Seguridad en Redes las Industriales: Clave para la
Ciberdefensa de las Infraestructuras Críticas Jorge Kamlofsky1, Samira Abdel Masih1, Hugo Colombo1, Daniel Veiga1, Eugenio Costa1, Claudio Milio1, Marcelo Semería1, Pedro Hecht2
1 CAETI - Universidad Abierta Interamericana Av.
Montes de Oca 725 – Buenos Aires – Argentina {Jorge.Kamlofsky, Samira.Abdel Masih, Hugo.Colombo, Daniel.Veiga}@uai.edu.ar
2 Universidad de Buenos Aires, Facultades de Ciencias Económicas, Ciencias Exactas y Naturales e
Ingeniería. Maestría en Seguridad Informática, Buenos Aires, Argentina phecht@dc.uba.ar
Resumen Criptografía compacta, criptografía en
PLCs, Infraestructuras críticas, Los procesos de producción industrial ciberdefensa en redes industriales. a gran escala se automatizan mediante los sistemas de control industrial. Por su robustez y efectividad, estos sistemas también fueron adoptados en la Contexto automatización de las infraestructuras Los proyectos radicados en el CAETI1 críticas de las naciones: plantas de se clasifican en cinco líneas de tratamientos de líquidos, distribución de investigación. Este proyecto se enmarca energía, siderúrgicas y demás. La dentro la línea de Seguridad Informática y seguridad se basa en su aislamiento. Los Telecomunicaciones. nuevos requerimientos de mayor Se pretende obtener conocimiento flexibilidad y eficiencia promueven su teórico y desarrollar e implementar conexión con las redes corporativas, soluciones que permitan mejorar la dejando expuestas sus vulnerabilidades a situación de vulnerabilidad de estas redes gran cantidad de amenazas provenientes lo que permitiría otorgar ciberseguridad a de estas últimas. las infraestructuras críticas. En este proyecto se estudian las principales vulnerabilidades de estos sistemas, y se analizan y se desarrollan Introducción soluciones: algunas basadas en mejoras de procesos y herramientas tradicionales y Los Sistemas de Control Industrial (ICS otras basadas en esquemas compactos de de sus siglas en inglés) son redes de tele- criptografía adaptables a los dispositivos mando y telecontrol de procesos de las redes industriales. compuestos por autómatas industriales llamados PLC (del inglés: Programmable 1 CAETI: Centro de Altos Estudios en Tecnología Palabras clave: Seguridad en Redes informática, dependiente de la Facultad de Industriales, Seguridad en SCADA, Tecnología informática de la UAI. 1090
Logic Controller) interconectados entre sí corporativa y la industrial dejaron a la
y cada uno de ellos a sensores digitales o seguridad entre ambas [5]. analógicos (caudalímetros, sensores de Hasta hace pocos años, era impensable nivel, de temperatura, microswitches, etc.) que un ICS se pudiera infectar con virus y/o a actuadores (motores, válvulas, llaves, informático. En el año 2010 el sistema etc.). Fueron diseñados para supervisar y SCADA de las plantas de enriquecimiento actuar en los procesos industriales. El de uranio de Irán fue atacado por un virus aislamiento del proceso de producción, dio llamado Stuxnet. Esto desconcertó a por muchos años una sensación de analistas estratégicos de todo el mundo. seguridad ilusoria gracias al ocultamiento La comunidad internacional mostró gran [1, 2]. En la tecnología industrial, la preocupación por la seguridad de las prioridad siempre fue el proceso, y no la infraestructuras basadas en estas seguridad. tecnologías [6 – 8], y se encuentra Los ICS son muy robustos, y por ello se trabajando en soluciones [9 – 12]. los utiliza en sistemas que requieren uso En el ámbito de las tecnologías continuo y permanente. Están presentes en corporativas se tiene experiencia en plantas de potabilización de agua, Seguridad. Las recomendaciones de las producción y distribución de energía, normas ISO27000 [13] y NIST SP800-30 transporte, telecomunicaciones, revisión 1 [14] y los múltiples desarrollos siderúrgicas, entre otras: están en realizados, ayudan a proteger la seguridad infraestructuras críticas de naciones. de los activos informáticos. La criptografía Los ICS se controlan desde el es clave para asegurar sistemas SCADA. Un SCADA (por sus siglas en informáticos. Es posible dar seguridad inglés: Supervisory Control and Data criptográfica a dispositivos con baja Acquisition) es software que muestra capacidad de cómputo gracias al desarrollo gráficamente el estado de cada de algoritmia criptográfica de clave componente de la planta, con la pública basada en estructuras algebraicas posibilidad de actuar sobre ellos. Se de anillos no conmutativos [15-17] la cual diseñaron para controlar sistemas a fecha actual es inmune a ataques industriales, conectando PCs con las cuánticos y esquemas simétricos redes de autómatas industriales; compactos como el presentado en [18]. conformando la interfaz hombre máquina. Este proyecto pretende desarrollar Originalmente los SCADA se soluciones en las redes industriales: en los instalaban en salas aisladas, con acceso SCADA usando avances en la seguridad restringido. Con el tiempo surgió la de redes corporativas, y en la profundidad necesidad de vincularlos a la red de la red industrial mediante soluciones corporativa e incluso a internet. Y esta criptográficas basadas en álgebra no tendencia es inevitable. Su interconexión conmutativa integrándolas con esquemas dejó a los ICS expuestos a amenazas y simétricos compactos. riesgos provenientes desde el exterior, los que suponen serias consecuencias [3]. Hoy es posible, mediante dispositivos Líneas de Investigación, móviles, controlar un ICS, desde Desarrollo e Innovación cualquier lugar del mundo con cobertura de red móvil [4], suponiendo un escenario El equipo de investigación trabaja en ideal para explotar vulnerabilidades e dos ramas: matemático-criptográfica y inyectar malware. La tecnología redes-sistemas. 1091
La rama matemático-criptográfica La transferencia a la comunidad se logrará
trabaja estudiando las estructuras de mediante cursos de extensión anillos no conmutativos y no asociativos y universitaria. La transferencia a la su posibilidad de aplicarlos industria consistirá en el patentamiento de criptográficamente como sistema de métodos y algoritmos que permitirán intercambio seguro de claves. Las incrementar la seguridad de las redes variantes generadas se programan y se las industriales. pone a prueba en ambientes de simulación controlados. La rama de redes-sistemas se encuentra Formación de Recursos Humanos estudiando las normas de seguridad en El proyecto está dirigido por el Esp. sistemas de información más importantes Lic. Jorge Kamlofsky y la Dra. Samira y los protocolos de comunicaciones Abdel Masih. Tiene la colaboración intervinientes con la intención de lograr especial del Dr. Pedro Hecht. Integran el implementar los algoritmos generados. Se proyecto los siguientes docentes de la estudian las vulnerabilidades más Facultad de Tecnología Informática de la frecuentes en estos sistemas. UAI: el PhD. Hugo Colombo, los ingenieros Marcelo Semería, Eugenio Costa, Claudio Milio y el Lic. Daniel Resultados y Objetivos Veiga. La rama matemático-criptográfica ha El equipo de investigación se completa logrado implementar el protocolo con alumnos de la Facultad de Tecnología presentado en [15] y ha llegado a mejoras Informática de la UAI: Matías Sliafertas, en tiempos de ejecución usando Juan Manuel Pedernera, Oscar Morales, cuaterniones [16], en diferentes conjuntos Pablo Oviedo, Jesica Valente, Christian numéricos [17]. También se analiza el Martin, Damián Romero. Daniel Sola, funcionamiento del algoritmo de Shor para Enrique Belaustegui, Facundo Coronel, computación cuántica [19] Federico Romero, Federico Tabarez Rosa, La rama de Redes-Sistemas analizó Fernando Ribas, Matías iacobuzio, ataques a infraestructuras críticas Sandra Biondini, Joan Mutti Ferreyra, publicados en [20] y ha propuesto un Andrés Perez, Angel Orlauskas, Rodrigo enfoque para disminuir los efectos de ciber Gomez, Nicolás Mayer, Maximiliano ataques [21]. Hoy se encuentra analizando Ríos, Nicolás Carella, Nicolás Salas, en detalle las normas ISO27000 [13], la Gastón Suarez y Montserrat Patiño. NIST [14] y NIST Los docentes integrantes del proyecto específica de los ICS [22]. adquieren conocimientos y técnicas de El objetivo final del proyecto es el seguridad que pueden complementar los desarrollo de soluciones de Seguridad que conocimientos por ellos enseñados en las puedan implementarse en las redes de los diferentes materias que integran. ICS. El problema en cuestión es crítico y Gran parte de los alumnos que se se encuentra latente en toda la desempeñan como auxiliares de infraestructura crítica e industrial del investigación inician experiencias en la mundo. investigación científica adquiriendo la Se espera lograr transferencia de correspondiente metodología, en una resultados a la comunidad y a la industria. temática que resulta ser muy atractiva. Otros se encuentran promediando la 1092
carrera, y el conocimiento adquirido se [9] Blackmer, M. Cibersecurity for Industrial
incorporará en sus trabajos finales de Control Networks. III Conferencia Internacional y Taller de Ciberseguridad e carrera. En particular Oscar Morales, Infraestructuras Críticas de Información, Jesica Valente y Pablo Oviedo están Buenos Aires, 2015. finalizando las tesis de final de la carrera [10] Simoes, P., Cruz, T., Proença, J. and Licenciatura en Matemática. Monteiro, E. Honeypots especializados para Redes de Control Industrial. VII CIBSI. Panamá, 2013. Referencias [11] Arias, D. Seguridad en Redes Industriales. Trabajo Final, Universidad de [1] Courtois, N. The dark side of security by Buenos Aires, 2013. obscurity, and Cloning MiFare Classic Rail [12] Paredes, I. La protección de and Building Passes Anywhere, Anytime. infraestructuras críticas y ciberseguridad IACR Cryptology ePrint. Archivo 2009: 137, industrial. Red seguridad: revista 2009. especializada en seguridad informática, [2] Menezes, A., Van Oorschot, P., and protección de datos y comunicaciones 62, Vanstone, S. Handbook of applied (2013), pp. 49. cryptography. CRC press, 1996. [13] ISOTools, ISO 27001 [En línea], (2015). [3] Sánchez P. Sistema de Gestión de la Disponible en: <https:// www.isotools.org / Ciberseguridad Industrial [En línea]. normas / riesgos-y-seguridad / iso-27001>. Universidad de Oviedo, (2013). [Consulta: [Fecha de consulta: 14 de Agosto de 2015]. 11/02/15]. Disponible en: <http:// [14] NIST. Special Publication 800 – 30, dspace.sheol.uniovi.es / dspace / bitstream / revision 1: Information Security. National 10651/17741 / 1 / TFM%20-%20PABLO Institute of Standards and Technology, U.S. %20SANCHEZ.pdf>. Departament of Commerce, [En línea] [4] Opto 22, Press Release: Updates groov to (2012). Disponible en: <http: // Easily Connect Modbus/TCP Devices with nvlpubs.nist.gov / nistpubs / Legacy / SP / Smartphones and Tablets [En línea], (2015). nistspecialpublication800-30r1.pdf> Disponible en: <http:// www.modbus.org / [Consulta: 8/3/2017]. member_docs / OPTO22-Jan2015.pdf> [15] Hecht J. Un modelo compacto de [Consulta: 14/08/2015]. criptografía asimétrica empleando anillos no [5] Carrasco Navarro, O. y Villalón Puerta, A. conmutativos. V CIBSI, Montevideo, 2009. Una visión global de la ciberseguridad de los [16] Kamlofsky J., Hecht J., Abdel Masih, S. sistemas de control. Revista SIC: Hidalgo Izzi, O. A Diffie Hellman compact ciberseguridad, seguridad de la información y model over conmutative rings using privacidad 106, (2013), pp. 52-55. quaternions. VIII CIBSI, Quito, 2015. [6] Veramendi, R. Ataques a la Seguridad [17] KAMLOFSKY, Jorge. Improving a Informática y Telecomunicaciones en el Compact Cipher Based on Non Commutative Contexto Internacional. Revista del Instituto Rings of Quaternion. XXII Congreso de Estudios Internacionales IDEI-Bolivia, Argentino de Ciencias de la Computación 45(2), (2012), pp. 4-11. (CACIC 2016), 2016. [7] Vazquez, S. Ciberseguridad en Paraguay. [18] Castro Lechtaler, A., Cipriano, M., III Conferencia Internacional y Taller de García, E., Liporace, J., Maiorano, A., y Ciberseguridad e Infraestructuras Críticas de Malvacio, E.. Model design for a reduced Información, Buenos Aires, 2015. variant of a Trivium Type Stream Cipher. [8] Corvalan, F. Seguridad de Journal of Computer Science & Technology, Infraestructuras Críticas: Visión desde la 14. Ciberdefensa. III Conferencia Internacional y [19] Shor, Peter W. Algorithms for quantum Taller de Ciberseguridad e Infraestructuras computation: Discrete logarithms and Críticas de Información, Buenos Aires, 2015. factoring. Foundations of Computer Science, 1093
1994 Proceedings., 35th Annual Symposium
on. IEEE, 1994. [20] Security Incidents Organization, RISI: The Repository of Industrial Incidents [En línea], (2015). Disponible en: <http:// www.risidata.Com / Database> [Consulta: 14/08/2015]. [21] Kamlofsky J, Colombo H, Sliafertas M y Pedernera J, Un Enfoque para Disminuir los Efectos de los Ciber-ataques a las Infraestructuras Criticas. III CONAIISI, Buenos Aires, 2015. [22] NIST. Special Publication 800 – 82, revision 2: Guide to Industrial Control Systems (ICS) Security. National Institute of Standards and Technology, U.S. Departament of Commerce, [En línea] (2015). Disponible en: <http: // nvlpubs.nist.gov / nistpubs / Legacy / SP / NIST.SP.800-82r2.pdf> [Consulta: 8/3/2017].
![Guia Google Sketchup[1]](https://imgv2-2-f.scribdassets.com/img/document/131907103/149x198/5d89159e7e/1398477558?v=1)