News

Reunión de otoño 2012 de ICS-JWG

La reunión Industrial Control Systems Joint Working Group Fall Meeting 2012 está teniendo lugar en Denver, Colorado, EE.UU., organizada por DHS ICS-CERT. Ayer, Billy Rios de Spear Point Security inauguró el acontecimiento con una charla sobre las posiciones defensivas de los fabricantes y los explotadores de vulnerabilidades, entre otras cosas. También ofrecieron charlas representantes de Raytheon y DHS. Para alguien que disfruta de la carne técnica, en Infiltrate, Defcon y Project Basecamp me dio la impresión de que estaba rodeado de vegetarianos. Por ejemplo, cuando a un ponente le preguntaron si su producto neutralizaba las conocidas técnicas pass-the-hash que se pueden usar para activar movimientos laterales post-explotación relacionados con APT desde redes corporativas SCADA en ambientes ICS, explicó que su producto usa técnicas matemáticas y pass-the-hash para proteger redes, pero que no podía hablar sobre ellas. ¡Oh! También parece haber aquí una brecha generacional, ya que la mayoría de los ponentes doblan en edad a aquellos que se inclinan por los nuevos temas de ofensiva (y algunos de defensiva) en Blackhat, Infiltrate, etc. Abundan las diferencias culturales.

Otra charla sobre 13 formas de evadir cortafuegos, podría resumirse en algunas ideas: los problemas XSS se activan en proxies SSL, sneakernet agrava los problemas de seguridad con Usb, y los cortafuegos mal configurados son un problema en los entornos ICS. Aunque son temas que se han debatido por más de una década, pueden ofrecer interesantes ideas a los expertos que no están familiarizados con temas de seguridad de hace 10 años. Y creo que aquí no se trataba de promover ventas.
El segundo día parece comenzar con charlas mucho más interesantes. La charla de Joel Langill (SCADAHacker) sobre el uso del esquema de direcciones TCP/IP para aislamiento de redes demostró la utilidad de las máscaras de subredes y los malentendidos en la implementación de VLANs cuando se aplican las políticas de seguridad para redes. Joel tiene un fantástico sitio con enlaces a datos complementarios de los servicios de consultoría de ciberseguridad ICS que ofrece.
El Dr. Nabil Adam de DHS Science & Technology Directorate demostró el poderoso marco para modelos CEMSA que han desarrollado y que ofrece formas para modelar y comprender las consecuencias confiables de trastornos críticos de infraestructuras múltiples que interactúan. Estas consecuencias y trastornos evaluados aquí se basan en datos concretos de operaciones industriales en EE.UU., como plantas de cloro y redes troncales online, son temas sorprendentes, conocidos como “cyber pearl harbors”, sobre los que se ha especulado durante años. La diferencia es que el análisis de estos datos sobresale por su precisión y comprensión de ataques planeados y trastornos casuales y en cascada. Trasciende los ambientes ICS para ayudar a los diseñadores de políticas y a quienes toman decisiones a comprender y priorizar impactos negativos. Está disponible para “cualquier interesado” de las agencias gubernamentales de EE.UU.

El día avanza con un panel de debate en el que la industria parece darse cuenta de que no hay tal brecha, pero la gente aún lo cree. Al parecer, algunos ponentes piensan que los “air gaps” son apropiados para ambientes muy específicos, pero los operadores presentes están explicando sus problemas con los controles con “air gaps” y la “deuda técnica” que existe en este ambiente, mientras que los riesgos aumentan. Están teniendo muchos problemas con la cantidad “no cuantificada” de riesgos que sus sistemas enfrentan. Nadie en la sala tiene una respuesta fácil para cuantificar estos datos, incluyendo al que está monopolizando el micrófono, y vuelven a las consecuencias de los trastornos. Aunque se oyó varias veces el término “Stuxnet”, y alguien mencionó “ese tal Saudi” (creo que se refería a Shamoon que atacaba a Saudi Aramco), los asistentes no parecen comprender los grandes programas maliciosos como Duqu, Stuxnet, Flame, Gauss, y ahora, SPE, sin mencionar el spearphishing ni las actividades post-explotación. En Securelist se puede encontrar información detallada sobre estos programas maliciosos. Y la discusión continúa sobre la protección contra estos programas maliciosos con Critical Infrastructure Protection.

Reunión de otoño 2012 de ICS-JWG

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

De Shamoon a StoneDrill

A partir de noviembre de 2016, Kaspersky Lab observó una nueva ola de ataques de wipers dirigidos a múltiples objetivos en el Medio Oriente. El programa malicioso utilizado en los nuevos ataques era una variante del conocido Shamoon, un gusano que tenía como objetivo a Saudi Aramco y Rasgas en 2012.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada