ICS
Lo he dicho por años: el antivirus ha muerto.
En un comienzo esto puede sonar extraño, sobre todo al venir de alguien que ha movido los hilos de todo lo relacionado con virus y antivirus a finales de los ochenta y principios de los noventa desde el principio. No obstante, si profundizamos un poco más en el tema AV (D. E. P.) y revisamos algunas fuentes autorizadas en este (ya antiguo) campo, la afirmación parece bastante lógica: por un lado, los “antivirus” se convirtieron en soluciones que protegen “contra todo” y, por otro, el virus, como un tipo de programa malicioso particular, se ha extinguido. Casi. Y es ese casi aparentemente inofensivo que acabo de describir lo que actualmente causa problemas en la ciberseguridad, ¡a fines del 2022! Y esa es casi la base de esta entrada de blog de hoy…
Entonces, virus. Los últimos que quedan en la Lista Roja: ¿dónde están ahora y qué están haciendo…?
Resulta que tienden a residir en uno de los subcampos más conservadores de la automatización industrial: el de la tecnología operativa (TO, que no debe confundirse con TI). La TO es el “hardware y software que detecta o provoca un cambio, a través de la supervisión y/o el control directo de los equipos, activos, procesos y eventos industriales” (Wikipedia). Básicamente, la TO se relaciona con un entorno de sistemas de control industrial (ICS por sus siglas en inglés). TO = sistemas de control especializados en fábricas, centrales eléctricas, sistemas de transporte, sector de servicios públicos y la extracción, el procesamiento y otras industrias pesadas. Sí, infraestructura, y a menudo infraestructura crítica. Una vez más, sí: es en esta infraestructura industrial/crítica donde los virus informáticos “muertos” se encuentran vivos y coleando: alrededor del 3 % de los incidentes cibernéticos a ordenadores TO se deben a este tipo de malware.
Pero ¿cómo?
En realidad, ya he dado la respuesta: la TO, más bien, su aplicación industrial, es muy conservadora. Si hay un campo que cree fielmente en el antiguo dicho “¡si no está roto, no lo arregles!”, es la TO. La estabilidad es lo primordial en este campo, no las últimas tendencias. Las nuevas versiones, las mejoras y hasta las actualizaciones (por ejemplo, del software) son vistas con escepticismo, desdén y hasta ¡con miedo! De hecho, la tecnología operativa en los sistemas de control industrial normalmente se compone de viejas computadoras que crujen y usan Windows 2000 (!), además de una variedad de software antiguo repleto de vulnerabilidades (también hay grandes agujeros en sus políticas de seguridad y otras tantas pesadillas para los equipos de seguridad TI). En conclusión: el kit del departamento TI en las oficinas, no en la planta de fabricación ni en las instalaciones auxiliares/técnicas, está vacunado contra todos los virus desde hace mucho tiempo, y se actualiza y revisa oportunamente, además de estar completamente protegido por soluciones de ciberseguridad modernas. En el otro lado, el resto de las áreas (la TO), pasa justamente lo opuesto; por ende, los virus sobreviven y prosperan.
Estos son los 10 programas maliciosos de la “vieja escuela” más extendidos que fueron encontrados en las computadoras del ICS en 2022:
¿Qué nos dice esta gráfica?
Primero, déjame decirte que los porcentajes que se muestran se relacionan con una fase del “sueño” de estos virus de la vieja escuela. Pero, de vez en vez, pueden escapar de los límites de un único sistema infectado y propagarse por toda la red, provocando así una epidemia local grave. Y, en lugar de un tratamiento completo, generalmente se recurre a copias de seguridad antiguas, que no siempre están “limpias”. Además, la infección no solo puede afectar a las computadoras del ICS, sino también a los controladores lógicos programables (PLC por sus siglas en inglés). Un ejemplo, mucho antes de la aparición de Blaster (un gusano de prueba de concepto capaz de infectar el firmware de los PLC), el loader Sality ya estaba presente; bueno, casi: no en el firmware, sino en forma de script en archivos HTML de la interfaz web.
Sality puede generar un gran desastre en los procesos de producción automatizados, sí, pero ahí no termina. Puede estropear la memoria mediante un driver malicioso e infectar los archivos y la memoria de las aplicaciones, lo que podría provocar un fallo total en un sistema de control industrial en tan solo días. Y en caso de una infección activa, toda la red podría derrumbarse, ya que Sality ha estado utilizando la comunicación entre pares para actualizar la lista de centros de control activos desde el 2008. Es muy complicado que los fabricantes de ICS hayan escrito su código pensando en este entorno de trabajo tan agresivo.
Segundo, 0,14 % no parece mucho en un mes, pero representa miles de casos de infraestructura crítica en todo el mundo. Es una vergüenza cuando piensas cómo se podría excluir este riesgo de manera completa, simple y con los métodos más fundamentales.
Y tercero, debido a que la ciberseguridad de las fábricas es como una coladera, no es raro que escuchemos noticias sobre ataques exitosos por parte de otros tipos de malware con frecuencia, en particular el ransomware (como el caso de infección del ransomware Snake contra Honda).
Se entiende por qué la gente de la TO es conservadora: para ellos lo primordial es que los procesos industriales que supervisan no sufran interrupciones, lo que podría suceder con nuevas tecnologías/mejoras/actualizaciones. Pero ¿qué pasa con las interrupciones causadas por los ataques de virus de la vieja escuela que son permitidas por quedarse en el pasado? Justamente, e el dilema al que se enfrenta la TO que no se adapta a las nuevas tecnologías es ese, de ahí las cifras mostradas en el gráfico.
Pero ese dilema puede ser cosa del pasado con nuestra “píldora”.
Lo ideal sería que existiera la capacidad de innovar, mejorar o actualizar el kit de la TO sin arriesgar la continuidad de los procesos industriales. Es por esto que el año pasado patentamos un sistema que justamente es lo que garantiza…
En resumen, funciona así: antes de introducir algo nuevo en los procesos que DEBEN seguir funcionando, los prueba en un simulador, un soporte especial que emula las funciones industriales críticas.
Esta plataforma se compone de una configuración de la red TO dada, que enciende los mismos tipos de dispositivos utilizados en un proceso industrial (computadoras, PLC, sensores, equipos de comunicaciones, paquete del IdC) y los hace interactuar entre sí para replicar su fabricación u otro proceso industrial. En la terminal de entrada de la plataforma hay una muestra del software probado, que comienza a ser observado por un sandbox, el cual registra todas las acciones, observa las respuestas de los nodos de la red, los cambios en su desempeño, la accesibilidad de las conexiones y muchas otras características atómicas. Los datos que se recopilan de esta manera permiten construir un modelo que describe los riesgos del nuevo software, que a su vez permite tomar decisiones informadas sobre si introducir o no este nuevo software y también qué se debe hacer con la OT para cerrar las vulnerabilidades descubiertas.
Espera, aquí la cosa se pone interesante…
Literalmente cualquier cosa puede ser probada en la terminal de entrada, no solo el nuevo software y las actualizaciones que se implementarán. Por ejemplo, puedes probar la resiliencia contra programas maliciosos que sortean los medios de protección externos y penetran en una red industrial protegida.
Esta tecnología tiene mucho potencial en el campo de los seguros, ya que permite a las compañías juzgar mejor los riesgos cibernéticos para calcular de una forma más precisa las primas, mientras que los asegurados no pagarán de más sin razón. Además, los fabricantes de equipos industriales podrán utilizar la plataforma de prueba para la certificación de software y hardware de otros desarrolladores. Si aterrizamos más este concepto, dicho esquema también se adaptaría a los centros de acreditación específicos de la industria, ¡por no hablar del potencial de investigación en las instituciones educativas!
Pero por ahora, volvamos a la plataforma original…
No hace falta decir que ninguna emulación puede reproducir con un 100 % de precisión la variedad completa de procesos en las redes TO. No obstante, de acuerdo con el modelo que construimos tomando en cuenta nuestra vasta experiencia, ya sabemos dónde podremos encontrar “sorpresas” después de presentar un nuevo software. Además, podemos controlar la situación de manera confiable con otros métodos, por ejemplo, con nuestro sistema de alerta temprana de anomalías, MLAD (sobre el cual ya escribí aquí con detalle), que puede identificar problemas en secciones específicas de una operación industrial en función de correlaciones directas y hasta indirectas. Esto podría evitar la pérdida de millones, si no es que miles de millones de dólares debido a los incidentes.
Entonces, ¿qué impide que la gente de la TO compita para adoptar nuestro modelo de plataforma?
Bueno, hasta ahora, debido a que son tan conservadores, tal vez no estén buscando una solución como la nuestra de forma activa, ya que quizá no la creen necesaria (!). Por supuesto que haremos todo lo posible para promover esta tecnología y ahorrar millones a la industria, mientras tanto, déjenme añadir algo: nuestro modelo de soporte, aunque complejo, se asentará rápidamente si es adoptado por una gran industria u organización infraestructural. Y no es un modelo de suscripción ni nada por el estilo: pagas una vez y te protege durante años sin inversión adicional (minimizando los riesgos regulatorios, reputacionales y operativos). Ah, también protegerá el estado emocional de la gente de la TO… o su cordura.
Consejos