Blog del CCI

sábado, 23 de marzo de 2013

Internet Census 2012. Un toque de atención


El objetivo de este proyecto de investigación, cuyos resultados acaban de ser publicados,  fue realizar un mapa de la utilización del direccionamiento IPv4 de forma global. Este proyecto ha causado polémica, porque tan interesante como sus resultados es el método que han utilizado para su realización, ya que los investigadores se han servido de dispositivos conectados a Internet que son accesibles con credenciales débiles. Han aprovechado los recursos de dichos dispositivos para realizar tareas diferentes a sus tareas legítimas. En este caso realizar escaneos del direccionamiento IPv4 de Internet de manera  distribuida.

Durante el proyecto, los investigadores identificaron más de un millón de dispositivos que podían ser administrados desde Internet y ejecutaron código en más de 400000. Aunque el código estaba hecho de forma que no interfiriera con el funcionamiento de los sistemas, y su objetivo fuese la investigación, la forma de llevarlo a cabo es ilegal. Sin embargo, si los investigadores han conseguido, con relativamente poco esfuerzo y sin necesidad de explotar vulnerabilidades software o hardware, la creación de una botnet de tamaño considerable. Cualquiera, con intenciones no tan altruistas, podría ser capaz de hacerlo, de hecho, durante el despliegue de su red, los investigadores identificaron miles de máquinas infectadas con el botnet Aidra que utiliza técnicas similares para su propagación. El informe del proyecto no proporciona demasiados datos sobre los sistemas comprometidas, tan sólo que son sistemas basados en Linux accesibles mediante telnet con credenciales débiles (root:root, admin:admin), sin embargo, sí que indica que entre esos sistemas hay decenas de miles de sistemas de control industrial.

Se puede disculpar que el usuario de un decodificador de TV no se preocupe de que el equipo esté accesible desde Internet, sin embargo, en ningún caso esto debería permitirse en sistemas de control encargados de gestionar sistemas físicos con capacidad de causar gran impacto en su entorno. Aunque el problema es el mismo en ambos ejemplos (negligencia del administrador del sistema) y su causa, probablemente, también (desconocimiento de las consecuencias), los efectos potenciales son evidentemente diferentes.

Debemos actuar ya para evitar que malas prácticas como la explotada en esta investigación comprometan la seguridad de sistemas importantes y con capacidad de causar daños desastrosos. Para esto, el primer paso debe ser la formación y la concienciación, pues sólo difundiendo los problemas podremos empezar a hacerles frente.






jueves, 14 de marzo de 2013

Resumen de la Jornada de Ciberseguridad e Infraestructuras Críticas (INTECO, CNPIC y Fundación Borredá)


Esta jornada, organizada el 5 de marzo de 2013 por CNPIC, INTECO y Fundación Borredá, y en la que el CCI tuvo oportunidad de asistir, contó con la presencia de Francisco Martínez, Secretario de Estado de Seguridad, Victor Calvo Sotelo,  Secretario de Estado de Telecomunicaciones y Sociedad de la Información, Fernando Sánchez, Director del CNPIC y Manuel Escalante, Director General de INTECO, así como con otros miembors de estas instituciones y empresas privadas que expusieron el estado actual de la ciberseguridad y de las infraestructuras críticas en España.

La sociedad actual es totalmente dependiente de las infraestructras críticas, y éstas, a su vez, son interdependientes entre si. Es, por tanto, fundamental garantizar la seguridad de estas infraestructuras, sin embargo existe muy poca concienciación en cuanto a esta necesidad. Los últimos acontecimientos: hacktivismo, ciberataques entre estados, incidentes en grandes corporaciones, etc, han contribuido a elevar el grado de concienciación, sin embargo sigue existiendo un gran desconocimiento de la problemática entre los propietarios y gestores de la mayor parte de las Infraestructuras Críticas.

La difusión, el desarrollo y la implantación de la ciberseguridad es indispensable para fomentar un entorno económico favorable durante el siglo XXI. Pero esto no es tarea fácil y requerirá la unión de esfuerzos y la colaboración entre entidades públicas y privadas. En este sentido, existen iniciativas en curso como el desarrollo de regulación y estándares o proyectos de I+D+i.

Una de estas iniciativas: la creación de un Equipo de Respuesta a Incidentes de Seguridad en infraestructuras críticas (CERT PIC), ha sido presentada en el evento. Nacido de la colaboración entre INTECO y CNPIC, este CERT busca facilitar el intercambio de información de incidentes, amenazas y vulnerabilidades sobre las bases de confianza recíproca y con garantías de confidencialidad en la comunicación. Se espera que en él participen de forma activa todos los gestores de infraestructuras críticas,

Algunos representantes de empresas que poseen u operan infraestructuras críticas españolas participaron en una mesa redonda en la que se debatió sobre los principales problemas y obstáculos que habrá que superar para lograr la mejora general de la ciberseguridad en España. A continuación se indican algunas de las ideas principales surgidas durante el debate:

  • La verdadera integración de la seguridad pasa también por la integración de la Seguridad Medioambiental, no sólo la física y la lógica
  • Actualmente hay carencia de profesionales especializados en el ámbito del control industrial y la Ciberseguridad
  • Es necesaria la realización de ejercicios y simulacros coordinados entre la administración pública y la empresa privada.
  • Algunas empresas españolas ya están invirtiendo esfuerzo y recursos en la creación de areas de ciberseguridad, planes directores de seguridad y sensibilización de sus  empleados
  • Es necesario que se establezca una comunicación constante entre los distintos CERT existentes.
  • Siempre deben tenerse en cuenta las distintas perspectivas: Personas 40%, Procesos 40% y Tecnología 20%
  • Tienen que realizarse esfuerzos de concienciación destinados a todos los actores: fabricantes, integradores, expertos en seguridad, consejos de administración y comités de dirección
  • Existe un conflicto de intereses que afecta a los operadores privados que gestionan servicios esenciales para la sociedad
  • Los usuarios finales (operadores) tienen la clave de la solucióN: requerir la cibersgeuridad en cualquier proyecto o infraestructura
Una gran iniciativa con una excelente acogida (más de 400 asistentes) en la que se sentaron y defendieron los principios de colaboración público-privada que desde el Centro de Ciberseguridad Industrial defendemos como indispensables.

Nos quedamos con las palabras de Francisco Martínez, Secretario de Estado de Seguridad que aseguró que "el único camino para salir algunas de las dificultades de nuestro país es la Colaboración Público Privada" y las de Victor Calvo Sotelo, Secretario de Estado de Telecomunicaciones y Sociedad de la Información, que identificó como clave "la creación de marcos que permitan la colaboración" en este ámbito.


martes, 5 de marzo de 2013

Nace el Único Centro de Ciberseguridad Industrial en España y Latinoamérica

Es sabido que los servicios esenciales y nuestro tejido industrial dependen para el normal desarrollo de su actividad de las Tecnologías de la Información y las Comunicaciones (TIC). Pero no es tan conocido que todos esos servicios esenciales dependen a su vez en mayor medida de los Sistemas Industriales. Son estos últimos los que controlan las torres de refrigeración, los generadores eléctricos que proporcionan la energía necesaria o los sistemas de extinción de incendios, entre otros muchos aspectos.

Los sistemas industriales son la base de las principales Infraestructuras Críticas y Servicios Esenciales en el mundo y por tanto, su seguridad recae finalmente en ellos. Esto ha hecho que se hayan convertido en objetivos de actos de ciber-terrorismo e incluso de ciber-guerra, suponiendo el caldo de cultivo para la aparición de auténticas “ciber-armas” cuyo objetivo es explotar sus vulnerabilidades existentes.

Nuestra sociedad y economía es por tanto, vulnerable y el primer paso debe ser que todas las organizaciones y actores clave tomen conciencia de ello. De la mano de tres profesionales respetados por sus conocimientos y experiencia -Samuel Linares, Ignacio Paredes y José Valiente-, y tras analizar el mercado de la Ciberseguridad Industrial, sus actores y las necesidades de nuestro país, así como los casos de éxito y fracaso de otros países de Europa y Estados Unidos, este mes de marzo se pone en marcha en España el Centro de Ciberseguridad Industrial (CCI), que oficialmente se presentará en junio.

Se trata del primer centro de estas características que nace desde la industria y sin subvenciones, independiente y sin ánimo de lucro. Su misión será impulsar y contribuir a la mejora de la Ciberseguridad Industrial en España y Latinoamérica, entendiendo por Ciberseguridad Industrial "el conjunto de prácticas, procesos y tecnologías, diseñadas para gestionar el riesgo del ciberespacio derivado del uso, procesamiento, almacenamiento y transmisión de información utilizada en las organizaciones e infraestructuras industriales, utilizando las perspectivas de personas, procesos y tecnologías”.

El Centro arranca con el apoyo de la industrial (usuarios, consultoras, ingenierías, organismos e instituciones, por no citar a la mayoría de profesionales de la industria a los que les han presentado la iniciativa), por lo que darán cabida a todo tipo de actores (cualquier persona interesada puede ponerse en contacto con la institución a través de: info@cci-es.org).

Para ello, se plantean varias categorías de membresía: para los “Miembros Básicos” (se incluyen aquí
también los miembros individuales), será gratuita, favoreciendo la máxima representatividad de la industria en el CCI y la “universalidad” del mismo. Otra opción es la de los “Miembros Activos”, y la opción de "Subscripción Anual", que permitirá a los "Miembros Activos" recibir todos los documentos y entregables que se generen sin coste adicional, además de acceder sin coste a todos los eventos que organice el Centro (incluyendo el Congreso Iberoamericano anual).

A lo largo de 2013 el CCI tiene previsto generar cinco documentos, entre los que se pueden destacar el Mapa de Ruta de la Ciberseguridad Industrial en España, el Estado de la Ciberseguridad Industrial en España o la plantilla de Requisitos de Ciberseguridad para Proveedores de Servicios, entre otros. Así mismo, organizará cinco eventos: cuatro, enmarcados en los denominados “La Voz de la Industria” y un quinto que será el “Congreso Iberoamericano de Ciberseguridad Industrial”.

El Centro de Ciberseguridad Industrial (www.cci-es.org) aspira a convertirse en el punto independiente de encuentro de los organismos, privados y públicos, y profesionales relacionados con las prácticas y tecnologías de la Ciberseguridad Industrial, así como en la referencia hispanohablante para el intercambio de conocimiento, experiencias y la dinamización de los sectores involucrados en este ámbito. Para ello, se crearán Grupos de trabajo sectoriales y temáticos. Previsiblemente, se comenzará con los sectores de Energía, Químico, Agua y Transporte, siempre supeditado a la demanda de los miembros.