(Por El Microsaurio) Ufa, estos muchachos no aprenden. Otra vez un investigador le pasa el peine fino a un producto de software Siemens, destinado al control automático industrial de componentes que no valen precisamente dos mangos, y encuentra una puerta abierta, lista para que entren los ladrones. Para variar, hoy traé la cerveza y una porción de selva negra…
Como ya escribimos sobre SCADA, Siemens, los israelíes, los norteamericanos, las plantas atómicas iraníes, y la mar en coche, no te aburro. Por si no leíste la Bibliografía para Curiosos al pie de la nota que publiqué hace un año, Siemens produce máquinas controladoras industriales que, oh novedad, se manejan mediante software. Lo que tampoco es novedad es que ese software contiene fallas de seguridad.
Ahora bien… ¿qué tal si la falla de seguridad es que hay un password grabado en fábrica, y que se puede leer esa contraseña escrita en un manual cuyo acceso no es restringido?
No, eso no es novedad. Sucede en las mejores familias.
Lo que tal vez no debería suceder, es que la gente que instala y opera ese software deje los password por defecto sin cambiar.
Así que esta vez, Siemens tiene sólo parte de la culpa.
Vamos a los detalles:
- El producto es la Controladora Lógica Programable Siemens SIMATIC S7-300
- El password, que es “basisk” corresponde al usuario “basisk”, que se ha reservado para tareas de mantenimiento. NO es el administrador, pero… ¿qué puede hacer el Técnico de Mantenimiento que no pueda hacer el Administrador? ¿Vale la inversión booleana de la frase…?
- Siemens ha publicado una nota técnica explicando el problema. Si alguno de nuestros lectores está en una instalación donde hay PLC de estas, y sus superiores han sido suficientemente tontos como para no informarle el problema, pase por acá. De nada.
- Quien publicó los datos sobre la falla de seguridad fue Dillon Beresford, de la empresa NSS Labs, que (oh casualidad) se dedica a proveer asesoría sobre seguridad en control industrial.
Reflexión mínima: ¿le costaba tanto a los programadores de Siemens incluir una opción por la cual saliera un cartelito, advirtiendo que esa contraseña debía cambiarse? ¿Es tan difícil poner una ventana emergente que diga: “dentro de 15 días vencerá tal password, cámbielo”?
Insisto en una frase: ese tipo de controladoras no opera sobre máquinas que cuesten dos mangos, y no se instalan en talleres de barrio. Un poco más de cuidado, caramba.