Los ciber-físicos e investigadores de seguridad Marina Krotofil y Jason Larsen presentaron su estudio en Black Hat and DEF CON sobre los “ciber-ataques” a plantas químicas, siendo esto una fascinante plática.
Parece que hackear una planta química es un tema increíble. Especialmente cuando la gente puede hackear, por ejemplo, la centrifugadoras de enriquecimiento de uranio, el rifle de un francotirador, o varios jeeps a la vez, no hay duda de que otras personas pueden hackear una planta química. No hay nada imposible de hackear en este mundo; así que, ¿por qué las plantas químicas deberían ser la excepción?
#BlackHat 2015: The full story of how that Jeep was hacked https://t.co/y0d6k8UE4n #bhUSA pic.twitter.com/SWulPz4Et7
— Kaspersky (@kaspersky) August 7, 2015
En su conferencia, Krotofil entró en profundidad sobre qué podrían o deberían hacer los hackers después de tener el control de la red informática de la planta. La primera lección de esta investigación: <b>las consecuencias del ciberataque no tiene que ser obvias</b>.
Hay múltiples formas de aprovecharse de una planta química hackeada. Sólo una de ellas es realmente evidente: los hackers en cuestión dejan la planta fuera de servicio. En este caso, las consecuencias serían difíciles de pasar por alto.
La forma más refinada de “hackear” sería ajustar cuidadosamente los procesos químicos con el fin de hacer que la planta sea menos rentable para la empresa y, por lo tanto, menos competitiva. Por ejemplo, los hackers pueden crear nuevos proceso químicos para reducir la calidad de los productos y/o tasa de producto. Y cuando se habla de la química, el parámetro que más importa es la pureza.
Por ejemplo, el químico como el paracetamol con 98% de pureza cuesta $1.11 dólar por kilogramo (aproximadamente 1 EUR). Al mismo tiempo, el paracetamol con pureza de 100% tendrá costos más altos, llegando a los $8.000 dólares por kilogramo (8.000 euros aproximadamente). En esta reducción, es claro el objetivo de un hacker que quiere ganar dinero de competidores y propietarios de las plantas.
Pero no es tan fácil aprovecharse de un sistema cibernético físico hackeado, y ésta es la segunda lección que podemos aprender de esta investigación. La planta es un tema muy complejo, y muchos de sus procesos físicos y químicos dependen unos de otros. Si algo se cambia, puede tener consecuencias. Con el fin de alcanzar ciertas metas, hay que entender todas estas interrelaciones.
En primer lugar, se necesita un químico, uno bueno para ser exactos. En segundo lugar, se necesita una fábrica propia de productos químicos para llevar a cabo experimentos. Por cierto, éste fue el caso de los desarrolladores de Stuxnet, quienes utilizaron centrifugadoras de enriquecimiento de uranio real durante el desarrollo de este famoso gusano informático.
Si no te puedes permitir tu propia fábrica de productos químicos, entonces necesitas construir un modelo de software y realizar experimentos desde ahí. También tendrás que descubrir qué equipo y software tendrás que utilizar. Sorprendentemente, en este caso la mejor arma de un hacker es Internet en conjunto, y las redes sociales en particular: es difícil imaginar lo que los empleados pueden no publicar ahí. Lo que sin duda hacen, son posts con imágenes o capturas de pantalla con información realmente útil.
Incluso después de obtener un buen químico, todos los modelos de información y software necesarios, no puedes estar seguro de que realmente puedes controlar los procesos químicos deseados. El tema es que las plantas químicas no están diseñadas para ser hackables; por ejemplo, no se han incorporado instrumentos de diagnóstico a diferencia de los ordenadores, que casi siempre lo tienen.
Es por eso que los ajustes deben ser guiados por datos indirectos. Por ejemplo, no se puede medir la pureza del producto en sí, pero se puede estimar por medio de la temperatura o presión. La complejidad de hackear una planta química apenas puede sobrestimarse. Sin embargo, si hay tiempo y recursos, todo es posible.
En palabras más simples; por un lado, es bastante difícil hackear sistemas ciber-físicos complejos. Por otro lado, es posible hacerlo, y si este es el caso, no es fácil para los defensores detectar una actividad maliciosa.
Lo que podemos aprender de una planta química #hack #BlackHat #DefCon
Tweet
Como Kim Zetter escribió en el libro “Countdown to Zero Day” sobre Stuxnet, originalmente este gusano informático no fue diseñado para destrozar las centrifugadoras de enriquecimiento de uranio, sino para reducir la “calidad” del combustible nuclear. Y si una persona muy poderosa fuera lo suficientemente paciente y no insistiera en un efecto más rápido, el malware podría permanecer inadvertido.