ere Ala Comision Europea cc: A Ia Fiscalia Medioambiental de Catalunya / Perea CuC UE aoe aaa ASPERTIC CIF G66966227 Plaga del Sol 19-20 Baixos 08012 Barcelona www.aspertic.org La Comisién Ejecutiva del pleno de la Asociacién Mediterranea de Peritos de las TIC, reunidos en su asamblea de invierno en Barcelona ‘y los dias 16 y 17 de febrero de 2018, ante la extrema gravedad de los resultados del informe encargado a los peritos abajo firmantes, extrema gravedad que conforma un riesgo cierto de desastre ecolégico de muy graves proporciones, que puede ser provocado por impericia, mala fe, delincuencia organizada o terrorismo, acuerdan elevar a las autoridades y hacer publico el siguiente informe. Personas fisicas directamente estan en riesgo, y el patrimonio de todos, también. aspertic@aspertic.org COMISSIO EUROPEA REPRESENTACIO A BARCELONA D’ACORD SENSE EXAMINAR 16 FEB. ang Pagina 1 de7 B\, a N \ \ K Pere eee ce one ASPERTIC CIF G66966227 Placa del Sol 19-20 Baixos 08012 Barcelona www.aspertic.org, INFORME SOBRE EL ACCESO LIBRE POR INTERNET A LAS VALVULAS DE LOS DEPOSITOS DE COMBUSTIBLE DE LAS GASOLINERAS “PRIMERO.- El numero de sistemas de control industrial (ICS) accesibles LIBREMENTE desde Internet ha aumentado significativamente en el ultimo afio, alcanzando mas de 175.000 componentes. BUsquedas similares realizadas por los expertos en el afio anterior descubrieron ya un poco mas de 162.000 valvulas en situacion de inminente riesgo. SEGUNDO.- Pero hoy vamos a abordar un problema, sobre el que empezaron a saltar las primeras alarmas entre los técnicos ya desde afio 2015 referente a la seguridad de los medidores y valvulas de control de tanques automiticos de las gasolineras, pero que sorprendentemente no ha sido corregido. Estos dispositi- vos se utilizan en las estaciones de servicio y realizan diversas funciones, como monitorizar los niveles de combustible agua, temperatura, ordenar traspasos, 0 generar alarmas cuando proceda. Estas valvulas se usan en muchas estaciones de servicio en todo el mundo incluido Espafia. Veamos un ejemplo de una gasolinera de la ciudad de Madrid aspertic@aspertic.org Pagina 2 de7Pera Cat oa oral CIF G66966227 Plaga del Sol 19-20 Baixos 08012 Barcelona www.aspertic.org, 17-42-17 10:24 Hee eepeTeseaeag Tasaes 49068) 28"** Mal TR-915** INVENTARTO EN TANQUE PRODUCTO TANQ VoL VOL CT POR LL_ALTURA = AGUA TEMP 1 EFITEC 95 9311 9326 21383 869.3 25.5 14.15 2 EFITEC 98 3947 3940 26747 «478.5 0.0 16.53 3 EFITEC 95 7785 7781 «= 22909 769.2 0.6 © 15.74 4° DIESEL E* 7062 7055 23632 717.6 8.0 16.76 5 DIESEL E*10 5927 5912 24767 «630.9 0.0 148.11 6 DIESEL E* 7452 7437 «23242746. 0.8 17.79 TERCERO.- Muchas valvulas tienen un puerto en serie incorporado para programacién y monitorizacién. Algunos sistemas también tienen una tarjeta TCP / IP o incluso un adaptador de serie a TCP / IP. Estas tarjetas permiten a los técnicos supervisar el sistema de forma remota. El puerto TCP mas comin utilizado en estos sistemas es el puerto 10001, Algunos de estos sistemas tienen los mecanismos para estar protegides con contrasefia,_pero de las 189 gasolineras_o _tanques localizados_en Espafia_solo1 esta_protegida_por contrasefia. CUARTO.- A nivel europeo o internacional la situacién no esté mucho mejor siendo posible localizar en una sola busqueda cerca de 12,000 dispositivos. Pagina 3 de7 & &[ er ne ns Boa | CIF G66966227 | Placa del Sol 19-20 Baixos 08012 Barcelona | | | www.aspertic.org. Acceder a estos sistemas es relativamente sencillo y se realiza via telnet. Existen mas de 600 comandos que se pueden ejecutar, algunos de los cuales incluyen el establecimiento de umbrales de alarma, la edicién de configuraciones del sensor y la ejecucién de pruebas de tanques. Mas atin, podemos descargar en internet todos los comandos explicados y detallados en el manual que el fabricante proporciona para este dispositivo. Son todos los datos que se necesitan para provocar, bien sea por negligencia 0 por un ataque dirigido, dafios a centenares de propiedades (mezclar gasolina, agua y/o gas-oil), vertidos de millones de litros de combustible por rebosamiento © incluso graves explosiones en carreteras y ciudades. Sdlo recordar que muchas gasolineras estan en cascos urbanos y un incidente con ellas comportarfa la pérdida de vidas humanas. aspertic@aspertic.org Pagina 4 de7 SPere Nee eR uae Co CSS CIF G66966227 Placa del Sol 19-20 Baixos 08012 Barcelona www.aspertic.org, QUINTO.- Desde ASPERTIC hacemos un llamamiento URGENTE a las autoridades para que los propietarios de estos sistemas aseguren un nivel de seguridad minimo para evitar tanto una grave pérdida econdmica como un desastre ecolégico o la afectacién de personas fisicas, en caso de que alguien remotamente intente manipular estos dispositivos con malas intenciones. SEXTO.- Lejos de ser un hecho aislado, la conexién a internet de dispositivos criticos como el caso de estas gasolineras, es algo ms comin de lo que pensamos. Otro fallo detectado recientemente permite CAMBIAR LOS PRECIOS en los surtidores de cerca de 100 gasolineras a nivel nacional, Este si, es un agujero de ciberseguridad sélo achacable a la avaricia de las petroleras. aspertic@aspertic.org Pagina 5 de7 # EeA X \ N Per eeu ae Caos ASPERTIC CIF G66966227 | Plaga del Sol 19-20 Baixos 08012 Barcelona | wwwaspertic.org SEPTIMO.- Tendemos a creer que la ciberseguridad del loT (Internet of Things) recae fundamentalmente en la securizacién de los dispositivos y su conexién a la red, y estamos equivocados. Como punto de partida, vemos que ni la securizacién de los dispositivos, ni su conexién a la red esta actualmente en la mente de muchos despliegues industriales, como el caso comentado de gasolineras. Muchos de los aplicativos de administracién, métodos de actualizacién o autentificacién del software embebido de los dispositivos loT no estan desarrollado politicas de seguridad elementales. La seguridad de informacién ha de ser un factor determinante para la salida al mercado de nuevos productos. Existe un grave y cierto riesgo ya que los nuevos productos adolecen de todo tipo de vulnerabilidades clasicas en los mismos que permiten que el atacante consiga una intrusién facil y sin ningun tipo de esfuerzo, en el mismo. Estos dispositivos inseguros, forman parte de una niebla de dispositivos, una colmena electrénica que se comunica en multitud de protocolos, algunos de ellos inseguros, en multitud de canales poco seguros y que comprometen a los tedricamente seguros OCTAVO.- De mayor gravedad es que, estos dispositivos suelen reportar a servicios que estan alojados en la nube, con niveles minimos o nulos de securizacién... Por lo tanto, este es otra area a la que dedicar esfuerzos en facilitar la usabilidad sin desproteger la seguridad. aspertic@aspertic.org Pagina 6 de7 EoslLcero Peace C UE ae Cae CSaulg CIF G66966227 | Placa del Sol 19-20 Baixos 08012 Barcelona I www.aspertic.org. _| El secuestro, manipulaci6n o destruccién de sistemas industriales criticos es mas real de lo que la mayorla de las personas tienden a creer, y ha dejado de ser hace tiempo un suefio o el argumento de una pelicula. Antonio Fernandes Claudio Chifa Perito ASPERTIC Perito ASPERTIC aso A Josep Jover i Padro’ Presidente ASPERTIC” Tt Pagina 7 de7 S & aspertic@aspertic.org,