Los investigadores de Black Hat Europe demostraran como las aplicaciones de SAP se pueden utilizar como trampolín para sabotear los procesos de petróleo y gas.
Los ciberdelincuentes pueden explotar las debilidades en la planificación de recursos empresariales (ERP) en las redes corporativas empresariales de petróleo y gas, con el fin de sabotear la presión de las tuberías u ocultar los derrames de petróleo.
Investigadores de Black Hat Europe demostraran estos y otros ataques a las redes de petróleo y gas, al abusar de los agujeros en las aplicaciones ERP y SAP utilizados en el sector. El sector industrial de petróleo y gas, confían en el software ERP para ayudar a administrar y supervisar la producción de petróleo y gas.
“Queremos demostrar que no sólo los ataques de tipo Stuxnet utilizando USB son posibles”, dice Alexander Polyakov, CTO y fundador de ERPScan, quien con Mathieu Geli, investigador ERPScan, demostrará varios ataques de prueba. Un atacante podría introducirse en los sistemas de forma remota a través de Internet o desde la red corporativa de la empresa.
“SAP es clave en este reino, ya que cuenta con gran cantidad de productos diseñados específicamente para gestionar algunos procesos como la integridad operativa o cadena de suministro de hidrocarburos. Dado que los sistemas SAP están implementados en alrededor del 90% en la industria del petróleo y las compañías de gas, es la llave que puede abrir muchas puertas”. “SAP está conectada con algunos procesos críticos que, a su vez están conectados con otros procesos y así sucesivamente”.
Contenido
“Para aquellas vulnerabilidades que podemos revelar, proporcionaremos detalles” dijo Polyakov.
Polyakov dice que no hay forma sencilla de separar las aplicaciones ERP de la red de operaciones industriales. “Si usted tiene algún dispositivo en plantas tales como cabezas de pozo, que bombean al petróleo y recogen algunos datos de ellos, de alguna manera debe transferir estos datos a la red corporativa para mostrar a los gerentes toda la información en sus tabletas. Incluso si usted tiene un firewall entre IT y OT (tecnología de operaciones), hay algunas aplicaciones que están conectadas”.
Entre los procesos vinculados al ERP son el control de la bomba, la prevención blow-out, la quema y venteo, compresión de gas almacenamiento de gas de carga máxima, separadores y quemadores. Polyakov dice “sólo conozco el 10% de la superficie de ataque global, aunque la superficie de ataque es enorme”.
La industria del petróleo y gas ya ha sido blanco de ataques cibernéticos. Uno de los ataques más grandes e infames fue el de la gigantesca petrolera Saudi Aramco, donde el malware limpio y destruyo los discos duros de unos 35.000 ordenadores.
Polyakov dice “La ciberseguridad en la industria del petróleo y el gas es un pequeño universo que está casi sin desarrollar, pero que es extremadamente crítica”. “Cualquier cambio realizado durante el upstream, midstream o procesos posteriores pueden tener un impacto significativo”.
Los investigadores ERPScan previamente han descubierto defectos en SAP que los atacantes podrían utilizar para conseguir esos sistemas, “sólo para nombrar unos pocos, algunos temas como SAP Router, Portal SAP, SAP Afaria o vulnerabilidades en HANA SAP, se pueden utilizar para obtener acceso a la infraestructura SAP a través de Internet”.
De todo esto y más se hablará en el evento de Black Hat Europe 2015, en Ámsterdam, Países Bajos, del 10 al 13 de noviembre de 2015. Para más información y registrarse haga clic en el siguiente enlace.
Deja una respuesta Cancelar la respuesta