Se cancela una presentación sobre vulnerabilidades en SCADA por su peligrosidad
Una presentación del investigador independiente especializado en seguridad Brian Mexell y Dillon Beresford, de NSS Labs, prevista para ayer dentro de la conferencia de seguridad en Dallas ha sido finalmente cancelada por la preocupación de los expertos. La información contenida en la presentación, sobre vulnerabilidades en los sistemas de control industrial SCADA de Siemens, fue considerada demasiado peligrosa para ser revelada.
Los sistemas SCADA (Supervisory Control and Data Acquisition) Siemens PLC (Programmable Logic Controller) son grandes ordenadores industriales muy utilizados en plantas de fabricación y de alimentación eléctricas, entre otras grandes instalaciones. Por eso, dado el carácter crítico que para las naciones tienen los entornos donde se utilizan tales sistemas, los investigadores Mexell y Beresford decidieron cancelar su presentación en el último minuto, después de que tanto Siemens como el Departamento de Seguridad Interior de Estados Unidos subrayaran el posible alcance de la vulnerabilidad que se pretendía revelar, según Rick Moy, CEO de NSS Labs.
NSS Labs ha estado trabajando con el grupo ICS CERT (Industrial Control Systems Cyber Emergency Response) de DHS durante más de una semana intentando resolver la vulnerabilidad. “El fabricante ha propuesto una actualización que finalmente no ha funcionado y consideramos que revelar la información sin haber encontrado antes un remedio podría tener un impacto muy negativo para la población”, ha explicado Moy.
Pero Moy ha subrayado que la información sólo será ocultada temporalmente, no destruida. “Simplemente no queremos hacerla pública sin que existe una solución para los propietarios y operadores de equipamiento SCADA”, asegura el CEO de NSS Labs.
Según habían adelantado Beresford y Meixell, en su presentación tenían previsto mostrar cómo escribir malware “de escala industrial” y demostrar cómo unos atacantes suficientemente motivados podrían “penetrar incluso en las instalaciones más fuertemente protegidas del mundo sin la necesidad del apoyo de ninguna nación”.
Durante mucho tiempo la seguridad de SCADA ha sido un tema de especial candencia a raíz del descubrimiento el año pasado del gusano Stuxnet, supuestamente diseñado para destruir el programa nuclear de Irán.
NSS Labs ha estado trabajando con el grupo ICS CERT (Industrial Control Systems Cyber Emergency Response) de DHS durante más de una semana intentando resolver la vulnerabilidad. “El fabricante ha propuesto una actualización que finalmente no ha funcionado y consideramos que revelar la información sin haber encontrado antes un remedio podría tener un impacto muy negativo para la población”, ha explicado Moy.Pero Moy ha subrayado que la información sólo será ocultada temporalmente, no destruida. “Simplemente no queremos hacerla pública sin que existe una solución para los propietarios y operadores de equipamiento SCADA”, asegura el CEO de NSS Labs.
Según habían adelantado Beresford y Meixell, en su presentación tenían previsto mostrar cómo escribir malware “de escala industrial” y demostrar cómo unos atacantes suficientemente motivados podrían “penetrar incluso en las instalaciones más fuertemente protegidas del mundo sin la necesidad del apoyo de ninguna nación”.
Durante mucho tiempo la seguridad de SCADA ha sido un tema de especial candencia a raíz del descubrimiento el año pasado del gusano Stuxnet, supuestamente diseñado para destruir el programa nuclear de Irán.
