Marco de simulación SCADA que permite practicar habilidades defensivas frente a ciberataques
SCADA viene de las siglas de «Supervisory Control And Data Adquisition», es decir: adquisición de datos y control de supervisión. Se trata de una aplicación software diseñada para funcionar sobre computadoras en el control de producción, proporcionando comunicación con los dispositivos de campo (controladores autónomos, autómatas programables, etc.) y controlando el proceso de forma automática desde la computadora.
Actualmente no hay suficientes personas con el conocimiento o la experiencia necesarios para realizar test de penetración en entornos SCADA. Muchas empresas de seguridad con personal altamente técnico tienen el conocimiento del 80% del trabajo, pero no se dan cuenta que trabajos como: pruebas de red cableadas e inalámbricas, pruebas de aplicaciones web y tradicionales y pruebas de hardware integrado; forman parte de un test de penetración en entornos SCADA. Lo principal es que estas empresas se pierden es el contexto del sector: energía, gas, tratamiento de aguas… Motivo por el que las empresas de servicios públicos son reacias a incorporar firmas de seguridad con poca experiencia específica en los sistemas de control industrial. Pero pocas empresas de servicios tienen la experiencia interna y necesitan un mayor número de empresas de seguridad para elegir. Además, existen muy pocas herramientas de seguridad para trabajar con protocolos de sistemas de control industrial más allá de la captura y decodificación de paquetes. Un claro ejemplo que pone esta carencia de manifiesto es lo sucedido hace unos días en Florida, donde una planta de tratamiento de agua ha recibido un ciberataque intentando crear una situación de riesgo para la salud.
GRFICS es un marco de realismo gráfico para simulaciones de control industrial que utiliza gráficos de motor de juego Unity 3D para reducir la barrera de entrada para la seguridad del sistema de control industrial. GRFICS proporciona a los usuarios una red de sistema de control industrial virtual (ICS) completo para practicar: ataques comunes, incluida la inyección de comandos, ataques man-in-the-middle y los desbordamientos de búfer; y ver visualmente el impacto de sus ataques en la visualización 3D. Los usuarios también pueden practicar sus habilidades defensivas segmentando adecuadamente la red con fuertes reglas de firewall o escribiendo reglas de detección de intrusos. GRFICS fue desarrollado originalmente por investigadores de Fortiphyd Logic y el Instituto de Tecnología de Georgia con el objetivo de llevar las habilidades prácticas de seguridad en sistemas de control industrial a una audiencia más amplia.
La última versión de GRFICS está organizada como 5 máquinas virtuales VirtualBox (una simulación 3D, un PLC suave, una HMI, un firewall pfsense y una estación de trabajo) que se comunican entre sí en redes virtuales solo de host:
Simulación
La VM de simulación (denominada ChemicalPlant) ejecuta una simulación realista de una reacción de proceso químico que se controla y monitorea mediante dispositivos IO remotos simulados a través de una API JSON simple. Estos dispositivos de E/S remotos son luego monitoreados y controlados por el PLC VM utilizando el protocolo Modbus. Esta máquina virtual se encuentra en la subred de la red ICS (192.168.95.0/24) con las direcciones IP 192.168.95.10-192.168.95.15.
Controlador lógico programable
El PLC VM (llamado plc_2) es una versión modificada de OpenPLC ( https://github.com/thiagoralves/OpenPLC_v2 ) que usa una versión anterior de la biblioteca libmodbus con vulnerabilidades conocidas de desbordamiento de búfer. Esta máquina virtual se encuentra en la subred de la red ICS (192.168.95.0/24) en 192.168.95.2
Interfaz hombre-máquina
La HMI VM (llamada ScadaBR) contiene principalmente una HMI de operador creada con el software gratuito ScadaBR. Esta HMI se utiliza para monitorear las medidas de proceso que está recolectando el PLC y enviar comandos al PLC. Esta máquina virtual se encuentra en la subred de la red DMZ (192.168.90.0/24) en 192.168.90.5
Cortafuegos/Enrutador PfSense
El cortafuegos VM (llamado pfSense) proporciona funciones de enrutamiento y cortafuegos entre la red DMZ e ICS. La interfaz WAN está en la subred DMZ (192.168.90.0/24) en 192.168.90.100 y la interfaz LAN está en la subred ICS (192.168.95.0/24) en 192.168.95.1
Estación de trabajo de ingeniería
La máquina virtual de la estación de trabajo es una máquina Ubuntu 16.04 con software que se utiliza para programar OpenPLC. La estación de trabajo está ubicada en la red ICS (192.168.95.0/24) en 192.168.95.5.
Más información y descaega de GRFICS:
https://github.com/Fortiphyd/GRFICSv2
Formby, D., Rad, M. y Beyah, R. Reducir las barreras a la seguridad del sistema de control industrial con GRFICS. En 2018 USENIX Workshop on Advances in Security Education (ASE 18) . https://www.usenix.org/conference/ase18/presentation/formby
En el canal de YouTube de Fortiphyd, en https://www.youtube.com/playlist?list=PL2RSrzaDx0R670yPlYPqM51guk3bQjFG5, se encuentra disponible una serie de videos que explican la configuración de la VM y los ataques de ejemplo.
Fortiphyd Logic ofrece una versión comercial de GRFICS con más escenarios, funciones avanzadas y facilidad de uso optimizada. Obtenga más información en https://www.fortiphyd.com/training