iSecurify

Internet, Security & Forensics

  • Inicio
  • Blog
  • Sobre mi
  • Categorías
    • Ciberseguridad Industrial
    • Privacidad y Protección de Datos Personales
    • Hacking Ético
    • Análisis Forense Digital
    • Auditoría de Sistemas
  • Colaboradores
  • Contacto

ICS Cyber Security: Security Concerns

21 February, 2017 by Joan Figueras Leave a Comment

Industrial Control Systems (ICS) security represents a significant challenge in today’s world. Some months ago I gave a presentation on ICS Cybersecurity in the ISACA’s EuroCACS/ISRM Conference in Copenhaguen, and now, I’m going to explain in this post some concepts we were discussing there about security concerns.

Industrial infrastructure has a very long life cycle (over 20 or 25 years) and for this reason, most of the implemented security measures in control systems are outdated and rely upon a sort of “security through obscurity” (if an attacker doesn’t know what to attack, we are secure) but of course this is wrong, -it has been proven that this is a wrong approach!

However, the fact that industrial systems adopt IP protocols certainly introduces a new security risk, but we must not forget that other risks already existed before and they had nothing to do with the Internet.

Let’s look at some of these security concerns:

1) Weak communication protocols
We’re working with communication protocols designed in the 70’s and in the 80’s: (DNP3, Modbus, ProfiNet, etc.) and most of them do not incorporate either authentication or encryption. Without authentication anyone who can access the network could send control signals to a specific device, and -as you know- a “bad guy” can gain access to the network in many different ways. And without encryption, the data transmitted over the network can easily be obtained using a network sniffer (i.e., Wireshark).

[Read more…]

Filed Under: Ciberseguridad Industrial Tagged With: Cybersecurity, ICS

Uptane

21 February, 2017 by Joan Figueras Leave a Comment

Actualizar de forma segura el software de los automóviles

Estos últimos años hemos conocido varios casos de incidentes de seguridad relacionados con automóviles y, en especial, con los llamados smart cars. Los investigadores Charlie Miller y Chris Valasek, de IOActive, demostraron que era posible tomar el control de un Jeep Cheroke remotamente llegando incluso a manipular el acelerador o el sistema de frenos (lo habían hecho antes, con éxito también, con un Ford Escape y un Toyota Prius) mostrando los resultados de sus investigaciones en conferencias como Def Con o Black Hat.

El impacto de un incidente de estas características perjudica la reputación de los fabricantes afectados pero, además, pone de manifiesto que los ciberataques no afectan sólo a los sistemas informáticos, si no que pueden extenderse hacia el mundo físico poniendo en riesgo la vida de las personas.  En este escenario, la relación entre la seguridad lógica (ciberseguridad, o “security”) y la seguridad física (o “safety”) es evidente.

Existen varias iniciativas, como el Grupo de Trabajo CaRSEC (Cars and Roads SECurity) de ENISA o el marco de trabajo elaborado conjuntamente por NIST y la National Highway Traffic Safety Administration titulado “Risk Management Framework Applied to Modern Vehicles“.

Considerando que un smart car integra más de 100 microprocesadores y unas 50 unidades de control (ECU), con un total de más de 100 millones de lineas de código, el software -o, mejor dicho, las vulnerabilidades del software- son un punto débil en cuanto a ciberseguridad y pueden suponer una grave amenaza para la seguridad.

Un equipo de investigadores de la University of Michigan y de la New York University ha puesto el foco en la problemática resultante de una mala implementación de los sistemas de actualización de software de los vehículos.  Las soluciones convencionales se basan en la prevención de ataques convencionales, como por ejemplo firmar el código para evitar que se pueda instalar una actualización no autorizada, pero no existen soluciones para incidentes más complejos como un compromiso del repositorio, el bloqueo del sistema de actualizaciones del propio vehículo, o el ataque a los sistemas de un proveedor.

Para ello han diseñado Uptane, el primer framework para actualizaciones de software de automóviles.  Se trata de un marco flexible que permite ser desplegado por diferentes fabricantes y proveedores independientemente de su infraestructura y entorno de desarrollo, y capaz de soportar una gran variedad de tipos de ataque aportando, como novedad, una gran capacidad de resiliencia ante cualquier ataque.  Así, en caso de producirse un compromiso en el código, el sistema debe ser capaz de recuperarse y volver a su estado normal de funcionamiento con el mínimo impacto para el vehículo.

Los investigadores han contado con el apoyo de la industria automovilística norteamericana, y todo el trabajo realizado, detalles técnicos, papers, presentaciones, etc. está disponible aquí: http://uptane.github.io

Descargar Paper “Uptane: Securing Software Updates for Automobiles” [PDF, 11 pag.]

Filed Under: Ciberseguridad Industrial Tagged With: Ciberseguridad, Cybersecurity, Smart Car

  • Ciberseguridad Industrial
  • Privacidad y Protección de Datos
  • Hacking Ético
  • Auditoría de Sistemas
  • Análisis Forense Digital

Sígueme en:

Buscador

Etiquetas:

Blockchain CAINE Ciberseguridad Cybersecurity Directiva NIS Eventos Forense I40 ICS Malware Smart Car

Mis tuits:

Tweets by JoanFiguerasT

Blogs de interés:

  • – Gobierno de la ciberseguridad
  • – Enredando con Redes
  • – Perito IT
  • – Security by Default
  • – SCADAHacker
iSecurify | Internet, Security & Forensics

Servicios profesionales de ciberseguridad y protección de la información.

Peritaje informático y tecnológico.

  • Sobre mi
  • Blog
  • Eventos
  • Colaboradores
  • Contacto
  • Sitemap
  • Categorías
  • Ciberseguridad Industrial
  • Hacking Ético
  • Auditoría de Sistemas
  • Análisis Forense Digital
  • Privacidad y Protección de Datos

Joan Figueras Tugas

Certificado CISA, CISM (ISACA)
Perito Judicial #110 (ACPJT)

Copyright © 2023 · Joanfi on Genesis Framework · WordPress · Log in