Els Perills que amenacen els Sistemes de Control Industrial (ICS)

Programari Maliciós (MALWARE)

 El concepte de Malware engloba tot l’ecosistema de programari maliciós.

El primer virus conegut, Creeper, es remunta a l’any 1971, i es limitava a mostrar el missatge “Sóc una enfiladissa … Atrapa’m si pots!”.
Creeper va ser un experiment dissenyat per demostrar que un programa podia ser capaç de recórrer la xarxa saltant d’un ordinador a un altre mentre realitzava una tasca concreta.

Poc temps després, va aparèixer el primer antivirus, Reaper, que significa segadora per això d’anar contra l’ enfiladissa, i va ser dissenyat molt poc després pel pare del correu electrònic Ray Tomlinson. La seva única missió era la d’anar eliminant a Creeper dels ordinadors on s’amagava, per a això imitava la seva actitud viatjant i replicant-se a si mateix entre els equips de la xarxa.

Si bé inicialment l’objectiu del malware eren únicament els ordinadors, en l’actualitat, qualsevol equip connectat a una xarxa pot ser el seu objectiu, ordinadors, smartphones, electrodomèstics intel·ligents, càmeres, sensors, PLCs, SCADAs, en definitiva, qualsevol equip connectat.

A més, el grau de sofisticació actual és tal, que utilitzen tècniques d’evasió per a no ser detectats i passar desapercebuts en els sistemes.

El primer virus conegut, Creeper, es remunta a l’any 1971, i es limitava a mostrar el missatge:
“Sóc una enfiladissa… ¡atrapa’m si pots!”.

Virus

Tipus de malware en forma d’arxiu amb l’objectiu infectar un equip generant algun tipus d’alteració en el seu comportament. Infecta arxius .EXE o arxius amb macros, es reprodueix afegint el seu codi dins d’altres arxius.
Alguns dels símptomes són que l’equip comença a comportar-se de forma estranya, triga molt a arrencar, hi ha aplicacions que no s’obren o s’apaga sense motiu aparent.

Cuc

Tipus de malware l’objectiu del qual és propagar-se per un sistema sense necessitat que l’usuari faci de fer res. Per propagar-se busca altres destinacions, adreces de xarxa, comptes de correu electrònic, llistes de contactes, o pendrives.
Alguns dels símptomes són que l’equip es queda sense recursos al poc d’iniciar-se. Tant el sistema operatiu com els programes i internet aniran lents. Al propagar-se, el mateix passarà en altres equips en xarxa o de contactes.

Troià

Tipus de malware l’objectiu del qual és ocultar-se en un equip per recollir informació. Solen propagar-se utilitzant un cuc. Un cop dins d’un equip, obre un enllaç a l’exterior mitjançant una porta del darrere i informa l’atacant que l’equip ha estat infectat. L’atacant pot recopilar informació sensible de la víctima (contrasenyes, documents confidencials, fotografies compromeses, espionatge de comunicacions, etc.), pot reclutar l’equip per a una botnet convertint-lo en un zombi, també pot utilitzar l’equip com a pivot, per tal d’atacar a altres equips i dificultar que el puguin rastrejar.
El més probable és que no es noti cap símptoma en el funcionament de l’equip afectat, o fins i tot que millori el seu funcionament, ja que a l’atacant li interessa que l’usuari no noti res. La millor manera per detectar-ho és fent una cerca de ports oberts en l’equip, o bé utilitzar alguna ordre com TCPView o netstat que indiqui els ports i les aplicacions que els utilitzen.

Ransomware

Tipus de malware que un cop assentat en l’equip encripta tota o part de la informació que resideix en el mateix, amb l’objectiu de demanar un rescat per poder recuperar la informació. És la principal amenaça a l’actualitat. S’introdueix en l’equip camuflat en un altre arxiu, com a adjunt a un correu electrònic o com un enllaç de descàrrega. Un cop a l’equip, el Ransomware procedeix al xifrat de tots o part dels arxius de sistema, de manera que l’usuari deixa de tenir accés a la seva informació i l’equip deixa de funcionar.
Alguns Ransomwares més recents, inclouen la funció de cuc buscant nous equips a infectar a la xarxa aprofitant d’alguna vulnerabilitat. A més de robar la informació abans d’encriptar-la, i amenacen en difondre-la si no es realitza el pagament. Un cop infectat, apareixerà una pantalla de bloqueig en què es demana el pagament del rescat per poder recuperar la informació.

Spyware

Tipus de malware que té com a objectiu recol·lectar informació de l’usuari o de l’equip sense que l’usuari en sigui conscient. La recol·lecció d’informació pot incloure credencials, dades sensibles, dades bancàries, dades personals, dades de navegació. Se solen amagar en eines, com optimitzadors de sistema, exploradors d’arxius, gestors de descàrregues, o fins i tot antivirus gratuïts, que fan la funció principal però que en segon pla van recollint la informació.
La detecció no és senzilla, però es pot observar una baixada de rendiment en l’equip o bé, analitzar el tràfic de xarxa i les connexions.

Keylogger

Tipus de malware dissenyat per capturar l’activitat realitzada per l’usuari. Pot capturar les pulsacions de teclat, l’activitat del ratolí, del monitor o d’altres dispositius connectats a l’equip. També poden existir com a dispositiu hardware que es connecta a l’equip.
La seva detecció pot ser complicada ja que no es percebrà res per part de l’usuari. S’hauria de comprovar els processos que corren en l’equip per si es detecta algun no habitual.

Backdoor

És una funció d’un programa que permet l’accés al mateix de forma alternativa a l’habitual. Poden estar incorporats a programes, firmwares, etc. Són legals si compten amb el consentiment de l’usuari, encara que generalment no és així i es justifiquen per motius de monitorització o assistència remota. Poden ser legítims si el desenvolupador l’ha contemplat així, o poden ser degudes a un error en alguna aplicació, convertint-se en una vulnerabilitat que podria ser aprofitada mitjançant un exploit. Aquest tipus de vulnerabilitats són molt habituals i són recollides en llistats CVE.
Es pot detectar analitzant les connexions de xarxa, en recerca de ports oberts o tràfic de xarxa sospitós.

Rootkit

Tipus de malware emprat per alterar el comportament habitual d’un programa per ocultar el que realment s’està executant, amb la finalitat de que el malware introduït en el sistema no sigui detectat per l’usuari o pel mateix sistema.
És pràcticament impossible detectar un rootkit, ja que qualsevol programa (antivirus, programari d’anàlisi, etc.) en execució pot estar manipulat pel rootkit i mostrar informació falsejada.

Rogue Software

És un programa que aparenta fer funcions que en realitat no fa. Generalment simulen un antivirus o un programari de seguretat, de manera que habitualment se’ls coneix com FAKEAV (falsos antivirus). Apareixerà al navegar per pàgines poc recomanables, en forma d’alertes o pestanyes que avisen que el nostre equip està infectat i que hem de descarregar i executar un programa que solucionarà el problema.

Com es pot veure hi ha malware de tot tipus i per a tots els gustos, hi ha autèntiques navalles suïsses que permeten a qualsevol usuari sense coneixements previs crear qualsevol tipus de malware a mida de les seves necessitats.
Si es volen fer atacs més sofisticats o complexos, es pot recórrer a grups organitzats de ciberdelinqüents, que ofereixen tot tipus de serveis com ara: lloguer de botnets per a atacs DDoS, atacs dirigits d’enginyeria social, espionatge industrial, etc. De fet, les possibilitats són pràcticament infinites.

Formació i Conscienciació en Ciberserguretat

A més de comptar amb un bon antivirus, és essencial que tot el personal de l’empresa rebi formació continuada sobre ciberseguretat.

No es tracta de fer-los experts en ciberseguretat, sinó de conscienciar-los dels perills d’Internet, que coneguin els tipus d’atacs que poden patir, a reconèixer-los, a evitar-los i en cas de patir un incident saber com actuar per minimitzar les conseqüències de l’atac.

La seguretat no depen únicament de la tecnologia, la formació del
personal en Ciberseguretat és clau per a prevenir incidents.