Reunión de otoño 2012 de ICS-JWG

La reunión Industrial Control Systems Joint Working Group Fall Meeting 2012 está teniendo lugar en Denver, Colorado, EE.UU., organizada por DHS ICS-CERT. Ayer, Billy Rios de Spear Point Security inauguró el acontecimiento con una charla sobre las posiciones defensivas de los fabricantes y los explotadores de vulnerabilidades, entre otras cosas. También ofrecieron charlas representantes de Raytheon y DHS. Para alguien que disfruta de la carne técnica, en Infiltrate, Defcon y Project Basecamp me dio la impresión de que estaba rodeado de vegetarianos. Por ejemplo, cuando a un ponente le preguntaron si su producto neutralizaba las conocidas técnicas pass-the-hash que se pueden usar para activar movimientos laterales post-explotación relacionados con APT desde redes corporativas SCADA en ambientes ICS, explicó que su producto usa técnicas matemáticas y pass-the-hash para proteger redes, pero que no podía hablar sobre ellas. ¡Oh! También parece haber aquí una brecha generacional, ya que la mayoría de los ponentes doblan en edad a aquellos que se inclinan por los nuevos temas de ofensiva (y algunos de defensiva) en Blackhat, Infiltrate, etc. Abundan las diferencias culturales.

Otra charla sobre 13 formas de evadir cortafuegos, podría resumirse en algunas ideas: los problemas XSS se activan en proxies SSL, sneakernet agrava los problemas de seguridad con Usb, y los cortafuegos mal configurados son un problema en los entornos ICS. Aunque son temas que se han debatido por más de una década, pueden ofrecer interesantes ideas a los expertos que no están familiarizados con temas de seguridad de hace 10 años. Y creo que aquí no se trataba de promover ventas.
El segundo día parece comenzar con charlas mucho más interesantes. La charla de Joel Langill (SCADAHacker) sobre el uso del esquema de direcciones TCP/IP para aislamiento de redes demostró la utilidad de las máscaras de subredes y los malentendidos en la implementación de VLANs cuando se aplican las políticas de seguridad para redes. Joel tiene un fantástico sitio con enlaces a datos complementarios de los servicios de consultoría de ciberseguridad ICS que ofrece.
El Dr. Nabil Adam de DHS Science & Technology Directorate demostró el poderoso marco para modelos CEMSA que han desarrollado y que ofrece formas para modelar y comprender las consecuencias confiables de trastornos críticos de infraestructuras múltiples que interactúan. Estas consecuencias y trastornos evaluados aquí se basan en datos concretos de operaciones industriales en EE.UU., como plantas de cloro y redes troncales online, son temas sorprendentes, conocidos como “cyber pearl harbors”, sobre los que se ha especulado durante años. La diferencia es que el análisis de estos datos sobresale por su precisión y comprensión de ataques planeados y trastornos casuales y en cascada. Trasciende los ambientes ICS para ayudar a los diseñadores de políticas y a quienes toman decisiones a comprender y priorizar impactos negativos. Está disponible para “cualquier interesado” de las agencias gubernamentales de EE.UU.

El día avanza con un panel de debate en el que la industria parece darse cuenta de que no hay tal brecha, pero la gente aún lo cree. Al parecer, algunos ponentes piensan que los “air gaps” son apropiados para ambientes muy específicos, pero los operadores presentes están explicando sus problemas con los controles con “air gaps” y la “deuda técnica” que existe en este ambiente, mientras que los riesgos aumentan. Están teniendo muchos problemas con la cantidad “no cuantificada” de riesgos que sus sistemas enfrentan. Nadie en la sala tiene una respuesta fácil para cuantificar estos datos, incluyendo al que está monopolizando el micrófono, y vuelven a las consecuencias de los trastornos. Aunque se oyó varias veces el término “Stuxnet”, y alguien mencionó “ese tal Saudi” (creo que se refería a Shamoon que atacaba a Saudi Aramco), los asistentes no parecen comprender los grandes programas maliciosos como Duqu, Stuxnet, Flame, Gauss, y ahora, SPE, sin mencionar el spearphishing ni las actividades post-explotación. En Securelist se puede encontrar información detallada sobre estos programas maliciosos. Y la discusión continúa sobre la protección contra estos programas maliciosos con Critical Infrastructure Protection.