Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

IoT Cyber Attacks: Comprometiendo la Ciberseguridad de Gasolineras en Latinoamérica

Jose R. Leonett nos compartió en el #DragonJARCON 2020 una charla titulada "IoT Cyber Attacks: Comprometiendo la Ciberseguridad de Gasolineras en Latinoamérica" cuya descripción es:

Una charla 70% demostrativa, donde vamos de cero a mas para comprender los sistemas Automatizados de gestión de gasolineras y la exposición de la ciberseguridad de dichas estaciones, las cuales las convierten mas allá de un blanco de ciberdelincuencia en una herramienta de ciberterrorismo. "Una charla en la cual vamos de cero a mas para comprender los sistemas Automatizados de gestión de gasolineras y la exposición de la ciberseguridad de dichas estaciones, las cuales las convierten mas allá de un blanco de ciberdelincuencia en una herramienta de ciberterrorismo pues se pueden manipular desde precios, datos y lomas grave, los sensores de acumulación de gases y generadores de alarmas los cuales pueden provocar fallos graves dentro de cada tanque subterráneo!!! Gracias, esta no es una falla nueva, va repleta de muchas fallas de seguridad y viene desde el año 2012 que fue reportada a nivel mundial y hoy en día, esta vulnerabilidad persiste y ha sido usada para cometer muchos ciberdelitos, pero lo mas grave de todo, es que puede ser usada como un arma de terrorismo. La ponencia sera ampliada y actualizada, con demostraciones de intrusiones en VIVO en tres modalidadesTelnet: para rastrear acceso con y sin contraseñas desde el IoT via Http: acceso full a los ATG\ Via Remota Netbios directo al disco duro del equipo comprometido.



-----------------------------------------------------------------------------------------------
Youtube: DragonJARtv (http://bit.ly/DragonJARtv)
Facebook: La.Comunidad.DragonJAR (http://bit.ly/DragonJARfb)
Twitter: @DragonJAR (http://bit.ly/DragonJARt)
Instagram: Dragon.JAR (http://bit.ly/DragonJARig)
Discord: https://invite.gg/DragonJAR
Blog: Comunidad DragonJAR (http://bit.ly/DragonJAR)
-----------------------------------------------------------------------------------------------

  • Be the first to comment

IoT Cyber Attacks: Comprometiendo la Ciberseguridad de Gasolineras en Latinoamérica

  1. 1. IoT Cyber Attacks: Comprometiendo la Ciberseguridad de Gasolineras en Latinoamérica
  2. 2. “Cuando era niño, me enseñaron en la escuela secundaria que piratear era genial”. Kevin Mitnick
  3. 3. ¿Que es una estación de Gasolina? La primera estación fue construida en 1907 por la empresa Standard oil of California (hoy en día llamada ChevronTexaco) en la ciudad de Seattle, en Washington. Una estación de servicio, gasolinera o servicentro, tradicionalmente ha sido un punto de venta de combustible y lubricantes para vehículos de motor. En la actualidad las estaciones de servicio pueden ofrecer muchos otros servicio complementarios, que tienen que ver o no, con las necesidades de los vehículos. Así las estaciones de servicio han pasado a ofrecer también otros productos, según países, teniendo éstas ahora, tiendas de conveniencia, pequeños supermercados, talleres mecánicos, lavado y lubricación de vehículos y otros muchos servicios. En los años noventa, las estaciones de servicio ampliaron su oferta con artículos variados, dando lugar a las tiendas de conveniencia o minimercados, que pasaron a ser habituales en las gasolineras.
  4. 4. Evolución de una estación de Gasolina
  5. 5. La Ingeniería detrás de una estación de Gasolina
  6. 6. La Ingeniería detrás de una estación de Gasolina Estudios necesarios para construir una gasolinera • Levantamientos topográficos • Estudios de mecánica de suelos • Estudios de impacto ambiental, eso dependerá del lugar en que se desea construir pero por lo general se exigen estos estudios, también se deben tomar en cuenta que se harán gestiones para concesiones y permisos de construcción. • Permisos de construcción con el ente encargado de obras mayores Fuente: https://ingenieriareal.com/especificaciones-construir-gasolineras/
  7. 7. La Ingeniería detrás de una estación de Gasolina Fuente: https://ingenieriareal.com/especificaciones-construir-gasolineras/ Esquema simple de cómo sería la ubicación de los tanques subterráneos de abastecimiento de combustible.
  8. 8. La Ingeniería detrás de una estación de Gasolina
  9. 9. La Ingeniería detrás de una estación de Gasolina
  10. 10. La Ingeniería detrás de una estación de Gasolina
  11. 11. Como funciona una estación de Gasolina
  12. 12. Como funciona una estación de Gasolina
  13. 13. Como funciona una estación de Gasolina Medidores Automáticos de Tanques (ATG)
  14. 14. Como funciona una estación de Gasolina Medidores Automáticos de Tanques (ATG)
  15. 15. “Como todas las plantas de procesamiento de petróleo y gas están ahora conectadas a Internet de alguna manera, la protección de la infraestructura digital vital contra los ciberataques también garantiza operaciones seguras y una óptima regularidad de la producción”. Trond Winther, jefe del Departamento de Operaciones de DNV GL - Oil & Gas.
  16. 16. Automatizando una estación de Gasolina
  17. 17. Automatizando una Gasolinera Una estación de servicio domotizada puede optimizar gastos gracias al software de gestión integral que permite un control eficiente de personal, costes energéticos y reducción de incidencias. Ventajas de tener un sistema de monitoreo de tanques: • Medición de Nivel con alta exactitud • Medición de temperatura y perfil de temperatura • Medición de interface de agua y emulsión • Permite incluir datos manuales para medición de referencia por cinta de inmersión. • Manejo de alarmas de nivel y temperatura • Permite la conectividad a sistemas existentes de otros fabricantes. Automatizando una estación de Gasolina
  18. 18. Automatizando una GasolineraMedidores Automáticos de Tanques (ATG)
  19. 19. Automatizando una GasolineraAutomatizando una estación de Gasolina Controlador de combustible del sitio. El Controlador de combustible del sitio puede estar alojado en su propio recinto o puede estar ubicado dentro de una FIT (Terminal de la Isla de Combustible )
  20. 20. Automatizando una GasolineraAutomatizando una estación de Gasolina Controlador de combustible del sitio.
  21. 21. Automatizando una GasolineraAutomatizando una estación de Gasolina Instalación de Sondas en Tanques Subterráneos.
  22. 22. Automatizando una GasolineraMedidores Automáticos de Tanques (ATG)
  23. 23. Automatizando una GasolineraAutomatizando una estación de Gasolina
  24. 24. Automatizando una GasolineraAutomatizando una estación de Gasolina
  25. 25. Automatizando una GasolineraAutomatizando una estación de Gasolina
  26. 26. Automatizando una GasolineraAutomatizando una estación de Gasolina Los Medidores Automáticos de Tanques (ATG: Automatic Tank Gauges ) se usan para monitorear los niveles de inventario del tanque de combustible, rastrear entregas, alarmas que indican problemas con el tanque o el medidor (como un derrame de combustible) y para realizar pruebas de fugas de acuerdo con el cumplimiento de las normas ambientales. Los ATG son utilizados por casi todas las estaciones de servicio en los Estados Unidos y decenas de miles de sistemas a nivel internacional.
  27. 27. Automatizando una GasolineraAutomatizando una estación de Gasolina
  28. 28. Automatizando una GasolineraAutomatizando una estación de Gasolina Los Medidores Automáticos de Tanques (ATG) Lantronix UDS1100 Device Server “Es un medidor de tanque cuya dirección de Protocolo de Internet (IP) se encuentra fácilmente, y al que se puede acceder a través de Internet para leer información y realizar todos los cambios de configuración, utilizando herramientas fácilmente disponibles como Telnet". A diferencia de un ataque físico, un ataque cibernético no puede dejar rastros. Los cambios de configuración se pueden hacer y luego revertir sin saber cómo ocurrieron. Fuente: kachoolie
  29. 29. Automatizando una Gasolinera ¿Dónde se origina el fallo? UDS-1100
  30. 30. Automatizando una GasolineraMedidores Automáticos de Tanques (ATG) Automatic Tank Gauges (ATG) Un atacante con acceso a la interfaz de puerto serie de un ATG puede apagar la estación falsificando el nivel de combustible informado, generando falsas alarmas y bloqueando el servicio de monitoreo fuera del sistema. Los fallos de funcionamiento del medidor del tanque se consideran un problema grave debido a los problemas de seguridad y reglamentarios que pueden aplicarse.
  31. 31. Automatizando una GasolineraMedidores Automáticos de Tanques (ATG) Muchos Medidores de Tanques pueden programarse y monitorearse a través de un puerto serie incorporado, un puerto serie enchufable, un fax/módem o una placa de circuito TCP/IP. Para monitorear estos sistemas de forma remota, muchos operadores utilizan una tarjeta TCP/IP o un servidor de puerto serie de terceros para asignar la interfaz serie Medidores de Tanques a un puerto TCP que se encuentra frente a Internet.
  32. 32. Automatizando una GasolineraMedidores Automáticos de Tanques (ATG) ¿Quién se ve afectado?
  33. 33. Automatizando una GasolineraMedidores Automáticos de Tanques (ATG) ¿Qué tan serio es esto? Los ATG están diseñados para detectar fugas y otros problemas con los tanques de combustible. El acceso remoto al puerto de control de un ATG podría proporcionar a un atacante la capacidad de reconfigurar los umbrales de alarma, reiniciar el sistema y, de lo contrario, interrumpir el funcionamiento del tanque de combustible. Un ataque puede evitar el uso total del tanque de combustible cambiando la configuración de acceso y simulando condiciones falsas, provocando un apagado manual. Teóricamente, un atacante podría cerrar más de 7000 estaciones de combustible en todo el mundo con poco esfuerzo. En el estudio mas reciente, hemos encontrado fallos de los ATG con acceso vía Telnet, Web y los mas críticos, a disco duros.
  34. 34. Automatizando una GasolineraMedidores Automáticos de Tanques (ATG)
  35. 35. Automatizando una GasolineraMedidores Automáticos de Tanques (ATG)
  36. 36. Automatizando una GasolineraMedidores Automáticos de Tanques (ATG)
  37. 37. Automatizando una GasolineraMedidores Automáticos de Tanques (ATG)
  38. 38. Automatizando una GasolineraMedidores Automáticos de Tanques (ATG)
  39. 39. Automatizando una GasolineraMedidores Automáticos de Tanques (ATG) Los agujeros de seguridad también pueden permitir a los piratas informáticos moverse lateralmente dentro de la red de la empresa objetivo, obtener acceso a los sistemas de pago y robar datos financieros, y obtener información sobre los clientes de la estación (por ejemplo, placas de licencia, datos de identidad del conductor). Otro posible escenario descrito por Kaspersky implica interrumpir las operaciones de la estación y exigir un rescate.
  40. 40. Automatizando una GasolineraMedidores Automáticos de Tanques (ATG) PANORAMA MUNDIAL
  41. 41. Automatizando una GasolineraMedidores Automáticos de Tanques (ATG)
  42. 42. Automatizando una Gasolinera UN EJEMPLO:/>_
  43. 43. Automatizando una Gasolinera
  44. 44. Automatizando una Gasolinera Informe de inventario en el tanque con un 90/95% de temperatura Informe de detección de fugas en el tanque
  45. 45. Automatizando una Gasolinera Informe de historial de alarmas de prioridad Establecer el factor de pérdida de vapor del tanque Establecer nivel de filtro de alarma de agua del tanque
  46. 46. Automatizando una Gasolinera DEMOSTRACION:/>_
  47. 47. Automatizando una GasolineraLas 10 principales amenazas a la seguridad cibernética para la industria del petróleo y el gas 1. Falta de concienciación y capacitación en seguridad cibernética entre los empleados. 2. Trabajo remoto durante las operaciones y el mantenimiento. 3. Uso de productos de TI estándar con vulnerabilidades conocidas en el entorno de producción. 4. Una cultura de seguridad cibernética limitada entre proveedores, proveedores y contratistas. 5. Separación insuficiente de redes de datos. 6. El uso de dispositivos móviles y unidades de almacenamiento, incluidos teléfonos inteligentes. 7. Redes de datos entre instalaciones en tierra y mar adentro. 8. Seguridad física insuficiente de las salas de datos, gabinetes, etc. 9. Software vulnerable. 10. Sistemas de control obsoletos y anticuados en las instalaciones. https://www.offshore-energy.biz/top-10-cyber-security-threats-for-oil-and-gas-industry/
  48. 48. “Muchas empresas no tienen ni idea, porque gastan la mayor parte o todo su presupuesto de seguridad en seguridad de alta tecnología, como firewall y autenticación biométrica, que son importantes y necesarias, pero luego no capacitan a su personal.” Kevin Mitnick
  49. 49. Automatizando una Gasolinera GRACIAS:/>_ JOSÉ R. LEONETT Gerente de Ciberseguridad en INFO Y MAS Guatemala Founder del Observatorio Guatemalteco de Delitos Informáticos – OGDI Founder Open Hacking Guatemala Coordinador REDLIF y El Derecho Informático para Guatemala leonett@ciberdelitos.org :/>_ Twitter: jrleonett :/>_ Facebook: jrleonett :/>_ Linkedin: jose-leonett

    Be the first to comment

  • GabrielCastro115

    Sep. 27, 2020

Jose R. Leonett nos compartió en el #DragonJARCON 2020 una charla titulada "IoT Cyber Attacks: Comprometiendo la Ciberseguridad de Gasolineras en Latinoamérica" cuya descripción es: Una charla 70% demostrativa, donde vamos de cero a mas para comprender los sistemas Automatizados de gestión de gasolineras y la exposición de la ciberseguridad de dichas estaciones, las cuales las convierten mas allá de un blanco de ciberdelincuencia en una herramienta de ciberterrorismo. "Una charla en la cual vamos de cero a mas para comprender los sistemas Automatizados de gestión de gasolineras y la exposición de la ciberseguridad de dichas estaciones, las cuales las convierten mas allá de un blanco de ciberdelincuencia en una herramienta de ciberterrorismo pues se pueden manipular desde precios, datos y lomas grave, los sensores de acumulación de gases y generadores de alarmas los cuales pueden provocar fallos graves dentro de cada tanque subterráneo!!! Gracias, esta no es una falla nueva, va repleta de muchas fallas de seguridad y viene desde el año 2012 que fue reportada a nivel mundial y hoy en día, esta vulnerabilidad persiste y ha sido usada para cometer muchos ciberdelitos, pero lo mas grave de todo, es que puede ser usada como un arma de terrorismo. La ponencia sera ampliada y actualizada, con demostraciones de intrusiones en VIVO en tres modalidadesTelnet: para rastrear acceso con y sin contraseñas desde el IoT via Http: acceso full a los ATG\ Via Remota Netbios directo al disco duro del equipo comprometido. ----------------------------------------------------------------------------------------------- Youtube: DragonJARtv (http://bit.ly/DragonJARtv) Facebook: La.Comunidad.DragonJAR (http://bit.ly/DragonJARfb) Twitter: @DragonJAR (http://bit.ly/DragonJARt) Instagram: Dragon.JAR (http://bit.ly/DragonJARig) Discord: https://invite.gg/DragonJAR Blog: Comunidad DragonJAR (http://bit.ly/DragonJAR) -----------------------------------------------------------------------------------------------

Views

Total views

1,272

On Slideshare

0

From embeds

0

Number of embeds

1,141

Actions

Downloads

20

Shares

0

Comments

0

Likes

1

×