La separación estricta entre TI y redes de tecnología operativa (OT) en entornos industriales no es sostenible para el futuro, según dos hackers éticos holandeses.
Daan Keuper y Thijs Alkemade Recientemente ganó el concurso internacional de hackers debido a las graves vulnerabilidades que encontró en varios sistemas utilizados en entornos industriales.
El tema de este año Hacker internacional Pwn2Own concurso en Miami fue sistemas de control industrial. Debido a la creciente digitalización en la industria manufacturera, se invitó a los piratas informáticos a buscar vulnerabilidades en varias categorías de software y sistemas industriales.
Alkemade y Keuper dirigen conjuntamente el departamento de investigación del Sector 7 en la consultora holandesa Computest, donde se sumergen en la seguridad del mundo digital con un enfoque en las vulnerabilidades con impacto social. “Nos dimos cuenta de que en la operación diaria de Computest, no siempre hay suficiente tiempo y prioridad para investigar vulnerabilidades que marcan una diferencia social”, dijo Keuper. “Es por eso que creamos nuestro propio departamento donde podemos hacer esto, sin los plazos de los clientes y nuestra propia agenda de investigación”.
Alkemade y Keuper también ganaron la competencia de hackers del año pasado, con las vulnerabilidades que encontraron en la plataforma de teleconferencias Zoom. “Para nuestra investigación, observamos los desarrollos actuales en el mundo y los Países Bajos por igual”, dijo Keuper. “Cuando de repente todos comenzaron a trabajar con Zoom durante los bloqueos, investigamos la seguridad de ese programa”.
También revisaron críticamente la aplicación de verificación de coronaque los holandeses utilizan para convertir su certificado de vacunación y recuperación en un código QR para un billete de entrada nacional o internacional.
“Hace tiempo que también queríamos trabajar con sistemas industriales”, dijo Keuper. “Recibimos solicitudes bastante regulares de los clientes para probar los pisos de sus fábricas. Pero con los sistemas OT, la disponibilidad es la máxima prioridad. En el momento en que mencionamos que nosotros, como piratas informáticos éticos, estaríamos enviando tráfico sospechoso a sus sistemas que podría provocar fallas en los sistemas, las conversaciones con los clientes se detuvieron de inmediato, porque el tiempo de inactividad es inaceptable para la industria manufacturera. Eso hace que sea difícil mirar realmente la seguridad de esos entornos”.
La competencia en Miami fue una buena oportunidad para que Keuper y Alkemade profundizaran en la vulnerabilidad de la automatización industrial sin una asignación de cliente, y encontraron cinco vulnerabilidades. Alkemade dijo: “No puedo entrar en detalles todavía, porque no todos han sido resueltos por el proveedor. Pero eran vulnerabilidades en aplicaciones que se utilizan para administrar sistemas o para controlar la comunicación. No en las máquinas en el piso de la fábrica, sino en el sistema de control de derechos en la parte superior”.
Keuper agregó: “Vemos que las empresas de fabricación hacen todo lo posible para mantener a los atacantes fuera de la red OT. Existe una separación estricta entre la red OT y la red TI en casi todas las organizaciones industriales, pero con el conocimiento que hemos adquirido, creo que este modelo no es sostenible en el futuro”.
Todo estará conectado
El sector industrial se está volviendo más inteligente: la cuarta revolución industrial es digital. Prácticamente todas las máquinas y equipos están conectados a Internet, o lo estarán en un futuro próximo. La conectividad es clave, y eso no es sorprendente, porque es mucho más económico controlar 30 puentes desde una ubicación central que emplear 30 operadores de puentes.
“Esta creciente conectividad significa que las personas también buscan más análisis y conocimientos”, dijo Keuper. “Esto significa inevitablemente que TI y OT se entrelazan cada vez más. Esto requiere una nueva estrategia para su seguridad”.
Muchas de las máquinas y otros equipos que se utilizan en las fábricas son viejos o están desactualizados y nunca fueron diseñados para conectarse a Internet o para hacer frente a las medidas de seguridad actuales. Por lo tanto, la seguridad principal está en la red de TI y esta red forma un búfer adicional para la red OT en la mayoría de los entornos industriales.
“Vemos que muchas empresas industriales han blindado muy bien su red de TI”, dijo Alkemade. “Por lo tanto, no es fácil abusar de las vulnerabilidades que hemos encontrado. Realmente tiene que obtener acceso a la red primero, y eso a menudo no es fácil. Pero si lo hace, estas vulnerabilidades hacen que sea relativamente fácil hacerse cargo de las máquinas, modificar los procesos o detener todo, con consecuencias de largo alcance”.
Por lo tanto, la estrategia actual de redes separadas de TI y OT no está preparada para el futuro, dijo Keuper. “Es como tener un viejo castillo, con una muralla, puertas y un foso para asegurarse de que ningún atacante pueda llegar a tu castillo. Eso funciona muy bien si solo tienes uno o dos puentes levadizos, porque puedes protegerlos bien. Pero en las redes digitales de hoy, tienes como mil puentes levadizos. Eso es imposible de monitorear o asegurar”.
Donde la seguridad de las redes de OT y TI ahora está principalmente en manos de diferentes personas, Keuper aboga por unir esto. “Si quieres marcar la diferencia, tienes que trabajar juntos”, dijo. “La seguridad de TI y OT siguen siendo dos mundos muy diferentes. Cuando me reúno con alguien en una conferencia de seguridad de TI y le pregunto si asistirá a una próxima conferencia de seguridad de OT, la respuesta casi siempre es no.
“La mayor parte del tiempo, la seguridad de la red de TI es responsabilidad de una persona, mientras que la seguridad de OT es responsabilidad de otra persona. Probablemente hablan entre ellos, pero tienen intereses muy diferentes. Para elevar realmente la seguridad de un entorno industrial a un nivel superior, es necesario que esas dos personas se hagan responsables de toda la red juntas, en lugar de que cada uno defienda su propia pieza”.
Desafío para el futuro
Este no es específicamente un problema holandés, dijeron los hackers éticos: las organizaciones industriales de todo el mundo están luchando contra él. “Se necesita un cambio de cultura para unir TI y OT”, dijo Keuper. “Es un problema tan complejo que no es fácil ni rápido de resolver. Los intereses son muy diferentes. Mientras que para OT se trata de disponibilidad, para TI, la confidencialidad y la integridad son de suma importancia”.
Alkemade agregó: “Creo que este desafío solo se puede resolver por completo en nuevas instalaciones. Cuando construye una fábrica desde cero, puede incorporar TI y OT a su infraestructura y configurar la red suponiendo que todo estará conectado a Internet”.
Para las fábricas existentes y otros entornos industriales, esto es mucho más complicado porque los cambios afectan directamente la disponibilidad. Alkemade y Keuper esperan haber demostrado su experiencia en este campo y están dispuestos a ayudar a las organizaciones industriales a hacer que las redes e instalaciones sean más seguras.
“Hemos demostrado que las aplicaciones industriales son muy vulnerables, pero las vulnerabilidades que encontramos eran frutas al alcance de la mano”, agregaron. “Eran bastante fáciles de encontrar y abusar. Así que todavía hay un mundo por ganar allí”.
