Últimas noticias
- Usuarios de Skype afectados por ransomware en anuncios maliciosos 01-Abr-2017
- Java y Flash encabezan la lista programas más obsoletos 31-Mar-2017
- Apple soluciona error en Safari usado en ataques de ransomware 28-Mar-2017
- Utilizan botnet GiftGhostBot para robar saldos de tarjetas de regalo 28-Mar-2017
- Expertos señalan que hay archivos sensibles expuestos en Docs.com 28-Mar-2017
- Spammers modifican archivos RTF para ocultar malware 27-Mar-2017
- Estafas de bitcoins infestan las redes sociales 25-Mar-2017
ICS-CERT advierte sobre herramienta de SCADA para obtener contraseñas
El ICS-CERT, órgano de los Estados Unidos responsable de la seguridad en los sistemas de control industrial, advirtió sobre una herramienta que puede ser utilizada para obtener contraseñas de los controladores lógicos programables (PLCs por sus siglas en inglés). El programa escrito en el lenguaje de programación Python, fue desarrollado por los expertos en seguridad Alexander Timorin y Dmitry Sklyarov, ambos miembros del grupo de investigación de SCADA StrangeLove.
La herramienta utiliza un ataque de fuerza bruta para obtener las contraseñas de los controladores lógicos programables SIMATIC S7 de Siemens. Sin embargo, no prueba las contraseñas en el mismo controlador, si no que lo hace fuera de línea, utilizando tráfico de red grabado que contiene eventos de autenticación.
En el PLC S7, la autenticación se lleva a cabo utilizando un procedimiento de reto-respuesta. El primer elemento encargado de autenticar envía un número aleatorio (el reto). Luego, el segundo elemento añade su hash de contraseña al reto. Se genera un nuevo hash al resultado y posteriormente se envía de regreso como respuesta al reto. La primera parte hace exactamente lo mismo con la contraseña esperada. Si el resultado concuerda con la respuesta recibida, la autenticación se realiza exitosamente.
El script de Python extrae el reto y la respuesta del tráfico de red registrado. Luego intenta contraseña por contraseña hasta que el hashing produce la respuesta recuperada. Si se encuentra una coincidencia, el atacante obtiene la contraseña en formato de texto plano. Debido a que la obtención de contraseñas requiere de tráfico de red registrado, el atacante primero debe tener acceso a la red.
El ISC-CERT indica que el reporte donde se describe el script de Python fue publicado sin informar el fabricante de los sistemas de control afectados. También señala que el código podría ser adaptado para sistemas de otros fabricantes.
ICS-CERT proporciona un consejo ya habitual para reducir el riesgo de ataque, los sistemas de control no deben ser accesibles a través de Internet, deben ser protegidos detrás de un firewall y aislados de las redes de la organización. El acceso remoto debe requerir un método seguro como VPN. Aunque la realidad es muy diferente.
