Seguridad en sistemas SCADA
SEGURIDAD EN SISTEMAS SCADA
¿Que es un sistema SCADA?
Un sistema SCADA es la organizacion de varios sistemas automatas los cuales pueden contar con HMI (human media interface) o sin ella, concentrados en un solo acceso computacional para permitir una vigilancia permanente del correcto funcionamiento de los dispisitivos, ahorrando costos en los planes de mantencion y aumentando la productividad de ellos mejorando los tiempos de respuesta ante los posibles problemas que pudiera presentar. los sistemas SCADA funcionan tanto en la grande industria como en un hogar, un sistema automata muy sencillo seria un timer conectado a una luz que encenderia a la hora que nosotros le programamos, ¿pero como convertimos esto a un sistema scada?, la solucion seria crear una interfaz capaz de configurar todos los temporizadores desde un solo lugar y en los cuales podamos ver su funcionamiento, sin tener que ester presentes fisicamente.
La seguridad en los sistemas SCADA
Los sistemas SCADA son bastante vulnerables ya que muchas veces cuentan con muy poca actualizacion, por ser un sistema privativo, y el poco concimiento de los profesionales en estos temas, ya que la mayoria de los tecnicos que trabajan con ellos estan especializados en una sola area, el programador de automatas no programa SCADA, y viceversa, estos sistemas son muy vulnerables fisicamente, ya que el cortar un solo cable puede llevar a la puesta fuera de servicio del automata y hacer que funcione erroneamente, y la mala conexion de uno de ellos puede llegar a estropearlo sin recuperacion, ademas que la mayoria de los PLC (Controlador Logico Programabe) estan protegidos para impedir el “respaldo” del programa en su interior lo que es un punto critico al no tener un apoyo en caso de falla critica, pero como lo dije es necesario tener un acceso fisico al PLC para provocar esa falla, pero ¿ como puede fallar un sistema SCADA sin una presencia fisica? el primer fallo puede ser por una falla en la programacion, un error en los protocolos de comunicacion, falla en el suministro electrico. Nosotros nos concentraremos en los protocolos de comunicacion.
Protocolos de comunicacion.
los Sistemas SCADA funcionan con distintos tipos redes, PROFIBUS RS-485 este tipo de redes por su velocidad son usadas para el monitoreo a distancia y punto a punto, tambien estan las redes RS-232 con las cuales se obtiene una comunicacion mas fluida, pero los automatas mas actuales cuentan con el famoso protocolo TCP/IP, con el cual ya no son sistemas de monitoreo solamente, ahora con las velocidades de las redes ethernet, se pueden hacer modificaciones ONLINE, sin necesidad de una presencia fisica, con los demas protocolos tambien se puede pero la conexion es muy insegura y la perdida de datos es critica para estos sistemas.
CONCLUSIONES
Sabiendo esto, podemos decir que los sistemas SCADA son sistemas muy delicados y que necesitan ademas una programacion especial tambien necesitan un cuidado y mantencion especial, por eso por mucho tiempo la seguridad de estos sistemas se basaba en los tipos de redes en la que funcionaban ya que eran redes cerradas al exterior, ya que no hay una comunicacion con el exterior (internet) ademas de ser redes industriales, no alcanzables para el usuario promedio, pero con la incorporacion de las redes ethernet el cambio fue total y ya no cuentan con esa seguridad “por exclusividad” ya que trabajan con un protocolo universal como el TCP/IP, su vulnerabilidad se volvio algo que se escapo de las manos de los desarrolladores, con lo cual estos sistemas cuentan con muchas vulnerabilidades “basicas”, denegacion de servicio, PING DE LA MUERTE y la suplantacion de identidad entre dispositivos, un largo ETC. Por eso estos sistemas en su primera norma es imperativo que sean redes paralelas a las redes de uso normal (informaticas), y sus dispositivos generalmente cuentan con conectores especiales los cuales no son accesibles para el comun de las personal, ¿pero por que tanto?, un simple virus puede afectar el sistema, un solo pendrive infectado puede ocacionar el fallo del sistema base en el cual corre nuestro programa, muy malas noticias, Windows CE, ya con solo decir eso sabemos al monton de fallas que nos estamos enfrentando, ahora analisare un caso practico a un sistema SCADA que estamos montando en mi trabajo.
CASO PRACTICO
en mi lugar de trabajo actualmente nos encontramos levantando un sistema SCADA en conjunto con una red SCADA donde todos nuestros sistemas se encuentran interconectados, en este caso nosotros mismos cometemos el primer y mas destructivo de los errores, tenemos nuestra red SCADA enlazada por una boca a la red informatica de la empresa, ¿por que ?, por que es mas comodo ir a cualquier punto de trabajo conectar tu laptop configurar la ip y empezar a trabajar desde cualquier lugar de la planta, sin la necesidad de molestar a otros, ocupando un lugar de trabajo, otra “falla” catastrofica que tenemos, es que hemos montado una red wifi con repetidores para unir los distintos puntos de la planta ya que con cable los tramos son muy largos por eso optamos por usar ap conectado a los switch para tener un mayor alcance, y ademas de poder conectarnos con las laptop y poder revisar las maquinas en terreno si es necesario, ademas en nuestra red contamos con un servidor Linux/Debian en el cual corremos servicios de java, web, mysql, ftp, samba. Este servidor funciona como NAS y servidor del sistema SCADA. y como “servidor” o interprete SCADA usamos la plataforma web IGNITION, este sistema es nuevo para nosotros y como aun no lo dominamos por completo estamos usando su version trial, la cual nos da 2 horas de uso full, esto es como para programar y una vez listo y funcional nos comprarian la licencia, en si IGNITION es bien seguro pero una debilidad, es que puede funcionar con mysql o cualquier base de datos, no por el echo de que trabajo con base de datos es la vulnerabilidad , es en el “programador” o instalador del sistema; cuando pedimos el servidor instalado con linux mysql y lo demas, el departamente de informatica de la empresa dijo que ellos lo harian siendo que nosotros nos ofrecimoms a hacerlo, cuando nos llego el servidor necesitabamos la clave de mysql y los servicios, la respuesta fue: “el usuario es root y sin clave para todo” ante esa respuesta formateamos el pc y pusimos contraseñas seguras a los servicios, cuantos sistemas SCADA estan en el mundo configurados de esa forma, con usuarios y password default.
No podemos ver los errores ajenos sin ver los nuestros primero.
Bueno algunos dijieron por ahi que tube la muerte del gallo de campo, puede haber sido, pero con esto quiero decir que volvere a a hacer todas las cosas que me gustan y mostrarselas a los demas aunque me critiquen, aunque con las criticas es con las que unno crece, el trabajo, mi polola y varias cosas mas me han tenido muy ocupado como para descuidar muchas cosas que son las que me gustan, pero ahora vuelvo a retomarlas, espero que esten bien y continuare con los proyectos que deje botados :S