Vivir en una era digital significa que la mayoría de cosas que utilizamos son operadas y/o están controladas por ordenadores. Esto abarca desde accesorios de telecomunicación a coches, desde fábricas y centrales de energía a puertos y barcos. No debería sorprendernos que este sea también el futuro de los ferrocarriles y trenes.
El 28 de diciembre en el congreso Chaos Communication Congress llevado a cabo en Hamburgo, los investigadores de seguridad Sergey Gordeychik, Alexander Timorin y Gleb Gritsai representando al equipo SCADA StrangeLove, presentaron un estudio sobre los sistemas computacionales utilizados en las líneas ferroviarias. Un breve análisis de esta industria muestra el amplio uso de los sistemas informáticos en la industria ferroviaria, un uso más extendido de lo que imaginamos.
Estos sistemas incluyen a: los sistemas informáticos en trenes; los sistemas de control de tráfico; la informatización del enclavamiento y la señalización en las estaciones y los cruces; los sistemas de medición remotos, los datos de lospasajeros y los sistemas de entretenimiento; los sistemas de expedición de billetes; y los elementos cotidianos como lasestaciones de trabajo de uso general o las infraestructuras de red.
Además, todo esto es aún más complicado porque cada país y compañía ferroviaria tiene sus propios estándares e implementan su propia infraestructura informática. Al mismo tiempo los sistemas ferroviarios en cuestión, suelen estar interconectados para permitir que los trenes puedan avanzar de un país a otro sin problemas.
http://twitter.com/kaspersky/status/601876502058262528/photo/1
Eurostar, un tren de alta velocidad que conecta Bruselas, Londres y París, es un buen ejemplo de lo complicadas que son estas cosas. La señalización, el control y la protección de los sistemas en este caso incluye alos sistemas belgas, franceses e ingleses con los que el tren debe ser compatible.
A algunos de estos sistemas no se les puede considerar invulnerables, incluso para aquellas personas que suelen utilizar esta palabra frecuentemente. Por ejemplo, la versión moderna del sistema de automatización en los trenes Siemens (que son operados no solo por Deutsche Bahn, sino también por compañías que operan en España, Rusia, China y Japón) está basado en controladores Siemens WinAC RTX. Son básicamente ordenadores x86 con Windows que ya fueron protagonistas de la saga cibernética de Stuxnet.
Before #Stuxnet, there was little thought about proactively securing industrial facilities https://t.co/2r3pXlbf7Z pic.twitter.com/vvj9ChCHAb
— Kaspersky (@kaspersky) November 18, 2014
Las vulnerabilidades también pueden encontrarse en el enclavamiento de señalización ferroviaria (en inglés, Computer Based Interlocking), un complejo sistema responsable de controlar los interruptores del ferrocarril. Por ejemplo, los modernos certificados de homologación para nuevos equipos utilizados en el procesador de seguridad en el sistema del metro de Londres, incluyenextraños requerimientos como Windows XP o incluso el “el Service Pack 6 de Windows NT 4.0 o superior”.
Otro problema con la seguridad de los sistemas informáticos de enclavamiento es que el todopoderoso software, suele estar gestionado por un equipo incompetente, por tanto, el proceso de autenticación no es seguro. Ya es bastante grave ver un post-it amarillo con el nombre de usuario y contraseña pegado a un ordenador de oficina. Pero qué ocurre si hay un post-it de esos en un ordenador, que en caso de ser hackeado, puede volcar un objeto de cientos de toneladas moviéndose a 100 km/h hacia otro gran objeto que se muevea la misma velocidad en dirección opuesta?
The wrong way to use passwords https://t.co/dQgoRrLQx8 Are you doing it wrong? pic.twitter.com/k9IYb4fJb8
— Kaspersky (@kaspersky) December 1, 2015
Otro problema es la parte de la comunicación de la infraestructura ferroviaria. Por ejemplo, los trenes en movimiento se comunican con un sistema de control ferroviario vía red GSM-R, que es básicamente GSM con todas sus características especiales incluyendo la clonación de SIM, la saturación, las actualizaciones de software, los comandos SMS (con un código PIN por defecto 1234), etc.
Las credenciales por defecto, o incluso las credenciales cifradas están por aquí y por allá en las redes ferroviarias. Y por supuesto, todo está interconectado y suele estar conectado a Internet. El problema es que, tal y como lo describe uno de los investigadores de SCADA StrangeLove: “Cuando te conectas a Internet, el Internet también se conecta a ti”. Lo que significa que uno puede incluso encontrar dispositivos instalados a bordo de trenes con motores de búsqueda especializados en el Internet de las Cosas como Shodan.
More connected, less secure: how we probed #IoT for vulnerabilities https://t.co/f4Y6iXLG8U #internetofthings pic.twitter.com/ZwFbvGGW6G
— Kaspersky (@kaspersky) November 5, 2015
El estudio presentado en el Chaos Communication Congress no es ni una técnica de hackeo lista para utilizarse, ni una lista completa de vulnerabilidades en un sistema informático ferroviario en concreto. Pero muestra lo que algunos malhechores podrían estar buscando si decidieran hacer algo malo con los trenes y lo que podrían encontrar y explotar después de un análisis de la infraestructura digital ferroviaria.
So #malware attacks against critical infrastructure are inevitable. What’s next? https://t.co/O8VqC30PiO
— Eugene Kaspersky (@e_kaspersky) September 24, 2014
Como en el caso de cualquier otra infraestructura crítica, las compañías ferroviarias deberían implementar medidas de seguridad informática más estrictas. Como dijo Eugene Kaspersky: “Creo que ahora es momento de construir infraestructuras y sistemas industriales seguros”.