Bienvenido

Bienvenido a WisePlant – A WiseGroup Company                   Ir a:   OTConnect (News & Blog)  |  WiseCourses Campus  |  Cursos de Capacitación  |  Soporte Técnico                     Idioma: EnglishPortugueseSpanishGerman

Rusia perfeccionó su guerra cibernética en Ucrania: Estados Unidos podría pagar el precio

Rusia ha estado practicando la guerra cibernética en un laboratorio de pruebas de la vida real: Ucrania. Andy Greenberg, autor de ‘Sandworm’, cuenta cómo Rusia pasó de cerrar repetidamente la infraestructura de Ucrania a desatar gusanos que causaron miles de millones de dólares en daños globales. Rusia ha estado perfeccionando sus armas de guerra cibernética, y Estados Unidos podría pagar el precio.


Fuente de información y más videos en el siguiente LINK

Read More

Contacto más personal y efectivo con el aprendizaje combinado!

Aprendizaje combinado: has escuchado algo al respecto, pero simplemente no crees que te convenga. La tecnología no te atrae, y el contacto personal es más tuyo. Pero, ¿alguna vez ha considerado todo el trabajo administrativo y preparatorio que debe realizar para todas las partes involucradas? Al automatizar tales acciones, tendrá mucho más tiempo que puede dedicar a intensificar la comunicación (en vivo).

¡Facilitamos el contacto personal con el aprendizaje combinado!

Para WiseCourses, el contacto personal también es primordial. Es el valor agregado de un instructor, ese es nuestro principio básico. ¿Cómo lo hacemos? Una buena plataforma educativa, ejercicios prácticos reales, abundante material complementario, compromiso con los horarios, contacto personalizados son algunas de las cualidades de nuestro campus educativo. Esto permite a todos los participantes revisar dicha información en su propio tiempo. Además, tendrá una visión rápida y fácil de su progreso. Ya no tendrá que trasladarse y esparcir materiales en el escritorio. Además, todas las comunicaciones pueden realizarse fácilmente y recuperarse del mismo entorno.

En pocas palabras, organizará mejor la logística, para que todos puedan prepararse más a fondo en cuanto al contenido. Como resultado, la calidad de dos elementos de capacitación importantes, el contacto personal y el proceso de aprendizaje, solo aumentará.

Un buen trabajo de preparación da como resultado un valor agregado

El aprendizaje combinado permite que tanto el instructor como el participante se preparen mejor para la capacitación. Todos pueden presentarse y revisar los materiales de capacitación en línea por adelantado. Esto significa que puede acelerar significativamente durante la reunión en vivo, creando así un valor agregado. Como resultado, el contacto cara a cara será mejor, más efectivo y más personal. Además, pueden mantenerse en contacto cuando están separados. Por ejemplo, los participantes tienen la oportunidad de hacer preguntas en el entorno de aprendizaje entre reuniones en vivo. En términos de contacto personal, esto mejorará las cosas, siempre que acepte algunas reglas básicas.

‘La mitad del comienzo está bien hecho’ también debería ser el lema del instructor. Si, por ejemplo, necesita entrenar a los participantes, puede pedirles que carguen sus objetivos en el entorno de aprendizaje de antemano. De esta manera, sabrá en qué está trabajando al inicio de la sesión, lo que le permitirá comenzar de inmediato y prestar más atención al logro de los objetivos establecidos. En otras palabras, ¡la calidad de su programa aumentará!

Read More

EDF cierra planta nuclear tras fuerte terremoto en el sur de Francia

Un terremoto de magnitud 5.1 centrado en el departamento del sur de Ardeche el 11 de noviembre provocó que la empresa eléctrica francesa EDF apagara tres reactores en su estación de energía nuclear Cruas y realizara controles en la planta nuclear e instalaciones de Tricastin.

Cuatro personas resultaron heridas en el terremoto, una de gravedad, y, según los informes, se sintió ampliamente en Ardeche y los departamentos vecinos de Drome. Las evaluaciones iniciales mostraron que varios cientos de hogares habían sido dañados, según L’Usine Nouvelle.

Un portavoz de EDF dijo que el cuarto reactor en Cruas estaba cerrado por mantenimiento, y uno de los cuatro reactores Tricastin también estaba cerrado debido a una interrupción no planificada.

El epicentro estaba debajo de Le Teil, a unos 10 km de Cruas y 30 km de Tricastin.

EDF dijo que las comprobaciones iniciales no encontraron ningún daño obvio, pero las vibraciones en Cruas habían estado en un nivel donde se requerían más comprobaciones. En Tricastin, no se alcanzó el umbral de advertencia de activación de vibración.

La Autoridad de Seguridad Nuclear francesa (ASN) dijo que algunas instalaciones en el sitio nuclear de Orano (anteriormente Areva) en Tricastin, adyacente a la central eléctrica de EDF, habían sido detenidas temporalmente, pero no por razones de seguridad.

ASN dijo que supervisaría los procedimientos de reinicio para todas las instalaciones nucleares afectadas en el valle del Ródano.

Después del terremoto, la prefectura de Drome anunció controles en estructuras, edificios, fábricas y especialmente en sitios de alto riesgo de Seveso en todo el departamento que pueden presentar un riesgo potencial.


Fuente: LINK

Read More

Expertos encontraron una puerta trasera en los PLCs de Siemens

Un equipo de especialistas en seguridad de aplicaciones web de la Universidad Ruhr en Bochum, Alemania, descubrió una vulnerabilidad crítica en algunos nuevos modelos de controladores lógicos programables (PLC) fabricados por Siemens. Según los expertos, la falla está relacionada con la presencia de una función de acceso oculto y podría explotarse tanto para realizar ataques cibernéticos como para herramientas de seguridad.

El problema de seguridad está relacionado con la función de acceso de hardware del PLC Siemens S7-1200 (esta función procesa las actualizaciones de software y verifica la integridad del firmware del PLC al iniciar el dispositivo). Aparentemente, este acceso muestra un comportamiento similar al de una puerta trasera.

Según los expertos en seguridad de aplicaciones web, un agente de amenazas puede abusar de esta función para omitir el paso de verificación de integridad del firmware durante aproximadamente medio segundo, tiempo en el que el atacante podría descargar código malicioso y, posteriormente, obtener el control total sobre los procesos del dispositivo.

En su informe, los expertos dicen que ignoran por qué Siemens pudo haber instalado dicho acceso en estos dispositivos: “Esta es claramente una mala práctica de seguridad; Esta característica brinda a cualquier persona con suficiente conocimiento acceso al contenido de la memoria, así como la capacidad de sobrescribir datos y extraer información”, dicen los expertos.

Durante la investigación, los expertos descubrieron que este acceso oculto también puede ser útil para los investigadores de seguridad, ya que proporciona un dispositivo de memoria forense. “Logramos usar esta función para acceder a los contenidos de la memoria del PLC, lo que podría ayudar en la investigación forense digital para detectar códigos maliciosos. Aunque la compañía no permite el acceso al contenido de la memoria en condiciones normales, esto es factible utilizando este acceso”, concluyen los expertos. Los hallazgos se presentarán oficialmente durante un evento de ciberseguridad que se celebrará el próximo mes en Londres.

Por otro lado, Siemens recibió el informe sobre esta falla de seguridad de manera oportuna y ya anunció el lanzamiento de una solución lo antes posible. “Somos conscientes de la investigación de los expertos de la Universidad de Ruhr con respecto al acceso especial basado en hardware en las CPU SIMATIC S7-1200; nuestros equipos de seguridad de aplicaciones web están trabajando para resolver el problema lo antes posible. Recomendamos que nuestros usuarios permanezcan alertas a cualquier actualización oficial”, dice la declaración de la compañía.

Todavía se desconoce si Siemens implementará solo actualizaciones de software o si se necesitarán nuevos componentes de hardware para corregir esta vulnerabilidad. Los especialistas en seguridad de aplicaciones web del Instituto Internacional de Seguridad Cibernética (IICS) mencionan que un reemplazo de hardware sería una solución definitiva, pero es muy complicado de realizar para todos los dispositivos afectados (algo similar al caso de Nintendo Switch). Dicho esto, la compañía probablemente lanzará actualizaciones de seguridad continuas para corregir la falla.

Hace un par de meses, se reveló otra investigación sobre los PLC Siemens S7; En esa ocasión, los expertos descubrieron que todas las familias modernas de PLC S7 ejecutaban la misma versión de firmware, e incluso compartían la misma clave criptográfica; La compañía recibió todos estos informes y comenzó el proceso de corrección de fallas de seguridad.


Fuente: LINK

Read More

Ciberseguro para infraestructura crítica y debate sobre la guerra

Para aquellos preocupados por la ciberseguridad y la infraestructura crítica, no hay nada más aterrador que la posibilidad de un ciberataque exitoso en una presa o central eléctrica. Los efectos posteriores de tal ataque podrían tener consecuencias potencialmente catastróficas que incluyen, entre otras, lesiones corporales (y pérdida de vidas), daños ambientales (incluida la liberación accidental de productos químicos), pérdida de ingresos comerciales (e ingresos comerciales contingentes), pérdida de energía y servicios públicos (que también podría reducir los ingresos del negocio) y daños a la propiedad.

Según una encuesta de 2018, el 26% de los encuestados en la industria de la energía, el 19% de los de la industria de la infraestructura y el 14% de los de la energía y los servicios públicos informaron haber sido víctimas de ataques cibernéticos en los 12 meses anteriores.

Si bien la máxima prioridad es la seguridad cibernética y la prevención de tales incidentes, el potencial para tal catástrofe requiere una estrategia de gestión de riesgos que incluya cobertura de seguridad para las consecuencias del peor de los casos.

El mercado de cobertura de seguro cibernético, que tenía más de 520 aseguradoras solo en los EE. UU. En 2018, es sólido y está creciendo. Si bien la competencia resultante crea oportunidades para los asegurados, la ausencia de un lenguaje de formulario estándar crea incertidumbre al tratar de determinar el significado del lenguaje de la política.

Un área de interpretación de la póliza de seguro, que ha recibido una atención significativa durante los últimos dos años, involucra la interpretación de las llamadas exclusiones de “guerra”. Estas exclusiones, que pueden diferir significativamente en la forma en que están redactadas, pretenden limitar la cobertura de pérdidas derivadas de la guerra o acciones bélicas.

En 2018, el problema surgió en las noticias, como resultado de un litigio iniciado por Mondelez International, Inc. contra Zurich American Insurance Company. La acción surgió de las pérdidas sufridas por Mondelez, responsable de marcas icónicas de bocadillos como Nabisco y Oreo, como resultado de NotPetya. Según la queja de Mondelez, Zurich negó el reclamo de cobertura de seguro de Mondelez basado en la exclusión de guerra en la política de Zurich. La política de Zurich pretendía excluir la cobertura de una “acción hostil o bélica”. . . “

En 2018, Merck & Co., Inc. y International Indemnity Ltd. (aseguradora cautiva de Merck), presentaron una demanda contra más de veinte aseguradoras y reaseguradoras en relación con las pérdidas que Merck sufrió por NotPetya, varias de las cuales invocaron una exclusión de “guerra”.

Mucho se ha escrito sobre el tema y algunos dicen que los asegurados deberían estar muy preocupados por la posición de Zurich, mientras que otros han sugerido que tales temores son exagerados, ya que la política de Zurich en cuestión no era una política puramente cibernética. Lloyd’s of London, consciente de la cuestión de la percepción, lanzó un Market Bulletin que requiere que todas las políticas brinden claridad con respecto a la cobertura cibernética al excluir o proporcionar cobertura afirmativa.

Una decisión algo reciente con respecto a la exclusión de la guerra, aunque en otro contexto, ha disipado algunas de estas preocupaciones. En julio, el Tribunal de Apelaciones de los Estados Unidos para el Noveno Circuito revisó una decisión del tribunal inferior con respecto a un reclamo de seguro de dos compañías de producción que se vieron obligadas a reubicar la producción de un programa de televisión desde Jerusalén ante los ataques con cohetes de Hamas contra Israel. La compañía de seguros había negado la cobertura debido a que los gastos cubiertos estaban prohibidos en virtud de las exclusiones de la póliza para “guerra” y “acción bélica por parte de una fuerza militar”. El Noveno Circuito rechazó estos argumentos y sostuvo que la “guerra” en el contexto de los seguros se limita a las hostilidades entre soberanos, y que si bien Hamas tiene control sobre Gaza, “Gaza es parte de Palestina y no su propio estado soberano” y que Hamas “nunca ejerció un control real sobre toda Gaza”.

Teniendo en cuenta esta opinión, se puede argumentar que la exclusión de la “guerra” no se aplica a los ciberdelincuentes o al ciber terrorismo. Esto es particularmente útil, considerando que los ciber terroristas y los ciberdelincuentes atacan cada vez más la infraestructura crítica. Con el surgimiento de Internet de las cosas (IoT) y la vinculación de la infraestructura crítica con numerosos dispositivos más, las redes que se conectan a los dispositivos IoT enfrentan un mayor riesgo si esos otros dispositivos no implementan los programas adecuados de seguridad de red y dispositivos. En consecuencia, es doblemente importante garantizar que los asegurados tengan cobertura para los ataques a sus sistemas, así como a otros sistemas y dispositivos a los que puedan conectarse sus sistemas y dispositivos.

Sin embargo, para evitar dudas, los asegurados deben trabajar con sus profesionales de seguros, incluido el abogado, para garantizar que tengan una amplia cobertura cibernética y limitaciones limitadas en esa cobertura. Esto es particularmente cierto en el contexto de las exclusiones de “guerra” dada la prevalencia del delito cibernético y el terrorismo cibernético.

Para la infraestructura crítica, saber que los recursos necesarios estarán allí en caso de una catástrofe es un componente esencial de cualquier estrategia de gestión de riesgos.


Nota original publicada en LINK

Read More

El ciberataque cierra la central nuclear más grande de la India

La segunda (y más grande) unidad de energía nuclear de la India dejó de funcionar el 19 de octubre de 2019. Se sospecha que la central nuclear de Kudankulam fue golpeada por un ataque cibernético  y las autoridades ya fueron alertados de la amenaza con meses de anticipación. Incluso mientras los expertos en seguridad cibernética están investigando el caso, las autoridades se apresuraron a descartar cualquier ocurrencia de un programa espía que se infiltrara en sus sistemas. El proyecto de planta de energía construido en colaboración con Rusia ha sido un objetivo de jugadores extranjeros desde su inicio.

La segunda unidad de energía nuclear de 1,000 MW en Kudankulam, propiedad de Nuclear Power Corporation of India Ltd (NPCIL)  detuvo la generación de energía  el sábado 19 de octubre, dijo Power System Operation Corporation Ltd (POSOCO). La planta de energía atómica dejó de generar alrededor de las 12.30 horas del sábado debido al “nivel bajo de SG”, agregó la compañía. Se desconoce la fecha esperada de reactivación de la unidad. El NPCIL tiene dos plantas de energía nuclear de 1.000 MW en el Proyecto de Energía Nuclear de Kudankulam (KNPP) construido con equipos rusos.

Mientras los expertos en seguridad cibernética están investigando la violación, la planta de energía nuclear Kudankulam en Tamil Nadu ha negado ser víctima de un ataque cibernético y negó cualquier incidente de un virus espía que haya infectado los sistemas de la planta. La declaración afirmaba que, dado que el “Proyecto de planta de energía nuclear Kudankulam (KKNPP) y otros sistemas de control de plantas de energía indios son independientes y no están conectados a una red cibernética externa e Internet, no es posible ningún ataque cibernético en los sistemas de control de la planta de energía nuclear”. , es una afirmación falsa que fue expuesta cuando la inteligencia israelí apuntó a una instalación nuclear iraní (que tampoco estaba conectada a Internet) con Stuxnet.

Más de un mes antes de que la unidad dejara de funcionar, el analista de inteligencia de amenazas cibernéticas, Pukhraj Singh, notificó a la Oficina del Coordinador Nacional de Seguridad Cibernética de una intrusión en sus sistemas. La alerta fue generada en una investigación por parte de la firma de ciberseguridad Kaspersky sobre herramientas espías denominadas DTrack.

El equipo global de investigación y análisis de Kaspersky descubrió una herramienta espía previamente desconocida, que había sido vista en instituciones financieras y centros de investigación indios. Denominado Dtrack, este programa espía fue creado por el grupo Lazarus y se está utilizando para cargar y descargar archivos a los sistemas de las víctimas, grabar pulsaciones de teclas y realizar otras acciones típicas de una herramienta de administración remota maliciosa (RAT). 

En 2018, los investigadores de Kaspersky descubrieron ATMDtrack, un malware creado para infiltrarse en cajeros automáticos indios y robar datos de tarjetas de clientes. Luego de una investigación más exhaustiva utilizando Kaspersky Attribution Engine y otras herramientas, los investigadores encontraron más de 180 nuevas muestras de malware que tenían similitudes de secuencia de código con ATMDtrack, pero al mismo tiempo no estaban dirigidas a cajeros automáticos. En cambio, su lista de funciones lo definió como herramientas espías, ahora conocidas como Dtrack. Además, las dos cepas no solo compartieron similitudes entre sí, sino también con la  campaña DarkSeoul 2013,  que se atribuyó a Lazarus, un infame actor de amenaza de persistencia avanzada responsable de múltiples operaciones de ciberespionaje y sabotaje cibernético.

Dtrack se puede usar como RAT, lo que brinda a los actores de amenazas un control completo sobre los dispositivos infectados. Los delincuentes pueden realizar diferentes operaciones, como cargar y descargar archivos y ejecutar procesos clave.


Fuente: LINK

Read More

Lecciones aprendidas de un análisis forense del ciberataque a la red eléctrica Ucraniana

Tres compañías de distribución de energía sufrieron un ataque cibernético en el oeste de Ucrania el 23 de diciembre de 2015. Como la información forense es extensa desde un punto de vista técnico, es una oportunidad para poner ISA/IEC-62443-3-3: Seguridad para sistemas de automatización y control industrial Parte 3-3: Requisitos de seguridad del sistema y niveles de seguridad a prueba con un ejemplo de la vida real. Se utilizaron varias fuentes para este propósito que, en general, proporcionan información inusualmente detallada. Esta publicación de blog:

  • Revisa la cinemática del ataque utilizando los informes disponibles y suposiciones razonables basadas en nuestra experiencia de escenarios de ciberataque y de sistemas y vulnerabilidades de tecnología operativa (OT) típica
  • Presenta una metodología para evaluar el Nivel de seguridad: logrado (SL-A) por uno de los distribuidores ucranianos (correspondiente al caso mejor documentado)
  • Aplica esta metodología; presenta y discute el SL-A estimado; revisa este SL-A según el requisito fundamental (FR); y deriva conclusiones y conclusiones
  • Evalúa el nivel de seguridad (SL-T) que debe ser dirigido para detectar y prevenir ataques similares

Cinemática del ciberataque

Aunque el ataque en sí se desencadenó el 23 de diciembre de 2015, se planeó cuidadosamente. Las redes y los sistemas se vieron comprometidos tan pronto como ocho meses antes. Tener en cuenta este período de tiempo es esencial para una comprensión adecuada de las formas y los medios que se deben utilizar para detectar y eventualmente prevenir un ataque similar.

Nuestro análisis del ciberataque es triple:

  1. Intrusión inicial de la red de tecnología de la información (TI) mediante spear phishing
  2. Recopilación de inteligencia en las redes y sistemas de TI y OT utilizando el malware flexible BlackEnergy: escaneos de red, saltos de un sistema a otro, identificación de vulnerabilidades del dispositivo, diseño del ataque e instalación de más malware y puertas traseras
  3. Ataque que duró 10 minutos el 23 de diciembre.

Paso 1: ¡Malware en el correo!

En la primavera de 2015, se activó una variante del malware BlackEnergy cuando un empleado de Prykarpattya Oblenergo abrió el archivo adjunto de Excel de un correo electrónico. BlackEnergy es una “suite” de malware que llegó a las noticias por primera vez en 2014, cuando se usó ampliamente para infiltrarse en los servicios públicos de energía. Su objetivo era reunir información sobre la infraestructura y las redes y ayudar a prepararse para futuros ataques cibernéticos.

El diagrama de la figura 1 es una visión simplificada de las arquitecturas de red (es decir, Internet, TI, OT) y ayudará a representar cada paso del ciberataque. El hacker se muestra como el “tipo sombrero negro” en la parte superior derecha. El hacker usó la conexión de TI de la utilidad a Internet como el canal para preparar y eventualmente desencadenar el ciberataque.

Podemos ver que la compañía tenía configurados los firewalls adecuados, uno entre la red de TI e Internet y el segundo entre la red de TI y OT (industrial). La red OT incluía un control de supervisión del sistema de gestión de distribución (DMS) y adquisición de datos con servidores y estaciones de trabajo y un conjunto de puertas de enlace utilizadas para enviar órdenes desde el DMS a unidades terminales remotas que controlaban los interruptores y otros equipos en las subestaciones eléctricas. También se conectaron dispositivos adicionales a la red (por ejemplo, estaciones de trabajo de ingeniería y servidores históricos) pero no son relevantes para la cinemática del ataque.

En este paso, el hacker logró comprometer una computadora portátil de oficina gracias al archivo adjunto de correo electrónico BlackEnergy. Esto es difícil de evitar mientras las personas abran archivos adjuntos de correos electrónicos de aspecto legítimo.

Figura 1. Diagrama simplificado de la arquitectura de uno de los sistemas de control.

Figura 2. Segundo paso del ataque a uno de los sistemas de control.

Paso 2: preparación de ataque, escaneos de red y amenaza persistente avanzada (APT)

Durante varios meses en el verano de 2015, el malware BlackEnergy se controló de forma remota para recopilar datos, saltar de un host a otro, detectar vulnerabilidades e incluso llegar a la red OT y realizar actividades similares de “reconocimiento”.

El análisis de datos forenses sobre esta fase es incompleto, porque el pirata informático realizó una limpieza y eliminó varios discos durante el ataque real. Sin embargo, el análisis previo de BlackEnergy, así como las consideraciones razonables sobre el proceso estándar utilizado para los ataques cibernéticos, hacen probable la siguiente reconstitución con una confianza razonable.

Como se muestra en la figura 2, durante el paso dos, tuvo lugar una gran cantidad de actividad de red. El malware controlado a distancia escaneó la red de TI, detectó una conexión abierta desde un sistema de TI a una plataforma de supervisión OT, realizó escaneos de red OT, recopiló información de componentes OT y finalmente instaló componentes de malware listos para disparar tanto en TI como en OT sistemas.

Esta fase duró semanas, tal vez meses, y permitió un desarrollo de exploits personalizado. Un  exploit  es un poco de software diseñado y desarrollado para explotar una vulnerabilidad específica. Está integrado como una carga útil en malware que está configurado para entregar la carga útil para su ejecución en un objetivo. En realidad, este esfuerzo fue algo limitado. La única pieza original de código de malware desarrollado fue la que se necesitaba para cancelar las puertas de enlace como parte del paso tres. Y esto realmente no fue un “esfuerzo” significativo, ya que las puertas de enlace se han señalado durante mucho tiempo como dispositivos vulnerables.

Paso 3: desencadenar el ciberataque

En la tarde, dos días antes de Navidad, como lo indicó un operador, el mouse se movió en la interfaz hombre-máquina (HMI) y comenzó a apagar los interruptores de forma remota.

Cuando el operador local intentó recuperar el control de la interfaz de supervisión, se desconectó y no pudo volver a iniciar sesión porque se había cambiado la contraseña (figura 3).

Todo el ataque solo duró un par de minutos. El hacker usó el malware preinstalado para tomar el control remoto de la HMI y apagar la mayoría de los conmutadores de las redes. Se utilizó malware adicional, en particular el exploit desarrollado a medida, para evitar que el operador recupere el control de la red al eliminar muchos discos (usando KillDisk) y sobrescribiendo el firmware de la puerta de enlace Ethernet a serie con un código aleatorio, por lo que los dispositivos se vuelven en pedazos de chatarra irrecuperables.

Las actividades adicionales de “bonificación” incluyeron la realización de un ataque de denegación de servicio distribuido en el centro de llamadas, evitando que los clientes se contacten con el distribuidor y desconectando la fuente de alimentación ininterrumpida para apagar el centro de control (figura 4).

Obviamente, este paso tenía como objetivo desconectar la alimentación de cientos de miles de suscriptores del oeste de Ucrania conectados a la red. Sin embargo, la mayor parte del esfuerzo se gastó para asegurarse de que no se volviera a conectar la alimentación: todos los malwares específicos se desarrollaron con ese objetivo. Una vez activado, la única forma en que el operador podía evitar ese problema era detener el ataque mientras se realizaba.

Pero el ataque fue demasiado rápido para permitir cualquier reacción; de hecho, en un entorno de infraestructura crítica, las acciones del operador pueden causar problemas de seguridad. Por lo tanto, solo se permiten acciones predefinidas, y los operadores deben seguir las pautas para tomar cualquier medida. En el caso de una situación operativa no prevista, no están capacitados para tomar decisiones sobre el terreno. Esta era exactamente la situación en el caso de Ucrania. Las acciones “obvias” podrían haber detenido el ataque (como tirar del cable que conecta el OT a la red de TI), pero no se puede esperar que los operadores no capacitados tomen medidas tan disruptivas por iniciativa propia en una situación estresante donde los errores son bastante posibles.

Figura 3. Tercer paso (1) del ataque a uno de los sistemas de control.

Figura 4. Tercer pago (2) del ataque a uno de los sistemas de control.

Aprendizaje

En retrospectiva, una vez que conocemos todos los detalles sobre el ciberataque, parece fácil de detectar, dadas las actividades de red bastante significativas y los niveles de actividad que tienen lugar en numerosos sistemas.

Pero en realidad es un desafío averiguar exactamente qué está sucediendo en una red, especialmente si no tiene idea de lo que es la actividad de red “normal”. Una vez que se permiten las conexiones tanto a Internet como a la red OT, es difícil detectar signos de ataques cibernéticos debido al volumen de tráfico . Se necesita un monitoreo continuo con la capacidad de identificar los pocos paquetes sospechosos en medio de todos los paquetes “buenos”. Se han realizado múltiples pruebas del concepto de dicha detección utilizando detección correlacionada de TI y OT y se presentaron en las conferencias GovWare 2016 en Singapur, los días Exera de Ciberseguridad 2016 en París y la semana SEE Cybersecurity 2016 en Rennes (Francia).

Existen otros medios, y el uso de ISA/IEC-62443-3-3 para analizar la seguridad del distribuidor ucraniano ayuda a identificar todos los controles que faltaban y que podrían haber evitado el ataque cibernético.

Metodología para estimar el SL-A

ISA/IEC-62443-3-3 enumera 51 requisitos del sistema (SR) estructurados en siete requisitos fundamentales (FR). Cada SR puede ser reforzado por una o más mejoras de requisitos (RE) que se seleccionan en función de los niveles de seguridad específicos (SL-Ts). Por lo tanto, la evaluación de los niveles de seguridad alcanzados (SL-As) se puede realizar:

  • Para cada SR, verificar si se cumplen los requisitos básicos y las posibles mejoras
  • Para cada FR, el SL-A es el nivel máximo alcanzado en todos los SR
  • Siendo la evaluación general SL-A el nivel máximo alcanzado en todas las FR

La Tabla 1 resume el resultado de la evaluación en un FR que tiene pocos SR por el bien de la ilustración.

La matriz de la tabla 1 se extrae directamente del apéndice ISA/IEC-62443-3-3 que resume los requisitos. En cuanto al caso Prykarpattya Oblenergo y para cada requisito (básico o RE), hemos identificado tres casos posibles:

  • La información disponible es suficiente para considerar el requisito cumplido: ✔
  • La información disponible es suficiente para descubrir que se perdió el requisito: ✘
  • No es posible evaluar si se cumplió o no el requisito  😕

Tabla 1. Resultado de la evaluación del SL-A para el FR5.

Una vez completada, la tabla 1 corresponde a la evaluación real del FR5 para el caso en cuestión (Ucrania), lo que lleva a un SL-A de 2. Esto significa que la segmentación de la red (“restringir el flujo de datos”) se implementó al menos para el básico de requisitos y para algunas mejoras de requisitos.

Aplicación al caso de Ucrania

Este análisis se realizó en todos los SR, y se identificaron dos situaciones:

  • El SR puede no ser aplicable (por ejemplo, requisitos sobre comunicación inalámbrica en ausencia de dichos medios).
  • Es posible que no tengamos evidencia directa de que se cumplió o se perdió el SR, pero la deducción basada en instalaciones similares típicas y otras entradas permite una especulación razonable sobre si se cumplió o no el requisito.

Por ejemplo, podemos considerar la falta de “copia de seguridad”, porque los discos no se pudieron restaurar varias semanas después del ataque. Considerando SR 5.2 RE (1), es razonable considerar que la conexión de shell seguro (SSH) a través del firewall fue una excepción y que se denegó todo el resto del tráfico. El hacker no habría pasado por la carga de capturar la contraseña si existieran formas más directas de llegar a la red OT.

De los 51 SR, cuatro se consideraron “no aplicables” (1.6, 1.8, 1.9 y 2.2), y 25 no pudieron determinarse (” ? “). Esta es una gran cantidad, lo que significa que solo la mitad de los SR en realidad podrían evaluarse . En realidad, esto favorece un SL-A más alto, porque solo se tienen en cuenta los SR evaluados, y por defecto consideramos que el SR se cumple potencialmente.

Se tomó otra decisión en términos de presentación de datos. En lugar de presentar la información con un requisito (básico y RE) por línea, como en la tabla 1, decidimos tener una línea por SR y enumerar el aumento de RE en las diversas columnas. La Tabla 2 ilustra la misma evaluación FR5 usando este modo de presentación.

Tabla 2. Estimación del SL-A (FR5).

Tabla 3. Estimación general de las siete FR.

Finalmente, se utilizó una vista más sintetizada sin el texto RE para presentar la imagen general de todos los FR, que de lo contrario abarcarían varias páginas. Los SL generales estimados se reagrupan en la tabla 3.

Los resultados representados en la tabla 3 son bastante malos. Además, la mitad de los requisitos no se pudieron evaluar y, por lo tanto, esta opinión es probablemente optimista.

En el lado derecho, los SL-As estimados se enumeran para los siete FR. Podemos ver que los SL-As son cero excepto por:

  • FR5 (flujo de datos restringido): principalmente debido al firewall IT-IACS y al estricto control de flujo. Cumplir con este requisito significa que se debe filtrar el tráfico entre zonas en la red OT. El ejemplo de ataque ucraniano demuestra que este requisito podría revisarse en futuras actualizaciones del estándar:
    • Cumplir con SR 5.2 no requiere uno para definir zonas. Como en el caso ucraniano, todos los sistemas OT podrían interactuar entre sí. Tenga en cuenta que las recomendaciones sobre las definiciones de zona están disponibles en ISA/IEC-62443-3-2 que deben usarse antes de aplicar ISA/IEC-62443-3-3.
    • El requisito para el filtrado de tráfico entre zonas se establece para SL = 1. El retorno de la inversión es cuestionable, ya que el costo y el riesgo del filtrado de tráfico son altos, y la efectividad es cuestionable, como lo demuestra el caso de Ucrania. Puede tener más sentido exigir la detección tan pronto como SL-T = 1 sea el objetivo y requerir un filtrado / prevención activa para SL superiores.
  • FR6 (respuesta oportuna a los eventos): la existencia misma de información forense detallada es el resultado de un registro mínimo en su lugar.

La Tabla 4 muestra un análisis detallado de algunas de las RS más significativas.

Tabla 4. Análisis específico para algunas de las RS más significativas.

Aprendizaje

Al principio, al observar los informes sobre los diversos controles de seguridad del operador ucraniano, parecía que habían prestado mucha atención a los problemas de ciberseguridad . En efecto:

  • Se utilizaron contraseñas no obvias
  • Un firewall con estricta restricción de flujo de datos estaba en su lugar
  • Se realizó un registro significativo

Pero, como se demostró en la evaluación SL-A, la mayoría de los niveles de seguridad de FR eran nulos, porque al menos uno de los SR no se abordó en absoluto. No tiene sentido configurar controles de seguridad avanzados cuando faltan algunos básicos. El eslabón más débil reduce la efectividad general de la seguridad. El hecho de que los controles de seguridad avanzados son inútiles si faltan otros controles de seguridad básicos se ilustra mejor con la configuración del firewall con un único enlace SSH que requiere una autenticación de contraseña no obvia. Esto suele ser una limitación operativa dolorosa, ya que permitir el acceso directo del protocolo de escritorio remoto (RDP) para varios sistemas o conexiones de red virtual (VNC) hubiera sido más fácil de usar. Desafortunadamente, estas restricciones adicionales no condujeron a una mayor seguridad, porque:

  • La falta de supervisión de la red de TI permitió exploraciones extensas de la red, búsquedas de vulnerabilidades y el descubrimiento del enlace SSH permitido.
  • La falta de una autenticación sólida (dos factores) o aprobación local (OT) de conexiones remotas permitió conectarse con frecuencia desde la red de TI a la red OT sin detección durante varios meses.
  • La falta de detección de intrusiones en la red OT permitió escaneos extensos de la red OT, detección de vulnerabilidad y restricciones de transferencia de código móvil (malware, exploits).

Al implementar controles de seguridad, es esencial aplicar los requisitos de manera consistente en todos los aspectos de la seguridad: detección, prevención y reacción. Es mejor usar un estándar bien diseñado como ISA/IEC-62443-3-3. No apunte a SL-T = 2 o 3 en algunos FR si el SL-A sigue siendo cero en otros FR, ya que esto probablemente sería inútil.

¿Qué SL habría sido necesario para prevenir el ataque?

Al observar los problemas enumerados anteriormente, parece que elevar el SL-A al nivel 2 habría permitido detectar la actividad durante el segundo paso, evitando así el ataque cibernético. Había mucho tiempo disponible para la reacción posterior a la detección. Controles adicionales, como la autenticación fuerte/local, antimalware y los requisitos de SL 2 en realidad habrían evitado la cinemática específica del ataque.

El hecho de que configurar el SL-T en el nivel 2 hubiera sido suficiente para detectar y prevenir el ataque con varias capas de defensa puede sonar sorprendente para el lector, ya que esto (sin duda) fue un ciberataque patrocinado por el estado, que normalmente requiere SL-T = 3 o incluso 4 para prevenir.

En realidad, es probable que el hacker haya podido igualar SL-A = 2 mediante el desarrollo de exploits más avanzados y el uso de vectores de ataque que no sean Internet, como medios móviles o equipos móviles introducidos por empleados deshonestos o terceros. Sin embargo, esos pasos adicionales son más complejos y costosos y, debido a que no eran necesarios, se utilizaron medios menos avanzados.

Para resumir las conclusiones de este ciberataque utilizando la guía ISA/IEC-62443-3-3:

Como primer paso obligatorio, las empresas de distribución de energía deben apuntar a SL-T = 2, asegurando que se cumplan al menos los requisitos mínimos de detección (SR 6.2).

Para tener varias capas de defensa, prevención, detección y tiempo para reacciones en anticipación de los ataques más sofisticados, es mejor apuntar a SL-T = 3.

En cualquier caso, es esencial establecer controles de seguridad de manera consistente para garantizar que todos los FR hayan alcanzado el mismo SL-A antes de apuntar a un SL-T más alto. De lo contrario, los esfuerzos son inútiles, como lo demuestra el ejemplo en cuestión.


Publicado en ISA Interchange: LINK

Read More

Cómo usar el aprendizaje mixto para un entrenamiento altamente personalizado

Algunas personas creen que el uso de un entorno de aprendizaje digital es, por definición, muy impersonal. Pero nada podría estar más lejos de la verdad en un programa de aprendizaje combinado que le permite hacer un uso óptimo de las oportunidades digitales y presenciales. En realidad, un programa de aprendizaje combinado de este tipo lo ayuda a brindar una forma de entrenamiento altamente personal.

La flexibilidad es clave

El aprendizaje combinado ofrece la flexibilidad de dar forma a cada entrenamiento según sea necesario en este momento. No siempre se puede ver venir un dilema tópico. Es posible que no sepa que un participante lucha con él o que el dilema aún no se ha producido cuando está preparando la capacitación. Esto es especialmente relevante para el aprendizaje experimental, donde los capacitadores hablan con los participantes para determinar con qué problemas luchan.

Si implementa el aprendizaje combinado, discute los problemas del participante. Puede hacerlo en vivo o en el entorno en línea. Una vez que haya identificado la necesidad del participante, puede expandir gradualmente el programa en el mismo lugar. Más tarde, puede estandarizar los materiales que ha creado y guardado aquí. Por supuesto, no tiene que hacerlo si son muy específicos. Lo mejor es que se tiene la flexibilidad para tomar esa decisión. Al iniciar discusiones y enriquecer la capacitación paso a paso, siempre puede tomar una nueva dirección si es necesario. No trabaja con un libro escrito previamente al que debe adherirse.

¡Otra ventaja es que trabaja en línea en la estructura flexible del contenido, por lo que está perfectamente preparado para el estado actual de las cosas durante la reunión en vivo!

Personalizar un entrenamiento: 2 consejos

¿Qué puede hacer para que la capacitación sea lo más personal posible con el aprendizaje combinado?

  1. Los participantes tienen la oportunidad de plantear dilemas temáticos, pero también funciona al revés: como formador, puede vincularse a asuntos actuales relacionados con las discusiones con los participantes. Es fácil compartir estos enlaces en la plataforma de aprendizaje combinado.
  2. Si proporciona capacitación experimental, puede usar la función de calendario para crear una lista de registro en el entorno de aprendizaje combinado. Los participantes pueden inscribirse en los espacios de tiempo disponibles para programar una sesión de lluvia de ideas en línea en vivo con usted. De esta manera, se asegurará de que haya suficiente contacto cara a cara, ¡incluso de forma remota!

¿Desea proporcionar una capacitación altamente personal en un entorno de aprendizaje mixto? Por favor no dude en contactarnos. Estaremos encantados de discutir sus oportunidades.

Read More

Plantar chips pequeños de espía en hardware por $200 dólares americanos

Un nuevo implante de hardware de prueba de concepto muestra lo fácil que puede ser ocultar chips maliciosos dentro de los equipos de TI y TO.

Ha pasado más de un año desde que Bloomberg Businessweek sorprendió al mundo de la ciberseguridad con una afirmación explosiva: que las placas base Supermicro en los servidores utilizados por las principales empresas tecnológicas, incluidas Apple y Amazon, se habían implantado sigilosamente con un chip del tamaño de un grano de arroz. Eso permitió a los hackers chinos espiar profundamente esas redes. Apple, Amazon y Supermicro negaron vehementemente el informe. La NSA lo descartó como una falsa alarma. La conferencia de hackers Defcon le otorgó dos premios Pwnie, por “error más sobrevalorado” y “error más épico”. Y ningún informe de seguimiento ha afirmado aún su premisa central.

Pero incluso cuando los hechos de esa historia permanecen sin confirmar, la comunidad de seguridad ha advertido que la posibilidad de los ataques a la cadena de suministro que describe es demasiado real . La NSA, después de todo, ha estado haciendo algo así durante años, según las filtraciones del denunciante Edward Snowden . Ahora los investigadores han ido más allá, mostrando cuán fácil y barato podría ser plantado un chip espía pequeño y difícil de detectar en la cadena de suministro de hardware de una empresa. Y uno de ellos ha demostrado que ni siquiera requiere una agencia de espionaje patrocinada por el estado para lograrlo, solo un pirata informático motivado con el acceso correcto y tan solo $ 200 en equipo.

En la conferencia de seguridad CS3sthlm a finales de este mes, el investigador de seguridad Monta Elkins mostrará cómo creó una versión de prueba de concepto de ese truco de hardware en su sótano. Tiene la intención de demostrar con qué facilidad espías, delincuentes o saboteadores con habilidades mínimas, trabajando con un presupuesto muy reducido, pueden plantar un chip en el equipo de TI de la empresa para ofrecer un sigiloso acceso a la puerta trasera. (Divulgación completa: hablaré en la misma conferencia que pagó mi viaje y proporcionará copias de mi próximo libro a los asistentes). Con solo una herramienta de soldadura de aire caliente de $ 150, un microscopio de $ 40 y algunos chips de $ 2 pedidos en línea, Elkins pudo alterar un firewall de Cisco de una manera que, según él, la mayoría de los administradores de TI probablemente no notarían, pero le daría a un atacante remoto un control profundo.

“Creemos que esto es tan mágico, pero en realidad no es tan difícil”, dice Elkins, quien trabaja como “hacker en jefe” para la firma de seguridad del sistema de control industrial FoxGuard. “Al mostrarle a la gente el hardware, quería hacerlo mucho más real. No es mágico. No es imposible. Podría hacerlo en mi sótano. Y hay muchas personas más inteligentes que yo, y pueden hacerlo por casi nada”. “.

Una uña en el cortafuegos

Elkins usó un chip ATtiny85, de unos 5 milímetros cuadrados, que encontró en una placa Digispark Arduino de $ 2; no del tamaño de un grano de arroz, pero más pequeño que una uña rosada. Después de escribir su código en ese chip, Elkins lo deshizo de la placa Digispark y lo suelda a la placa base de un firewall Cisco ASA 5505. Utilizó un lugar discreto que no requería cableado adicional y le daría acceso al chip al puerto serie del firewall.

La imagen a continuación da una idea de cuán difícil sería detectar el chip en medio de la complejidad de la placa de un firewall, incluso con las dimensiones relativamente pequeñas de 6 por 7 pulgadas de un ASA 5505. Elkins sugiere que podría haber usado un chip aún más pequeño, pero elegí el ATtiny85 porque era más fácil de programar. Él dice que también podría haber escondido su chip malicioso aún más sutilmente, dentro de una de varias “latas” de blindaje de radiofrecuencia en el tablero, pero quería poder mostrar la ubicación del chip en la conferencia CS3sthlm.

Elkins programó su pequeño chip de polizón para llevar a cabo un ataque tan pronto como el firewall se inicia en el centro de datos de un objetivo. Se hace pasar por un administrador de seguridad que accede a las configuraciones del firewall conectando su computadora directamente a ese puerto. Luego, el chip activa la función de recuperación de contraseña del firewall, creando una nueva cuenta de administrador y obteniendo acceso a la configuración del firewall. Elkins dice que usó el firewall ASA 5505 de Cisco en su experimento porque era el más barato que encontró en eBay, pero dice que cualquier firewall de Cisco que ofrezca ese tipo de recuperación en el caso de una contraseña perdida debería funcionar. “Estamos comprometidos con la transparencia y estamos investigando los hallazgos del investigador”, dijo Cisco en un comunicado. “Si se encuentra nueva información que nuestros clientes deben conocer.

Una vez que el chip malicioso tiene acceso a esa configuración, dice Elkins, su ataque puede cambiar la configuración del firewall para ofrecer al hacker acceso remoto al dispositivo, deshabilitar sus funciones de seguridad y darle acceso al hacker al registro del dispositivo de todas las conexiones que ve. , ninguno de los cuales alertaría a un administrador. “Básicamente puedo cambiar la configuración del firewall para que haga lo que quiera que haga”, dice Elkins. Elkins dice que con un poco más de ingeniería inversa, también sería posible reprogramar el firmware del firewall para convertirlo en un punto de apoyo más completo para espiar la red de la víctima, aunque no llegó tan lejos en su prueba de concepto.

Una mota de polvo

El trabajo de Elkins sigue un intento anterior de reproducir con mucha más precisión el tipo de pirateo de hardware que Bloomberg describió en su escenario de secuestro de la cadena de suministro. Como parte de su investigación presentada en la Chaos Computer Conference en diciembre pasado, el investigador de seguridad independiente Trammell Hudson creó una prueba de concepto para una junta de Supermicro que intentó imitar las técnicas de los hackers chinos descritos en la historia de Bloomberg . Eso significaba plantar un chip por parte de una placa base Supermicro con acceso a su controlador de administración de placa base, o BMC, el componente que permite que se administre de forma remota, ofreciendo un control profundo del hacker del servidor de destino.

Hudson, quien trabajó en el pasado para Sandia National Labs y ahora dirige su propia consultoría de seguridad, encontró un lugar en el tablero de Supermicro donde podría reemplazar una pequeña resistencia con su propio chip para alterar los datos que entran y salen del BMC en tiempo real, exactamente el tipo de ataque que describió Bloomberg. Luego usó una llamada matriz de compuerta reprogramable de campo, un chip reprogramable que a veces se usa para crear prototipos de diseños de chips personalizados, para actuar como ese componente de interceptación maliciosa.

El FPGA de Hudson, con menos de 2.5 milímetros cuadrados, era solo un poco más grande que la resistencia de 1.2 milímetros cuadrados que reemplazó en la placa Supermicro. Pero en un verdadero estilo de prueba de concepto, dice que en realidad no hizo ningún intento de ocultar ese chip, sino que lo conectó a la placa con un desastre de cableado y pinzas de cocodrilo. Hudson argumenta, sin embargo, que un verdadero atacante con los recursos para fabricar chips personalizados, un proceso que probablemente costaría decenas de miles de dólares, podría haber llevado a cabo una versión mucho más sigilosa del ataque, fabricando un chip que realizó el mismo. Las funciones de manipulación de BMC se ajustan a una huella mucho más pequeña que la resistencia. El resultado podría incluso ser tan pequeño como una centésima de milímetro cuadrado, dice Hudson, mucho más pequeño que el grano de arroz de Bloomberg .

“Para un adversario que quiere gastar dinero en ello, esto no habría sido una tarea difícil”, dice Hudson.

“No hay necesidad de más comentarios sobre informes falsos de hace más de un año”, dijo Supermicro en un comunicado.

Pero Elkins señala que su ataque basado en firewall, aunque mucho menos sofisticado, no requiere ese chip personalizado en absoluto, solo su $ 2. “No descarte este ataque porque cree que alguien necesita un chip fab para hacerlo”, dice Elkins. “Básicamente, cualquiera que sea un aficionado electrónico puede hacer una versión de esto en casa”.


Fuente: LINK

Read More

Transformación Digital ¡Nuevo sistema Inalámbrico universal iWAP XN3 Zona 2/Division 2!

El iWAP XN3 es una forma segura y confiable de utilizar las últimas tecnologías inalámbricas en las zonas peligrosas ATEX e IECEx Zona 2 y 22 y Norteamérica Clase I, II División 2 y Zona 2.

Elija cualquier tecnología inalámbrica de cualquier proveedor, incluidos puntos de acceso Wi-Fi, enrutadores LTE, lectores RFID UHF, puertas de enlace IoT que incluyen LoRa, WiHART o ISA100, y más.

¡Habilite la transformación digital de su sitio hoy para mejorar las comunicaciones, la seguridad y la productividad!

  • Totalmente certificado para áreas peligrosas
  • Su elección de tecnología inalámbrica
  • Utilice antenas estándar de aparatos simples
  • Uso eficiente del espacio
  • Fácil instalación y bajo mantenimiento
  • Ingeniería térmica
  • Muy resistente e industrial

El iWAP XN3 proporciona la máxima flexibilidad. Puede elegir cualquier tecnología inalámbrica de cualquier proveedor, incluidos puntos de acceso Wi-Fi, enrutadores LTE, lectores RFID UHF, puertas de enlace IoT que incluyen LoRa, WiHART o ISA100, y más. El iWAP XN3 también está disponible en cuatro tamaños estándar para brindarle la solución más compacta que satisfaga sus necesidades técnicas; Los ingenieros de Extronics revisarán la tecnología inalámbrica y los requisitos operativos para recomendar el tamaño más efectivo para cada aplicación.

“El iWAP XN3 es realmente una innovación para implementar tecnología inalámbrica económicamente en áreas peligrosas”, dice John Hartley, fundador y presidente ejecutivo de Extronics. “Hemos aplicado todo el conocimiento que hemos adquirido al proporcionar soluciones inalámbricas para áreas peligrosas desde 2005, mejorando las características basadas en los comentarios de nuestros clientes. Como resultado, el iWAP XN3 es un sistema de alto rendimiento que hace que las redes inalámbricas Zona 2 y División 2 sean muy rentables ”.

El diseño del gabinete con patente pendiente del iWAP XN3 está diseñado térmicamente para una máxima disipación de calor, lo que permite su uso en entornos de alta temperatura. Gracias a la tecnología iSOLATE de Extronics, puede usar antenas de aparatos simples no certificadas para una mayor variedad de opciones y una fácil instalación de antena, mientras que la caja de conexiones externa proporciona una forma práctica de usar glándulas Ex e o NPT simples, así como cableado blindado.

Hecho de aluminio de grado marino y acabado con un recubrimiento de polvo epoxi duradero, el iWAP XN3 está diseñado para instalación en exteriores en entornos industriales hostiles. También tiene clasificación IP66 y NEMA 4, capaz de soportar la exposición a los elementos.

En general, el iWAP XN3 es la mejor forma de implementar su infraestructura inalámbrica en sus áreas peligrosas de Zona 2 y División 2.

Read More