La digitalización del fuego

Hasta hace algún tiempo había una clara frontera entre el ámbito real o mundo físico y el ámbito virtual o mundo digital. Nada de lo que ocurría en los ordenadores tenía una consecuencia directa sobre objetos físicos o personas, sólo actuaban sobre objetos virtuales, transformando unos en otros. Si se producía un error, el daño recaía directamente sobre algún producto virtual que un proceso determinado tuviera como salida. ¿Qué es lo que ha desdibujado dicha frontera? 

La automatización de las máquinas

Las máquinas herramientas se han empleado desde hace mucho tiempo, se han automatizado para realizar una tarea concreta, y han trabajado junto a otras coordinadas y controladas por personas. Los sensores y medidores y en general, los sistemas de control industrial (aquellos sistemas de información empleados en el control y la supervisión de procesos [físicos] productivos), proporcionaban medidas recogidas por personas, que decidían actuar de una manera u otra en base a dichas mediciones.

También había -hay- automatismos como puertas que se abren con una señal de infrarrojo o detectan que algo o alguien quiere pasar, o grifos que suministran agua automáticamente, o luces que se encienden al paso de las personas, o detectores de movimiento de intrusos que hacen saltar alarmas, o de incendio que envían señales a una central de alarmas y que, además pueden liberar agua.

Todos estos automatismos eran -y algunos siguen siendo- físicos, es decir, dependían del cambio de propiedades como calor produciendo una dilatación o contracción, recepción o no de señal electromagnética; o la electricidad y la electrónica aplicada a las máquinas. 

El SW: puente entre el mundo virtual y el real

Con el software (SW), se pasó a automatizar las máquinas con código, mucho más flexible y barato que el control físico, y con la posibilidad de que las máquinas pudieran comunicarse entre sí, lo que, por ejemplo, posibilitaba que mediciones de una modificara la acción de otra, o el control de varias desde de una tercera.

Este paso hizo de puente entre el mundo virtual y el físico, desapareciendo la frontera que los separaba. Los objetos virtuales en máquinas, sensores o controladores ya tenían una consecuencia en el mundo real, una acción sobre él para la cual se había programado dicha máquina.

Los fallos de SW, tanto los inconscientes como los intencionales -malware- podían causar daños físicos al producir un mal funcionamiento en las máquinas. La seguridad de los sistemas no consiste ya sólo en proteger la información como bien último y los objetos virtuales tratados por el SW, sino también evitar los daños físicos que la modificación de todo ello pudiera ocasionar en el mundo real sobre el que la máquina actúa.

La comunicación entre los distintos componentes de un sistema en un principio era por un cable que conectaba una máquina a otra. Para acceder a un sistema y controlarlo se necesitaba acceso físico.

Con Internet y el hecho de estar conectando todo a través de ella, ya es posible tener el control de cualquier máquina a distancia, desde cualquier punto del globo.

La conectividad proporcionada por puertos, antenas y protocolos, tanto por cable como sin cable, permite a las máquinas conectarse a una central de control, o con otra máquina para proporcionar o recibir datos; o con bases de datos, formando un sistema que no tiene por qué residir en un único espacio físico.

A la revolución del SW, de Internet y la conectividad, hay que añadir la miniaturización de los componentes de un ordenador, pudiendo introducir este en cualquier dispositivo, haciendo extensivo el mundo TI -sus ventajas y sus inconvenientes- a casi cualquier cosa, fuera de lo que conocemos por ordenador. Esto es lo que se conoce por "Internet de las cosas" -IoT, del inglés Internet of Things-.

Tener todo este mundo conectado tiene sus ventajas, ya que enriquece las funciones que en principio puede realizar un dispositivo, al poder intercambiar información con otros sistemas de su entorno, con centros de su fabricante, con el usuario. Por ejemplo, un automóvil puede recibir informaci n sobre el tráfico e informar al conductor sobre el mejor camino por el que dirigirse, al tiempo que está enviando información al fabricante sobre su rendimiento y estado de sus componentes, que a su vez puede entonces informar al conductor de si debe llevar el coche al taller para subsanar algún fallo o se le puede enviar una actualización que arregle algún mal funcionamiento; o puede intercambiar información con otros coches en un aparcamiento para saber si queda alguno libre, etc. Y, por supuesto, llevarnos a nuestro destino sin necesidad de dirigirlo nosotros.

Pero esto también tiene sus inconvenientes que son los relacionados con los riesgos en que se incurre por el hecho de estar siempre conectados y de estar intercambiando datos. No siempre lo que entra es legítimo y no dañino, y no siempre lo que sale llega sólo al destinatario adecuado.

Stuxnet y otros

Uno de los primeros ejemplos de virus encontrados en máquinas es Stuxnet[i], creado para hacer funcionar mal PLC's -controladores lógicos programables- de Siemens, y que entre otros sitios, se utilizaban en una planta de enriquecimiento de uranio de Irán. Stuxnet averió las centrifugadoras de la planta. Por medio de un pendrive que llevaba un SW para explotar una vulnerabilidad -exploit- de Windows no conocida en el momento de lanzamiento del virus se accedió a la central y a sus sistemas de operación y se tomó control de ellos, bajando a través de Internet el SW para los PLC's que los hacían funcionar inadecuadamente. 

El pasado 5 de mayo tuvo lugar una nueva edición del evento del CCI (Centro de Ciberseguridad Industrial) "La Voz de la Industria"[ii]. En una de las ponencias de dicho evento se realizó una demostración de cómo hackear un contador de la luz de los llamados "inteligentes" desde un PC, que, según comentaron, igual se podía haber hecho desde un smartphone. Se realizaron dos tipos de ataque, uno de denegación de servicio y otro de "Man in the middle". Estos contadores inteligentes están conectados con la empresa comercializadora informando del consumo que se realiza, y estos datos que se envían no todas las marcas de contadores los envían cifrados.

Por un lado, es fácil entrar en los contadores y, por ejemplo cortar el suministro. Como la información no está cifrada, puede hacerse, además, un ataque "Man in the middle" a los datos de consumo y obtener un patrón de las costumbres de los habitantes de la casa. Pero los contadores también pueden servir para enviar datos del contrato si se quiere modificar éste.

Siguiendo con el tema industrial, en el 2014 hackearon unos altos hornos en Alemania[iii], infligiendo graves daños, con cortes e interrupciones en los sistemas de producción. La entrada fue desde TI por medio de phising y desde aquí consiguieron acceso a los sistemas de producción.

El pasado 25 de abril, una compañía estadounidense distribuidora de agua y electricidad[iv] sufrió  un ataque de tipo ransomware que según parece sólo afectó  a sus redes corporativas y no a las de operación ni a los sistemas de control industrial. En el momento en que se detectó el incidente, se bloqueó la red corporativa. Si este ataque hubiera llegado a las redes de operación, el suministro a clientes se podría haber visto comprometido gravemente.

Peor suerte corrieron los habitantes de la región ucraniana de Ivano-Frankivsk que se quedaron sin suministro eléctrico durante varias horas debido a un ataque con un troyano[v]. Este ataque se completó con otro de denegación de servicio a las redes telefónicas para impedir la comunicación del ataque.

Patrones de funcionamiento y aprendizaje de las máquinas

Para poder detectar el malware antes de que entre en los sistemas hay varias estrategias. Una de ellas es conocer las redes y como funcionan, qué componentes hablan entre sí, qué se dicen y con qué protocolo, permitiendo solamente dichos intercambios, o al menos hacer saltar alarmas de lo que puede resultar sospechoso.

El pasado mes de abril, en Futurism se publicó  un artículo titulado "MIT Artificial Intelligence Can Predict 85% of Cyber-Attacks"[vi]. En él se describía un sistema de IA -inteligencia artificial- que era entrenado por investigadores para ayudar a las personas a identificar ciber-ataques.

Para ello, alimentaron al sistema con millones de líneas de log de una plataforma de comercio electrónico durante tres meses, para hacerlo trabajar con métodos que empleaban las personas, pero que el sistema hacía de forma más eficiente al poder revisar millones de líneas cada día.

Cuando el sistema encontraba algo sospechoso, una persona revisaba ese punto, y devolvía una respuesta al sistema, con la cual la máquina aprendía. Las amenazas evolucionan continuamente y la máquina de momento parece que ella sola puede llegar a ese 85%, pero trabajando junto a una persona este porcentaje sería mayor.

La persona no tiene ya que examinar una cantidad imposible de puntos sospechosos, ya que la máquina puede devolver del orden de 200 al día o menos, y la máquina sigue aprendiendo al tiempo que la persona los revisa y devuelve una respuesta. 

IoT y los riesgos para la vida cotidiana

Centrándonos en las cosas que utilizamos habitualmente, el riesgo a sufrir un ataque es el mismo. Por ejemplo los coches. En julio del año pasado sali  a la luz el ataque a un Jeep Cherokee, explotando una vulnerabilidad no conocida y que proporcionaba a los atacantes un control total sobre dicho coche[vii]. Fue un ataque controlado y los participantes conocían los riesgos.

Por otra parte, en "Scientific American" aparecía otro artículo titulado "Why Car Hacking Is Nearly Impossible"[viii] en el que se explica que el experimento que realizaron los hacker con el Jeep les costó un año de investigar el coche. Es decir, que no es tan fácil ... pero sí es posible en un tiempo razonable. Lo que habría que conseguir es que no lo fuera. 

Creo que nos hicieron un favor a todos descubriendo la vulnerabilidad, cosa nada rara ya que hay muchos White-hat hackers (hackers éticos) trabajando de esta manera y dando a conocer dichas vulnerabilidades para que los fabricantes las arreglen cuanto antes y no las aprovechen otros para conseguir dinero o hacer daño de alguna manera.

Por ejemplo, el 2 de mayo pasado apareció publicado en Wired un artículo titulado "Flaws in Samsung’s ‘Smart’ Home Let Hackers Unlock Doors and Set Off Fire Alarms"[ix]. En él se decía que tener un detector de humo que te enviara una alerta cuando tu casa estuviera ardiendo parece una buena idea; o que la puerta de la casa esté conectada a internet y cerrada con cerradura electrónica con una clave que se programe desde el móvil, suena bien. Pero cuando es atacado el detector y salta la alarma a las cuatro de la mañana, o es atacada la puerta y se abre a un extraño, de repente la casa inteligente nos parece bastante tonta. La comunidad investigadora -en seguridad- lleva avisando durante años de que la IoT, y en particular los aparatos domésticos conectados, introduciría una avalancha de vulnerabilidades en los objetos cotidianos.

Tanto es así que un grupo de investigadores de la Universidad de Michigan y Microsoft han publicado lo que ellos llaman el primer análisis[x] en profundidad de una plataforma de "casa inteligente" que permite controlar aparatos de uso doméstico como las bombillas o la puerta, desde un ordenador o un móvil. 

Para terminar, en un artículo del año 2011 de "Scientific American"[xi] titulado "Printers Can Be Hacked to Catch Fire", se cuenta como dos investigadores de la Universidad de Columbia en Nueva York, encontraron un fallo en una impresora normal de oficina que les permitió  hacerse con el dispositivo para espiar a los usuarios, distribuir malware e incluso forzarla para que se sobrecalentara y se incendiara.

Desde que el hombre primitivo aprendió a iniciar el fuego haciendo saltar chispas con dos piedras hasta ahora, que se puede hacer mandando unos códigos a unos dispositivos remotos. Incendio a distancia y de manera digital. 

* * *

Este artículo fué publicado originalmente por @PuntoSeguridad.com/"Cuadernos de Seguridad", junio-2016, nº 312, pg.70, Ciberseguridad – "La digitalización del fuego" – María José de la Calle.    

--------------------------

[i] David Kushner, 26 Feb 2013. "The Real Story of Stuxnet". IEEE SPECTRUM. url [a 9-05-2016] http://spectrum.ieee.org/telecom/security/the-real-story-of-stuxnet 

[ii] CCI. url [ a 9-05-2016 ] https://www.cci-es.org/web/cci/detalle-evento/-/journal_content/56/10694/220300 

[iii] Kim Zetter, 08 Jan 2015. "A Cyberattack Has Caused Confirmed Physical Damage for the Second Time Ever". Wired. url [a 9-05-2016] https://www.wired.com/2015/01/german-steel-mill-hack-destruction/ 

[iv] Kevin Townsend, 3 May 2016. "Michigan Power and Water Utility Hit by Ransomware Attack", SecurityWeek. url [a 9-05-2016] http://www.securityweek.com/michigan-power-and-water-utility-hit-ransomware-attack 

[v] Mónica Valle, 22 Ene 2016. "Continúan los ciberataques contra las compañías eléctricas en Ucrania". GlobbSecurity. url [a 9-05-2016] http://globbsecurity.com/continuan-ciberataques-companias-electricas-ucrania-37575/ 

[vi] Futurism, 19 Apr 2016. "MIT Artificial Intelligence Can Predict 85% of Cyber-Attacks". url [a 09-05-2016] http://futurism.com/mit-artificial-intelligence-can-predict-85-cyber-attacks/ 

[vii] Andy Greenberg, 21 Jul 2015. "Hackers Remotely Kill a Jeep on the Highway—With Me in It". Wired. url [a 9-05-2016] https://www.wired.com/2015/07/hackers-remotely-kill-jeep-highway/ 

[viii] David Pogue, 22 Feb 2016. "Why Car Hacking Is Nearly Impossible". Scientific American. url [a 9-05-2016]  http://www.scientificamerican.com/article/why-car-hacking-is-nearly-impossible/ 

[ix] Andy Greenberg, 02 May 2016. "Flaws in Samsung’s ‘Smart’ Home Let Hackers Unlock Doors and Set Off Fire Alarms". Wired. url [a 9-05-2016] https://www.wired.com/2016/05/flaws-samsungs-smart-home-let-hackers-unlock-doors-set-off-fire-alarms/?mbid=nl_5216   

[x] "Security Analysis of Emerging Smart Home Applications". University of Michigan, 2016. url [a 2016.05.09] https://iotsecurity.eecs.umich.edu 

[xi] Paul Wagenseil, 29 Nov 2016. "Printers Can Be Hacked to Catch Fire". Scientific American. url [a 9-05-2016] http://www.scientificamerican.com/article/printers-can-be-hacked-to-catch-fire/