Programa Include 29-11-2021

-Roman Ramirez: Ciberseguridad industrial

-OT: Operational Technology (centrales nucleares, puertas de una presa, etc.
infraestructuras críticas)
-IoT: Internet of Things
-EDGE: Dispositivos que tienen que estar in situ (en el edge) para hacer su función, como,
por ejemplo, cámaras de vigilancia.
*El OT, IoT y EDGE conforman el entorno industrial hoy en día.
*Muchos dispositivos hardware que conforman el entorno industrial son dispositivos
programados para operaciones lógicas (abrir, cerrar, etc.) y usan programaciones muy
básicas. Es posible encontrar estos dispositivos conectados a internet y ver sus
vulnerabilidades, alguien podría explotarlas y fácilmente cortar un suministro eléctrico,
de agua, etc.
-IT vs OT:

*OT es mucho mas rentable que los dispositivos de IT en cuanto a vida útil, por ejemplo.
Lo que pasa es que, si los dispositivos duran 20 años y tienen una vulnerabilidad, ahí se
quedan, raro es que se modifiquen para arreglar las vulnerabilidades, estos dispositivos
de OT suelen operar en el exterior y no están tan supervisadas.
*Todos estos dispositivos OT están relacionados con las infraestructuras críticas.
-HMI: Human Machine Interface (dispositivo donde ves en pantalla y tiempo real todo
lo que está pasando en el sistema que controle)
-SCADA: Supervisory Control and Data Acquisition.
-PLC: Programmable Logic Controller. (Las redes PLC están conectadas al SCADA que
gestiona lo que le llega y lo traduce y lo manda al HMI para mostrarlo). Los PLC solo hace
una función, funciones lógicas, como abrir y cerrar, cortar o permitir.
*HMI, SCADA y PLC pertenecen a seguridad industrial.
-RTU: Remote Terminal Units.
-IED: Intelligent Electronic Device. (Contadores Inteligentes)
-DCU: Distributed Control Systems.
-Ataques típicos de estos entornos:
-Contraseñas por defecto: buscando el modelo y el manual podríamos saber la
contraseña.
-Exploits al uso.
-Ataques MiT: Man in the Middle.
-Podemos retocar el tráfico de paquetes.
-Reprogramar dispositivos.
-Ataque TRITON.
-Amenazas al mundo industrial:

Top 10 de amenazas al OT.

-MQTT: Message Queuing Telemetry Transport: es un protocolo orientado a enviar
mensajes entre dispositivos o desde dispositivos a un master. A través de capturas de
tráfico y wireshark podrimos leer el tráfico y modificarlo.
-Certificaciones:
-GICSP:
-SSAE:
-CISSP:
 -CSSA:
-El mundo IoT:

Categorías en los diferentes tipos de dispositivos del IoT.

-Introducción al EDGE:
*En el EDGE están los dispositivos que tienen que actuar localmente, los datos
que captan estos dispositivos pasan por la niebla y llegan a la nube.
*Hoy en día existen apps que se usan para transformar tu dispositivo en un
dispositivo táctico, donde se puede usar el micro o la cámara para usos tácticos, o para
otros fines.
-BOTNET Mirai: se infectaron cámaras vulnerables, el virus se conectaba a un
command and control, y luego les daban ordenes a todos los dispositivos para que
atacaran.
-Francisco Bolívar: Bypassing Air-Gapped
-Do the basics: Segregación de las redes, monitorizar y detectar, parchear los
dispositivos OT, protección antivirus, backups.
-Parcheo de OT: se tardan aproximadamente 34 días para parchear un
dispositivo OT, según el ciclo de parcheo típico. Si el dispositivo corre con Windows y
este saca una actualización cada mes, nosotros parchearíamos más lento.
El parcheo implica parar la planta, por eso se intenta cambiar muchos parches
en una misma intervención, y esto aumenta el riesgo de que algo no vaya bien.
Como todo esto es muy laborioso y costoso, muchas organizaciones lo parchean
o aíslan físicamente el dispositivo.
-Air-Gap: es una medida de seguridad para aislar o restringir redes de forma física, hay
dos tipos de Air-Gap:
-Redes totalmente aisladas.
-Redes desconectadas de la comunicación.
-¿Qué es un diodo de datos?: solo se permite la comunicación en un sentido.
 Modo de funcionamiento de un diodo.
*Aquí solo se permite el paso de datos de cloud, por ejemplo, pero no al revés.
Para decidir el sentido del diodo nos basamos en la triada de seguridad
(Confidencialidad, integridad y disponibilidad). Según pongamos el sentido del diodo
cumpliremos unas partes de la triada de seguridad u otras.
*En TCP/IP no se podría poner un diodo porque sino no se podría hacer el handshake
inicial para iniciar la comunicación. Lo que se hace es poner fake proxies, para que se
complete el handshake pero de manera falsa, y entonces transformamos el protocolo
TCP a UDP, y podemos poner el proxy en protocolo TCP.
-Modelo de ataque para un Air-Gap:
*Hay dos fases: infección inicial (USB, cadena de suministro) y acciones
maliciosas (manipulación de sistemas aislados, ex filtración de datos, autodestrucción,
etc.)
-¿Cómo se atacan sistemas aislados?: como en los sistemas aislados las
transferencias de datos, backups, etc. se hacen a través de USB y este método es por el
que intenta atacar a un sistema Air-Gap. Se le mete el virus por el USB.
 -Para sacar la información de los sistemas aislados (ya que están desconectados
físicamente) se usa calor, radiación, electromagnetismo, ruido.
-BitWhisper: mediante los sensores de temperatura se podría subir y
bajar la temperatura e interpretar estas subidas y bajadas como ceros o unos en binario
y pasar datos en forma de binario. Desde otro dispositivo externo se podría captar estas
subidas y bajadas (ceros y unos) y ex filtrar datos.
-Ondas electromagnéticas: (Low-end basic phone): se hacen captaciones
electromagnéticas de la RAM del PC objetivo y se podrían captar estas variaciones con
un teléfono móvil, por ejemplo, u otro dispositivo que trabaje a la misma frecuencia que
las ondas electromagnéticas.
*La información se transmite igualmente, interpretando las gráficas de
variación electromagnética, donde los valles y picos son cero o uno.
-Air-jumper: ex filtración mediante luz. Se transmiten datos por media de
la franja de luz no visible al ojo humano, solo se podrían captar con cámaras de visión
nocturna, por ejemplo.
*Se infectan las cámaras de visión nocturna, entonces la cámara emitiría
una longitud de onda
-Ex filtración mediante ruido: Fansmitter: se combina el ruido del
ventilador con el micrófono del pc o de un dispositivo cercano. Entonces subiendo y
bajando la velocidad del ventilador, emitimos ceros y unos (con las subidas y bajadas del
ventilador), estas variaciones de ruido se captan con un micrófono.
-Román Ramírez: Redes M2M, 5G y otros
*IoT todos los dispositivos se conectan a una nube y a partir de ahí se toman decisiones
en base a los datos.
*En M2M solo hablan entre unos dispositivos y otros.
-Servidor MEC: son servidores que te permiten operaciones de poco ancho de banda y
baja latencia o, al contrario, mucho ancho de banda y alta latencia. Dentro de estos
servidores se incluyen el cacheo de objetos, se usa el cacheo para reducir la carga
computacional y que vaya más rápido.
*Quien controle el MEC puede decidir que contenido te llega a través de internet.
*LTE es un protocolo GSM y es la base del 4G y el 5G. en 4G y 5G es esencial
cachear.
-Vehículos conectados:
-Protocolo ACARS: protocolo de comunicación terrestre entre la aeronave y la base o
aeropuerto.
*Pagina https://www.flighradar24.com/ para ver los aviones volando en tiempo
real.
*Pagina https://www.marinetraffic.com/ para ver los barcos en tiempo real.
*https://www.cci-es.org/ se dedican a la ciberseguridad industrial.