
de seguridad y privilegios). Actualmente, y debido a las nuevas tecnologías, los sistemas SCADA
se han ido introduciendo poco a poco en nuevas tendencias tecnológicas, ente ellas la más
famosa y de mayor auge, Internet. De esta forma es posible controlar los sistemas
remotamente aprovechando las comunicaciones TCP/IP, consiguiendo por tanto, reducir
costes y mejorando funcionalidades y eficiencia en los diferentes procesos de cada sistema en
concreto. No solamente se han aprovechado las bondades de la comunicación que hoy en día
ofrece la red, sino también de los sistemas operativos más comunes como pudieran ser
Microsoft Windows o Linux entre otros. Debido a la inclusión de sistemas de amplio uso sobre
sistemas aislados como eran los sistemas SCADA, nos encontramos en que comienzan a
derivar problemas para los que los sistemas SCADA no se encontraban preparados y no eran
tan frecuentes ni sofisticados como los que se encuentran en la red, como malware en general,
así como los crackers y hackers que se encuentran detrás de muchos ataques que se dan hoy
en día en internet.

Entre los incidentes ocurridos en estos sistemas nos encontramos:

La infección sufrida en una red informática privada, que pertenecía a una central
nuclear, por parte del gusano Slammer de MS SQL Server. Este incidente propició que
quedara desactivado durante 5 horas un sistema encargado de monitorizar que la
planta estaba operando bajo condiciones de seguridad.

Varios piratas informáticos fueron capaces de acceder a los sistemas informáticos de

varias centrales eléctricas, donde tomaron control remotamente. Posteriormente
intentaron coaccionar a los responsables de las eléctricas con cortar el suministro
eléctrico de varias ciudades si no se les daba una compensación económica.

El incidente más reciente y comentado al inicio de este artículo, donde a través de un

USB infectado con el troyano Stuxnet, que está especialmente diseñado para atacar
sistemas SCADA, un atacante remoto podría tomar el control del sistema afectado.
TrendMicro ya ha diseñado una actualización de seguridad para productos SCADA
Siemens (que han sido los que se han visto afectados por el troyano) que detecta y
elimina la infección.

Debido a las funciones que desempeñan los sistemas SCADA, algunos de éstos deben operar
24x7 ofreciendo alta disponibilidad de manera que el servicio no se vea interrumpido, este es
el caso de procesos como la gestión de una central nuclear o los de una central eléctrica entre
otros muchos. Al introducir elementos nuevos como internet en los sistemas SCADA, se
requieren actuaciones propias a tener en cuenta para adaptar los sistemas antiguos a los
nuevos. Es por esto que se requieren de medidas como Firewalls, IDS, antivirus, auditorias y
revisiones de controles de privilegios, que precisan un mantenimiento que puede dificultar o
diferir con el objetivo que tienen los sistemas SCADA.

No obstante la aplicación de dichas medidas puede resultar compleja debido a las

características concretas que representa el entorno. Suponiendo que tenemos un proceso
controlado por un sistema SCADA, el cual ha de dar servicio 24x7, en el caso de tener un
firewall monitorizando todas las peticiones con una alta carga de trabajo podría perjudicar el
rendimiento final del sistema. Otro inconveniente serían las auditorías del sistema, donde al
tratarse de sistemas que precisan estar ejecutándose constantemente sin detenerse, realizar
una auditoría en vivo podría resultar arriesgado si se cometiera algún fallo. Por este motivo, es
básico tener réplicas de los sistemas para realizar estas tareas u otras de igual naturaleza. De
igual forma, también surgirían inconvenientes relacionados con los sistemas operativos, los
cuales tras una actualización requerirían el reinicio del sistema.

Actualmente existen iniciativas y comunidades que analizan y estudian los sistemas SCADA
desde el punto de vista de la seguridad y la eficiencia. Entre ellos nos encontramos con el CPNI
(Centre for the Protection of National Infraestructure) [8] el cual ha publicado una serie de
guías de buenas prácticas en material SCADA [9]. También nos encontramos con una
comunidad similar a la de OWASP [10] orientada a temas SCADA como es la comunidad abierta
de seguridad en sistemas SCADA (Open SCADA Security Project) [11] donde se debaten y
proponen medidas para aumentar la seguridad en este tipo de sistemas.

Omar Carazo

esCERT-UPC
Bibliografía

[1] El Mundo, 20/07/2010

http://www.elmundo.es/elmundo/2010/07/20/navegante/1279619263.html

[2] Microsoft Security Advisory (2286198), 16/07/ 2010

http://www.microsoft.com/technet/security/advisory/2286198.mspx

[3] Controlador lógico programable

http://es.wikipedia.org/wiki/Controlador_L%C3%B3gico_Programable

[4] Controlador de automatización programable

http://es.wikipedia.org/wiki/Controlador_de_Automatizaci%C3%B3n_Programable

[5] Distributed Network Protocol

http://www.dnp.org/About/Default.aspx

[6] Modbus

http://www.modbus.org/

[7] OPC Foundation

http://www.opcfoundation.org/

[8] Centre for the Protection of National Infrastructure

http://www.cpni.gov.uk/

[9] Centre for the Protection of National Infrastructure, SCADA

http://www.cpni.gov.uk/ProtectingYourAssets/scada.aspx

[10] OWASP

http://www.owasp.org/index.php/Main_Page

[11] Open SCADA security community

http://www.scadasecurity.org/index.php/Main_Page