Las sirenas de emergencia vendidas por Acoustic Technology utilizan un sistema de comando y control no encriptado que se transmite por aire, lo que permite a los atacantes requisarlas.

    Estos son los retos de seguridad a los que se enfrentan los sistemas de control industrialScott King, director senior de servicios de asesoramiento de seguridad de Rapid7, explica los retos de ciberseguridad a los que se enfrentan los operadores de sistemas de control industrial y los posibles riesgos futuros para las plantas industriales.

    • Los sistemas de alarma vulnerables se despliegan en municipios, así como en instalaciones militares, campus universitarios y centrales petrolíferas y nucleares.
    • Se está probando una solución en San Francisco, aunque no está claro si se ha implementado un despliegue más amplio en otras áreas.

    Una vulnerabilidad en los sistemas de alarma de Acoustic Technology, Inc. (ATI) ha sido descubierto por Balint Seeber, el director de investigación de vulnerabilidad de Bastille Networks. La vulnerabilidad, apodada SirenJack, permite a los atacantes obtener el control de las sirenas de alerta de emergencia, lo que les permite reproducir cualquier sonido que los atacantes elijan a través de la sirena de alerta.

    El sistema de mando y control de las sirenas utiliza un sistema de comunicación inalámbrica no cifrado y, por lo tanto, inseguro. Según un comunicado de prensa, un actor malicioso puede utilizar una radio estándar y una computadora portátil para analizar los paquetes de control, realizar ingeniería inversa y luego transmitir sus propios paquetes de control utilizando el mismo hardware. Este exploit es una prueba más de la urgente necesidad de cifrado en las herramientas empresariales, especialmente cuando están conectadas de alguna manera a datos sensibles o a un sistema privado.

    Los sistemas de sirena ATI HPSS16, HPSS32 y MHPSS, así como el controlador de sirena ALERT4000 han sido confirmados por Bastille como vulnerables. Bastille ha podido leer y reproducir los paquetes de control en San Francisco y en otros dos lugares, dijo el comunicado. Según el sitio web de ATI, las sirenas también se despliegan en One World Trade Center, la central nuclear Indian Point Energy Center, la Universidad de Massachusetts Amherst y la Academia Militar de West Point, aunque Bastille no ha probado despliegues en esas áreas.

    VER: Investigación de estrategias de ciberseguridad: Tácticas comunes, problemas de implementación y efectividad (Tech Pro Research)

    Bastille produjo un vídeo de prueba de concepto que demuestra la vulnerabilidad, aunque esta demostración utiliza una conexión por cable entre la antena del altavoz de prueba y la radio, ya que la frecuencia utilizada por el hardware de la sirena es una banda licenciada, lo que haría que la transmisión en esa frecuencia fuera ilegal.

    La compañía le dio a ATI el estándar de la industria de 90 días para implementar un parche antes de la divulgación pública. Actualmente, ATI está probando un parche en San Francisco, aunque no está claro si este parche está siendo ampliamente implementado en todos los clientes hasta ahora.

    Más información sobre ciberseguridad

    En una declaración a Wired, un representante de ATI indicó que la investigación de Bastille era ilegal, ya que la compañía estaba «violando las regulaciones de la FCC contra la interceptación e incluso la mera divulgación de la existencia de señales de radio gubernamentales sin autorización». Las empresas que adoptan una postura hostil hacia los investigadores de seguridad son un enfoque equivocado, y es difícil ser optimista sobre la postura de ATI en este caso. En una declaración separada publicada en el sitio web de la Bastilla en la que se describe la vulnerabilidad, señalan que los resultados de la investigación son «probablemente ciertos», aunque señalan que «esto no es algo trivialmente fácil que cualquiera pueda hacer».

    A crédito de ATI, el diseño de este sistema no es un sistema de control basado en DTMF (que ellos anotan en su declaración), como el construido por Federal Signal, comandado por hackers en Dallas el año pasado. El diseño de ese sistema permitía a los atacantes capturar y repetir paquetes de control, haciendo comparativamente trivial asumir el control de ese hardware.

    El sitio web de la Bastille señala la importancia de la divulgación pública de estas vulnerabilidades, en particular porque las falsas alarmas provocadas por los hackers que obtienen el control de los sistemas de alarma pueden erosionar la confianza del público. Además, señalan que «los vendedores no saben quién utiliza actualmente su tecnología: los productos pueden venderse a través de terceros, los nombres de los contactos técnicos pueden haber cambiado, las empresas clientes pueden fusionarse en diferentes negocios. Sólo a través de un anuncio público se puede advertir a estos clientes que tienen una vulnerabilidad y alcanzar a su proveedor para obtener un parche».

    En una declaración a ConsejoTecnologico.com, el director ejecutivo de ATI, Dr. Ray Bassiouni, minimizó el riesgo asociado con la vulnerabilidad, afirmando en parte que Bastille tiene «hackers técnicamente sofisticados», quienes indican que «se necesita seguridad adicional para la improbabilidad de que un hacker tan sofisticado sea capaz de desarrollar un método para activar nuestro sistema».

    Boletín informativo de consejotecnologico.com

    Refuerce las defensas de seguridad de TI de su organización manteniéndose al día de las últimas noticias, soluciones y mejores prácticas en materia de ciberseguridad. Entregado los martes y jueves

    mismo