Si es raro ver a un hombre utilizando Linux, ver a una mujer hacerlo es algo prácticamente imposible. No es una cuestión de discriminación, pero parece que el sistema operativo no tiene muchas simpatizantes.

Pero para mostrarnos que SI hubo y hay muchas féminas que contribuyeron increíblemente con el OS y con la comunidad que este posee, la gente de LinuxHaxor decidió hacer una lista detallando qué funciones cumplen (o cumplieron) las mujeres más importantes que tiene Linux.

Seguir leyendo

El hombre acusado de entrar en los archivos secretos del mando militar del Pentágono y la NASA tendrá que ser juzgado por Estados Unidos, después de que el Tribunal británico rechazase su petición de no extradición.

Y la que le espera es buena. Gary McKinnon, conocido como el cracker del Pentágono, se enfrenta a una posible cadena perpetua por acceder a 97 ordenadores militares y de la NASA. McKinnon ha admitido haber accedido a los ordenadores desde su casa en Londres pero asegura que lo hizo para buscar información sobre los OVNIS.

Los abogados de este británico de 42 años apelarán aún al Tribunal Europeo de Derechos Humanos, como último recurso para evitar la extradición. Estados Unidos asegura que McKinnon cometió un crimen que puso en peligro la seguridad nacional -el mayor crimen informático de la historia militar-. Por eso el cracker podría ser juzgado según la ley antiterrorista de Estados Unidos y sentenciado a cadena perpetua. En el Reino Unido, sin embargo, fue arrestado en 2002 pero nunca se le ha condenado.

Como dicen sus abogados: “Gary McKinnon no es ni un terrorista ni un simpatizante con los terroristas. Las consecuencias de ser extraditado a Estados Unidos son desproporcionadas e intolerables”.

Fuente: http://www.theinquirer.es/2008/07/30/el-cracker-del-pentagono-sera-extraditado-a-eeuu.html

Varias personas fueron arrestadas por la policía koreana, por estar relacionadas con el robo de información personal, y con una estafa millonaria realizada con esos datos.

El robo de cerca de 9 millones de registros personales y su posterior venta en el mercado negro, permitió a dos delincuentes montar una falsa empresa y engañar a miles de personas.

Las víctimas eran contactadas por teléfono, por una supuesta compañía de préstamos, ofreciéndoles dinero para lo que ellos quisieran. Lo que no mencionaban eran que las facilidades estaban dadas por prestamistas locales de dudosa ética.

De los registros robados habría unos 4,8 millones pertenecientes a bancos, 260 mil a empresas de préstamos, 650 mil a tiendas en línea, 5300 a universidades y 3,2 millones a varios sitios web.

De acuerdo con las autoridades del país, el responsable habría huido a China al igual que su cómplice, antes de que las agencias de seguridad llegaran a arrestarlos. Al parecer otras seis personas, empleados de la empresa falsa, fueron procesados y tras una investigación liberados.

Por cada transacción realizada se agregaba un porcentaje, y de esta manera los criminales recaudaron 1,7 millones de euros en la estafa.

Esto puede compararse a una campaña de spam electrónico, con la diferencia de utilizar una comunicación telefónica en lugar de un mensaje de correo. Una persona al teléfono, puede resultar más convincente para atraer a las víctimas.

Esto demuestra que no se debe confiar en los correos no solicitados, como tampoco en las ofertas que se reciben por teléfono, por más atractivas que parezcan.

Fuente: http://www.enciclopediavirus.com/noticias/verNoticia.php?id=1041

So, Black Hat is next week. Great! I will be happy to see you all there. You may even join me on the 6th at 13:45 - the Client-side Security talk. The details of my talk are here, which btw is the improved version of what I have over here.

I am still working on my slides, trying to add that edge-ness I am always striving to achieve combined with a severe doze of simplicity. Don’t you know? Simple is the new black.

This time around I am visiting the conference as a tourist. So, I will concentrate more on socializing with all of you nerds, instead of concentrating that much on my talk and business matters. So, see you there.

Recientemente revisando dos artículos sobre el desarrollo de software seguro, es interesante ver cómo los dos coinciden en aspectos fundamentales acerca de la construcción de dicho software, pero igualmente los dos documentos no hacen explícitas las consideraciones sistémicas propias de la realidad de un software confiable, no seguro.

Mientras la Maestra en Ciencias de la Computación Julia Allen, establece que construir software sin consideraciones de seguridad, es como tratar de ir por la cuerda floja sin malla protectora, los autores del artículo “la inevitabilidad de la falla”, sostienen que la seguridad inicia con el aseguramiento de los sistemas operacionales, lugar donde muchas veces establecemos los elementos mínimos para asegurar una ejecución confiable de las aplicaciones.

Para Allen, el problema de la seguridad en el desarrollo de software está asociado por un lado con las amenazas durante el desarrollo, es decir, aplicación formal de las buenas prácticas de seguridad durante el ciclo de desarrollo de aplicaciones y por otro, con las amenazas en la operación del mismo, es decir, la toma de ventaja de las vulnerabilidades que se pueden explotar en el uso de la misma, lo cual puede llevar a corrupción de la memoria, buffer overflows y otras fallas propias de la exigencia del usuario del software en su uso.

Para los autores del artículo “la inevitabilidad de la falla”, la seguridad inicia en una sana y buena propuesta de aseguramiento del sistema operacional. Sin este requisito, sostienen los autores, las implicaciones y complejidades derivadas de las fallas de las aplicaciones, serán mayores y por tanto la identificación de la(s) causa(s) será más demandante y exigente en el tiempo y en el detalle técnico. Evitar una falla, sin bien no es posible todo el tiempo, el documento arguye, que si se toman las acciones requeridas de controles de acceso mandatarios, se valoran las fortalezas y limitaciones de los mecanismos de seguridad instalados, es posible mejorar las condiciones de seguridad de los sistemas operacionales.
Si bien los dos documentos, establecen referentes generales y conceptos específicos que apunta a una mejor ejecución y confiabilidad de las aplicaciones, no se advierte las relaciones emergentes propias de un ambiente computacional y cambiante como lo tenemos hoy.

La seguridad del software más allá de la amenazas en el desarrollo y en la operación, y considerando las prácticas propias de aseguramiento de los sistemas operativos, requiere el entendimiento de la inseguridad como propiedad inherente del contexto donde se requieren las medidas de seguridad.
En este contexto, no se puede hablar de seguridad de las aplicaciones, sino confiabilidad de las mismas.

Este nivel de confiabilidad, está dado por el nivel de riesgo aceptado que establece la organización para sus desarrollos, medido todo él en función de la administración de riesgos que hace frente a las prácticas de construcción de software, el estudio del perfil psicológico de los usuarios, las vulnerabilidades propias de los productos utilizados y la evolución de los procesos de negocio de la organización.
La confiabilidad es una propiedad emergente del sistema que se percibe como un incremento de la confianza de los usuarios y clientes en el uso de las tecnologías de información, como parte de la estrategia de la generación de valor de la empresa.
Las diferentes propuestas actuales que buscan disminuir las vulnerabilidades propias del software, basan sus propuestas en consideraciones específicas de uso de las tecnologías y lenguajes de programación, que si bien ayudan a regular el número de vulnerabilidades, frecuentemente conocidas, no avanzan en un estrategia más holística de construcción de software confiable.

Julia Allen sostiene que el software es vulnerado frecuentemente por la explotación de debilidades resultantes de:
1. Complejidades, imprecisiones y cambios en el modelo de procesamiento de software, es decir, en un inadecuado diseño de la arquitectura del software, relacionado con los modelos de procesos y datos lógicos requeridos para los requerimientos del negocio.
2. Supuestos incorrectos aceptados por los desarrolladores, como son entre otros, capacidades del producto, salidas y comportamientos (estados) de las aplicaciones en el ambiente de ejecución o entradas de entes externos.
3. Fallas en la especificación o el diseño que llevan a defectos en la implementación del software o sus componentes.

Considerando este escenario, se puede establecer que tenemos tres tipos de palabras para hablar de problemas que impacten la confiabilidad del desarrollo de las aplicaciones.
Un error, un error es una limitación operacional propia de la utilización del software; un evento causado por un usuario o interconexión con otro proceso. Una falla, es un problema inherente en el diseño mismo de la aplicación y está embebido en la manera como se plantea la solución que se construye y una vulnerabilidad, es la explotación de una falla identificada en el diseño, que bien puede ser producto de la configuración de la aplicación o de las funciones propias del lenguaje utilizado.
En consecuencia de lo anterior, las confiabilidad del software exige la exposición de la aplicación a los errores propios del uso, a la valoración y evaluación de los riesgos propios del diseño y a la explotación de las vulnerabilidades que se expuestas en el diseño. Es importante aclarar que siempre es posible un efecto de borde u operación inesperada que puede no estar documentada ni en la operación, ni en el diseño, por tanto, esta posibilidad es el riesgo residual aceptado por la organización cuando recibe una solución de software para su uso.

La confiabilidad del software requiere un alto grado de experiencia en el uso de buenas prácticas, un claro conocimiento de las posibilidades y oportunidades de los lenguajes de programación y el ojo crítico y analítico de aquel que busca esos lugares en el diseño (visibles y no visibles) donde podemos ir “más allá de lo especificado en la funcionalidad”.
El software seguro, si bien no es posible, por la sencilla razón que no existe riesgo cero, es una oportunidad tanto para los desarrolladores como para las empresas, para aprender de los efectos de borde, pues como decía Albert Einstein, “la imaginación es más poderosa que el conocimiento”. En este sentido, nuestras limitaciones humanas sobre lo que ocurre en los detalles de la implementación, así como nuestras percepciones y operaciones sobre el software, son alimento suficiente para que la inseguridad de la información busque nuevos caminos para sorprendernos y mantenernos “fuera de la zona de confort”.

Fuente: http://seguridad-informacion.blogspot.com/2008/07/errores-fallas-y-vulnerabilidades.html

Un estudio realizado por una agencia interna de Estados Unidos ha demostrado que sólo el 30% de los portátiles utilizados por el personal de gobierno hacen uso del cifrado de datos para protegerlos de miradas de curiosos o de posibles robos informáticos. Una información preocupante, desde luego.

Sobre todo teniendo en cuenta que buena parte de la información que almacenan estos portátiles se refiere a todo tipo de datos privados y personales sobre los ciudadanos de los EE.UU. El informe de la U.S. Government Accountability Office demuestra que el 70% de la información almacenada en portátiles y dispositivos móviles en 24 de las principales agencias de gobierno estadounidense no estaban cifrados.
Microsoft Technet

Entre esos datos se encuentran historiales médicos, datos legales e incluso informaciones críticas para la seguridad nacional. Es inexplicable que un país tan celoso de su seguridad como los Estados Unidos no refuerce e incluso obligue a que todos estos portátiles hagan uso de un sistema automático de cifrado de estos datos, que si cayesen en malas manos podrían provocar un verdadero desastre.

Fuente: http://www.theinquirer.es/2008/07/30/%C2%A1peligro-los-portatiles-del-gobierno-de-eeuu-no-estan-cifrados.html

No es la primera vez que ocurre, ni será la última. Supuestos programas para examinar nuestro PC en busca de malwares, que en realidad son malwares.

Una de las versiones más recientes se disfraza de una herramienta de limpieza del vendedor Trend Micro, y por el momento parece que solo ha afectado a usuarios en China.

Pero esta amenaza, la debemos tomar como alerta, ya que otros casos y otros productos, fácilmente podrían surgir en los próximos días.

En este caso en concreto, la falsa herramienta llega en un correo electrónico que aparenta ser enviado por el fabricante del producto, con el malware como archivo adjunto.

El uso de un adjunto, no es lo más usual estos días, desde que la mayor parte de códigos maliciosos se están distribuyendo principalmente como enlaces, y son descargados directamente de sitios web que han sido comprometidos.

Se trata de un archivo comprimido con la utilidad RAR, y el verdadero ejecutable (iClean20.EXE), es un troyano que simula ser la herramienta de limpieza referida.

Este troyano utiliza además un truco más o menos ingenioso. Al ejecutarse, libera dos archivos, uno de ellos la verdadera herramienta, el otro un troyano que abre una puerta trasera en el equipo que infecta. De ese modo, el usuario puede no sospechar lo que realmente ocurre en su PC.

Luego, el troyano abre un puerto al azar, que permite a un atacante remoto ejecutar diversos comandos en el equipo de la víctima.

Lo que importa en este tipo de noticias, es que debemos tener siempre presente que ninguna compañía de software respetable (y mucho menos de seguridad), envía un adjunto ejecutable a sus clientes, y mucho menos cuando estos no lo han solicitado.

Demás está decir que nunca debemos abrir estos adjuntos, así como tampoco hacer clic en enlaces de mensajes que no hemos pedido que nos envíen, aún cuando el remitente parezca conocido.

Fuente: http://www.rzw.com.ar/seguridad-informatica-5241.html

En estos días acaba de aparecer la versión Beta del TAME 1.0, una solución muy interesante para no perder nuestra información ya que realiza una copia de seguridad de todos nuestros archivos, incluso de aquellos que podríamos considerar no tan relevantes, como puede ser por ejemplo, una conversación que hayamos tenido en alguna aplicación de mensajería instantánea, esa en la que justo había un dato que necesitábamos y que sin darnos cuenta, lo habíamos borrado.

Con licencia totalmente gratis, TAME realiza un back up de todo lo que tengamos en la máquina. Lo podemos hacer desde la misma aplicación que utilicemos ya que se puede realizar un back up en forma automática una vez que la cerramos para lo que crea una carpeta especial con todo lo que hayamos hecho con ese programa.

Y también podemos señalar una hora determinada para que realice el back up de las carpetas que nosotros queramos, marcando también el destino en que queremos que lo guarde, algo que hace en forma silenciosa mientras nosotros estamos con otras cosas. Hay incluso algunas opciones avanzadas que permiten realizar el back up en el momento mismo en que se inicia la sesión de Windows.

Como vemos, una herramienta muy apropiada para no correr el riesgo de perder información cuando podemos sufrir algún problema como que se apague la máquina de golpe sin que hayamos podido guardar algún archivo.

Lo que hay que tener en cuenta es que está en inglés, pero igualmente es muy fácil de entender y de utilizar. Lo que se requiere para poder utilizarlo es tener el sistema operativo Windows y el NET Framework 2.0 o alguno más avanzado.

Bueno, digamos que más que en la mira de los asesinos, está en la mira de los creadores de códigos maliciosos. Sucede que cada vez son más los malwares diseñados para este sistema y al parecer, la tendencia seguirá en ascenso, y si bien aún son números irrisorios comparados con los que surgen para el Windows, vale la pena estar prevenidos por lo que pueda suceder.

La realidad es que históricamente los usuarios de la plataforma Mac estaban tranquilos porque no había virus ni troyanos dando vueltas por la Web para atacarlos. Pero en los últimos tiempos, el aumento del porcentaje del mercado que está utilizando este sistema, es una de las principales razones para que los atacantes también lo tengan en la mira.

Según cifras que salieron publicadas en Applesfera el año pasado, hasta octubre de 2007 sólo se habían detectado un par de malwares mientras que a partir de ese mes y hasta fin de año, se habían detectado más de cien. Las cifras hablan por sí solas. Y lo mismo sostienen los analistas de Sophos en un artículo reciente en ADSLzone.

Una de las consideraciones a tener en cuenta por los usuarios de Mac OS X es que ahora tienen que prever estas cuestiones y preocuparse por la seguridad de los equipos. Ya no es el estar despreocupados porque no hay virus que ataque a la Mac; ahora la realidad es diferente y hay que proteger la máquina con herramientas apropiadas.

Como queda en claro, si bien la popularidad es un elemento indudablemente positivo para los sistemas, también puede tener algunos puntos negativos, y este es uno de ellos.

Los millones de usuarios de este popular reproductor de archivos de diversos formatos de audio y videos ya tienen las actualizaciones listas para corregir las últimas vulnerabilidades que se han detectado en este sistema. Son cuatro parches en total y los cuatro catalogados como críticos, mediante los cuales se podría obtener el control remoto de la máquina y obtener información confidencial de la víctima.

Hay que tener en cuenta que estas vulnerabilidades pueden ser para el Real Player que esté tanto en Windows como en Linux y Mac y que en la página de Real Networks se encuentra la actualización correspondiente a cada uno de los sistemas.

En cuanto a las fallas, en primer lugar se encuentra en los controles RealPlayer Active X, en el módulo rmoc3260.dll. Cuando un atacante logra filtrarse por esta vulnerabilidad, uno de los usos que puede darse es que cuanto se ingresa a una página falsa o manipulada se pueda ejecutar un código abierto y se pueda liberar o modificar registros de memoria de búfer.

Otro error está en los frames de archivos Shockwave Flash, que también permitiría que un atacante remoto ejecute un código arbitrario. El tercero se relaciona con el módulo rjbdll.dll, más precisamente cuando se borran archivos multimedia. En este caso, el atacante puede importar archivos maliciosos en forma remota a través del control ActiveX. Finalmente, del último de los fallos sólo se deja de manifiesto que es referida a un recurso Local.

En cuanto a las descargas de estas actualizaciones, según el tipo de plataforma en el que corra sólo bastará con bajar los parches y en otros casos, habrá que descargar la versión nueva por completo.

Desconocidos lograron colocar contenido pornográfico en el sitio web del Ministerio de Seguridad Pública de Costa Rica (MSP), confirmaron hoy las autoridades.

Álvaro Jiménez, encargado de internet del ministerio, explicó a la prensa local que descubrieron la anomalía este martes, tras un fin de semana "largo", dado que ayer fue festivo en el país.

Los desconocidos, al parecer, aprovecharon la falta de personal que controla la página para violar la seguridad y colocar fotografías, textos y enlaces a otros sitios pornográficos en la sección de foros, donde el público puede escribir sus consultas y comentarios a los jerarcas del ministerio, según Jiménez.

Al descubrir la falta, las autoridades bloquearon de inmediato esta sección mientras buscan una forma de rastrear a los responsables y filtrar los mensajes que los internautas pueden poner en la página.

Aunque el sitio web del ministerio funciona con normalidad, por ahora, al tratar de acceder a los foros aparece un mensaje que indica que "este foro estará fuera de línea, mientras se realizan ajustes de seguridad".

Fuente: http://www.soitu.es/soitu/2008/07/29/info/1217363783_964391.html

Isabel González señaló que la iniciativa protegerá de buena manera a los niños. "Antes de este año habrá una ley muy buena", dijo la especialista.

Dos de las conductas en internet más nombradas de 2008 son el "grooming" (un adulto engaña a un menor vía internet con fines sexuales) y el "cyberbullying" (matonaje electrónico). Ambas afectan a los niños menores de 14 años y son fruto del mal uso de las nuevas tecnologías.

Naturalmente, los padres se preocupan por este tipo de acciones y esperan que los parlamentarios tomen medidas para evitar que sus hijos sufran maltrato físico y sicológico.

La abogada Isabel González, experta en legislación que protege a los menores, contó a Cooperativa.cl en qué situación legal se encuentran ambas conductas.

"El proyecto que penaliza el ‘grooming' me parece muy bueno. Es válido y valioso porque termina con un vacío legal. Internet ha creado una nueva etapa del conocimiento, pero también ha generado un asilo para pederastas", dijo González.

La abogada afirmó que "dentro de este año debería haber ley, pues el proyecto fue aprobado por unanimidad en la Cámara de Diputados, lo que habla bien de su contenido".

Para evitar que los delitos informáticos se perpetren desde cibercafés, la nueva ley contempla que dichos locales deberán registrar los datos de los usuarios y desde qué computador se conectan. El almacenamiento de la información debe durar un año.

"El establecimiento va a tener que mantener un registro privado. Algunos han criticado este punto debido a la invasión a la privacidad, pero yo no estoy de acuerdo. Si se pide el carnet para viajar porqué no en un cibercafé. Además, no cualquiera puede acceder a los datos, que sólo serán revelados en el marco de una investigación judicial", agregó González.

No más leyes
El matonaje electrónico o "cyberbullying" es un caso aparte, pues esta conducta se realiza, en su mayoría, por menores de edad. Consultada sobre la necesidad de legislar sobre esta materia, González dijo que no le parecía prudente crear una ley al respecto, pues los que abusan de sus compañeros son inimputables.

"Estos niños sufren la ridiculización, las burlas y traumas, que son imposibles de superar. Falta una mayor interacción de los menores y una red de apoyo y contención social. Hay que mejorar la comunicación y la mediación en los colegios", afirmó la abogada.

Acerca de los vacíos legales que generan las nuevas tecnologías, González criticó el excesivo apelo a la legislación. "En Chile somos muy legalistas. No creo que debieran llevarse más delitos informáticos a la ley. Los jueces deberían tener una interpretación más aguda de las leyes. Cuando uno trata de regularlo todo, quedan vacíos enormes".

Fuente: http://www.identidadrobada.com/site/index.php?idSeccion=19&idNota=1844

La Superintendencia de Servicios de Certificación Electrónica (SUSCERTE) del gobierno de Venezuela, tiene publicada en su site dos documentos relacionados con su trabajo en lo que respecta a la seguridad de la información:

» Guía para el Diseño e Implantación de Arquitecturas Tecnológicas de Seguridad Informática en el Sector de la Administración Pública.
Arquitectura Tecnológica de Seguridad Informática: Con el objeto de proveer a los Institutos y Organismos de la Administración Pública de un instrumento que los ayude a la definición de una Arquitectura Tecnológica de Seguridad Estándar, acorde a los mejores principios internacionales pero a la vez en línea con los objetivos de seguridad informática del Estado Venezolano, la Superintendencia de Servicios de Certificación Electrónica (Suscerte) decidió la contratación de un asesoría para la elaboración de un documento guía, contenido de los estándares tecnológicos de seguridad informática y de los lineamientos para el diseño y construcción de una Arquitectura Tecnológica de Seguridad Informática efectiva y normalizada al nivel del sector de la administración pública.
Descargar (PDF)

» Políticas de Seguridad Informática.
Este manual incluye casi todas las políticas ahora consideradas parte de la normal profesional no militar en seguridad informática. La norma de cuidado profesional define el conjunto mínimo de medidas de seguridad informática que se espera en una institución. En este material se han incluido muchas políticas adicionales que van más allá de esta norma de debido cuidado, porque proporcionan un nivel más riguroso de seguridad. Se agregan estas políticas adicionales para brindar a la institución un juego mas completo de opciones a las cuales hacer referencias al momento de preparar su borrador de políticas de seguridad informática. Cada institución debe adoptar una combinación de políticas.
Descargar (PDF)

¿Vuelve a estar enfermo el fundador y CEO de Apple?.. Tal como ya publicamos hace unos días el aspecto físico que mostró Jobs durante las recientes jornadas de desarrolladores preocupó a los analistas y seguidores de la marca.

Desde entonces la rumorología no ha parado de llenar páginas especulando sobre una posible recaída en la grave enfermedad que padeció hace unos años.

Los cibercriminales que siempre están a la que saltan ya han aprovechado la ocasión para llenar de spam la red con un falso diagnostico sobe su salud. Un mensaje casi increíble afirma que “Jobs padece un cáncer de páncreas y le queda una semana de vida”.

El mensaje incluye un enlace que nos dirige a una página con un video sobre la enfermedad de Jobs. Si pulsamos para ver el video, se nos pedirá que actualizamos el plugin de flash… si damos nuestro consentimiento un fichero contaminado se nos descargará en el disco duro e infectará nuestro PC.

Fuente: http://www.noticiasdot.com/wp2/2008/07/29/la-salud-de-steve-jobs-inspira-a-los-spammers/

En alguna que otra ocasión nos hemos hecho eco de noticias relacionadas con incidentes de seguridad en sistemas SCADA. Además, la Jungla de Cristal 4 popularizó la idea de la vulnerabilidad de estos sistemas y de la importancia que tiene su seguridad para muchos gobiernos. Sin embargo es posible que muchos de vosotros no tengáis muy claro qué y cómo son o cuál es la problemática de seguridad de estos sistemas.

Los SCADA son sistemas de control de supervisión y de adquisición de datos empleados en la distribución de gas, electricidad, aguas, datos (comunicaciones), petróleo y derivados, etc. Es decir, se trata de sistemas que permiten supervisar desde una estación central lo que ocurre en distintos sitios estratégicos de una red de distribución y tomar acciones, bien automáticas o bien manuales, que permitan ajustar los parámetros del proceso controlado; Ej. Regular las válvulas que controlan el flujo de gas a través de un gaseoducto para ajustarse a la demanda instantánea de los clientes.

Como podréis imaginar, no todo los procesos de control se centran en la distribución, sino que también existe control y adquisición de datos en procesos de producción y fabricación (generación de electricidad, alimentos elaborados, depuración de aguas, refino de crudo, fabricación de automóviles, etc.). Éstos se realizan a través de sistemas de control distribuidos (DCS) o directamente con solo un PLC. Ahora cabe preguntarse: ¿existe alguna relación entre estos sistemas de control y los SCADA? En realidad sí. De hecho, un SCADA no es más que una capa de gestión en un nivel superior que por debajo utiliza estos sistemas de control a nivel local en lo que se conocen como estaciones remotas o de campo.

Por lo tanto podemos resumir y deducir lo siguiente:

* Los SCADA engloban a otras tecnologías de control (PLC, DCS, IED, etc.) y aportan un nivel de control de supervisión que los hace aptos en procesos de distribución.
* Es por tanto lógico que los SCADA sean sistemas que se extiendan a lo largo de amplias zonas geográficas, mientras que los DCS y PLC suelen quedar confinados a la planta de producción o a lo sumo a la fábrica en la que ésta se localiza.
* En consecuencia, precisarán de tecnologías de telecomunicación que permitan acortar, a nivel lógico, estas largas distancias: líneas alquiladas, Internet + VPN, radioenlaces punto-punto, redes WAN propias, etc.
* Además, muchas de las estaciones remotas que realizan control a nivel local, son difícilmente accesibles y por tanto resulta habitual encontrar que éstas tienen acceso remoto para su mantenimiento.

En este enlace se puede encontrar un applet de Java que simula un sistema SCADA y que permite entender intuitivamente lo comentado anteriormente. En este caso, los distintos elementos de control local se comunican a través de enlaces de radio y controlan el nivel de agua almacenada en dos tanques.

A la hora de proporcionar seguridad a los SCADA nos interesa saber, el tipo de dispositivos y el HW y SW que utilizan, los protocolos de comunicaciones empleados, los mecanismos de seguridad que implementan, los puntos de entrada al sistema, las particularidades a nivel de políticas y procedimientos, los posibles impactos que la explotación de una vulnerabilidad puede tener, etc.

Como podéis imaginar se trata de un vasto área de conocimiento que no se puede cubrir ni en una ni en varias entradas como ésta. Sin embargo, intentaré al menos dar unas pequeñas pinceladas a lo largo las próximas semanas, eso sí, sin olvidarme de la seguridad de los protocolos de enrutamiento ;).

Elyoenai Egozcue
S21sec labs

Fuente: http://blog.s21sec.com/2008/07/s-c-d.html