Está en la página 1de 5

1089

Seguridad en Redes las Industriales: Clave para la


Ciberdefensa de las Infraestructuras Críticas
Jorge Kamlofsky1, Samira Abdel Masih1, Hugo Colombo1, Daniel Veiga1, Eugenio Costa1,
Claudio Milio1, Marcelo Semería1, Pedro Hecht2

1 CAETI - Universidad Abierta Interamericana Av.


Montes de Oca 725 – Buenos Aires – Argentina
{Jorge.Kamlofsky, Samira.Abdel Masih, Hugo.Colombo, Daniel.Veiga}@uai.edu.ar

2 Universidad de Buenos Aires, Facultades de Ciencias Económicas, Ciencias Exactas y Naturales e


Ingeniería. Maestría en Seguridad Informática, Buenos Aires, Argentina phecht@dc.uba.ar

Resumen Criptografía compacta, criptografía en


PLCs, Infraestructuras críticas,
Los procesos de producción industrial ciberdefensa en redes industriales.
a gran escala se automatizan mediante los
sistemas de control industrial. Por su
robustez y efectividad, estos sistemas
también fueron adoptados en la
Contexto
automatización de las infraestructuras Los proyectos radicados en el CAETI1
críticas de las naciones: plantas de se clasifican en cinco líneas de
tratamientos de líquidos, distribución de investigación. Este proyecto se enmarca
energía, siderúrgicas y demás. La dentro la línea de Seguridad Informática y
seguridad se basa en su aislamiento. Los Telecomunicaciones.
nuevos requerimientos de mayor Se pretende obtener conocimiento
flexibilidad y eficiencia promueven su teórico y desarrollar e implementar
conexión con las redes corporativas, soluciones que permitan mejorar la
dejando expuestas sus vulnerabilidades a situación de vulnerabilidad de estas redes
gran cantidad de amenazas provenientes lo que permitiría otorgar ciberseguridad a
de estas últimas. las infraestructuras críticas.
En este proyecto se estudian las
principales vulnerabilidades de estos
sistemas, y se analizan y se desarrollan Introducción
soluciones: algunas basadas en mejoras de
procesos y herramientas tradicionales y Los Sistemas de Control Industrial (ICS
otras basadas en esquemas compactos de de sus siglas en inglés) son redes de tele-
criptografía adaptables a los dispositivos mando y telecontrol de procesos
de las redes industriales. compuestos por autómatas industriales
llamados PLC (del inglés: Programmable
1 CAETI: Centro de Altos Estudios en Tecnología
Palabras clave: Seguridad en Redes informática, dependiente de la Facultad de
Industriales, Seguridad en SCADA, Tecnología informática de la UAI.
1090

Logic Controller) interconectados entre sí corporativa y la industrial dejaron a la


y cada uno de ellos a sensores digitales o seguridad entre ambas [5].
analógicos (caudalímetros, sensores de Hasta hace pocos años, era impensable
nivel, de temperatura, microswitches, etc.) que un ICS se pudiera infectar con virus
y/o a actuadores (motores, válvulas, llaves, informático. En el año 2010 el sistema
etc.). Fueron diseñados para supervisar y SCADA de las plantas de enriquecimiento
actuar en los procesos industriales. El de uranio de Irán fue atacado por un virus
aislamiento del proceso de producción, dio llamado Stuxnet. Esto desconcertó a
por muchos años una sensación de analistas estratégicos de todo el mundo.
seguridad ilusoria gracias al ocultamiento La comunidad internacional mostró gran
[1, 2]. En la tecnología industrial, la preocupación por la seguridad de las
prioridad siempre fue el proceso, y no la infraestructuras basadas en estas
seguridad. tecnologías [6 – 8], y se encuentra
Los ICS son muy robustos, y por ello se trabajando en soluciones [9 – 12].
los utiliza en sistemas que requieren uso En el ámbito de las tecnologías
continuo y permanente. Están presentes en corporativas se tiene experiencia en
plantas de potabilización de agua, Seguridad. Las recomendaciones de las
producción y distribución de energía, normas ISO27000 [13] y NIST SP800-30
transporte, telecomunicaciones, revisión 1 [14] y los múltiples desarrollos
siderúrgicas, entre otras: están en realizados, ayudan a proteger la seguridad
infraestructuras críticas de naciones. de los activos informáticos. La criptografía
Los ICS se controlan desde el es clave para asegurar sistemas
SCADA. Un SCADA (por sus siglas en informáticos. Es posible dar seguridad
inglés: Supervisory Control and Data criptográfica a dispositivos con baja
Acquisition) es software que muestra capacidad de cómputo gracias al desarrollo
gráficamente el estado de cada de algoritmia criptográfica de clave
componente de la planta, con la pública basada en estructuras algebraicas
posibilidad de actuar sobre ellos. Se de anillos no conmutativos [15-17] la cual
diseñaron para controlar sistemas a fecha actual es inmune a ataques
industriales, conectando PCs con las cuánticos y esquemas simétricos
redes de autómatas industriales; compactos como el presentado en [18].
conformando la interfaz hombre máquina. Este proyecto pretende desarrollar
Originalmente los SCADA se soluciones en las redes industriales: en los
instalaban en salas aisladas, con acceso SCADA usando avances en la seguridad
restringido. Con el tiempo surgió la de redes corporativas, y en la profundidad
necesidad de vincularlos a la red de la red industrial mediante soluciones
corporativa e incluso a internet. Y esta criptográficas basadas en álgebra no
tendencia es inevitable. Su interconexión conmutativa integrándolas con esquemas
dejó a los ICS expuestos a amenazas y simétricos compactos.
riesgos provenientes desde el exterior, los
que suponen serias consecuencias [3].
Hoy es posible, mediante dispositivos Líneas de Investigación,
móviles, controlar un ICS, desde Desarrollo e Innovación
cualquier lugar del mundo con cobertura
de red móvil [4], suponiendo un escenario El equipo de investigación trabaja en
ideal para explotar vulnerabilidades e dos ramas: matemático-criptográfica y
inyectar malware. La tecnología redes-sistemas.
1091

La rama matemático-criptográfica La transferencia a la comunidad se logrará


trabaja estudiando las estructuras de mediante cursos de extensión
anillos no conmutativos y no asociativos y universitaria. La transferencia a la
su posibilidad de aplicarlos industria consistirá en el patentamiento de
criptográficamente como sistema de métodos y algoritmos que permitirán
intercambio seguro de claves. Las incrementar la seguridad de las redes
variantes generadas se programan y se las industriales.
pone a prueba en ambientes de simulación
controlados.
La rama de redes-sistemas se encuentra Formación de Recursos Humanos
estudiando las normas de seguridad en El proyecto está dirigido por el Esp.
sistemas de información más importantes Lic. Jorge Kamlofsky y la Dra. Samira
y los protocolos de comunicaciones Abdel Masih. Tiene la colaboración
intervinientes con la intención de lograr especial del Dr. Pedro Hecht. Integran el
implementar los algoritmos generados. Se proyecto los siguientes docentes de la
estudian las vulnerabilidades más Facultad de Tecnología Informática de la
frecuentes en estos sistemas. UAI: el PhD. Hugo Colombo, los
ingenieros Marcelo Semería, Eugenio
Costa, Claudio Milio y el Lic. Daniel
Resultados y Objetivos
Veiga.
La rama matemático-criptográfica ha El equipo de investigación se completa
logrado implementar el protocolo con alumnos de la Facultad de Tecnología
presentado en [15] y ha llegado a mejoras Informática de la UAI: Matías Sliafertas,
en tiempos de ejecución usando Juan Manuel Pedernera, Oscar Morales,
cuaterniones [16], en diferentes conjuntos Pablo Oviedo, Jesica Valente, Christian
numéricos [17]. También se analiza el Martin, Damián Romero. Daniel Sola,
funcionamiento del algoritmo de Shor para Enrique Belaustegui, Facundo Coronel,
computación cuántica [19] Federico Romero, Federico Tabarez Rosa,
La rama de Redes-Sistemas analizó Fernando Ribas, Matías iacobuzio,
ataques a infraestructuras críticas Sandra Biondini, Joan Mutti Ferreyra,
publicados en [20] y ha propuesto un Andrés Perez, Angel Orlauskas, Rodrigo
enfoque para disminuir los efectos de ciber Gomez, Nicolás Mayer, Maximiliano
ataques [21]. Hoy se encuentra analizando Ríos, Nicolás Carella, Nicolás Salas,
en detalle las normas ISO27000 [13], la Gastón Suarez y Montserrat Patiño.
NIST [14] y NIST Los docentes integrantes del proyecto
específica de los ICS [22]. adquieren conocimientos y técnicas de
El objetivo final del proyecto es el seguridad que pueden complementar los
desarrollo de soluciones de Seguridad que conocimientos por ellos enseñados en las
puedan implementarse en las redes de los diferentes materias que integran.
ICS. El problema en cuestión es crítico y Gran parte de los alumnos que se
se encuentra latente en toda la desempeñan como auxiliares de
infraestructura crítica e industrial del investigación inician experiencias en la
mundo. investigación científica adquiriendo la
Se espera lograr transferencia de correspondiente metodología, en una
resultados a la comunidad y a la industria. temática que resulta ser muy atractiva.
Otros se encuentran promediando la
1092

carrera, y el conocimiento adquirido se [9] Blackmer, M. Cibersecurity for Industrial


incorporará en sus trabajos finales de Control Networks. III Conferencia
Internacional y Taller de Ciberseguridad e
carrera. En particular Oscar Morales,
Infraestructuras Críticas de Información,
Jesica Valente y Pablo Oviedo están Buenos Aires, 2015.
finalizando las tesis de final de la carrera [10] Simoes, P., Cruz, T., Proença, J. and
Licenciatura en Matemática. Monteiro, E. Honeypots especializados para
Redes de Control Industrial. VII CIBSI.
Panamá, 2013.
Referencias [11] Arias, D. Seguridad en Redes
Industriales. Trabajo Final, Universidad de
[1] Courtois, N. The dark side of security by Buenos Aires, 2013.
obscurity, and Cloning MiFare Classic Rail [12] Paredes, I. La protección de
and Building Passes Anywhere, Anytime. infraestructuras críticas y ciberseguridad
IACR Cryptology ePrint. Archivo 2009: 137, industrial. Red seguridad: revista
2009. especializada en seguridad informática,
[2] Menezes, A., Van Oorschot, P., and protección de datos y comunicaciones 62,
Vanstone, S. Handbook of applied (2013), pp. 49.
cryptography. CRC press, 1996. [13] ISOTools, ISO 27001 [En línea], (2015).
[3] Sánchez P. Sistema de Gestión de la Disponible en: <https:// www.isotools.org /
Ciberseguridad Industrial [En línea]. normas / riesgos-y-seguridad / iso-27001>.
Universidad de Oviedo, (2013). [Consulta: [Fecha de consulta: 14 de Agosto de 2015].
11/02/15]. Disponible en: <http:// [14] NIST. Special Publication 800 – 30,
dspace.sheol.uniovi.es / dspace / bitstream / revision 1: Information Security. National
10651/17741 / 1 / TFM%20-%20PABLO Institute of Standards and Technology, U.S.
%20SANCHEZ.pdf>. Departament of Commerce, [En línea]
[4] Opto 22, Press Release: Updates groov to (2012). Disponible en: <http: //
Easily Connect Modbus/TCP Devices with nvlpubs.nist.gov / nistpubs / Legacy / SP /
Smartphones and Tablets [En línea], (2015). nistspecialpublication800-30r1.pdf>
Disponible en: <http:// www.modbus.org / [Consulta: 8/3/2017].
member_docs / OPTO22-Jan2015.pdf> [15] Hecht J. Un modelo compacto de
[Consulta: 14/08/2015]. criptografía asimétrica empleando anillos no
[5] Carrasco Navarro, O. y Villalón Puerta, A. conmutativos. V CIBSI, Montevideo, 2009.
Una visión global de la ciberseguridad de los [16] Kamlofsky J., Hecht J., Abdel Masih, S.
sistemas de control. Revista SIC: Hidalgo Izzi, O. A Diffie Hellman compact
ciberseguridad, seguridad de la información y model over conmutative rings using
privacidad 106, (2013), pp. 52-55. quaternions. VIII CIBSI, Quito, 2015.
[6] Veramendi, R. Ataques a la Seguridad [17] KAMLOFSKY, Jorge. Improving a
Informática y Telecomunicaciones en el Compact Cipher Based on Non Commutative
Contexto Internacional. Revista del Instituto Rings of Quaternion. XXII Congreso
de Estudios Internacionales IDEI-Bolivia, Argentino de Ciencias de la Computación
45(2), (2012), pp. 4-11. (CACIC 2016), 2016.
[7] Vazquez, S. Ciberseguridad en Paraguay. [18] Castro Lechtaler, A., Cipriano, M.,
III Conferencia Internacional y Taller de García, E., Liporace, J., Maiorano, A., y
Ciberseguridad e Infraestructuras Críticas de Malvacio, E.. Model design for a reduced
Información, Buenos Aires, 2015. variant of a Trivium Type Stream Cipher.
[8] Corvalan, F. Seguridad de Journal of Computer Science & Technology,
Infraestructuras Críticas: Visión desde la 14.
Ciberdefensa. III Conferencia Internacional y [19] Shor, Peter W. Algorithms for quantum
Taller de Ciberseguridad e Infraestructuras computation: Discrete logarithms and
Críticas de Información, Buenos Aires, 2015. factoring. Foundations of Computer Science,
1093

1994 Proceedings., 35th Annual Symposium


on. IEEE, 1994.
[20] Security Incidents Organization, RISI:
The Repository of Industrial Incidents [En
línea], (2015). Disponible en: <http://
www.risidata.Com / Database> [Consulta:
14/08/2015].
[21] Kamlofsky J, Colombo H, Sliafertas M y
Pedernera J, Un Enfoque para Disminuir los
Efectos de los Ciber-ataques a las
Infraestructuras Criticas. III CONAIISI,
Buenos Aires, 2015.
[22] NIST. Special Publication 800 – 82,
revision 2: Guide to Industrial Control
Systems (ICS) Security. National Institute of
Standards and Technology, U.S. Departament
of Commerce, [En línea] (2015). Disponible
en: <http: // nvlpubs.nist.gov / nistpubs /
Legacy / SP / NIST.SP.800-82r2.pdf>
[Consulta: 8/3/2017].