domingo, 21 de mayo de 2017

Mitos sobre los Contadores Eléctricos Inteligentes en España

Una de las infraestructuras críticas de la que nuestros ordenadores tienen mayor dependencia es el sistema eléctrico.

Cuando analizamos el riesgo de ciber-ataques contra el sistema eléctrico, podemos hacerlo partiendo de sus distintos componentes: generación, transmisión, distribución o comercialización.

Pero de estos componentes tal vez el más expuesto a ataques es el tramo final (el más cercano al usuario), ya que se encuentra distribuido por todo el país con multitud de puntos de acceso.

Este tramo final hoy en día lo componen principalmente los contadores eléctricos inteligentes o smart-meters y los concentradores de datos que emplean las compañías eléctricas para gestionarlos de forma remota.

La documentación pública disponible en España sobre la seguridad de estos dispositivos es escasa y existen múltiples mitos que complican aún más su análisis.

Si vivís en España probablemente tenéis ya en vuestra casa un contador eléctrico inteligente. Somos uno de los países europeos punteros en este tipo de tecnologías. Pero el grado de despliegue a nivel internacional aun es bajo.

Esto hace que sea difícil generalizar a la hora de hablar de seguridad a nivel de smart-meters de manera global. Y es que existe una gran variedad de tecnologías y configuraciones distintas. En cada país e incluso en cada compañía se ha optado por unos protocolos y estándares diferentes.

Incluso dentro de una misma compañía suelen encontrarse múltiples configuraciones, dependiendo del grado de despliegue. Hay que tener en cuenta que son tecnologías nuevas y los ciclos de vida son muy largos, de forma que suelen convivir distintas soluciones en un mismo proveedor según van evolucionando los sistemas (y su seguridad).

Las referencias típicas sobre la seguridad de este tipo de dispositivos suele venir de Estados Unidos. Pero si habéis leído algún artículo en inglés o visto alguna charla internacional sobre este tema, muchas de las conclusiones probablemente no sean aplicables de forma general en España.

Por lo tanto necesitamos referencias locales, ya que desde el punto de vista de la ciber-seguridad o incluso de la seguridad nacional, este tipo de dispositivos son muy relevantes.

Antes de entrar en detalles, vamos a ver la estructura típica de una red de smart-metering y sus componentes principales:

 
Un mito bastante extendido es que en España los smart-meters son accesibles mediante radio (p.e. usando Zigbee). Pero si consultamos las webs de los contadores homologados por las principales compañías eléctricas veremos que ninguno o prácticamente ninguno soportan esta posibilidad.
 
Los smart-meters en España pueden ser atacados principalmente por 3 vías:
- Acceso físico directo al hardware del contador.
- Acceso mediante el puerto óptico del contador.
- Acceso mediante la red de datos PLC.
 
En España la comunicación primaria con el contador es la realizada mediante PLC, pero tiene un alcance muy limitado (entre 100m y 200m, dependiendo de la zona) de forma que normalmente los dispositivos se configuran en forma de red mesh para conseguir comunicarse con el nodo de gestión (concentrador).
 
La comunicación PLC directa es posible desde una conexión o toma eléctrica que este en las cercanías de un contador.
 
La comunicación óptica es la secundaria y requiere conexión física directa entre la sonda y el contador (no vale estar cerca, hay que tener contacto directo).
 
Tabla resumen de la tecnología utilizada por las principales compañías españolas (puede que algunos datos estén desactualizados):
 
 
Los estándares utilizados en España son diferentes de los americanos y por lo tanto incompatibles con la mayoría de herramientas de hacking (Termineter, Optiguard) que puedan venir desde allí.
 
Principales diferencias a nivel de ciber-seguridad de los smart-meters desplegados en España respecto a los desplegados en Estados Unidos y otros países:
- No hay comunicación con los electrodomésticos vía radio (no Zigbee).
- No hay comunicación GSM (los concentrados en algún caso si la usan, pero no los propios contadores).
- La comunicación PLC se basa en estándares diferentes (Prime y Meters&More).
- La comunicación óptica también se basa en un estándar distinto (IEC62056-21).
- La gestión de claves y las medidas de seguridad son diferentes y específicas de cada compañía.
 
Este es el típico contador americano y no, no funcionaría en España:
 
 
Este es el típico contador que podemos encontrar en España:
 
 
La funcionalidad y la seguridad de cada una de las implementaciones actuales es variable y probablemente no satisfactoria para muchos. Aunque la tendencia es a mejorar, pero dependiendo de la zona y de la antigüedad de los dispositivos podemos encontrarnos niveles de seguridad distintos incluso dentro de una misma compañía.
 
La principal barrera para que un usuario malicioso aproveche estas vulnerabilidades es el relativamente alto coste (o tal vez no tanto) del hardware necesario para realizar ataques:
- Un concentrador PLC puede rondar los 1200€.
- Un modem PLC puede rondar los 500€.
- Una sonda óptica ronda los 100€ aunque podemos construirnos una por bastante menos.
- Un contador de segunda mano para “cacharrear” podemos encontrarlo a partir de 50€, pero necesitaremos un pequeño laboratorio de electrónica para analizarlo.
 
Esta última tal vez es la opción más asequible y por lo tanto la mayoría de ataques publicados van por ese camino.
 
Otra barrera es la falta de documentación específica de las distintas implementaciones, la documentación de los estándares suele ser de pago y no existen apenas publicaciones técnicas detalladas.
 
Pero tenemos que estar alerta ya que ambas “barreras de entrada” con el tiempo irán siendo menores; cada vez habrá más documentación disponible, herramientas de código libre, dispositivos de segunda mano a la venta, etc.
 
 
 


miércoles, 12 de abril de 2017

Ciber-armas: efectivas, asequibles y negables

En la ultima Rootedcon, una de las charlas mas interesantes fue la que dio Mikko Hypponen, director de investigación de Fsecure.

Una de las ideas que dejo caer, fue que estamos viviendo el inicio de una nueva carrera armamentística, centrada en el ciber-espacio. Recordemos que ya en el 2016 la doctrina de la OTAN reconoció este espacio como quinto dominio o dimensión militar.

Aquí tenéis un resumen de esa parte de su charla:


Para Mikko las ciber-armas tienen 3 caracteristicas muy ventajosas a la hora de invertir en ellas.
  • Son efectivas. Pueden provocar importantes daños; economicos o incluso físicos.
  • Son asequibles. Son baratas en comparacion con otro tipo de armas (p.e. un tanque).
  • Son negables. La atribucion o autoria de un ataque es dificil de demostrar. Y por lo tanto se dificultan los posibles contra-ataques.

Estoy de acuerdo con estas afirmaciones, pero no es todo tan facil como pueda parecer.

Una ciber-arma puede ser muy efectiva o dañina, pero su efectividad es efimera, muy poco duradera en el tiempo. Un malware o un exploit dependen en gran medida del efecto sorpresa, de no ser conocidos previamente por el objetivo. Si este los conoce de antemano es facil que pueda defenderse.

La ciber-arma mas famosa y que se pone a menudo como ejemplo, Stuxnet, probablemente hoy no seria efectiva a menos que sufriese unos cambios radicales. Para empezar seria detectada por las herramientas de seguridad (antivirus, ips) y los exploits 0-day que utilizaba ya no serian efectivos.

Esto nos lleva al segundo aspecto. Una ciber-arma puede ser barata, pero normalmente solo admite unos pocos usos. No podemos reutilizar de forma indefinida un exploit o un malware ya que acabaran por ser detectados. De forma que para cada operacion necesitaremos crear nuevas herramientas o modificar notablemente las anteriores.

No solo por cuestiones de efectividad sino tambien por negabilidad. Si utilizamos la misma herramienta en mas de una operacion, perdemos esta ventaja y la atribucion se simplifica.
Por esta razon las ciber-armas normalmente no son escalables. No podemos fabricarlas en cadena y por lo tanto de manera agregada no son tan economicas como pueda parecer.

Volviendo al ejemplo de Stuxnet, su coste estimado se situa alrededor de los 100 millones de dolares. Si quisiesemos realizar una campaña ofensiva contra una nacion rival, necesitariamos realizar multiples operaciones de este tipo de forma paralela. Supongamos que digidas a las 35 principales empresas o industrias de esa nacion. Esto nos daria un coste agregado de 3500 millones de dolares. Las cifras van subiendo.

Podrian ser incluso mayores, ya que los costes asociados al desarrollo, operacion y mantenimiento de este arsenal serian crecientes; habria que añadir: gastos politicos, de cordinacion, de infraestructura, de personal, etc.

Esto podria explicar por ejemplo porque el presupuesto para ciber-operaciones del Pentagono fue de 7000 millones en 2016.