Ataques a sensores analógicos en TO

En su definición más pura, un sensor es un dispositivo, módulo o subsistema capaz de detectar magnitudes físicas o químicas, llamadas variables de instrumentación, y transformarlas en señales eléctricas legibles. Este último paso se realiza mediante el uso de un transductor, un dispositivo capaz de convertir una determinada manifestación de energía de entrada en otra diferente a la salida. Las principales propiedades que caracterizan a un sensor son exactitud, precisión, rango de funcionamiento o sensibilidad, entre otras.

En automatización industrial, los sensores juegan un papel esencial en el proceso productivo, puesto que son los que se encargan de transmitir los estímulos del exterior al sistema central que procesa la información. Se podría ver como una analogía con los sentidos del ser humano y el procesado de dicha información por parte del cerebro.

Existen una gran variedad de sensores disponibles para prácticamente cualquier aplicación industrial o magnitud, como por ejemplo:

• temperatura,
• presión,
• aceleración MEMS (Micro-Electro-Mecánicos),
• proximidad,
• humedad,
• flujo,
• caudal, y
• posición angular o lineal.

Puntos débiles de los sensores analógicos en SCI

Asegurar los sistemas de control consiste en asegurar las redes TO, así como los dispositivos que forman parte de los sistemas de control de campo, como pueden ser sensores, actuadores, robots, drives, etc. En la actualidad, existen varias herramientas y buenas prácticas con el objetivo de incrementar el nivel de seguridad en las redes TO. Entre estas se encuentran la segmentación de las redes, la definición de zonas y conductos, la segregación de las redes TI y TO, la ejecución de un control de acceso remoto y la monitorización activa o pasiva del tráfico industrial. Sin embargo, existe un vector de ataque que ha pasado bastante desapercibido a lo largo de los años y que, sin embargo, es capaz de afectar a la operación de un sistema productivo sin que ningún dispositivo de monitorización o cortafuegos TO pueda detectarlo. Se trata de los ataques a los sensores analógicos, que suponen un agujero tanto en la tecnología de estos dispositivos como en la cultura de ciberseguridad industrial existente.

Hoy en día no existen medidas de ciberseguridad específicas en los sensores, sus redes, sus protocolos o sus herramientas de calibración, por lo que resulta más difícil confiar en sus mediciones.

Interferencias electromagnéticas en los sensores

Tal y como se ha comentado en la introducción, los sensores son dispositivos electrónicos diseñados para desempeñar una tarea relativamente simple. No obstante, como cualquier otro dispositivo electrónico, pueden ser susceptibles a interferencias electromagnéticas que alteren su funcionamiento.

Investigadores de la Universidad de Michigan y de la Universidad de Louisiana-Lafayette, en el artículo titulado “Trick or Heat? Manipulating Critical Temperature-Based Control Systems Using Rectification Attacks”, identificaron una vulnerabilidad en los amplificadores de señal analógicos. Los sensores de procesos utilizan comúnmente estos componentes durante el proceso de conversión de las medidas analógicas leídas en señales de voltaje o corriente usadas por los HMI y los PLC.

El escenario de ataque planteado por los investigadores afecta al acondicionamiento general de la señal dentro de un sensor, es decir, al proceso de adecuación de la información directamente recibida por el sensor para que esta pueda ser leída y utilizada con facilidad por el circuito. En este proceso se incluyen pasos que buscan limpiar la señal mediante la eliminación de ruido e interferencias, ambos componentes indeseados que afectan a la legibilidad de la señal, así como otros elementos de filtrado y amplificación. Concretamente, este ataque busca modificar la salida del amplificador. El ataque explota un efecto de rectificación no intencionado en los amplificadores que puede ser inducido mediante la inyección de una interferencia electromagnética (EMI) de una determinada longitud de onda contra los sensores de temperatura, en este caso.

En este escenario, sus autores lograron obtener un control del voltaje de salida de los amplificadores, por lo que era posible modificar en cierta manera el nivel de la señal introducida a la entrada del conversor analógico-digital y así modificar la lectura de salida de estos sensores resistivos. Estos nuevos valores, al no variar de forma muy considerable, siguen siendo válidos (pero no correctos) para los PLC y los HMI que, al no estar preparados para monitorizar las lecturas que se le van suministrando, toman las acciones pertinentes asumiendo que los valores son legítimos.

Dado que el ataque se realiza antes de que la señal se convierta en un paquete Ethernet, la medición errónea no puede ser detectada por un dispositivo de monitorización de red. En el estudio se demuestra, a su vez, que este tipo de ataques también es válido para cualquier sensor que utilice el mismo acondicionamiento de señal. Además, los sensores de temperatura, como termopares, termistores o RTD (Resistance Temperature Detectors), son vulnerables a estos ataques incluso estando protegidos contra interferencias.

- Diagrama del acondicionamiento de señal de un sensor de temperatura. Fuente: arXiv -

Falsificaciones de dispositivos de campo

Recientemente, ha habido numerosas discusiones acerca de si existe una necesidad real de monitorizar los sensores de procesos, dado que una gran parte de la comunidad enfocada a la ciberseguridad en TO tiene la sensación de que la única manera de obtener acceso a los sensores y demás dispositivos de campo es a través de la propia red TO. Sin embargo, esta percepción ha demostrado ser errónea, puesto que, tal y como se ha comentado anteriormente, es posible modificar las medidas de temperatura de un sensor sin necesidad de manipular el dispositivo físicamente.

Además, a esta problemática se le añade una segunda: la venta de transmisores falsos. En 2014, Yokogawa emitió un comunicado en el que advertía de la existencia de transmisores falsos que se estaban vendiendo con el mismo logo y apariencia que los suyos. Estos transmisores miden varias magnitudes físicas, como presión, caudal, flujo o temperatura, y son comúnmente usados en varias infraestructuras industriales consideradas críticas, como pueden ser centrales de energía nuclear, potabilizadoras o centros de extracción y tratamiento de gas y petróleo. Sin embargo, no disponen de ningún tipo de medida de seguridad o autenticación, por lo que la instalación de un transmisor falso es perfectamente plausible.

De hecho, este no es el único caso, en los últimos años ha habido muchos más ejemplos de falsificaciones de dispositivos de campo, algunos de ellos incluso con certificaciones falsificadas como la ATEX (Atmospheric Explosible), necesaria para que el equipamiento eléctrico destinado a soportar condiciones y ambientes adversos pueda ser comercializado en la Unión Europea.

El propósito de los falsificadores probablemente fuera obtener un beneficio económico de dicha actividad, ofreciendo grandes descuentos para ello. No obstante, estas falsificaciones no brindan el mismo rendimiento que las originales, con los consiguientes problemas que este hecho pueda ocasionar a la operativa del sistema y, en un caso más grave, pueden actuar como troyanos utilizados para infectar con un malware las redes TO en las que se instalen.

Contramedidas y mitigaciones de seguridad

Por un lado, con el fin de evitar que se puedan llevar a cabo modificaciones en las mediciones de los sensores, es necesario implementar algún tipo de detección de anomalías dentro de los propios sensores que pueda identificar interferencias EMI maliciosas en el rango de frecuencias en las que se producen los efectos de rectificación no deseados. Esto va más allá del alcance de la seguridad que los clientes pueden aplicar, por lo que es necesario que sean los propios fabricantes los que implementen una monitorización continua de cada señal. Sin embargo, se trata de una idea aún por diseñar e implementar, por lo que pasará un tiempo hasta que finalmente lo veamos incluido en dispositivos comerciales.

Por otro lado, se hace necesaria la implementación de algún tipo de verificación, mediante fingerprinting por ejemplo, para detectar las diferencias entre dispositivos originales y los falsificados. Los fabricantes de sistemas de monitorización y detección de amenazas en TO deberían empezar a asumir que los sensores de campo pueden estar comprometidos y, en sintonía con los fabricantes de dispositivos de campo, incluir este tipo de comprobaciones en sus soluciones.

Conclusiones

Tal y como se ha podido ver en este artículo, los dispositivos de campo no están tan seguros dentro de la red TO como se puede pensar inicialmente. Al ser dispositivos electrónicos, es posible falsear sus mediciones sin necesidad de tener acceso físico a sus componentes. Por otro lado, la venta de productos falsificados está llegando a ser algo absolutamente común para productos de cualquier marca, por lo que se deben aplicar consideraciones y medidas de seguridad a la cadena de valor.

Resulta innegable afirmar que este es un problema al que se le debe dar mucha más atención de la que se le está dando actualmente. Debido a esto, organizaciones como la ISA (International Society of Automation) o la NERC (North American Electric Reliability Corporation) deben incluir en sus políticas y recomendaciones medidas y guías para mitigar estos efectos y que, de esta manera, los fabricantes tengan una idea clara sobre el camino a seguir.