A la venta vulnerabilidades del software SCADA
Una empresa de seguridad, ReVuln, ha creado un servicio bajo el que venderá información sobre vulnerabilidades de SCADA a compradores privados.
Durante el I Foro de la Ciberseguridad que esta semana se celebró en Madrid, se habló específicamente de la ciberseguridad industrial y de la existencia de “un interesante mercado de vulnerabilidades” para este mercado, en el que el software SCADA es uno de los más utilizados. Y el anuncio de ReVuln no hace sino confirmar lo que aseguró el martes Samuel Linares, Cibersecurity Serviced Director de Intermark Technologías.
ReVuln es una startup de seguridad con sede en Malta que asegura tener un gran listado de vulnerabilidades relacionadas con el software de control industrial y que prefiere vender esa información a gobiernos y otros clientes que estén dispuestos a pagar por ellas en lugar de comunicárselas a los vendedores de software afectados.
La empresa no sólo lo asegura, es que ha colgado un vídeo de tres minutos en Vimeo para los que duden de sus palabras. En el vídeo muestra nueve vulnerabilidades de Día Cero –ahora han dejado de serlo, que según ReVuln afectan a sistemas SCADA de General Electric, Schneider Electric, Kaskad, Rockwell Automation, Eaton y Siemens.
El software SCADA funciona en ordenadores normales, pero se utiliza en infraestructuras críticas y otro tipo de plantas industriales para monitorizar y controlar procesos industriales.
ReVuln asegura que las vulnerabilidades mostradas permiten a los atacantes llevar a cabo ejecuciones remotas de código, descarga de archivos, ejecutar comandos, abrir bombas de forma remota o secuestrar sesiones en sistemas que estén ejecutando software SCADA vulnerable.
Desde la empresa de seguridad han explicado que la mayoría de estos productos están diseñados para permitir la administración remota a través de Internet y que muchas veces están expuestos por configuraciones inseguras.
Junto con la empresa francesa, Vupen, dedicada a la búsqueda de vulnerabilidades, ReVuln es de las pocas compañías que vende información sobre vulnerabilidades a agencias gubernamentales y otros clientes privados, rehuyendo informar de sus investigaciones a los vendedores de software afectados para impedir que puedan solucionarlas. No es un negocio nuevo, es algo que investigadores privados llevan haciendo desde hace muchos años, aunque normalmente son acuerdos y ventas discretas