Blog del CCI

viernes, 17 de enero de 2014

Review of Master Serial Killer. Project Robus S4x14

One of the most awaited keynotes in S4x14 congress was "Master Serial Killer" by Adam Crain y Christ Sistrunk from Project Robus.

Project Robus has as its main objective the disclosure of vulnerabilities in the implementation of industrial systems communication protocols. The project started last april and has been focused on researching the DNP3 protocol, producing 15 advisories and 28 tickets over the implementation of several vendors.

DNP3 is a set of communication protocols for automation processes. It is mainly used in system components in the electric and water industry. DNP3 specifications are much more complex than other similar protocols due to the huge amount of features it contains. DNP3 is awfully popular and hundreds of thousands (even millions) worldwide employ it in the communications of every kind of control process, including many critical infrastructures.

The research in the Robus Project employs fuzzing techniques where especially forged data is fed to the devices and their response analysed for unexpected behaviour. Researcher generates hundreds of thousands of test cases and systematically  analyse the responses of the evaluated systems.

Ever system evaluated so far, but two, has had vulnerabilities. This means hundreds of thousands of vulnerable systems, many of them connected to the Internet.

These results suggest that the implementations of the protocol just guarantee functionality without any security testing. This could be justified by saving development resources, provided that the DNP3 systems would be isolated. But we know that this is not the case.

Researchers, when discover a vulnerability, report it to the vendor for solving. The attitude of vendors are assorted, ranging from prompt response and patch release to no response at all.


DNP3 implementations has been the subject of the experiment, but probably other implementations of other protocols would have similar vulnerabilities. This kind of research doesn't need many resources, anyone with technical knowledge can do it. A similar research could have been done by someone malicious who could affect the proper working affected devices. Given the number and kind of systems using these protocols, the impact and spread of the attack would be the biggest ever seen.

The responsibility of mitigating these problems is shared among vendors and end users. The formers shall release patches and corrected versions of their products. End users shall update their systems (probably not easy); correctly configure their devices disabling not used potentially dangerous functions; and providing a healthy physical and logical environment deploying physical security measures, raising awareness on their employees and setting up traffic control measures able to understand DNP3 communications.

It is highly significant that right now we are starting to discover vulnerabilities in protocols that we have been using for decades. This means that the community is worried about these security issues and that there exists the intention to solve them. Robus is a necessary step forward, but it is not enough. We need more initiatives like this that involve every stakeholeder (end users, researchers, vendors, CERTs, etc).

S4 keynote slides.

Comentarios sobre Master Serial Killer. Proyecto Robus - S4x14

Una de las presentaciones más esperadas del congreso S4 que se celebra estos días en Miami es la titulada "Master Serial Killer", por Adam Crain y Christ Sistrunk del Proyecto Robus.

Robus es un proyecto que tiene como objetivo el descubrimiento de vulnerabilidades en la implementación de protocolos de comunicación de sistemas industriales. El proyecto comenzó en abril de 2013, y hasta ahora se ha centrado en la investigación del protocolo DNP3, produciendo 15 informes de seguridad en los que diversos fabricantes reconocen problemas de seguridad en sus protocolos de comunicaciones y recomiendan cómo solucionarlos. Además, han reportado 28 problemas más en los que los fabricantes están trabajando. 

DNP3 es un conjunto de protocolos de comunicación entre componentes de sistemas de automatización de procesos. Principalmente en componentes de sistemas de los sectores eléctrico y del agua. Las especificaciones de DNP3 son mucho más complejas que las de otros protocolos similares debido al enorme número de funcionalidades que contiene. DNP3 es tremendamente popular y cientos de miles de sistemas, probablemente millones, en todo el mundo lo utilizan para las comunicaciones de todo tipo de procesos de control, incluidos los de muchas infraestructuras críticas.

La investigación del proyecto Robus utiliza técnicas de fuzzing, consistentes en alimentar a los sistemas con datos no esperados con el fin de detectar si se producen comportamientos indebidos. Los investigadores, generan cientos de miles de casos de prueba y analizan sistemáticamente cuáles son las respuestas de los sistemas.

Todos los productos evaluados hasta ahora, excepto dos, contienen vulnerabilidades. Esto se traduce en cientos de miles, de sistemas vulnerables en todo el mundo. Muchos de ellos conectados a Internet.

Estos resultados sugieren que las implementaciones del protocolo se limitan a garantizar la funcionalidad sin realizar pruebas específicas de seguridad. Algo que podía tener su justificación, por ejemplo en ahorro de costes de desarrollo, si se garantizase que los sistemas DNP3 estarían aislados y sólo recibirían tráfico correcto. Pero sabemos que eso no es así.

Los investigadores, al descubrir las vulnerabilidades las comunican al fabricante para que éste las soluciones. Las respuestas que se han obtenido por parte de los fabricantes son variadas. Desde los que actúan diligentemente editando versiones corregidas de su software, correctamente probadas e informando a sus clientes acerca de cómo solucionar el problema. Hasta los que tardan varios meses y editan parches que no solucionan correctamente el problema y no realizan un flujo de comunicación adecuado con los implicados (usuarios, ICS-CERT, …)


Las implementaciones de DNP3 ha sido el objeto del experimento, pero es probable que implementaciones de otros protocolos tengan fallos similares. Este tipo de investigación no requiere grandes inversiones. Está al alcance de cualquiera que posea los conocimientos técnicos. Igual que los investigadores del proyecto Robus han encontrado múltiples vulnerabilidades de día cero. Alguien con intenciones maliciosas podría encontrar vulnerabilidades en los protocolos de control industrial y causar comportamientos no esperados en los sistemas afectados. Dado el número de sistemas que utilizan estos protocolos (cientos de miles)  el impacto y la extensión de los daños serían superiores a los de cualquier ataque visto hasta ahora.

La responsabilidad de mitigar estos problemas se reparte entre los fabricantes y los usuarios finales. Los primeros deben editar parches o versiones corregidas de sus productos. Los usuarios deben actualizar su software (lo cual no es trivial en muchos de los casos); configurar correctamente sus dispositivos, desactivando funciones innecesarias y potencialmente peligrosas y proporcionar un entorno físico y lógico saneado desde el punto de vista de la seguridad, implantando medidas de control de acceso, advirtiendo a los empleados de los peligros potenciales y estableciendo medidas de control de tráfico que sean capaces de comprender las comunicaciones dentro del contexto del protocolo DNP3.

Es significativo que ahora sea el momento en el que se empiezan a detectar fallos en protocolos que llevan utilizándose décadas. Indica preocupación en la comunidad por estos aspectos de la seguridad y que existe la intención de solucionarlos. Robus es un paso adelante, necesario, pero ni mucho menos suficiente. Para lograr solucionar los problemas de seguridad existentes en estos sistemas se necesitan más iniciativas como Robus que lleguen a implicar a todos los interesados(usuarios, investigadores, fabricantes, CERTs, etc)

Presentación original en S4

miércoles, 15 de enero de 2014

300 Days and 300 Nights: What is coming in 2014

Approximately 10 months ago, March 5th 2013,  we announced the foundation of the Industrial Cybersecurity Center (CCI), as an independent organization whose mission is to promote and encourage industrial cybersecurity.  Right away, we started the work to develop  a solid ecosystem and its value-added international activities (I’m referring not just to ourselves, Nacho Paredes, Jose Valiente and myself, but I’m referring to all of you who has been key in the initiative success).

After this 300 days of the life of the Center, the initial expectations that we defined have been widely overcome, getting even above them. The best proof is the more than 300 members recruited as well as the sponsors from 21 different countries.  We have welcomed more than 700 attendants to our “Voice of the Industry” events and to our International Congress; we have trained as well more than 100 professionals in our courses and workshops on Industrial Cybersecurity.

In addition,  more than 100 organizations have answered the survey on which we have based our report on the Industrial Cybersecurity Landscape in Spain. Our weekly newsletter on Industrial Cybersecurity gets to more than 500 people. Besides that, the firs document developed,  The Roadmap to Industrial Cybersecurity in Spain, 2013-2018,  has been downloaded by 32000 worldwide.

The international and national impact of the initiative has been huge, actively cooperating with the main cybersecurity entities: ENISA, European Commision, Organization of American States (OAS), Department of Homeland Security (Government Presidency), INTECO (Ministry of Industry), CNPIC (Ministry of Interior) or CCN (CNI, Government Presidency) just to mention a few.

We have been included as members in ERNCIP (European Reference Network for Critical Infrastructure Protection), in the Industrial Automated Control Systems and Smart Grids Thematic Area, in the National Digital Trust Forum (Ministry of Industry) and in the International Steering Committee of GIAC/SANS of the new certification GICSP: Global Industrial Cybersecurity Professional as well as in the ISACA Global Cybersecurity Task Force.

Our success has been considered to be mentioned in several organizations and events all around the world, where we have been invited to present our success case and present our point of view and vision on Industrial Cybersecurity: from La Habana, to Chicago, Buenos Aires or Abu Dabi, as well as in Genoa, London or Vilnius, and not forgetting cities such as Miami or Atenas, we have presented and disseminated the initiative, encouraging Industrial Cybersecurity.

However, we are just starting. If we were speaking on basketball and on the NBA, all these success will have granted us the rookie category. What we really want is to develop a successful  roadmap for all our ecosystem. For this reason, this first 300 days and 300 nights have been a first challenge to get even more interesting the next 300.  This is in our heart for the activities planned for 2014.

We will keep working in the lined of Awareness and Cooperation, Training, Content Development and R&D.   To achieve this, we have defined a wide event calendar with four Voice of the Industry events in the months of February (February 5th), May, September and December. ¡Attention! We are organizing as well two top level  Iberoamerican conferences. The first one will be held in Colombia in June (next details regarding the exact venue and dates will be announced when they are available). The next one will be in October in Spain (details will be provided soon).

We will keep organizing new editions of our Critical Infrastructure Protection course (the next one will be organized in February in Barcelona by Internet Security Auditors). This courses will be organized this year as well in Buenos Aires (March) and in Madrid (July and November).

We have defined as well a publication roadmap for 2014. We will publish ten documents, of which four will be developed with the agreement and participation of all the Center and industrial cybersecurity elements. The remaining six will be direct publications from the Center.

The publications to be agreed will be the Best Practice Guide for Technical Cybersecurity Diagnostices in Industrial Environments, the bottom-line documents for the implementation of an Industrial Cybersecurity Management System (SGCI), an Industrial Cybersecurity Maturity Model , and the updating of the Industrial Cybersecurity Landscape in Spain in 2014.

The documents of direct publication will be:  Global Cybersecurity Threats in Industrial Environments (Patrick Miller), Digital Oilfields Cybersecurity (Ayman Al-Issa),  Scada and Cloud Computing (Eric Knapp), Industrial Cybersecurity Profesional Enablement (Auke Huistra), Secure Development for Industrial Applications (Simón Rosés), as well as International Organizations: The new target for international conflicts  (Thiber).

Our “communication’s wizard”, José Valiente ( I know that Ana Pastor , the Spanish presenter must already be worried) will keep encouraging Knowledge Teams with his interviews and conversations to relevant authorities in what we have called “Industry Experiences”. These will be available in our collaborative platform: four short interviews and interactive panels with the person interviewed, summaries of international events and four interactive panels  covering some of the objectives we have defined to improve the relationship and participation inside the community.

In addition, and considering the high international impact and interest about the Center in other countries,  we have defined the objective of developing local communities in other regions through well-known  and considered professionals that may coordinate and encourage its activities. As we announced before, Eric Knapp (who has been assigned a few days ago to lead the worldwide Cybersecurity Practice at Honeywell) will be our Chief Technical Advisor for North America . As Chief Technical Advisor for  Middle East and based in Abu Dabi Ayman, we will count with  Al-Issa, probably the most knowledgeable professional of cybersecurity in the petrol and gas sector and Digital Oilfields Cybersecurity Advisor in ADMA, OPCO.

But as you may remember, our main focus for the need of knowledge development is the Spanish Speaking community; so we are proud to announce that in addition to Spain we are going to start our activities in some Latin American countries such as Ecuador, through our friend and country coordinator for that country, Carlos Jumbo (InforC Ecuador Director).

But beware!! I bring two important news: Argentina, where our coordinator will be Claudio Caracciolo, President of ISSA Argentina and Ambassador of Eleven Paths ,and Colombia, with Leonardo Huertas (known as SamuraiBlanco by many of you), Colombia’s National CERT responsible from the last years and working in the Ministry of Defence for the last 20 years.

We have a strong beginning, don’t we?  Well, these are just some of the news that we may share with you now. We are also starting some joint initiatives in Peru, Paraguay, Mexico, Taiwan, Japan and United Kingdom, but we will let you know later.

Industrial Cybersecurity is already a reality and a concern in many Boards of our company’s members; demand is increasing as we will see in our next report on the Industrial Cybersecurity Situation for Spain. Market offering is maturing as well, and technological solutions are being adapted. In general terms, everything is going through the right track.  And all this, thanks to you…Without you, all these success and plans will not have been possible. From here, congratulations!! The success is yours.

In summary,we have a big year in front of us. For sure we are going to be very busy, but we are going to have fun. This is really our objective that all of us enjoy this starting new year. Let’s get it!! Happy 2014!!

martes, 14 de enero de 2014

300 días y 300 noches: lo que viene en 2014

Han pasado algo más de 10 meses desde que el 5 de Marzo del año pasado hacíamos pública la creación del Centro de Ciberseguridad Industrial como organización independiente dedicada a promover e impulsar la Ciberseguridad Industrial, y nos poníamos manos a la obra para conseguir crear un ecosistema con unas actividades asociadas del máximo valor y nivel internacional (y cuando utilizo la primera persona del plural, hago referencia no únicamente a Nacho Paredes, José Valiente y a mí, sino por supuesto a todos vosotros, la clave del éxito de la iniciativa).

Tras estos 300 días, las expectativas iniciales que todos nos habíamos marcado, no solo se han cumplido, sino que se han excedido con creces. Los más de 300 miembros y 26 patrocinadores procedentes de 21 países así lo avalan. Hemos conseguido sumar más de 700 asistentes a nuestros eventos de la Voz de la Industria y nuestro congreso, y más de 100 alumnos en nuestros cursos y talleres de Ciberseguridad Industrial, además de las más de 100 organizaciones que ya han respondido a la encuesta para desarrollar el documento sobre el Estado de la Ciberseguridad Industrial en España. Nuestro Boletín Semanal de Ciberseguridad Industrial se recibe ya por más de 500 personas y el primer documento que desarrollamos con todo el ecosistema, el Mapa de Ruta de la Ciberseguridad Industrial en España 2013-2018 ha sido descargado por más de 32000 personas de todo el mundo.

La repercusión nacional e internacional de la iniciativa ha sido enorme, colaborando activamente con los principales actores en la Ciberseguridad: ENISA, Comisión Europea, Organización de Estados Americanos (OEA), Departamento de Seguridad Nacional (Presidencia del Gobierno), CNPIC (Ministerio del Interior), INTECO (Ministerio de Industria) o CCN (CNI, Presidencia del Gobierno) entre otros. También hemos conseguido que nos incorporen como miembros a ERNCIP (European Reference Network for Critical Infrastructure Protection) en la Industrial Automated Control Systems and Smart Grids Thematic Area, en el Foro Nacional de la Confianza Digital (Ministerio de Industria) en el Steering Committee Internacional de GIAC/SANS de la nueva certificación GICSP: Global Industrial Cyber Security Professional y en la ISACA Global Cybersecurity Task Force, donde se estamos contribuyendo al desarrollo de la estrategia de Ciberseguridad de ISACA para los próximos 10 años.

Este éxito ha merecido la atención de numerosas organizaciones y eventos por todo el mundo donde nos han invitado a presentar el caso de éxito del Centro y transmitir nuestra visión sobre la Ciberseguridad Industrial: desde La Habana, Chicago, Buenos Aires o Abu Dhabi, pasando por Génova, Londres o Vilnius, y sin dejar de lado Miami o Atenas, son algunos de los lugares en los que hemos pasado difundiendo la iniciativa e impulsando la Ciberseguridad Industrial.

Pero esto no ha hecho más que empezar. Si estuviésemos hablando de baloncesto y de la NBA, todos estos éxitos podrían catalogarnos a todos los niveles como el rookie del año (novato del año), pero lo que todos queremos conseguir es fraguar una carrera de éxitos para todo nuestro ecosistema, por lo que estos primeros 300 días y 300 noches no han hecho sino establecer un reto mayor para que los siguientes 300 sean aún más interesantes. Y eso es lo que hemos intentando plantearnos al establecer el plan de actividades para 2014.

Continuaremos desarrollando las líneas de actividad de Concienciación y Colaboración, Formación, Generación de Contenidos e Investigación. Para ello hemos establecido un ambicioso calendario de eventos que nos llevará a celebrar 4 eventos de La Voz de la Industria en los meses de Febrero (el primero el 5 de Febrero próximo), Mayo, Septiembre y Diciembre y, ¡atención!, 2 Congresos Iberoamericanos de Ciberseguridad Industrial del más alto nivel, uno en Junio en Colombia (en breve más detalles en cuanto a fecha y ubicación) y otro en Octubre en España. Además continuaremos celebrando nuevas convocatorias de nuestro aclamado Curso de Ciberseguridad Industrial y Protección de Infraestructuras Críticas en Febrero en Barcelona (organizado por Internet Security Auditors), en Marzo en Buenos Aires y en Julio y Noviembre en Madrid.

También hemos definido una hoja de ruta de publicaciones amplia para este 2014. Publicaremos un total de 10 documentos, 4 de ellos siguiendo el proceso de consenso y revisión habitual con todo el ecosistema y 6 de "publicación directa" desarrollados por autores de referencia. Los que seguirán el proceso habitual de revisión y contribución serán la Guía de Buenas Prácticas para el Diagnóstico Técnico de Ciberseguridad en Entornos Industriales, los Documentos Base para un Sistema de Gestión de Ciberseguridad Industrial (SGCI), un Modelo de Madurez de la Ciberseguridad Industrial y la nueva versión para este año del Estado de la Ciberseguridad Industrial en España 2014. Los documentos de publicación directa serán los siguientes: Retos Globales en la Ciberseguridad Industrial (Patrick Miller), Ciberseguridad de los Digital Oilfields (Ayman Al-Issa), SCADA y Cloud Computing (Eric Knapp), Capacitación de los profesionales de la Ciberseguridad Industrial (Auke Huistra), Desarrollo Seguro de Aplicaciones Industriales (Simón Rosés) y Las organizaciones industriales: nuevo objetivo en el escenario de conflictos internacionales (Thiber).

Nuestro mago de las entrevistas particular José Valiente (me consta que Ana Pastor ya está preocupada), continuará dinamizando los Equipos de Conocimiento con sus entrevistas a profesionales de referencia en lo que hemos llamado el espacio “Experiencias de la Industria” en nuestra plataforma colaborativa: 4 entrevistas cortas a profesionales y debates interactivos con el entrevistado, resúmenes de eventos internacionales y 4 debates interactivos, con algunos de los objetivos que nos hemos propuesto para incrementar la relación y participación dentro del ecosistema.

Además, dada la importante repercusión internacional y el altísimo interés en otros países, otro de los objetivos importantes de este nuevo año es el inicio de desarrollo de ecosistemas locales en otras regiones, siempre a través de personas que coordinen e impulsen las actividades locales del Centro de altísimo nivel no solo profesional, sino personal. Como ya habíamos anunciado, Eric Knapp (que hace pocos días ha pasado a liderar la práctica de Ciberseguridad a nivel mundial en Honeywell) es nuestro Chief Technical Advisor en Norte América y Ayman Al-Issa, probablemente el profesional con más conocimiento y experiencia a nivel internacional en la Ciberseguridad en el sector petrolífero y Digital Oilfields Cybersecurity Advisor en ADMA-OPCO se incorpora como Chief Technical Advisor del Centro en Oriente Medio, con base en Abu Dhabi.

Pero como recordaréis, nuestro foco principal dada la mayor necesidad de conocimiento, era el mundo de habla hispana, por lo que además de en España, podemos anunciar ya también el comienzo de desarrollo de actividades en distintos países de Latinoamérica, como Ecuador a través de nuestro amigo y Coordinador para ese país Carlos Jumbo (Director de InforC Ecuador), y atención que traigo dos grandes noticias: en Argentina, donde nuestro Coordinador será el mismísimo Claudio Caracciolo, también Presidente de ISSA Argentina y Ambassador de Eleven Paths y en Colombia, Leonardo Huertas (conocido como SamuraiBlanco para algunos de vosotros), responsable del CERT Nacional de Colombia durante los últimos años y quien trabajó por 20 años para el Gobierno de Colombia en el Ministerio de Defensa Nacional.

¿Empezamos fuerte verdad? Pues estas son solo algunas de las noticias que podemos anunciar ahora. Estamos también en proceso de desarrollo de iniciativas conjuntas en Perú, Paraguay, México, Taiwan, Japón y Reino Unido, pero de eso ya os iremos informando puntualmente.

La Ciberseguridad Industrial es ya una realidad y una preocupación en muchas de las mesas de la Alta Dirección de los miembros de nuestro ecosistema, la demanda se está incrementando como veremos en la publicación de nuestro próximo informe sobre el Estado de la Ciberseguridad Industrial en España, la oferta madurando, las soluciones tecnológicas ajustándose y en general, todo avanza por el camino adecuado. Y todo, gracias a vosotros, porque sin vosotros todos estos éxitos y estos planes no serían posibles, así que vaya desde aquí nuestra mayor de las felicitaciones: el éxito es vuestro.

Resumiendo, lo que viene promete. Seguro que vamos a estar muy muy ocupados, pero lo que también es seguro es que nos divertiremos haciendo todo lo que queremos. Ese es realmente nuestro objetivo, que todos nosotros (nosotros y vosotros) nos divirtamos juntos este año que comienza consiguiendo cada vez más éxitos conjuntos. A por ellos y… Feliz 2014!