En Junio de 2010 fue detectado Stuxnet, un gusano informático diseñado para atacar SCADAs industriales, sistemas de motorización y control. Fue el primer virus conocido que permitía acceso a PLC y la reprogramación de estos. Este malware permitía infiltrarse en programas WinCC de Siemens (uno de los softwares mas empleados en la industria). Es posible que el objetivo fuera alguna industria critica como una central nuclear. Por ello los sistemas industriasles (ICS) se han visto obligados a estar prevenidos contra ataques malintencionados.
La primera prevención es la humana, el usuario, quien esta delante de la máquina debe tener cierto conocimientos para evitar ser infectado. Es importante resaltar que un antivirus no es perfecto que un firewall es vulnerable que cualquier sistema puede ser objetivo de un hacker. La primera puerta de entrada es la ingenuidad del usuario, ya sea un ordenador domestico o una industria. Siempre he hecho he puesto el siguiente ejemplo:
«Un ordenador es como una casa, si dejamos la llave puesta facilitamos la labor al ladrón para entrar. El problema es que mucha gente no sabe que esta dejando la llave de la puerta del ordenador puesta o abierta»
El ataque mas común suele ser el llamado «ingeniería social» es por así decir, la picaresca informática. Desde un amigo que te pide la clave de tu facebook para mirar algo y con ello hace un uso no ético hasta un email de tu «supuesto banco» que debes darles las claves de acceso porque las han perdido. Siempre desconfiar de dar claves a ningún lugar, también usar claves distintas en cada lugar de internet que nos registremos, pues en muchos nos piden el email y la clave, si esta es la misma que el propio mail que hemos dado, podrían cotillearnos todos los correos.
Pero el tema en cuestión, hablaremos de antivirus industriales, existen varias marcas pero resaltaremos de CIM una herramienta de Phoenix Contact, una de las marcas mas conocidas en entornos industriales. Se usan para sistemas no parcheables, es decir, sistemas donde el fabricante los ha dado tal cual y no deben ser modificados o sistemas operativos anticuados, también para equipos que no pueden disponer de antivirus porque consumirían muchos recursos. Este software no detecta los virus como cualquier otro, detecta cambios en los archivos de Windows .exe o .dll. Crea una base de datos de todos los ficheros y va comprobando que no han sido modificados. En caso contrario envía un email para comprobar un posible malware.
También existen aplicaciones que permiten a antivirus externos ejecutarse en PCs industriales, en momentos donde no están siendo utilizados, hay que resaltar que muchas veces estos PCs no pueden apagarse, y los antivirus requieren actualizaciones.
Buenas practicas del uso de antivirus:
- Gestión de los antivirus:
- Definición de políticas de seguridad: requisitos de tiempo de aplicación de firmas.
- Definición de procedimientos: prueba de firmas antes en equipos de preproducción. Distribución gradual de las firmas.
- Arquitectura de distribución de firmas de antivirus:
- Distribuir las actualizaciones mediante un servidor propio de actualizaciones.
- El servidor de actualizaciones debe ir situado en la DMZ semiconfiable.
- Bastionado de los sistemas:
- Reducir la superficie de ataque desactivando servicios innecesarios
- Activar los registros de auditoría para identificar comportamientos anómalos
- Principio del mínimo privilegios, ejecutar los servicios con usuarios no privilegiados
- Control de acceso a la red:
- Limitar el acceso a la red implantando NAC 802.1x logrando así que equipos no pertenecientes a la organización accedan a la red.
- Monitorizar los intentos de accesos a la red con el objetivo de identificar intentos de conexión no autorizados a la red de control industrial.
- Control de dispositivos externos:
- Para limitar las infecciones de virus, limitar el uso de dispositivos USB mediante configuraciones del sistema operativo.
- Cuando sea necesario su uso, forzar el cifrado.