Está en la página 1de 73

Universidad Internacional de La Rioja

Máster universitario en Seguridad Informática

Ataques a
infraestructuras
críticas a través de
servicios SHODAN y
SCADA
Trabajo Fin de Máster

Presentado por: Martín Quílez, Alvaro

Director/a: Sánchez Rubio, Manuel

Ciudad: Madrid
Fecha: Julio 2017
Máster Universitario en Seguridad Informática Alvaro Martín Quílez

Resumen

Estudio sobre el estado actual de la seguridad en infraestructuras críticas, analizando los


protocolos de comunicación de los elementos que las componen. Se define el concepto de
infraestructura crítica según la ley y se realiza una investigación sobre los elementos
utilizados en entornos industriales y sus protocolos de comunicación. Se analiza cómo a
través de buscadores especializados se puede realizar el proceso de recolección de
información para la realización de ataques sobre los dispositivos. En la presente
investigación se pretende demostrar la viabilidad de la utilización de motores de búsqueda
para recabar información a través de Internet, pudiendo ser utilizada para la realización de
ataques sobre infraestructuras vitales de un país, con consecuencias desastrosas.

Palabras Clave: Seguridad, Infraestructuras críticas, SHODAN, SCADA

Abstract

A study on the current state of security in critical infrastructures, analyzing the


communication protocols of the elements that compose them. The concept of critical
infrastructure is defined according to the law and an investigation is made on the elements
used in industrial environments and their communication protocols. It is analyzed how
through specialized search engines can be carried out the process of collecting information
to perform attacks on the devices. The present research aims to demonstrate the viability of
using search engines to collect information through the Internet that could be used to carry
out attacks on vital infrastructures of a country, with disastrous consequences.

Keywords: Security, Critical infrastructures, SHODAN, SCADA

Ataques a infraestructuras críticas a través de servicios SHODAN y SCADA 2


Máster Universitario en Seguridad Informática Alvaro Martín Quílez

RESUMEN .................................................................................................................. 2

ABSTRACT ................................................................................................................ 2

ÍNDICE DE IMÁGENES .............................................................................................. 5

1. INTRODUCCIÓN .............................................................................................. 7

1.1. Antecedentes ...................................................................................................................7

1.2. Motivación ....................................................................................................................12

1.3. Planteamiento del trabajo ...........................................................................................12

1.4. Estructura del trabajo .................................................................................................13

2. CONTEXTO Y ESTADO DEL ARTE .............................................................. 15

2.1. Marco legal ...................................................................................................................16

2.2. Evolución de la tecnología ...........................................................................................16

2.3. Resumen del contexto ..................................................................................................19

3. OBJETIVOS Y METODOLOGÍA DE TRABAJO ............................................ 20

3.1. Objetivos .......................................................................................................................20

3.2. Metodología ..................................................................................................................20

3.3. Protocolos de comunicaciones.....................................................................................21


Modbus .................................................................................................................................21
Profibus .................................................................................................................................23
Profinet..................................................................................................................................25
DNP3 ....................................................................................................................................26
Common Industrial Protocol .................................................................................................27
Inter-Control Center Communications Protocol ...................................................................29
EtherCAT ..............................................................................................................................29
OPC .......................................................................................................................................30
Protocolos propietarios de fabricantes ..................................................................................30

3.4. Dispositivos de las Infraestructuras Críticas .............................................................30


Nivel 0...................................................................................................................................31
Nivel 1...................................................................................................................................31
Nivel 2...................................................................................................................................34
Nivel 3...................................................................................................................................35
Nivel 4...................................................................................................................................35

4. SHODAN ......................................................................................................... 36

Ataques a infraestructuras críticas a través de servicios SHODAN y SCADA 3


Máster Universitario en Seguridad Informática Alvaro Martín Quílez

4.1. Introducción .................................................................................................................36

4.2. Características ..............................................................................................................37

PoC: PLC’s de OMRON ........................................................................................................42

PoC: Contador de energía PowerLogic EM4800 .................................................................42

PoC: Dispositivos Modbus con página de autenticación sin cifrado ..................................44

PoC: Dispositivos SCADA con servidor web .......................................................................46

PoC: Dispositivos Modbus y router con contraseña por defecto........................................50

PoC: Anybus X-gateway de HMS Industrial Networks AB ...............................................53

PoC: Pass-the-Hass con dispositivos Scada de Honeywell ..................................................56

PoC: Exploits de Shodan sobre servicio FTP en DNP3 .......................................................57

PoC: Múltiples vulnerabilidades en dispositivos Solar-Log ...............................................59

PoC: Utilización de productos discontinuados .....................................................................62

5. CONCLUSIONES ........................................................................................... 67

5.1. Resultados .....................................................................................................................67

5.2. Trabajos futuros ..........................................................................................................67

6. REFERENCIAS............................................................................................... 69

Ataques a infraestructuras críticas a través de servicios SHODAN y SCADA 4


Máster Universitario en Seguridad Informática Alvaro Martín Quílez

Índice de imágenes
Ilustración 1: Porcentaje descubrimiento vulnerabilidades....................................................17
Ilustración 2: Tipos de vulnerabilidades ................................................................................18
Ilustración 3: Pila de Comunicaciones Modbus ....................................................................22
Ilustración 4: Pila de Comunicaciones Profibus ....................................................................24
Ilustración 5: Arquitectura Profinet ........................................................................................25
Ilustración 6: Arquitectura Ethernet/IP ..................................................................................28
Ilustración 7: Niveles ISA-95 ................................................................................................31
Ilustración 8: Arquitectura PLC .............................................................................................32
Ilustración 9: Arquitectura DCS ............................................................................................34
Ilustración 10: Interfaz de SHODAN .....................................................................................36
Ilustración 11: Cabecera HTTP ............................................................................................37
Ilustración 12: Cabecera dispositivo PLC .............................................................................37
Ilustración 13: Información sobre dispositivo ........................................................................38
Ilustración 14: Protocolos ICS en Shodan ............................................................................39
Ilustración 15: Dispositivos ICS en España ..........................................................................41
Ilustración 16: Dispositivos ICS en España ..........................................................................41
Ilustración 17: PLC's de OMRON .........................................................................................42
Ilustración 18: Detalles dispositivo ........................................................................................42
Ilustración 19: Resultados PowerLogic .................................................................................43
Ilustración 20: Características PowerLogic ...........................................................................44
Ilustración 21: Servidor Web PowerLogic .............................................................................44
Ilustración 22: Dispositivos Modbus con puerto 80 ...............................................................45
Ilustración 23: Dispositivo Schneider Electric BMX P34 2020 ...............................................45
Ilustración 24: Página de autenticación sin cifrado ...............................................................46
Ilustración 25: Dispositivos SCADA con puerto 8080 ...........................................................47
Ilustración 26: Escritorio remoto XP .....................................................................................48
Ilustración 27: Servidor web .................................................................................................49
Ilustración 28: Panel de información SCADA........................................................................50
Ilustración 29: Dispositivos con puerto 502 ..........................................................................50
Ilustración 30: Dispositivos filtrados ......................................................................................51
Ilustración 31: Servidor HTTPS embebido ............................................................................51
Ilustración 32: Pantalla acceso DSR-500N ...........................................................................52
Ilustración 33: Usuario y contraseña DSR-500N ..................................................................52
Ilustración 34: Pantalla control DSR-500N ...........................................................................53
Ilustración 35: Dispositivos de HMS .....................................................................................53

Ataques a infraestructuras críticas a través de servicios SHODAN y SCADA 5


Máster Universitario en Seguridad Informática Alvaro Martín Quílez

Ilustración 36: Dispositivos filtrados ......................................................................................54


Ilustración 37: Servicios dispositivo ......................................................................................54
Ilustración 38: Servidor HTTP embebido ..............................................................................55
Ilustración 39: HMS AnyBus-S WebServer ...........................................................................55
Ilustración 40: Configuración de red .....................................................................................56
Ilustración 41: Dispositivos Honeywell vulnerables ...............................................................57
Ilustración 42: Dispositivo vulnerable....................................................................................57
Ilustración 43: Dispositivos DNP3.........................................................................................58
Ilustración 44: Exploits ProFTPD ..........................................................................................59
Ilustración 45: Dispositivo vulnerable....................................................................................59
Ilustración 46: Dispositivos Solar-Log ...................................................................................60
Ilustración 47: Características dispositivo .............................................................................61
Ilustración 48: Servicios dispositivo ......................................................................................61
Ilustración 49: Página de configuración ................................................................................62
Ilustración 50: Información del sistema.................................................................................62
Ilustración 51: Dispositivos G3110-HSDPA ..........................................................................63
Ilustración 52: Características dispositivo .............................................................................64
Ilustración 53: Servicios dispositivo ......................................................................................64
Ilustración 54: Servicios dispositivo ......................................................................................65
Ilustración 55: Servidor de autenticación en puerto 80 .........................................................65
Ilustración 56: Servidor en puerto 8080 ................................................................................66

Ataques a infraestructuras críticas a través de servicios SHODAN y SCADA 6


Máster Universitario en Seguridad Informática Alvaro Martín Quílez

1. Introducción
En el presente capítulo se realiza una introducción sobre el trabajo presentado, describiendo
la idea acerca del mismo y la propuesta concreta que desarrolla. Se analizan los
antecedentes y el contexto en el que se desarrolla el trabajo presentado y se explican las
motivaciones por las que se ha llevado a cabo.

Se indica el planteamiento detallado del trabajo exponiendo los objetivos que se pretenden
alcanzar con el mismo. Asimismo se detalla la estructura del trabajo con detalle para facilitar
el seguimiento del mismo.

1.1. Antecedentes
El rápido desarrollo de las Tecnologías de la Información en los últimos tiempos y la
expansión de las telecomunicaciones han hecho que aumente exponencialmente el número
de dispositivos conectados a Internet, con los riesgos de seguridad que conlleva. A este
cambio no han sido ajenos los Sistemas de Control Industrial, entre los que se incluyen las
Infraestructuras Críticas.

Aquellas organizaciones que disponen de sistemas de este tipo han logrado numerosas
ventajas al conectar dichos sistemas con la posibilidad de poder gestionarlos remotamente,
pero también encuentran desventajas relacionadas con la seguridad al tener los dispositivos
permanentemente conectados por lo que la exposición frente a las amenazas es mayor, con
el agravante de que los ataques sobre este tipo de infraestructuras tienen implicaciones
graves en el mundo real.

Por la propia naturaleza de los sistemas y los entornos productivos que controlan ha sido un
campo en el que ha primado la seguridad entendida sobre el término Safety, frente a la
seguridad entendida como Security, se ha buscado el buen funcionamiento de los sistemas
sin interferencias y su disponibilidad en el momento adecuado, frente al acceso a los
mismos, exceptuando el acceso físico en condiciones de seguridad de los operarios para
evitar accidentes. Esto es, ha primado el interés por mantener la integridad y disponibilidad
de los sistemas frente a la confidencialidad de los mismos.

Esta política ha resultado en sistemas con protocolos de comunicación diseñados sin tener
en cuenta la seguridad, gestión de dispositivos sin control de acceso o mecanismos de
autenticación débiles, sistemas operativos antiguos y sin actualizar, aplicaciones de
operación, control y gestión con fallos de seguridad, etc.

En los últimos años ha tomado interés creciente la seguridad en este campo, a raíz de la
realización de varios ataques a este tipo de infraestructuras con graves consecuencias.

Ataques a infraestructuras críticas a través de servicios SHODAN y SCADA 7


Máster Universitario en Seguridad Informática Alvaro Martín Quílez

1. Gasoducto siberiano 1982

A raíz del Dosier Farewell, un conjunto de documentos entregados por el coronel de la KGB
Vladimir Petrov a la inteligencia francesa en 1981 y 1982, se descubrió que la Unión
Soviética realizaba considerables esfuerzos para obtener conocimientos científicos y
técnicos de los países de Occidente. Este hecho fue empleado por la CIA para realizar una
operación con la que provocar un accidente en el sistema de transporte de gas en Siberia.
Cuando la Unión Soviética intentó comprar sistemas para el transporte de gas en los
Estados Unidos, los norteamericanos se negaron, por lo que los soviéticos tuvieron que
robar el sistema de control por computadora para la automatización del funcionamiento del
nuevo gasoducto a una firma canadiense.

El software de control que funcionaba con las bombas, turbinas y válvulas estaba infectado
por un Caballo de Troya, que hacía que sufrieran velocidades y presiones a las que no
estaban preparadas sometiendo a las juntas y soldaduras de las tuberías a un estrés
intolerable. Esto derivó en la explosión no nuclear más grande vista desde el espacio,
estando localizada en Siberia.

2. Gazprom 1999

De acuerdo a un comunicado de prensa de Associated Press de 1999 un pirata informático


tomó el control de un sistema de gas ruso penetrando en los sistemas SCADA de la
compañía Gazprom. Es la mayor compañía de Rusia, fundada en 1999 en el periodo
soviético, de carácter privado. Según un informe del coronel del Ministerio del Interior,
Kostantin Machaveli, los hackers pudieron superar la seguridad de la compañía y penetrar
en el sistema de control del flujo de gas en los oleoductos, actuando como informadores de
la empresa. Se utilizó un Caballo de Troya para obtener el control durante algún tiempo de
la central de distribución de los flujos de gas.

Sin embargo, el Ministerio del Interior ruso negó una semana después el informe, en una
rueda de prensa, Machaveli informó que los informes presentados por algunos medios de
comunicación fueron exagerados, admitiendo que se habían detectado intentos de
comprometer el sistema de gestión del flujo del gas pero que el servicio de seguridad de la
compañía, utilizando un honeypot imitando la red de computadoras de la compañía, localizó
a los atacantes cuando penetraron en la computadora cebo y se les detuvo.

3. Maroochy 2000

En los meses de febrero y abril del año 2000 Vitek Boden, un ingeniero que había trabajado
supervisando el proyecto de instalación del sistema SCADA en el sistema de tratamiento de

Ataques a infraestructuras críticas a través de servicios SHODAN y SCADA 8


Máster Universitario en Seguridad Informática Alvaro Martín Quílez

aguas residuales del Maroochy Shire Council, en Australia, accedió a los ordenadores que
controlan el sistema de alcantarillado utilizando una señal Wireless robada, controladores
SCADA y software de control para liberar hasta un millón de litros de aguas residuales en el
río y las aguas costeras de Maroochydore, provocando un desastre medioambiental.

Vitek alteró los datos electrónicos de las estaciones de bombeo de alcantarillado


provocando el mal funcionamiento en sus operaciones. Cada estación de bombeo tenía un
microprocesador RTU PDS Compact 500 de Hunter Watertech, capaz de recibir
instrucciones desde un centro de control, transmitir datos y señales de alarma al ordenador
central y proporcionar comandos para arrancar y parar las bombas de las estaciones de
bombeo.

Esto fue empleado por Vitek para alterar los modos de funcionamiento de las bombas,
evitando que las alarmas se enviaran al ordenador central desactivándolas mediante
mensajes electrónicos y provocando el incidente.

4. STUXNET 2010

Posiblemente el ataque sobre infraestructuras críticas más conocido de todos los tiempos, el
gusano Stuxnet estaba especialmente diseñado para retrasar el programa nuclear iraní
dañando las centrifugadoras de enriquecimiento de uranio de la central de Natanz, con un
grado de sofisticación muy grande y es considerado como el primer ciberarma de la historia.

La primera versión tenía como objetivo los controladores de Siemens S7-417, que se
encargan de controlar los sensores y válvulas de presión de las centrifugadoras. No se
podía auto propagar y había que ejecutarlo manualmente abriendo un archivo de
configuración del software de Siemens, a través de una memoria USB o un ordenador
portátil utilizado para configurar los sistemas.

La segunda versión es mucho más avanzada y tenía como objetivo los controladores de
Siemens S7-315, que se encargan de controlar los rotores de las centrifugadoras. Se
aprecia asesoramiento avanzado en seguridad, por lo que se sospecha que fue creado por
la NSA, al utilizar vulnerabilidades de día cero para propagarse a través de dispositivos USB
y una vulnerabilidad de Windows en el sistema RPC para propagarse a través de una red
privada. También había sido firmado con unos certificados digitales robados, por lo que no
era detectado por los antivirus de Windows.

5. FLAME 2012

También llamado SkyWiper y Flamer, es un troyano diseñado especialmente para recabar


datos en sistemas Windows de infraestructuras críticas aunque no puede realizar

Ataques a infraestructuras críticas a través de servicios SHODAN y SCADA 9


Máster Universitario en Seguridad Informática Alvaro Martín Quílez

modificaciones en los sistemas PLC como Stuxnet. Su descubrimiento fue realizado por
MAHER, el Equipo de Respuesta ante Emergencias Informáticas de Irán en 2012. Mucho
más avanzado que este último también hace uso de las mismas vulnerabilidades para su
propagación a través de dispositivos USB e intranet, aunque esta característica se
encuentra deshabilitada por defecto, posiblemente para evitar una propagación
descontrolada.

Se han encontrado hasta cinco tipos de cifrado para evitar su posible estudio y detección por
parte de las empresas de antivirus, por lo que intenta pasar lo más desapercibido posible
para recabar los datos para los que está diseñado y al finalizar eliminar el rastro del mismo.
Puede descargar una gran cantidad de módulos desde un Centro de Comando y Control
para realizar diferentes tareas de inteligencia.

6. BlackEnergy 2015

El 23 de Diciembre de 2015 varias compañías eléctricas de Ucrania informaron de


problemas con el suministro de energía eléctrica a sus clientes en la región de Ivano-
Frankvisk. Posteriormente se descubrió que el causante era un troyano llamado
BlackEnergy, que había infectado los sistemas de las compañías eléctricas, aunque este
troyano se conoce desde hace tiempo ha mutado convirtiéndose en una Amenaza
Persistente Avanzada (APT).

El foco de infección fue una campaña de envío masivo de correos electrónicos con
elementos de Microsoft Office, conteniendo macros maliciosas que al ejecutarse infectaban
el equipo con el troyano. Éste a su vez estaba diseñado para descargar el malware KillDisk,
que borra los archivos del sistema necesarios para el arranque del equipo y en esta ocasión
con unas funciones específicas para este tipo de compañía, en las que intenta finalizar dos
procesos específicos de sistemas de control industrial, sobrescribiendo el archivo ejecutable
con datos aleatorios. Estaba diseñado para no realizar las acciones destructivas hasta
pasado un tiempo desde la infección.

7. Kemuri Water Company 2016

En el informe Data Brech Digest, publicado por Verizon en 2016, se informó de una brecha
de seguridad en los sistemas de una planta depuradora de agua con el nombre ficticio de
Kemuri Water Company. A través de una aplicación web para la gestión de cuentas de
usuario alojada en un servidor AS/400 se habían producido accesos no autorizados a los
sistemas internos también conectados a la misma red, con lo que se detectaron
comportamientos anómalos en los Controladores Lógicos Programables que manejaban las
diferentes válvulas y conductos provocando interrupciones en la distribución de agua. Los

Ataques a infraestructuras críticas a través de servicios SHODAN y SCADA 10


Máster Universitario en Seguridad Informática Alvaro Martín Quílez

PLC’s son cruciales para controlar los productos químicos empleados para depurar el agua
y el caudal en la distribución. Aunque los intrusos tuvieron acceso a millones de registros de
clientes no utilizaron la información de los mismos, probablemente no se dieron cuenta de
que estaban manipulando los niveles de los productos puesto que la forma en que
manipularon la configuración de la aplicación mostraba poco conocimiento del sistema. Al
final la compañía pudo identificar y revertir los cambios realizados, por lo que no hubo más
incidentes, pero con más tiempo y preparación podrían haber causado daños al suministro
de agua potable de la población.

8. Industroyer 2016

A raíz de los ataques producidos contra la red eléctrica de Ucrania en 2016, que dejaron sin
suministro eléctrico a parte de la capital durante una hora, investigadores de ESET
descubrieron e investigaron muestras de malware identificadas con Win32/Industroyer,
capaces de efectuar ese tipo de acción. Estos ataques pudieran ser una prueba a gran
escala para probar el malware, que es capaz de hacer un daño significativo a los sistemas
de energía eléctrica pudiendo reajustarse para utilizarse contra otros tipos de infraestructura.

Este malware es capaz de controlar los interruptores de las subestaciones eléctricas


directamente empleando los protocolos de comunicación industrial utilizados en las
infraestructuras de suministro eléctrico, sistemas de control de transporte, e infraestructuras
de agua y gas. Estos protocolos se diseñaron hace tiempo por lo que se primó el
funcionamiento de los mismos frente a la seguridad, Industroyer no busca vulnerabilidades
en los protocolos sino que interactúa con los mismos empleando la misma especificación
para obtener el control de interruptores y disyuntores de una subestación eléctrica.

Es un malware modular, el componente principal es una puerta trasera empleada para


gestionar el ataque, se conecta a un servidor de comando y control para descargar el resto
de los componentes y gestionar el ataque mediante los comandos recibidos e informar sobre
las acciones realizadas. Emplea cuatro componentes maliciosos diseñados específicamente
para los siguientes estándares: IEC 60870-5-101, IEC 60870-5-104, IEC 61850 y OLE para
Process Control Data Access (OPC DA).

Los payloads trabajan en diferentes etapas para mapear la red y encontrar los dispositivos
específicos a atacar mediante los comandos ejecutados, muestra un gran conocimiento
sobre el funcionamiento de los sistemas de control industrial y está diseñado para
permanecer oculto mientras realiza su labor, mantener la persistencia y por último, borrar los
rastros que haya podido dejar durante su ejecución.

Ataques a infraestructuras críticas a través de servicios SHODAN y SCADA 11


Máster Universitario en Seguridad Informática Alvaro Martín Quílez

Es un malware universal que puede ser empleado para atacar los sistemas de control
industrial que utilicen los protocolos de comunicación con los que puede trabajar, es
altamente personalizable, puesto que algunos de los componentes analizados están
diseñados para atacar un tipo de hardware específico de diferentes fabricantes.

1.2. Motivación
La motivación a la hora de realizar este proyecto tiene dos enfoques, personal y profesional.
La motivación personal surge puesto que la seguridad es una disciplina relativamente
reciente en la que existen diferentes áreas por desarrollar, especialmente en el campo de
los sistemas industriales y las infraestructuras críticas, pudiendo desarrollar proyectos
innovadores con un enriquecimiento personal en conocimientos. Se pretende aportar
claridad sobre ciertas lagunas que existen en el mundo de la seguridad en entornos
industriales para mostrar cuán vulnerables son los sistemas y lo fácil que es conseguir
información de inteligencia a través de fuentes abiertas, con la que se podrían efectuar
ataques sobre las infraestructuras críticas de un país. Investigar sobre aquellos protocolos y
elementos que se utilizan en los entornos industriales y cómo, en conjunción con
buscadores especializados, se puede emplear éticamente esa información para poder
explotar vulnerabilidades y realizar ataques más fácilmente que hace unos años, cuando la
mayoría de los entornos no estaban conectados a Internet, para poder desarrollar las
políticas necesarias para contrarrestarlos.

La segunda motivación es profesional, durante los cinco últimos años colaboro


profesionalmente en el desarrollo del nuevo Sistema de Control de Tráfico Aéreo del Reino
Unido, en el que por el análisis del proyecto y la experiencia adquirida en la realización de
este máster considero que no se presta la adecuada atención sobre los aspectos relativos a
la seguridad en el desarrollo del mismo. Por lo que la formación es una motivación para
poder suplir aquellas carencias observadas y poder proporcionar profesionalmente los
conocimientos necesarios para el buen desarrollo del proyecto en aquellos aspectos más
deficientes. También existe la motivación de mejorar profesionalmente y orientar la carrera
laboral hacia aspectos más enfocados en la seguridad.

1.3. Planteamiento del trabajo


El objetivo principal del trabajo es desarrollar un piloto experimental donde se muestre la
escasez de seguridad que presentan los dispositivos que componen los sistemas de
infraestructuras críticas. Demostrar que con la información adecuada sobre estos elementos
y mediante la utilización de herramientas especializadas de búsqueda en Internet, se
pueden realizar ataques sobre este tipo de infraestructuras con pocos medios materiales.

Ataques a infraestructuras críticas a través de servicios SHODAN y SCADA 12


Máster Universitario en Seguridad Informática Alvaro Martín Quílez

Para dar respuesta y llevar a buen término el piloto experimental se pretende investigar
sobre los protocolos de comunicación que utilizan este tipo de dispositivos, realizando una
descripción de los diferentes elementos que componen estas infraestructuras. Realizar un
análisis de diferentes dispositivos utilizados por la industria en el mundo real, junto a sus
vulnerabilidades conocidas para poder utilizar dicha información en la elaboración de
ataques.

Mediante la utilización de buscadores especializados, como Shodan, ZoomEye ICS o


Censys se pretende demostrar, realizando varias pruebas de concepto, cómo se pueden
aprovechar las vulnerabilidades que presentan estos dispositivos para la realización de
ataques mediante la explotación de las mismas.

Como objetivo secundario se pretende presentar la evolución seguida en la forma de realizar


este tipo de ataques mediante la progresiva conexión de este tipo de dispositivos a Internet,
en la que se sacrificado seguridad por facilidad de gestión mediante conexión remota.

1.4. Estructura del trabajo


Realizada la introducción del trabajo en el presente apartado, a continuación se muestra la
descripción de los siguientes capítulos que conforman el trabajo:

 En el capítulo 2 se muestra el contexto actual en el que se desarrolla la seguridad en


entornos industriales. Se describe el marco legal al que están sometidos este tipo de
sistemas y cómo se ha incrementado el número de incidentes relacionados con este
tipo de sistemas en los últimos años. Se describe la evolución seguida en el
desarrollo de estos ataques. El objetivo final del capítulo es demostrar la importancia
que tiene la seguridad de los dispositivos utilizados en este tipo de sistemas y que se
conectan a Internet.
 En el capítulo 3 se describe el objetivo general y los objetivos específicos del trabajo.
Se presentan los protocolos de comunicación más extendidos en este tipo de
dispositivos. Además, se realiza una descripción de los diferentes tipos de
dispositivos que conforman este tipo de sistemas con sus vulnerabilidades
asociadas. Asimismo se detalla la metodología empleada durante el desarrollo del
trabajo.
 En el capítulo 4 se realiza un estudio sobre el buscador Shodan y las posibilidades
que nos ofrece para la búsqueda de información especializada sobre los dispositivos
SCADA. Mediante varias pruebas de concepto se realizará la demostración del
objetivo que se pretende conseguir y se muestran los resultados obtenidos,
mostrando ejemplos concretos con dispositivos de diferentes fabricantes utilizados

Ataques a infraestructuras críticas a través de servicios SHODAN y SCADA 13


Máster Universitario en Seguridad Informática Alvaro Martín Quílez

en sistemas reales. Finalizando con una justificación de los resultados logrados en el


desarrollo del piloto experimental.
 En el capítulo 5 se muestran las conclusiones a las que se ha llegado tras la
realización del trabajo. Finalmente, se muestran las líneas de trabajo futuro que se
pueden realizar para mejorar la aportación efectuada con el presente trabajo.

Ataques a infraestructuras críticas a través de servicios SHODAN y SCADA 14


Máster Universitario en Seguridad Informática Alvaro Martín Quílez

2. Contexto y estado del arte


La seguridad en la protección de infraestructuras críticas ha sido un campo desarrollado por
gobiernos o grandes empresas debido al tipo de infraestructura que se intenta proteger de
los diferentes tipos de ataques.

La progresiva conexión de los diferentes tipos de sistemas empleados y la relativa aparición


de buscadores especializados en este tipo de dispositivos hace que no exista una amplia
literatura sobre el tema.

Jason Larsen, de IO Active, impartió una conferencia en la Black Hat DC 2008, titulada
SCADA Security, sobre sistemas SCADA y los diferentes tipos de ataques que se pueden
llevar a cabo sobre este tipo de sistemas, realizando una descripción de los mismos.

En el año 2010 Michael “theprez98” Schearer impartió una conferencia, en el ámbito de la


DEFCON 18, titulada SHODAN for Penetration Tester, en la que realiza una introducción
sobre el buscador y expone las características de las que dispone para su utilización como
herramienta para realizar test de penetración sobre diferentes tipos de dispositivos de
comunicaciones. Esta conferencia será el punto de comienzo para el desarrollo del presente
trabajo.

En el año 2011 se publicó el libro Cybersecurity for Industrial Control Systems: SCADA,
DCS, PLC, HMI, and SIS, de los autores Tyson Macaulay y Bryan L. Singer en el que hacen
un estudio sobre los sistemas de control industrial y las herramientas capaces de asegurar
la protección de sus redes, sin sacrificar la eficiencia y funcionalidad. Las amenazas y
riesgos a los que se enfrentan y las vulnerabilidades de este tipo de sistemas.

En 2016 la editorial 0xWord publicó un libro de Juan Francisco Bolívar, titulado


Infraestructuras críticas y sistemas industriales, en el que proporciona información para
entender este tipo de infraestructuras y detectar los puntos de ataque sobre estos sistemas,
introduciendo al buscador Shodan y diversas herramientas especializadas para la detección
de vulnerabilidades y la securización de los sistemas.

Más recientemente, en febrero de 2017, Yolanda Corral moderó un debate, enmarcado en


su canal de ciberseguridad Palabra de hacker titulado ¿Qué es Shodan? El buscador, al
descubierto, con la participación de Enrique Rando, Miguel Ángel Arroyo, Jorge Coronado y
Eduardo Sánchez, en el que indagan y ponen al descubierto este buscador.

Ataques a infraestructuras críticas a través de servicios SHODAN y SCADA 15


Máster Universitario en Seguridad Informática Alvaro Martín Quílez

2.1. Marco legal


En el Estado Español la legislación que recoge las disposiciones referidas a las
infraestructuras críticas es la Ley 8/2011, de Protección de las Infraestructuras Críticas. En
ella se define infraestructura crítica como aquellas instalaciones, redes, sistemas, equipos
físicos y de tecnologías de la información en las que funcionan aquellos servicios esenciales
para el mantenimiento de las funciones sociales básicas, de seguridad, bienestar social,
salud y económico de los ciudadanos, o el eficaz funcionamiento de las Administraciones
Públicas y las Instituciones del Estado, y cuyo funcionamiento es indispensable, que no
permite soluciones alternativas, en las que su destrucción o perturbación causaría un grave
impacto en dichos servicios.

El Centro Nacional para la Protección de las Infraestructuras Críticas se centra más en los
servicios desempeñados que en las propias infraestructuras, por lo que recoge aquellas
actividades relacionadas con la Administración, Agua, Alimentación, Energía, Espacio,
Industria Química y Nuclear, Instalaciones de Investigación, Salud, Sistema Financiero y
Tributario, Tecnologías de la Información y Comunicaciones y Transporte.

Anteriormente la Unión Europea, mediante la Directiva 2008/114/CE del Consejo, estableció


la obligatoriedad de los estados miembros para la identificación y designación de las
infraestructuras críticas y la evaluación de las necesidades para mejorar su protección,
proporcionando una lista mínima de aquellos sectores afectados relacionados con la
Energía (Electricidad, Petróleo, Gas) y los Transportes.

Según el artículo 197 bis del Código Penal español se considera un delito, penado con
cárcel, el acceso no autorizado a un sistema de información vulnerando las medidas de
seguridad establecidas. La interceptación de las comunicaciones no públicas de datos
informáticos transmitidas entre sistemas también se considera delito.

2.2. Evolución de la tecnología


Desde el año, 1982 con el ataque al gasoducto siberiano, hasta los últimos ataques
producidos en 2016, la tecnología sobre sistemas industriales ha avanzado
considerablemente permitiendo la interconexión remota de los mismos. Esta evolución no ha
sido pareja con la seguridad referida a los mismos, la aparición de herramientas
especializadas sobre este tipo de sistemas ha hecho que se incremente considerablemente
el número de incidencias referidas a este tipo de sistemas.

Según IBM X-Force el número de ataques sobre sistemas industriales aumentaron un 110%
en el año 2016 sobre los números de años anteriores, esto fue debido a la liberación en
Github de una herramienta para la realización de pruebas de penetración sobre Modbus,

Ataques a infraestructuras críticas a través de servicios SHODAN y SCADA 16


Máster Universitario en Seguridad Informática Alvaro Martín Quílez

junto con el aumento del número de dispositivos conectados y buscadores especializados,


hizo que el número de ataques de fuerza bruta sobre dispositivos SCADA aumentase en
busca de usuarios por defecto o contraseñas débiles.

Desde el primer Informe sobre la Protección de Infraestructuras Críticas en España,


publicado por S2 Grupo en 2011 hasta el cuarto informe publicado en 2016, se constata que
la investigación de vulnerabilidades en componentes de sistemas industriales sigue siendo
minoritaria en comparación con el mundo TI (Tecnologías de la Información). El número de
vulnerabilidades descubiertas es de 136 frente a 10000, por lo que la mayor parte de las
mismas no se descubren. La mayor parte de las vulnerabilidades las descubren empresas
de seguridad frente a un 14% que son descubiertas por los fabricantes.

Ilustración 1: Porcentaje descubrimiento vulnerabilidades

Fuente: S2 Grupo

La mayor parte de las vulnerabilidades publicadas en el ICS-CERT son de autenticación y


denegación de servicio, debido a que este sector no ha adoptado las prácticas de desarrollo
seguro para las aplicaciones.

Ataques a infraestructuras críticas a través de servicios SHODAN y SCADA 17


Máster Universitario en Seguridad Informática Alvaro Martín Quílez

Ilustración 2: Tipos de vulnerabilidades

Fuente: S2 Grupo

Para el 95% de las vulnerabilidades existen actualizaciones proporcionadas por el


fabricante, pero el 86% de las vulnerabilidades que no disponen de un parche de
actualización se encuentran en el hardware, esto es debido a que muchos de los
dispositivos se diseñaron hace mucho tiempo y no disponen de mecanismos para actualizar
el firmware.

Debido al alto grado de conocimiento técnico necesario el 82% de las vulnerabilidades no


poseen exploits de conocimiento público, la misma característica que hace difícil parchear
los dispositivos hace que sea también complicado explotar la vulnerabilidad, esto no quiere
decir que se puedan adquirir los conocimientos necesarios para ello.

Una conclusión a la que llega el estudio es que el 19% de las vulnerabilidades que
disponen de actualización también disponen de un exploit público, por lo que el resultado de
no aplicar las actualizaciones de seguridad puede ser desastroso.

El 84% de las vulnerabilidades son explotables de forma remota, unido a que el 87% de
ellas están catalogadas de alto riesgo y el 47% requieren de pocos conocimientos técnicos,
hace que mediante herramientas como Shodan este tipo de sistemas sean especialmente
vulnerables a atacantes con pocos conocimientos técnicos y de graves consecuencias.

Ataques a infraestructuras críticas a través de servicios SHODAN y SCADA 18


Máster Universitario en Seguridad Informática Alvaro Martín Quílez

2.3. Resumen del contexto


Las conclusiones que podemos obtener del estudio del contexto se pueden enunciar en
varias sentencias.

La primera es que los sistemas de control industrial cuyo funcionamiento es considerado


indispensable se denominan infraestructuras críticas, teniendo un marco regulado por ley
para su funcionamiento y protección.

En los últimos años ha aumentado el número de ataques sobre infraestructuras de este tipo,
observándose un interés creciente por parte de gobiernos y empresas en su seguridad.

El número de sistemas de este tipo ha aumentado considerablemente en todo el mundo,


conllevando un aumento del número de vulnerabilidades descubiertas en este tipo de
sistemas, aunque comparativamente menor que en el mundo TI.

Se ha ido ampliando la información sobre este tipo de sistemas y han aparecido diversas
herramientas especializadas en la recolección de información, por lo que unido al aumento
del número de dispositivos conectados hacen que muchas de las vulnerabilidades sean
fácilmente explotables por personal no especializado.

Ataques a infraestructuras críticas a través de servicios SHODAN y SCADA 19


Máster Universitario en Seguridad Informática Alvaro Martín Quílez

3. Objetivos y metodología de trabajo

3.1. Objetivos
Con la realización del presente trabajo se pretenden determinar varios objetivos, un objetivo
general y varios objetivos específicos. El objetivo principal es explorar los sistemas de
control industrial, y más en concreto las infraestructuras críticas.

Partiendo de este objetivo tenemos otro objetivo fundamental que es estudiar la viabilidad de
la utilización de motores de búsqueda especializados para la recolección de información
sobre los dispositivos que conforman este tipo de sistemas.

Como objetivos más específicos tenemos los siguientes:

 Verificar la viabilidad del buscador Shodan como herramienta para la realización de


test de penetración.
 Analizar diferentes protocolos de comunicaciones utilizados en este tipo de sistemas
y sus vulnerabilidades asociadas.
 Conocer diferentes tipos de dispositivos y sus vulnerabilidades asociadas.
 Establecer una línea temporal entre los ataques más importantes realizados sobre
infraestructuras críticas y la evolución seguida en su desarrollo.

3.2. Metodología
El plan de trabajo empleado para la realización del proyecto se ha basado en un modelo
iterativo, caracterizado por la realización de varias iteraciones para la consecución de las
diferentes tareas en las que se ha dividido el proyecto. La primera iteración consistió en la
búsqueda de información sobre ataques producidos sobre infraestructuras críticas en la
historia. En la segunda iteración se documentó la normativa legal aplicable y el estado del
arte de la seguridad en este tipo de infraestructuras. Posteriormente se investigó sobre los
protocolos de comunicación más extendidos en este tipo de infraestructuras, así como los
diferentes elementos que las constituyen en la tercera iteración. Finalmente, en la cuarta
iteración se investiga acerca de la viabilidad del motor de búsqueda Shodan en la
realización de test de penetración en este tipo de sistemas.

El desarrollo del presente proyectó comenzó a fraguarse a finales de 2016 mediante un


intercambio de correos con el tutor. Cuando comienza el plazo oficial se presenta por parte
del tutor una propuesta, la cual es seleccionada por el alumno presentando. Se entrega a
mediados de Febrero la redacción de la propuesta siendo considerada como No apta,

Ataques a infraestructuras críticas a través de servicios SHODAN y SCADA 20


Máster Universitario en Seguridad Informática Alvaro Martín Quílez

teniendo que concretarla y mejorarla para volverla a presentar a mediados de Marzo, la cual
es aceptada.

Se presenta un plan de trabajo en el que se hacen constar las diferentes actividades que se
van a realizar para la consecución del proyecto, habiendo comenzado y terminado la
primera iteración a primeros de Marzo. En la tercera iteración se emplean tres semanas para
documentar el estado del arte y la normativa legal aplicable. El mayor tiempo empleado ha
sido en la tercera actividad, se han empleado dos meses para documentar los protocolos de
comunicaciones y los elementos que conforman los sistemas. En la cuarta iteración se ha
empleado un mes y medio para obtener información y realizar las diferentes pruebas de
concepto que se muestran posteriormente. Se finaliza el proyecto terminando de redactar la
memoria con las conclusiones obtenidas.

3.3. Protocolos de comunicaciones

Modbus
Modbus Serie es uno de los protocolos con más antigüedad, aparecido en 1979 y muy
empleado en la industria, desarrollado originalmente por Schneider Electrics, hoy en día está
mantenido por The Modbus Organization. Diseñado para la programación de elementos de
control, tales como PLC o RTU.

En 1999 apareció la versión Modbus/TCP, diseñada para ser utilizada en redes TCP/IP, por
lo que existen dos tipos de implementaciones.

Modbus Serie utiliza como tecnología de transmisión el estándar High-Level Data Link
Control (HDLC), que es un protocolo de comunicaciones de propósito general punto a punto
operando a nivel de enlace de datos, o bien emplea RS232 o RS485, protocolos a nivel
físico si se implementa en modo maestro esclavo.

Modbus TCP/IP es un protocolo a nivel de aplicación, capa 7 del modelo OSI, por lo que se
pueden utilizar distintos soportes físicos para el transporte. Provee comunicación entre
dispositivos cliente/servidor conectados a diferentes redes o buses mediante el empleo del
puerto 502 de la pila TCP/IP.

Ataques a infraestructuras críticas a través de servicios SHODAN y SCADA 21


Máster Universitario en Seguridad Informática Alvaro Martín Quílez

Ilustración 3: Pila de Comunicaciones Modbus

Fuente: Modbus Organization

A nivel físico no existe seguridad, puesto que los protocolos RS se encargan de transmitir
bits entre estaciones y las medidas de seguridad se implementan en capas superiores.

La capa de enlace se encuentra por encima del nivel físico, aquí se implementa HDLC o
Ethernet según la implementación, Bus Serie o TCP respectivamente. Tampoco existen
implementadas características de seguridad en esta capa.

Al haber sido diseñado para la utilización en entornos controlados, Modbus no implementa


mecanismos de seguridad en la capa de aplicación, por lo que no existen mecanismos de
autentificación empleando para la sesión una dirección y un código de función válidos. Se
pueden suplantar tanto maestros como esclavos e incluso enviar datos falsos desde un
esclavo hacia un maestro. Tampoco permite el uso de cifrado de la información por lo que la
información viaja en texto claro, pudiendo capturar la misma con un simple sniffer de red.

En las implementaciones de Bus Serie los comandos se envían por broadcast, por lo que
todos los elementos que se encuentren conectados pueden sufrir ataques contra la
disponibilidad mediante la realización de ataques de Denegación de Servicio (DoS).

Los elementos de control interconectados a través de este protocolo son susceptibles de


sufrir ataques de inyección de código malicioso.

Al no estar diseñado con mecanismos de seguridad, la implementación de los mismos se


debe realizar mediante la introducción de elementos de seguridad adicionales que mitiguen
dichas vulnerabilidades.

Ataques a infraestructuras críticas a través de servicios SHODAN y SCADA 22


Máster Universitario en Seguridad Informática Alvaro Martín Quílez

La primera es el cifrado de las comunicaciones, es una solución efectiva pero de difícil


implementación puesto que los dispositivos que implementan el protocolo no suelen tener la
capacidad de realizarla, habría que utilizar aplicaciones externas con lo que se incrementan
los problemas de gestión y distribución de contraseñas. También sería necesario utilizar un
elemento para realizar esta tarea en cada uno de los dispositivos que implementen el
protocolo.

La opción más extendida es la utilización de cortafuegos entre los distintos dispositivos,


tanto a nivel de red para controlar las direcciones tanto del maestro como de los esclavos,
como a nivel de aplicación que permite revisar los datos de la trama.

Junto a los cortafuegos para controlar el tráfico en las redes se pueden emplear Sistemas de
Detección y Sistemas de Prevención de Intrusos (IDS e IPS), con los que detectar paquetes
de datos enviados desde direcciones no controladas y el uso de funciones no permitidas y
actuar en consecuencia.

Profibus
Profibus es una familia de buses estándar de comunicación abierto utilizado en millones de
dispositivos, promovido por el gobierno alemán junto a varias compañías industriales a
finales de los años ochenta. Hoy en día lo mantienen dos organizaciones, la Organización
de Usuarios Profibus (PNO) y Profibus Internacional (PI), que se encargan de formación,
estándares y desarrollo de nuevas tecnologías.

El primer protocolo desarrollado fue Profibus FMS (Field Message Specification), diseñado
para la comunicación entre ordenadores y Controladores Programables a través del envío
de información compleja entre ellos. No tiene gran flexibilidad por lo que no es apropiado
para información más simple o redes complejas y extensas.

Debido a la poca flexibilidad se desarrolló en 1993 Profibus DP (Decentralized Periphery),


para la operación de sensores y actuadores a través de controlador centralizado, es más
rápido y flexible que el anterior. A su vez está dividido en tres versiones, que van de la DP-
V0 a la DP-V3, proporcionando características nuevas y más complejas.

Posteriormente apareció Profibus PA (Process Automation), para la monitorización de


equipos a través de automatización de procesos, diseñado especialmente para la utilización
en entornos peligrosos puede utilizar tecnología Manchester Bus Powered (MBP) en vez de
par trenzado RS485, que podría provocar chispas con riesgo de explosión en dichos
entornos. Esta tecnología se diseñó para la transmisión de datos y energía, pudiendo reducir
la energía transmitida reduciendo el riesgo de explosiones.

Ataques a infraestructuras críticas a través de servicios SHODAN y SCADA 23


Máster Universitario en Seguridad Informática Alvaro Martín Quílez

Profibus opera en el nivel físico, de enlace y aplicación del modelo OSI.

Ilustración 4: Pila de Comunicaciones Profibus

Fuente: Real Time Automation Inc

En la capa física, además de par trenzado RS485 y MBP, se puede utilizar fibra óptica.

La capa de enlace emplea como mecanismo de gestión de acceso al medio FDL (Field bus
Data Link), combinando las tecnologías maestro-esclavo con el paso de testigo para decidir
quién inicia la comunicación y ocupa el bus.

A nivel de aplicación se emplean FMS, DP-V0 para intercambiar datos periódicos, DP-V1
para comunicaciones no periódicas, y DP-V2 para las comunicaciones asíncronas a través
de broadcast.

Además, se proporcionan los servicios PROFIsafe y PROFIdrive, que pueden emplear la


TCP/IP como protocolo de transporte en la fase inicial de asignación de dispositivos.

No se implementan mecanismos de autentificación por lo que es susceptible de sufrir


ataques de suplantación. La ausencia de cifrado de la información permite la captura de los
datos transmitidos y la falta de seguridad en el protocolo hace que está expuesto a ataques
de denegación de servicio y de inyección de código.

Es necesaria una buena seguridad perimetral con cortafuegos, segmentación de redes, y la


utilización de IDS/IPS para mitigar la posibilidad de ataques.

Ataques a infraestructuras críticas a través de servicios SHODAN y SCADA 24


Máster Universitario en Seguridad Informática Alvaro Martín Quílez

Profinet
Profinet es el estándar de Profibus Internacional desarrollado a partir de Profibus utilizando
Ethernet en vez de RS485 y la funcionalidad completa de TCP/IP, por lo que le permite altas
velocidades de transferencia y posibilidades inalámbricas. Ampliamente utilizado en equipos
orientados a fiabilidad, usabilidad y comunicaciones en tiempo real, se encuentra muy
expuesto en Internet debido a su utilización para la gestión remota de dispositivos de
campo. Los puertos por defecto empleados son 34962-64. Utiliza tres tipos de servicios de
comunicación.

El servicio TCP/IP para funciones de parametrización, transferencias de datos, video y audio


a sistemas de nivel superior, descubrimiento de dispositivos.

Servicio de Tiempo Real para aplicaciones típicas de E/S con necesidades de alto
rendimiento y control de movimiento.

Servicio de Tiempo Real Isócrono con sincronización de mucha precisión para control de
movimiento, en los que se prioriza la señal y la conmutación programada.

Ilustración 5: Arquitectura Profinet

Fuente: INCIBE

Dentro del estándar existen varios protocolos diseñados especialmente para usos concretos:

Ataques a infraestructuras críticas a través de servicios SHODAN y SCADA 25


Máster Universitario en Seguridad Informática Alvaro Martín Quílez

Profinet/CBA, utilizado en entornos industriales para aplicaciones de automatización


distribuida.

Profinet/DCP, empleado para configurar nombres de dispositivos y direcciones IP.

Profinet/IO, o Real Time (RT) se utilizada para comunicaciones con periferias


descentralizadas.

Profinet/MRRT, para proporcionar redundancia de medios en la anterior.

Profinet/MRP, se emplea en redes de alta disponibilidad con topología en anillo, proporciona


reestructuración de una red en caso de fallo.

Profinet/PTCP, diseñado para sincronizar las señales de reloj en PLC’s.

Profinet/RT, transferencia de datos en tiempo real.

Profinet/IRT, transferencia isócrona de datos en tiempo real.

Al ser un protocolo orientado a la fiabilidad y disponibilidad de los sistemas no dispone de


mecanismos de seguridad nativos. La falta de elementos de autenticación y la alta
exposición de los dispositivos les hace especialmente vulnerables a accesos no autorizados.

Se deben emplear mecanismos de segmentación de redes y seguridad perimetral para


disminuir el riesgo de accesos no autorizados, junto al uso de cifrado de comunicaciones y
mecanismos de autentificación implementados en capas superiores.

DNP3
Distributed Network Protocol es un protocolo de comunicaciones de uso industrial para
componentes de sistemas SCADA, utilizado en el sector eléctrico para comunicar
estaciones controladores y equipos inteligentes (IED) ampliamente utilizado en Estados
Unidos y Canadá. Desarrollado originalmente por Harris, Distributed Automation Products a
partir de 1993 es mantenido por el DNP Users Group, que lo mantiene como un protocolo
abierto y público.

Diseñado para ser más eficiente, robusto y compatible que otros protocolos más antiguos
como Modbus, es más complejo. Originalmente empleaba como medio físico RS232 pero
hoy en día las tramas se encapsulan sobre TCP o UDP, sobre Ethernet, empleando por
defecto el puerto 20000. Emplea las capas de nivel de enlace, nivel de aplicación y una capa
de pseudo-transporte, ya que no se corresponde exactamente con la capa de transporte de
OSI.

Ataques a infraestructuras críticas a través de servicios SHODAN y SCADA 26


Máster Universitario en Seguridad Informática Alvaro Martín Quílez

Maximiza la disponibilidad del sistema frente a la confidencialidad e integridad de los datos,


dispone de una implementación segura para proporcionar mecanismos de autenticación a
nivel de aplicación para proporcionar comunicaciones seguras. Con lo que se evitan los
problemas de captura de mensajes, transmisión de mensajes maliciosos, modificación de
mensajes y suplantación de identidad.

También se puede emplear encapsulado en un protocolo de transporte seguro, como TLS.

Common Industrial Protocol


CIP es un protocolo de comunicaciones independiente del medio desarrollado por ODVA,
utiliza un modelo de comunicaciones productor-consumidor y está estrictamente orientado a
objetos en las capas superiores. Engloba un conjunto de mensajes y servicios capaces de
integrarse en Internet y redes Ethernet.

Cuenta con un gran número de objetos que cubren las funciones típicas y las
comunicaciones de elementos comunes en los procesos de industrialización, estos objetos
están formados por atributos (datos), servicios (comandos), conexiones y comportamientos
(relación entre valores de atributo y servicios). Un mismo objeto se comporta de idéntica
manera implementado en diferentes dispositivos conformando un perfil de dispositivo, con lo
que responde de igual manera a los mismos comandos manteniendo el mismo
comportamiento de red.

El modelo de comunicaciones sigue una arquitectura de tipo multicast en la que el productor


pone en circulación el mensaje que será consumido por el receptor al que esté dirigido en
base a un identificador, el resto de los receptores desecharán el mensaje al no estar dirigido
a ellos. Existen dos tipos de mensajes:

Mensajes implícitos, contienen un identificador que utiliza el nodo consumidor para conocer
si el mensaje está destinado a él y la acción a emprender.

Mensajes explícitos, contienen la dirección de origen/destino de los nodos y la acción


concreta a realizar.

Mediante varias adaptaciones proporciona comunicación e integración para distintos tipos


de redes:

ControlNet, integración con tecnologías CTDMA (Concurrent Time Domain, Multiple


Access). Utiliza como medio de transmisión cable coaxial RG-6.

DeviceNet, adaptada con CAN (Controller Area Network).

Ataques a infraestructuras críticas a través de servicios SHODAN y SCADA 27


Máster Universitario en Seguridad Informática Alvaro Martín Quílez

CompoNet, adaptada a tecnologías TDMA (Time Division Multiple Access), utilizando cables
redondos como medio de transmisión, en vez de cables planos.

Ethernet/IP, adaptada a TCP/IP, hace uso de la misma para las tareas de red y transporte
adaptando CIP en la capa de aplicación. Utiliza los mensajes explícitos a través del puerto
TCP 44818, mediante conexión cliente/servidor para transmitir los mensajes entre los PLC y
los HMI, realizar transferencia de ficheros y envío de mensajes de diagnóstico. También
emplea los mensajes implícitos a través del puerto UDP 2222 para comunicaciones en
tiempo real, operando en multicast por cuestiones de eficiencia, mandando un mismo
mensaje a varios dispositivos.

Ilustración 6: Arquitectura Ethernet/IP

Fuente: INCIBE

El protocolo CIP no define ningún mecanismo de seguridad, al disponer de objetos para la


identificación de dispositivos proporciona un mecanismo para el descubrimiento de los
objetivos dentro de la red. Mediante el empleo de objetos comunes para el intercambio de
información se pueden manipular los distintos dispositivos modificando este tipo de objetos.
No proporciona ningún tipo de cifrado debido a las características de los mensajes implícitos
para las comunicaciones en tiempo real en modo multicast.

Además, Ethernet/IP al estar basado en Ethernet, mantiene todas las vulnerabilidades del
mismo, como la suplantación de identidad y la captura de tráfico. Debido a que el protocolo

Ataques a infraestructuras críticas a través de servicios SHODAN y SCADA 28


Máster Universitario en Seguridad Informática Alvaro Martín Quílez

UDP no tiene control de transmisión se puede realizar inyección de tráfico malicioso con los
mensajes implícitos y mediante el empleo de IGMP (Internet Group Management Protocol)
se puede manipular la ruta de transmisión.

Inter-Control Center Communications Protocol


ICCP es un protocolo cliente servidor independiente del vendedor, diseñado para la
transmisión de información en redes WAN. También conocido como TASE.2 (Telecontrol
Application Service Element 2) fue diseñado a mediados de los años noventa del siglo
pasado, muy utilizado en la industria de energía eléctrica.

Utilizado para el intercambio de datos de monitorización y control define un mecanismo para


la transferencia de mensajes críticos en tiempo real entre diferentes localizaciones,
empleando para el servicio de mensajería el estándar Manufacturing Message Specification
(MMS) orientado a objetos, por lo que ICCP emplea objetos MMS para definir las estructuras
de datos y los mensajes.

Emplea las capas OSI para el encapsulado de la información por lo que es susceptible de
múltiples vulnerabilidades, el único mecanismo de seguridad que implementa es el control
de acceso basado en tablas mantenidas en un servidor ICCP. Puede sufrir ataques de
suplantación de identidad y captura de tráfico, se puede realizar inyección de tráfico
malicioso para enviar información falsa con la que manipular los dispositivos conectados por
parte de un usuario malicioso. No implementa ningún tipo de cifrado de la información.

EtherCAT
Ethernet for Control Automation Technology es un protocolo de código abierto introducido en
2003, desarrollado originalmente por Beckhoff Automation y mantenido por el EtherCAT
Technology Group. Empleado en aplicaciones de automatización con requerimientos de
tiempo real es el protocolo más rápido disponible en la actualidad. Los paquetes se
procesan sobre la marcha en cada nodo esclavo mientras se envían al siguiente dispositivo,
en vez de recibirlos, interpretarlos y enviarlos como se realiza en el modelo de
almacenamiento y reenvío. Emplea el puerto 34980 por defecto.

Al estar basado en Ethernet, mantiene todas las vulnerabilidades del mismo, es susceptible
de sufrir ataques de denegación de servicio, también es vulnerable a ataques de inyección
por lo que se puede alterar el servicio mediante el envío de paquetes. Debido a la falta de
autenticación puede sufrir ataques Man In The Middle y es vulnerable a ataques de
suplantación de identidad.

Ataques a infraestructuras críticas a través de servicios SHODAN y SCADA 29


Máster Universitario en Seguridad Informática Alvaro Martín Quílez

OPC
OLE for Process Control es un conjunto de protocolos de comunicación para sistemas de
control de procesos basados en sistemas Windows, mantenido por la OPC Foundation. La
especificación clásica se basa en tecnologías COM/DCOM utilizando objetos enlazados y
embebidos (OLE) y protocolos como RPC. En 2008 se liberó la especificación OPC Unified
Architecture (OPC UA) basada en una arquitectura orientada a servicio, que permite el
empleo de SOAP bajo HTTPS, más segura al permitir cifrado y autenticación.

La especificación clásica es susceptible a múltiples vulnerabilidades relacionadas con


DCOM, RPC y OLE, al estar basado en sistemas Windows también puede verse afectado
por las vulnerabilidades de ese sistema operativo.

Protocolos propietarios de fabricantes


Numerosos fabricantes disponen de sus propios protocolos propietarios.

El protocolo S7 de Siemens es un protocolo propietario que corre entre los dispositivos


lógicos programables de la familia de productos S7 de Siemens.

El protocolo Fox, desarrollado como parte del framework Niagara de Tridium, es más
utilizado en la automatización de sistemas de edificios.

El Protocolo de Transporte de Solicitud de Servicio (GE-SRTP) es desarrollado por GE


Intelligent Platforms para transferir datos de los PLC’s.

PCWorx es un programa y protocolo desarrollado por Phoenix Contact utilizado en una gran
variedad de industrias.

Factory Interface Network Service (FINS), es un protocolo de red utilizado por los PLC’s de
Omron, a través de diferentes redes físicas como Ethernet, Controller Link, DeviceNet y RS-
232C.

3.4. Dispositivos de las Infraestructuras Críticas


En este apartado se hará una descripción de los diferentes tipos de dispositivos que forman
parte de los Sistemas Industriales, y por tanto de las Infraestructuras Críticas, en función de
los cinco niveles de operaciones que describe la International Society of Automation (ISA) en
su norma ISA 95.

Ataques a infraestructuras críticas a través de servicios SHODAN y SCADA 30


Máster Universitario en Seguridad Informática Alvaro Martín Quílez

Ilustración 7: Niveles ISA-95

Fuente: BR&L Consulting

Estos niveles son:

Nivel 0
Este nivel engloba el propio proceso productivo, define los propios procesos físicos.

Nivel 1
Sensores y actuadores, define las actividades que manipulan y actúan sobre el proceso
productivo.

 Sensores y actuadores, los sensores son dispositivos que reciben los datos físicos y
los convierten a una señal eléctrica. Los actuadores son los dispositivos finales
capaces de transformar la energía eléctrica, hidráulica o neumática para realizar una
acción sobre el proceso físico.
 Intelligent Electronic Device (IED), los Dispositivos Electrónicos Inteligentes son
elementos utilizados en la industria eléctrica capaces de monitorizar, controlar y
proteger dispositivos como transformadores, generadores, motores e interruptores,
recibiendo información de sensores y dispositivos eléctricos pudiendo reaccionar
frente a variaciones de corriente eléctrica o tensión, manteniendo comunicación con
dispositivos de nivel superior de manera independiente. Son dispositivos que pueden
ser controlados de forma remota pero la característica que los define es que pueden

Ataques a infraestructuras críticas a través de servicios SHODAN y SCADA 31


Máster Universitario en Seguridad Informática Alvaro Martín Quílez

realizar las tareas programadas de forma autónoma para la gestión de las redes de
electricidad.
 Programmable Logic Controller (PLC), un Controlador Lógico Programable es un
ordenador industrial de estado sólido empleado para monitorizar las entradas y
salidas conectadas y en base a los datos obtenidos tomar decisiones lógicas sobre
dispositivos o procesos automatizados. Con medio siglo de existencia son elementos
muy robustos que pueden soportar condiciones ambientales adversas, son
modulares por lo que se pueden conectar a diferentes configuraciones disponiendo
de cinco diferentes lenguajes de programación muy sencillos definidos por el
estándar IEC 61131. No son capaces de trabajar con datos complejos y no muestran
bien los datos en pantalla, por lo que se necesitan monitores externos. Se componen
de microprocesadores de 16 o 32 bits como CPU para la ejecución de las
instrucciones de control, comunicaciones, operaciones aritméticas y lógicas, y la
realización de las funciones de diagnóstico local. Con memoria ROM para el
almacenamiento de los datos permanentes y memoria RAM utilizada para el
almacenamiento de los datos obtenidos por los dispositivos de E/S, temporizadores,
contadores y dispositivos internos. Se necesita un ordenador o consola para la
programación de los datos en la CPU.

Ilustración 8: Arquitectura PLC

Ataques a infraestructuras críticas a través de servicios SHODAN y SCADA 32


Máster Universitario en Seguridad Informática Alvaro Martín Quílez

Fuente: Machine Design

 Programmable Automation Controller (PAC), los Controladores de Automatización


Programable son pequeños sistemas de control local relativamente recientes
compuestos por un controlador (CPU), módulos de E/S y buses de interconexión de
datos, programados con un lenguaje de programación moderno. Proporcionan mayor
flexibilidad que los PLC’s debido al software y hardware de alto nivel de los que
disponen ofreciendo capacidades de proceso y desempeño de operaciones
complejas, pudiendo utilizar múltiples sistemas de adquisición de datos ampliando
las funcionalidades para las que se pueden emplear. Basados en arquitecturas
modulares y abiertas y empleando distintos estándares de comunicaciones
proporcionan capacidades de administración de recursos, conectividad vía web,
memoria no volátil de los que no disponen los PLC’s, pudiéndose conectar a
diferentes servidores en redes corporativas.
 Remote Terminal Unit (RTU), la Unidad Terminal Remota es un dispositivo
multifunción empleado para la supervisión y control remoto de sistemas industriales,
interactuando con dispositivos SCADA y sistemas de control distribuido. También
llamados Unidades Remotas de Telecontrol son versiones más avanzadas que los
PLC’s con mayores funcionalidades funcionando en un grado superior, pudiendo
controlar múltiples procesos sin ninguna intervención monitorizando los parámetros
recibidos de los sensores, dispositivos y sistemas conectados enviando los datos de
telemetría a una estación central de monitorización. Compuestos de procesador,
memoria, almacenamiento e interfaces de comunicación proporcionan mayor
versatilidad que los PLC’s y son ampliables mediante tarjetas con lo que son
fácilmente personalizables para ampliar el número de tareas a desarrollar.
 Distributed Control System (DCS), los Sistemas de Control Distribuido son sistemas
de control automatizado aplicados a procesos industriales complejos, distribuidos
sobre el área de control. Un DCS consta de varios controladores locales distribuidos
en varias secciones conectados a través de una red de comunicación de alta
velocidad. Estas unidades están basadas en microprocesadores y se encuentran
conectadas a dispositivos de campo como sensores y actuadores, garantizando el
intercambio de datos recopilados a través de buses de campo o protocolos de
comunicaciones estándar. Adecuado a plantas industriales a gran escala con la
ventaja que al estar distribuido en caso de fallo de una parte del sistema el resto de
la planta puede seguir funcionando con independencia. Mediante el sistema de
comunicaciones se conectan entre sí los diferentes elementos del sistema, que
incluyen estaciones de trabajo de ingeniería, son los controladores de supervisión
del sistema; estaciones de operación (HMI), utilizadas para monitorizar, controlar y

Ataques a infraestructuras críticas a través de servicios SHODAN y SCADA 33


Máster Universitario en Seguridad Informática Alvaro Martín Quílez

operar los parámetros del sistema; las unidades de control de procesos, son
estaciones de proceso ampliables con módulos de E/S para conectar sensores y
actuadores encargados de recibir información y controlar los actuadores y relés;
dispositivos inteligentes de campo, no necesitan de módulos de entrada salida para
conectarse directamente al bus de campo.

Ilustración 9: Arquitectura DCS

Fuente: Electrical Technology

Nivel 2
Define las actividades que monitorizan, supervisan y controlan los procesos físicos.

 Human Machine Interface (HMI), una Interfaz Hombre Máquina es un entorno visual
que conecta un operador con el controlador del sistema industrial, permitiendo la
interacción de una persona con los sistemas implementados. Facilitan la
monitorización e interacción con los diferentes elementos de los sistemas,
traduciendo los datos obtenidos en representaciones visuales legibles por el ser
humano. La accesibilidad de estos elementos es un grave riesgo de seguridad, al
estar conectados con los PLC’s, RTU’s y otros controladores industriales,
permitiendo la comunicación con estos sistemas.
 Master Terminal Unit (MTU), una Unidad Terminal Maestra es el dispositivo o
servidor que actúa como elemento maestro en un sistema industrial, conectando los
diferentes PLC’s, RTU’s o controladores industriales, es decir, de los dispositivos de
campo ubicados en sitios remotos. Almacena y procesa la información de los

Ataques a infraestructuras críticas a través de servicios SHODAN y SCADA 34


Máster Universitario en Seguridad Informática Alvaro Martín Quílez

dispositivos para presentarla al operador para la toma de decisiones o


monitorización, a través de una interfaz visual.
 Supervisory Control and Data Acquisition (SCADA), los sistemas de Control de
Supervisión y Adquisición de Datos controlan el proceso de producción de forma
automática proporcionando comunicación con los dispositivos de campo y
recopilando los datos obtenidos por los dispositivos para presentarlos al usuario. Son
sistemas de arquitectura abierta, ampliables según las necesidades del entorno.
Disponen de comunicaciones sencillas y transparentes al usuario para conectar los
diferentes sistemas existentes. No disponen de grandes exigencias de hardware y
son fácilmente instalables, disponiendo de interfaces de usuario amigables.

Nivel 3
Define las actividades de control de flujo para crear los productos finales, el mantenimiento y
la optimización del proceso productivo.

Nivel 4
Define las actividades de alto nivel relacionadas con la organización, engloba los procesos
económicos y logísticos.

Ataques a infraestructuras críticas a través de servicios SHODAN y SCADA 35


Máster Universitario en Seguridad Informática Alvaro Martín Quílez

4. SHODAN

4.1. Introducción
Shodan es un motor de búsqueda aparecido en 2009 y desarrollado por John Matherly, un
experto en seguridad informática suizo. Al contrario que buscadores clásicos, como Google
o Bing, que localizan páginas web, Shodan es un motor de búsqueda de dispositivos
conectados a Internet. Utilizado por el proyecto SHINE (SHodan INtelligence Extraction)
para recolectar datos sobre dispositivos ICS en el periodo que abarca abril de 2012 y enero
de 2014, se descubrieron más de dos millones de dispositivos conectados, incluyendo
dispositivos de control, dispositivos de apoyo, equipos de ingeniería médica, dispositivos
convertidores de señal serie a Ethernet y demás. A partir de octubre de 2015 proporciona
información sobre dispositivos accesibles por IPv6, aunque el número de resultados es muy
inferior al de dispositivos sobre IPv4, debido al menor número de sistemas que lo emplean.

Dispone de tres versiones, una versión libre para usuarios no registrados con las
capacidades de filtros limitadas. Otra versión para usuarios registrados en la que aparecen
más resultados (50), se pueden utilizar mayor cantidad de filtros y se dispone de una API de
desarrollo. Y por último, una versión para usuarios de pago, sin limitaciones (10000
resultados).

Los resultados de las búsquedas proporcionan gran información, desde la localización


geográfica aproximada, los datos generales sobre el proveedor de servicios, y los puertos
junto los servicios que corren en ellos y la respuesta ofrecida por el servicio a la petición del
motor. Permite la descarga de resultados en varios formatos y la realización de informes
sobre los resultados obtenidos de manera sencilla, conteniendo gráficos para una mejor
vista sobre cómo los resultados se distribuyen a través de Internet.

Proporciona una base de datos de búsquedas ya realizadas por usuarios que las comparten
para la comunidad y entre sus funcionalidades también dispone de un servicio de búsqueda
de vulnerabilidades conocidas y de los correspondientes exploits existentes, siendo muy útil
para la realización de test de penetración, obteniéndose de CVE (Common Vulnerabilities
and Exposures), Exploit DB y Metasploit.

Ilustración 10: Interfaz de SHODAN

Fuente: www.shodan.io

Ataques a infraestructuras críticas a través de servicios SHODAN y SCADA 36


Máster Universitario en Seguridad Informática Alvaro Martín Quílez

Como herramientas externas proporciona una interfaz de línea de comandos en la librería


oficial de Python para Shodan, con gran versatilidad sin tener que usar el entorno web.
Dispone de integración con Maltego para la visualización y correlación de datos y de sendas
extensiones para los navegadores Firefox y Chrome.

La característica más destacada es que posee un apartado especial para sistemas de


control industrial, en base a los resultados obtenidos en el proyecto SHINE se descubrieron
unas 7200 infraestructuras críticas sobre medio millón de resultados en los Estados Unidos
de América, proporcionando gran información sobre diferentes protocolos y puertos
utilizados por este tipo de sistemas.

4.2. Características
Como se ha comentado anteriormente el motor de búsqueda localiza dispositivos a través
de los servicios que ofrecen, para ello hace uso de las cabeceras de respuesta de los
mismos a través de peticiones. Estas cabeceras proporcionan información textual que
describe el servicio que ofrece el dispositivo, el contenido de la misma varía
considerablemente en función del servicio. No es igual una cabecera HTTP, que FTP o de
un protocolo de un sistema industrial.

Ilustración 11: Cabecera HTTP

Fuente: www.shodan.io

Ilustración 12: Cabecera dispositivo PLC

Ataques a infraestructuras críticas a través de servicios SHODAN y SCADA 37


Máster Universitario en Seguridad Informática Alvaro Martín Quílez

Fuente: www.shodan.io

Junto a la cabecera principal graba metadatos sobre el dispositivo como las propiedades
HTTP cuando encuentra una respuesta adecuada que no redirige a un protocolo seguro,
datos de geolocalización, número de sistema autónomo, direcciones IP, puertos, sistema
operativo, lista de etiquetas que describen el propósito del dispositivo (sólo en la versión
empresarial), protocolo de transporte utilizado, propiedades SSH, SSL, ISAKMP si aplican.

Ilustración 13: Información sobre dispositivo

Fuente: www.shodan.io

Una de las características fundamentales es el empleo de filtros, los filtros nos permiten
restringir y focalizar las búsquedas para un mejor desempeño de un test de penetración. Los
más usuales son los siguientes:

 after y before, muestra resultados recolectados por encima o por debajo de la fecha
dada.
 asn, número de sistema autónomo.
 category, categorías disponibles (ics, malware).
 city, nombre de la ciudad.
 country, dos letras que identifican el país.
 html, busca en el código HTML.
 net, rango de red.
 os, sistema operativo.
 port, puerto del servicio.
 product, nombre del software que proporciona la cabecera.
 title, busca en la etiqueta “title” del código HTML.

Ataques a infraestructuras críticas a través de servicios SHODAN y SCADA 38


Máster Universitario en Seguridad Informática Alvaro Martín Quílez

 version, versión del producto.


 vuln, identificador CVE de una vulnerabilidad.

También se disponen de filtros especiales para los protocolos HTTP, NTP, SSL y Telnet.

La forma más sencilla de comenzar a utilizar el buscador es a través de la función Explore


del menú principal, que nos lleva a una base de datos de búsquedas de otros usuarios, con
un apartado para sistemas de control industrial, en los que se incluyen apartados
específicos para diferentes protocolos.

Ilustración 14: Protocolos ICS en Shodan

Fuente: www.shodan.io

Realizando una pequeña búsqueda sobre dispositivos industriales en España nos hacemos
una idea del número de dispositivos conectados y las diferentes estadísticas que nos
muestra.

Ataques a infraestructuras críticas a través de servicios SHODAN y SCADA 39


Máster Universitario en Seguridad Informática Alvaro Martín Quílez

Ataques a infraestructuras críticas a través de servicios SHODAN y SCADA 40


Máster Universitario en Seguridad Informática Alvaro Martín Quílez

Ilustración 15: Dispositivos ICS en España

Fuente: www.shodan.io

Filtrando un poco la búsqueda y eliminando los protocolos más comunes que corren en los
mismos puertos eliminamos pocos dispositivos, por lo que la mayoría de los sistemas corren
protocolos ICS inseguros.

Ilustración 16: Dispositivos ICS en España

Fuente: www.shodan.io

Una vez vistas las características del buscador vamos a realizar varias pruebas de concepto
para mostrar la potencia del mismo.

Ataques a infraestructuras críticas a través de servicios SHODAN y SCADA 41


Máster Universitario en Seguridad Informática Alvaro Martín Quílez

PoC: PLC’s de OMRON


Omron es un fabricante de productos de automatización industrial, componentes
electrónicos y tecnología para la industria médica. La conexión por defecto que emplean los
controladores programables es el puerto 9600. Realizando una búsqueda obtenemos 969
registros.

Ilustración 17: PLC's de OMRON

Fuente: www.shodan.io

Muchos de los cuales disponen de página de autenticación, por lo que se puede intentar un
ataque de fuerza bruta, en caso de que no haya límite de intentos, o probar con el usuario y
contraseña por defecto.

Ilustración 18: Detalles dispositivo

Fuente: www.shodan.io

PoC: Contador de energía PowerLogic EM4800


Los contadores de energía PowerLogic EM4800, de múltiples circuitos para redes de alta
densidad, son fabricados por Schneider Electric para gestionar la energía eléctrica. Tienen
un dispositivo que se comunica mediante el protocolo BacNET. Realizando una búsqueda
por PowerLogic nos salen 38 resultados.

Ataques a infraestructuras críticas a través de servicios SHODAN y SCADA 42


Máster Universitario en Seguridad Informática Alvaro Martín Quílez

Ilustración 19: Resultados PowerLogic

Fuente: www.shodan.io

Observamos que uno emplea este protocolo. Si accedemos a las características del mismo
podemos observar que también ofrece un servidor web y varios dispositivos que emplean el
protocolo Modbus.

Ataques a infraestructuras críticas a través de servicios SHODAN y SCADA 43


Máster Universitario en Seguridad Informática Alvaro Martín Quílez

Ilustración 20: Características PowerLogic

Fuente: www.shodan.io

Podemos comprobar que no dispone de autenticación y nos permite acceder a la página de


gestión del dispositivo con sus diferentes opciones.

Ilustración 21: Servidor Web PowerLogic

PoC: Dispositivos Modbus con página de autenticación sin cifrado


Realizando una búsqueda mediante los puertos 502 y 80 obtenemos numerosos resultados.

Ataques a infraestructuras críticas a través de servicios SHODAN y SCADA 44


Máster Universitario en Seguridad Informática Alvaro Martín Quílez

Ilustración 22: Dispositivos Modbus con puerto 80

Fuente: www.shodan.io

Seleccionamos uno de ellos y vemos sus características.

Ilustración 23: Dispositivo Schneider Electric BMX P34 2020

Fuente: www.shodan.io

Si accedemos a la página web comprobamos que no dispone de cifrado para la


autenticación de los usuarios, por lo que se podrían obtener las credenciales al mandarse en
texto en claro.

Ataques a infraestructuras críticas a través de servicios SHODAN y SCADA 45


Máster Universitario en Seguridad Informática Alvaro Martín Quílez

Ilustración 24: Página de autenticación sin cifrado

PoC: Dispositivos SCADA con servidor web


Realizando una búsqueda con la palabra scada en la cabecera html y mediante el puerto
8080 obtenemos 17 dispositivos.

Ataques a infraestructuras críticas a través de servicios SHODAN y SCADA 46


Máster Universitario en Seguridad Informática Alvaro Martín Quílez

Ilustración 25: Dispositivos SCADA con puerto 8080

Fuente: www.shodan.io

Si filtramos los dos que corren Microsoft IIS y comprobamos los detalles de los mismos,
podemos observar que uno de ellos corre un escritorio remoto basado en Microsoft Windows
XP, susceptible a múltiples ataques y sin soporte.

Ataques a infraestructuras críticas a través de servicios SHODAN y SCADA 47


Máster Universitario en Seguridad Informática Alvaro Martín Quílez

Ilustración 26: Escritorio remoto XP

Fuente: www.shodan.io

Y un servidor web.

Ataques a infraestructuras críticas a través de servicios SHODAN y SCADA 48


Máster Universitario en Seguridad Informática Alvaro Martín Quílez

Ilustración 27: Servidor web

Fuente: www.shodan.io

Que nos da acceso al panel de información de varios depósitos de tratamiento de aguas en


Vielha.

Ataques a infraestructuras críticas a través de servicios SHODAN y SCADA 49


Máster Universitario en Seguridad Informática Alvaro Martín Quílez

Ilustración 28: Panel de información SCADA

PoC: Dispositivos Modbus y router con contraseña por defecto


Realizamos una búsqueda de dispositivos Modbus mediante el puerto 8080 obteniendo
1161 dispositivos.

Ilustración 29: Dispositivos con puerto 502

Fuente: www.shodan.io

Filtramos la búsqueda por organización.

Ataques a infraestructuras críticas a través de servicios SHODAN y SCADA 50


Máster Universitario en Seguridad Informática Alvaro Martín Quílez

Ilustración 30: Dispositivos filtrados

Fuente: www.shodan.io

Buscamos uno con servidor HTTP seguro embebido en el dispositivo.

Ilustración 31: Servidor HTTPS embebido

Fuente: www.shodan.io

Si accedemos a la página comprobamos que es el servidor de un router D-Link DSR500N.

Ataques a infraestructuras críticas a través de servicios SHODAN y SCADA 51


Máster Universitario en Seguridad Informática Alvaro Martín Quílez

Ilustración 32: Pantalla acceso DSR-500N

Realizando una pequeña búsqueda en Google comprobamos que el usuario y la contraseña


por defecto es admin.

Ilustración 33: Usuario y contraseña DSR-500N

Fuente: www.setuprouter.com

Se podría intentar lograr acceso al dispositivo mediante las credenciales por defecto, en
caso de que no se hubieran cambiado nos encontraríamos con la página de configuración
del dispositivo.

Ataques a infraestructuras críticas a través de servicios SHODAN y SCADA 52


Máster Universitario en Seguridad Informática Alvaro Martín Quílez

Ilustración 34: Pantalla control DSR-500N

PoC: Anybus X-gateway de HMS Industrial Networks AB


HMS desarrolla soluciones de conectividad para dispositivos y sistemas en redes
industriales, las puertas de enlace Anybus X-gateway están diseñadas para su uso en
plantas de automatización industrial para la conectividad de dispositivos Modbus y TCP/IP.
Realizando una búsqueda de los servidores web integrados que llevan los dispositivos (HMS
AnyBus-S WebServer) obtenemos 52 resultados.

Ilustración 35: Dispositivos de HMS

Fuente: www.shodan.io

Filtramos por servidor web en el puerto 8080 y nos quedan dos resultados.

Ataques a infraestructuras críticas a través de servicios SHODAN y SCADA 53


Máster Universitario en Seguridad Informática Alvaro Martín Quílez

Ilustración 36: Dispositivos filtrados

Fuente: www.shodan.io

Accedemos a las características del primero y vemos que dispone de servicios en puertos
Modbus (502) y servidores web (80, 8080, 8081).

Ilustración 37: Servicios dispositivo

Fuente: www.shodan.io

Y un servidor activo en el puerto 8080.

Ataques a infraestructuras críticas a través de servicios SHODAN y SCADA 54


Máster Universitario en Seguridad Informática Alvaro Martín Quílez

Ilustración 38: Servidor HTTP embebido

Fuente: www.shodan.io

Si accedemos a la página comprobamos que nos da acceso a las distintas opciones que
posee.

Ilustración 39: HMS AnyBus-S WebServer

Entre ellas la de la configuración de la red interna.

Ataques a infraestructuras críticas a través de servicios SHODAN y SCADA 55


Máster Universitario en Seguridad Informática Alvaro Martín Quílez

Ilustración 40: Configuración de red

PoC: Pass-the-Hass con dispositivos Scada de Honeywell


Los controladores Honeywell XL Web son sistemas Scada basados en web utilizados en
industrias críticas sobre todo en Europa y el Medio Este. Existe una vulnerabilidad
documentada en el año 2014 que permite a un atacante lograr acceso al dispositivo con
permisos de administrador sin conocer el usuario ni la contraseña. Las versiones afectadas
son FALCON Linux 2.04.01, FALCON XLWebExe 2.02.11 y anteriores.

Mediante una herramienta como OWASP ZAP intentamos acceder al dispositivo capturando
la respuesta de las credenciales introducidas, así se obtiene el resumen MD5 de los datos
introducidos y la forma de obtenerlo.

Usuario=MD5 (UsuarioIntroducido)

Contraseña=MD5 (IDSesion + UsuarioIntroducido + MD5 (ContraseñaIntroducida))

Mediante una petición GET de HTTP logramos un token de sesión válido y obteniendo el
resumen MD5 del usuario administrador por defecto SystemAdmin creamos una petición
POST para utilizar con la técnica Pass-the-Hass y lograr acceso al dispositivo.

Utilizando una sencilla búsqueda podemos comprobar que todavía existen seis dispositivos
vulnerables en nuestro país.

Ataques a infraestructuras críticas a través de servicios SHODAN y SCADA 56


Máster Universitario en Seguridad Informática Alvaro Martín Quílez

Ilustración 41: Dispositivos Honeywell vulnerables

Fuente: www.shodan.io

Si accedemos a uno de ellos podemos comprobar cómo la conexión no se encuentra


cifrada.

Ilustración 42: Dispositivo vulnerable

PoC: Exploits de Shodan sobre servicio FTP en DNP3


Realizando una búsqueda de dispositivos ics sobre DNP3 observamos que existen servicios
de ftp sobre el puerto 20000 utilizado por DNP3.

Ataques a infraestructuras críticas a través de servicios SHODAN y SCADA 57


Máster Universitario en Seguridad Informática Alvaro Martín Quílez

Ilustración 43: Dispositivos DNP3

Fuente: www.shodan.io

Ataques a infraestructuras críticas a través de servicios SHODAN y SCADA 58


Máster Universitario en Seguridad Informática Alvaro Martín Quílez

El producto ProFTPD aparece en 146 ocasiones por lo que buscamos en Shodan algún
exploit para el mismo.

Ilustración 44: Exploits ProFTPD

Fuente: www.shodan.io

Y el primero que nos aparece es un módulo de Metasploit para una puerta trasera que se
añadió en la versión 1.3.3, procedemos a filtrar la búsqueda de los dispositivos que tengan
esa versión del producto y aparece un resultado que sería vulnerable a este ataque.

Ilustración 45: Dispositivo vulnerable

Fuente: www.shodan.io

PoC: Múltiples vulnerabilidades en dispositivos Solar-Log


Los dispositivos Solar-Log son sistemas empleados para la monitorización y gestión de
plantas fotovoltaicas fabricados por la empresa Solare Datensysteme GmbH. En enero de
2017 un investigador de SEC Consult Vulnerability Lab llamado Weber descubrió varias
vulnerabilidades que afectan a los dispositivos Solar-Log 250/300/500/800e/1000/1000

Ataques a infraestructuras críticas a través de servicios SHODAN y SCADA 59


Máster Universitario en Seguridad Informática Alvaro Martín Quílez

PM+/1200/2000, con versiones de firmware 3.5.2-85 y 2.8.4-56. Debido a estas


vulnerabilidades un atacante remoto puede conseguir información de autenticación de los
dispositivos, realizar ataques de denegación de servicio, cambiar la configuración de la red y
reprogramar la memoria sin autenticar, subir cualquier tipo de fichero al dispositivo, y
hacerse con el control de un dispositivo mediante Cross-Site Request Forgery (CSRF). Las
vulnerabilidades se encuentran subsanadas en la versión 3.5.3-86 del firmare, pero se
pueden localizar todavía dispositivos sin actualizar.

Mediante una búsqueda comprobamos que existen en nuestro país tres dispositivos de este
tipo.

Ilustración 46: Dispositivos Solar-Log

Fuente: www.shodan.io

Miramos las características del primero de ellos.

Ataques a infraestructuras críticas a través de servicios SHODAN y SCADA 60


Máster Universitario en Seguridad Informática Alvaro Martín Quílez

Ilustración 47: Características dispositivo

Fuente: www.shodan.io

Comprobando que dispone de servicios en varios puertos.

Ilustración 48: Servicios dispositivo

Fuente: www.shodan.io

Accedemos al servidor de configuración del dispositivo, observamos que es un dispositivo


Solar-Log 2000, que podría ser vulnerable.

Ataques a infraestructuras críticas a través de servicios SHODAN y SCADA 61


Máster Universitario en Seguridad Informática Alvaro Martín Quílez

Ilustración 49: Página de configuración

Nos dirigimos al apartado de información del sistema y vemos que la versión del firmware es
una de las indicadas, no ha sido actualizada por lo que es vulnerable a los ataques
descritos.

Ilustración 50: Información del sistema

PoC: Utilización de productos discontinuados


Comprobando los avisos de seguridad emitidos podemos ver que aparecen vulnerabilidades
en dispositivos que no se parchean, el producto deja de mantenerse pero en numerosas

Ataques a infraestructuras críticas a través de servicios SHODAN y SCADA 62


Máster Universitario en Seguridad Informática Alvaro Martín Quílez

ocasiones no se sustituye. A finales de mayo de 2017 el CERTSI informaba de múltiples


vulnerabilidades críticas en dispositivos OnCell de Moxa, son módems de comunicación
empleados en la industria para conectar dispositivos serie y Ethernet ofreciendo
comunicación a través de redes celulares. En este aviso se especifica que los productos
OnCell G31x0-HSDPA y OnCell 5x04-HSDPA están siendo discontinuados, la
recomendación es deshabilitar HTTP para acceder a la web UI y emplear HTTPS o Telnet.
Las vulnerabilidades son explotables remotamente y permiten obtener los ficheros que
almacenan las contraseñas en claro y utilizar la fuerza bruta para acceder a la aplicación.

Mediante una búsqueda del producto G3110 HSDPA podemos observar que existe en
nuestro país un dispositivo con el puerto 80 abierto.

Ilustración 51: Dispositivos G3110-HSDPA

Fuente: www.shodan.io

Vemos las características del dispositivo para comprobar los servicios que ofrece.

Ataques a infraestructuras críticas a través de servicios SHODAN y SCADA 63


Máster Universitario en Seguridad Informática Alvaro Martín Quílez

Ilustración 52: Características dispositivo

Fuente: www.shodan.io

Comprobamos que muestra servicios en puertos vulnerables, como el puerto 80.

Ilustración 53: Servicios dispositivo

Fuente: www.shodan.io

Y el puerto 8080.

Ataques a infraestructuras críticas a través de servicios SHODAN y SCADA 64


Máster Universitario en Seguridad Informática Alvaro Martín Quílez

Ilustración 54: Servicios dispositivo

Fuente: www.shodan.io

Para finalmente comprobar que es vulnerable a los ataques.

Ilustración 55: Servidor de autenticación en puerto 80

Ataques a infraestructuras críticas a través de servicios SHODAN y SCADA 65


Máster Universitario en Seguridad Informática Alvaro Martín Quílez

Ilustración 56: Servidor en puerto 8080

Ataques a infraestructuras críticas a través de servicios SHODAN y SCADA 66


Máster Universitario en Seguridad Informática Alvaro Martín Quílez

5. Conclusiones
En el presente capítulo exponemos los resultados finales obtenidos con la realización del
proyecto, así como los trabajos futuros a realizar para mejorar el piloto. A través de estos
resultados se muestran los objetivos que se han logrado en comparación con los objetivos
que se marcaron al inicio del proyecto. Los trabajos futuros muestran las acciones a tomar
en cuenta para la mejora de la idea inicial.

5.1. Resultados
De acuerdo a los objetivos que se marcaron al inicio del trabajo a continuación se exponen
los resultados logrados:

 Se ha llevado a cabo una investigación sobre los ataques más importantes


realizados sobre infraestructuras críticas, estableciendo una línea temporal sobre la
evolución seguida en su desarrollo.
 Se han analizado diferentes protocolos de comunicaciones empleados en este tipo
de sistemas y sus vulnerabilidades asociadas.
 Se ha realizado un estudio sobre los diferentes tipos de elementos que componen
estos sistemas.
 Se han investigado dispositivos concretos junto a sus vulnerabilidades asociadas.
 Se ha demostrado la viabilidad del motor de búsqueda Shodan como una
herramienta válida para la realización de test de penetración.

Mediante el análisis de las conclusiones obtenidas, y en función de los objetivos marcados,


podemos asegurar que el número de dispositivos conectados que se utilizan en
infraestructuras críticas ha aumentado considerablemente, unido a la falta de seguridad en
los protocolos de comunicaciones empleados junto a la escasa seguridad que muestran
dichos dispositivos, hace que el empleo de motores de búsqueda especializados se
convierta en una herramienta valiosa para la realización de auditorías en dichos sistemas.

5.2. Trabajos futuros


.En este apartado mostramos las líneas futuras que se pueden seguir para la mejora del
piloto:

 Utilización de la funcionalidad completa que proporciona el buscador, como la API de


desarrollo, para mejorar los resultados en las auditorías.
 Investigar acerca del empleo de herramientas especializadas en la detección y
explotación de vulnerabilidades en redes industriales.

Ataques a infraestructuras críticas a través de servicios SHODAN y SCADA 67


Máster Universitario en Seguridad Informática Alvaro Martín Quílez

 Explorar la implementación de mecanismos de seguridad para la securización de


infraestructuras críticas.

Ataques a infraestructuras críticas a través de servicios SHODAN y SCADA 68


Máster Universitario en Seguridad Informática Alvaro Martín Quílez

6. Referencias
Murphy, M. (2010, 1 de Julio). War in the fifth domain. The Economist. Edición digital.
Recuperado el 4 de Marzo de 2017 de
http://www.economist.com/node/16478792?story_id=16478792

Jeter, C. (2011). From sci-fi to Stuxnet: Exploding gas pipelines and the Farewell Dossier.
SC Magazine US. Recuperado el 4 de Marzo de 2017 de https://www.scmagazine.com/from-
sci-fi-to-stuxnet-exploding-gas-pipelines-and-the-farewell-dossier/article/558197/

Hacker Takes Over Russian Gas System. The Repository of Industrial Security Incidents.
Recuperado el 4 de Marzo de 2017 de http://www.risidata.com/Database/Detail/hacker-
takes-over-russian-gas-system

Maroochy Shire Sewage Spill. The Repository of Industrial Security Incidents. Recuperado el
4 de Marzo de 2017 de http://www.risidata.com/Database/Detail/maroochy-shire-sewage-
spill

Julián, G. (2013, 2 de Diciembre). Stuxnet: historia del primer arma de la ciberguerra.


Genbeta. Recuperado el 4 de Marzo de 2017 de
https://www.genbeta.com/seguridad/stuxnet-historia-del-primer-arma-de-la-ciberguerra

Delgado, L. (2012, 30 de Mayo). Todo sobre FLAME (qué es y cómo detectarlo). Security by
Default. Recuperado el 5 de Marzo de 2017 de
http://www.securitybydefault.com/2012/05/todo-sobre-flame-que-es-y-como.html

Cherepanov, A. y Lipovsky, R. (2016, 5 de Junio). El troyano BlackEnergy ataca a una


planta de energía eléctrica en Ucrania. WeLiveSecurity. Recuperado el 5 de Marzo de 2017
de http://www.welivesecurity.com/la-es/2016/01/05/troyano-blackenergy-ataca-planta-
energia-electrica-ucrania/

Russon, M. A. (2016, 23 de Marzo). Hackers hijacking water treatment plant controls shows
how easily civilians could be poisoned. International Business Times. Recuperado el 5 de
marzo de 2017 de http://www.ibtimes.co.uk/hackers-hijacked-chemical-controls-water-
treatment-plant-utility-company-was-using-1988-server-1551266

Schearer, M. (2010). SHODAN for Penetration Testers. Recuperado el 22 de Marzo de 2017


de https://www.defcon.org/images/defcon-18/dc-18-presentations/Schearer/DEFCON-18-
Schearer-SHODAN.pdf

Ataques a infraestructuras críticas a través de servicios SHODAN y SCADA 69


Máster Universitario en Seguridad Informática Alvaro Martín Quílez

¿Qué es Shodan? El buscador, al descubierto. Yolanda Corral. (07/02/2017). [Video].


Recuperado el 22 de Marzo de 2017 de https://www.youtube.com/watch?v=wV6hYcD7a2g

McMillen, D. (2016, 27 de Diciembre). Attacks Targeting Industrial Control Systems (ICS) Up


110 Percent. Security Intelligence. Recuperado el 23 de Marzo de 2017 de
https://securityintelligence.com/attacks-targeting-industrial-control-systems-ics-up-110-
percent/

Protección de Infraestructuras Críticas 2011. S2 Grupo. Recuperado el 23 de Marzo de 2017


de https://s2grupo.es/wp-content/uploads/2017/01/Informe_PIC2011_S2Grupo.pdf

Protección de Infraestructuras Críticas. 4º informe técnico. S2 Grupo. Recuperado el 23 de


Marzo de 2017 de https://s2grupo.es/wp-content/uploads/2017/01/PROTECCI%C3%93N-
DE-INFRAESTRUCTURAS-CR%C3%8DTICAS-4%C2%BA-INFORME-T%C3%89CNICO-
WEB..pdf

Ley Orgánica 1/2015, de 30 de Marzo, por la que se modifica la Ley Orgánica 10/1995, de
23 de Noviembre, del Código Penal, 27124, de 31 de Marzo de 2015.

Ley Orgánica 8/2011, de 28 de Abril, de Protección de Infraestructuras Críticas, 102, de 29


de Abril de 2011.

¿Qué es una Infraestructura Crítica? Preguntas Frecuentes. CNPIC. Recuperado el 24 de


Marzo de 2017 de
http://www.cnpic.es/Preguntas_Frecuentes/Que_es_una_Infraestructura_Critica/index.html

Directiva 2008/114/CE, de 8 de Diciembre, sobre la Identificación y Designación de


Infraestructuras Críticas Europeas y la Evaluación de la Necesidad de Mejorar su
Protección, de 8 de Diciembre de 2008.

Modbus Application Protocol Specification. Modbus Organization. Recuperado el 25 de


Marzo de 2017 de http://modbus.org/docs/Modbus_Application_Protocol_V1_1b3.pdf

Collantes, M. H. y Padilla, A. L. (2015, Mayo). Protocolos y seguridad de red en


infraestructuras SCI. INCIBE. Recuperado el 25 de Marzo de 2017 de
https://www.incibe.es/extfrontinteco/img/File/intecocert/ManualesGuias/incibe_protocolos_se
guridad_red_sci.pdf

Desmontando Modbus. INCIBE. Recuperado el 25 de Marzo de 2017 de


https://www.certsi.es/blog/desmontando-modbus

Ataques a infraestructuras críticas a través de servicios SHODAN y SCADA 70


Máster Universitario en Seguridad Informática Alvaro Martín Quílez

Profibus Technology. Profibus International. Recuperado el 26 de Marzo de 2017 de


http://www.profibus.com/technology/

Profibus. Real Time Automation Inc. Recuperado el 26 de Marzo de 2017 de


http://www.rtaautomation.com/technologies/profibus/

Características y seguridad en Profinet. INCIBE. Recuperado el 26 de Marzo de 2017 de


https://www.certsi.es/blog/caracteristicas-y-seguridad-profinet

Overview of the DNP3 Protocol. DNP Users Group. Recuperado el 26 de Marzo de 2017 de
https://www.dnp.org/Pages/AboutDefault.aspx

The Common Industrial Protocol. ODVA. Recuperado el 26 de Abril de 2017 de


https://www.odva.org/Technology-Standards/Common-Industrial-Protocol-CIP/Overview

Inter-Control Center Communications Protocol: Threats to Data Security and Potential


Solutions. EPRI. Recuperado el 27 de Abril de 2017 de
https://scadahacker.com/library/Documents/ICS_Vulnerabilities/EPRI%20-
%20ICCP%20Protocol%20-
%20Threats%20to%20Data%20Security%20and%20Potential%20Solutions.pdf

Technical Introduction and Overview. EtherCAT Technology Group. Recuperado el 8 de


Mayo de 2017 de https://www.ethercat.org/en/technology.html

What is OPC? OPC Foundation. Recuperado el 8 de Mayo de 2017 de


https://opcfoundation.org/about/what-is-opc/

Brandl, D. (2008, 19 de Mayo). What is ISA-95. BR&L Consulting. Recuperado el 10 de


Mayo de 2017 de http://apsom.org/docs/T061_isa95-04.pdf

What is Distributed Control System. Electrical Technology. Recuperado el 11 de Mayo de


2017 de http://www.electricaltechnology.org/2016/08/distributed-control-system-dcs.html

Strauss, C. (2003). Capítulo 5: Remote substation access and local intelligence. En Newnes,
(1ª Ed.), Practical Electrical Network Automation and Communication Systems (pp. 48-50).
Amsterdam: Elsevier

González, C. (2015, 1 de Junio). Engineering Essentials: What Is A Programmable Logic


Controller? Machine Design. Recuperado el 17 de Mayo de 2017 de
http://www.machinedesign.com/engineering-essentials/engineering-essentials-what-
programmable-logic-controller

Ataques a infraestructuras críticas a través de servicios SHODAN y SCADA 71


Máster Universitario en Seguridad Informática Alvaro Martín Quílez

Qué es un PAC. Sistemas Industriales Beckhoff. Recuperado el 17 de Mayo de 2017 de


http://www.logicelectronic.com/BECKHOFF/Que%20es%20un%20PAC.htm

Remote Terminal Unit (RTU). Techopedia. Recuperado el 17 de Mayo de 2017 de


https://www.techopedia.com/definition/1033/remote-terminal-unit-rtu

Herrero, M. (2015, 17 de Febrero). La problemática de la ciberseguridad para los


profesionales de los sistemas de control industrial. CERTSI. Recuperado el 18 de Mayo de
2017 de https://www.certsi.es/blog/cert-ciberseguridad

Human-Machine Interface (HMI). TechTarget. Recuperado el 18 de Mayo de 2017 de


http://whatis.techtarget.com/definition/human-machine-interface-HMI

ICS. Quizlet. Recuperado el 18 de Mayo de 2017 de https://quizlet.com/6442033/ics-flash-


cards/

Sistemas SCADA. Autómatas Industriales. Recuperado el 22 de Mayo de 2017 de


http://www.automatas.org/redes/scadas.htm

Matherly, J. (2016). Complete Guide to Shodan. Canadá: Leanpub

SCADA StrangeLove Default/Hardcoded Passwords List. Recuperado el 6 de Junio de 2017


de https://github.com/scadastrangelove/SCADAPASS

PowerLogic Series EM4800. Configuration Guide. Recuperado el 7 de Junio de 2017 de


http://azzo.com.au/wp-content/uploads/2015/01/EM4800_User-Manual.pdf

Cherepanov, A. (2016, 12 de Junio). Win32/Industroyer. A new threat for industrial control


systems. WeLiveSecurity. Recuperado el 19 de Junio de 2017 de
https://www.welivesecurity.com/wp-content/uploads/2017/06/Win32_Industroyer.pdf

Carlsson, O. (2014, 30 de Septiembre). CVE-2014-2717: Attacking the Honeywell Falcon


XLWeb. Outpost24. Recuperado el 19 de Junio de 2017 de https://www.outpost24.com/cve-
2014-2717-attacking-honeywell-falcon-xlweb

Weber, T. (2017, 23 de Enero). Multiple vulnerabilities. SEC Consult Vulnerability Lab


Security Advisory. Recuperado el 5 de Julio de 2017 de https://www.sec-
consult.com/fxdata/seccons/prod/temedia/advisories_txt/20170322-
0_Solare_Datensysteme_SolarLog_Multiple_vulnerabilities_v10.txt

Ataques a infraestructuras críticas a través de servicios SHODAN y SCADA 72


Máster Universitario en Seguridad Informática Alvaro Martín Quílez

CERTSI (2017, 24 de Mayo). Múltiples vulnerabilidades en dispositivos OnCell de Moxa.


Recuperado el 6 de Julio de 2017 de https://www.certsi.es/alerta-temprana/avisos-
sci/multiples-vulnerabilidades-dispositivos-oncell-moxa

Ataques a infraestructuras críticas a través de servicios SHODAN y SCADA 73