27.

Post-Mortem sobre el primer ciberataque a la red de EE.UU.: `Actualice sus routers$0027.

Se ha publicado un informe post-mortem que confirma y explica el primer ciberataque oficial a la infraestructura de la red eléctrica de EE.UU., según EENews. Sorprendentemente, no se trataba de una ardilla.

El 5 de marzo de este año, un operador eléctrico de la Interconexión Oeste de los Estados Unidos experimentó una serie de interrupciones en las comunicaciones que duraron todo el día, causando breves interrupciones en las comunicaciones con instalaciones en el sur de California, Utah y Wyoming. EENews se enteró de esa historia tan pronto como ocurrió y el escritor fue entrevistado para un reportaje de la edición de fin de semana de NPR. Las interrupciones individuales fueron menores, supuestamente duraron sólo unos cinco minutos cada una y no afectaron el suministro de energía. Pero la frecuencia y el patrón eran sospechosos y se presentó un informe para una mayor investigación.

¿El culpable? Una vulnerabilidad de firmware muy común específica de un modelo de router desplegado en el anillo exterior de comunicaciones de la empresa de servicios públicos. ¿La solución? Una actualización del firmware que no había sido identificada e instalada en esas unidades. El intruso, posiblemente sin siquiera saber a quién iban dirigidos, estaba invocando un ataque básico de denegación de servicio (DoS). Cuando es golpeado, cualquier router con la versión de firmware vulnerable se vería forzado a reiniciar. El modelo de router no se identifica, pero este tipo de debilidades son cada vez más frecuentes en múltiples proveedores y tipos de equipos. Si algo tiene que enfrentarse a Internet y defender los activos de infraestructura crítica, entonces alguien tiene que estar monitoreando las actualizaciones de los proveedores y varias publicaciones del canal para ese mercado para ver lo que está sucediendo en el lado de la seguridad.

NERC (el Consejo de Confiabilidad Eléctrica de América del Norte) completó recientemente su revisión y emitió un memorándum de Lecciones Aprendidas. Dice: «Mantenga su exposición a Internet lo más baja posible y esté atento a los parches de seguridad, estúpido». (Cito de memoria.) Como no parece estar disponible en el sitio web de NERC en este momento, también puede leer la copia que EENews ha almacenado en caché.

Fibra de grado utilitario típica, Ethernet de cobre, sincronización de tiempo y comunicaciones relacionadas

en un formato modular/de hoja, demostrado en una exposición en Denver, Colorado (2018).

La red eléctrica no responde bien a las perturbaciones repentinas y, en consecuencia, ha sido construida y mantenida principalmente por entidades resistentes a los cambios. En este mercado tan lento, una ola de nuevas tecnologías de redes y gestión remota ha explotado en los últimos 10-15 años. Estos son impulsados en parte por los desarrolladores de generación renovable que necesitan gestionar de forma centralizada los activos distribuidos y remotos, y también les gusta moverse rápido y romper cosas. El cambio ha traído muchas mejoras importantes, pero también ha traído nuevos riesgos que necesitan una nueva generación de personas con experiencia en comunicaciones industriales para desplegarlos y gestionarlos.

Por un lado, la conectividad a Internet ha permitido un nivel sin precedentes de control centralizado en tiempo real y de recopilación de datos. En el mejor de los casos, eso significa una operación más eficiente y menos interrupciones. Cada vez es más raro encontrar una subestación de energía eléctrica o un patio de maniobras en los EE.UU. que no tenga al menos un bastidor o dos de equipo de soporte de comunicaciones, a menudo configurado para el montaje al estilo de 19″ y que viva en jaulas rodantes TrippLite estándar, junto con conmutadores de red de tipo infraestructura.

Por otro lado, mi opinión desde dentro dice que los departamentos de TI dentro de la industria de servicios públicos están sujetos a las mismas presiones que afectan a la TI en cualquier otro negocio. Si no es un generador de ingresos, entonces es un centro de costos. Los centros de coste tienden a estar bajo los primeros y más altos grados de escrutinio de los contadores de frijoles distantes. Eventualmente, podemos terminar con alguna variación del Síndrome de Parque Jurásico.

Afortunadamente, este ataque en particular no fue grave y no hubo impacto en la infraestructura. Pero, parece que el feliz resultado se debió en parte a que el ataque fue poco sofisticado y se dirigió principalmente a hardware específico en lugar de a infraestructura específica. Las posibilidades del mundo real pueden ir mucho más allá, y está por ver si los proveedores de electricidad de EE.UU. pueden continuar manteniéndose por delante de su competencia de sombreros negros.

Deja un comentario