"PENTESTING A GASOLINERAS CONECTADAS A INTERNET"  WTF!    XD

el dia de ayer por la noche, tomando una taza de cafe me di ala tarea de encontrar una noticia un poco reciente que algunos controles de temperatura y de suministro de gasolina se podian acceder de una manera remota por al administrador de la misma gasolinera,   pense que solo esto pasaba en las peliculas de accion pero me doy cuenta de que la realidad a veces supera por mucho ala ficcion.
 me encontre con un articulo bastante terrorifico en el cual el autor investiga un poco acerca de la gasolinera en shodan y posteriormente se conecta mediante telnet y oh sorpresa que no habia password alguna, el servidor lo autentifica y listo, esta dentro del sistema, ademas de que investiga los comandos mediante un manual en internet y comienza a investigar un poco dentro del sistema, bastante escalofriante. 
al final de esta investigacion les dejare el link,  todos los creditos al autor de la investigacion de hackapuntes.
voy a seguir sus pasos pero realizare una ivnestigacion por cuenta propia siempre y cuando respetando el trabajo del autor original.
se imaginan que algun atacante pueda hacerle creer alos encargados de la gasolinera que el tanque esta vacio? cuando esta lleno? , sin duda alguna, las posibilidades son infinitas ala vez que aterradoras.
aunque esto no me parece infrecuente ya que en shodan me he encontrado con turbinas eolicas con todo y control de temperatura, manejo del mismo, entre otras cosas del panel de control electronico.
logeandome en shodan y buscando las palabras GAS o gas station y el puerto 10001 port:10001 entonces nos vuelca una lista bastante interesante.
 Impresionante no?, sin duda alguna.
 en cuanto a las conexiones creo que utilizan algun tipo de ethernet industrial al igual que en los sistemas criticos industriales para conectarse al sistema electronico de la gasolinera y asus termometros de temperatura o bombas de llenado.
 vamos a seleccionar un target y posteriormente realizarle un escaneo con nmap aver que nos resulta:
antes de proceder con el escaneo ,  la estructura de la red es un ejemplo de algo asi:

podemos ver que utiliza dos buses industriales el modbus y el fieldbus ambos con diferentes funcionalidades para monitorizar los sistemas de sensores en el tanque automatico.
El escaner no me da mas resultados, solo el puerto que en efecto tambien aparece en shodan.
tal vez algun mecanismo de proteccion este filtrando algunos puertos, tal vez...
bueno, siguiendo con lo nuestro,  ahora vamos a investigar que clase de dispositivo usa el puerto 10001, veamos que tal:
no hay que confiar plenamente en este tipo de herramientas ya que en un determinado tiempo los servicios de los puertos pueden cambiar o puede dar un falso ,  pero como yo he investigado un poco antes estoy casi seguro que si que utilizan este tipo de convertidores los tanques automaticos para su administracion en una maquina.
primero cabe destacar que los plcs y demas utilizan el RS485 como en la siguiente imagen:
aqui vemos el conexionado del estandar RS485 mayormente utilizado en la zonas industriales y en las camaras de seguridad.
 parece que este estandar se configura como los antiguos masters y slaves, recuerdan aquella configuracion de slave en los dispositivos de computo con el cable IDE ?, pues aqui es similar, solo que habra solo un master y nunca un master secundaria,  dependiendo de la version del estandar ya que el RS485 tiene multiples formas de conexiones.
ahora vemos los convertidores,  esta conexion RS485 son de los dispositivos de termometros, bombas, etc, ahora todos estos tendran su convertidor para pasarse a ethernet insdustrial blindado para evitar interferencias y ruidos supongo :p,  veamos como lucen los conversores.
veamos otro ejemplo mas:
ahora vamos aver como quedaria una estructura general con estos dispositivos electronicos y sus debidos conversores y estos hacia la red cableada mediante ethernet y posteriormente mediante la WAN o red remota.
 podemos analizar que no es tan complicado como parece en un principio sin tanto rollo de estandares industriales conectados.
basta ya de conexiones y hardware, ahora vamos a investigar que tipo de fabricante estan utilizando para buscar algun manual que nos pueda interesar con passwords por defecto o los comandos que utiliza tal sistema.
una busqueda simple de los principales vendedores de estos sistemas y me arrojo el resultado siguiente:

dentro del website del proveedor nos aparecen distintos modelos, el mas usado es el 300-350, alo que me arroja un manual como el siguiente con las formas de uso, los distintos comandos,  las respuestas del sistema, el significado de los codes en hexadecimal, entre otras cositas interesantes:
ahora falta buscar dentro del manual algun comando que nos pueda ser de bastante utilidad para poder trastear un poco.
dentro del manual podemos ver que el formato de los mensajes que seran enviados hacia el panel de control va como sigue:
cada uno de los comandos tiene su estructura prefijada como por ejemplo el siguiente comando para reporte inicial basico del sistema:
si es que han asegurado algunas partes contra escritura entonces el sistema me avisara que el comando no existe o me tirara un lindo error.
pero... por el contrario dentro de la red de redes sabemos tambien de la existencia de emuladores o maquinas virtuales con honeypots que emulan un sistema scada lo cual al no tener todas las funciones de un sistema real industrial nos puede tambien tirar un lindo error, habria que hacer un analisis mas profundo para averiguar si es real o no.
el siguiente comando es basico para un reporte
 para conocer mas sobre los comandos y sus referencias , tendriamos que  leer todo el manual o algunas de sus secciones que nos parezcan a nosotros mas interesantes.
este es el famoso panel del fabricante:
creo que despues de tanta y tanta teoria y referencias hacia estandares de conexion y comunicacion, llego el momento en el que todo auditor de seguridad ama,  el momento de jugar , de encender una terminal y ponernos manos ala obra aver que tiene que decir el sistema para nosotros:
y que tiene que ver todo esto con la cyberseguridad? que peligros tiene? uhh, si les mencionara si alguien logra modificar los valores, podria poner que no hay gasolina, y si el tanque esta lleno entonces vaciarian mas gasolina de las que hay,  y entonces podria ocasionar algo como esto ;)
si en el panel industrial existe algun termometro que controla la temperatura , y si desde el sistema se puede modificar los valores para que la temperatura este o bien mas fria o bien mas caliente, entonces tambien podria suceder lo de la imagen anterior, una pena que no se preocupen por la seguridad  y dejen los valores por defecto,  sin password por ejemplo o sin algunas restricciones de seguridad.
ahora vamos a ver que otro comando puede responder el sistema:
venga hombre!, enciende esa terminal y a mandar comandos.
y ta ran! nos muestra el estado del tanque, si quereis seguir jugando con este tipo de sistemas, te recomiendo que leas el manual y montes un sistema virtual de laboratorio para no cometer ningun delito al jugar con sistemas que no son vuestros vale?,
bueno creo que la ivnestigacion ha terminado,  espero tengan un buen fin de semana y que la pasen bien.
saludos.
stuxnet.

BIBLIOGRAFIA Y REFERENCIAS:
https://www.ericzhang.me/wp-content/uploads/2015/01/576013-635.pdf
https://github.com/akbarq/LowOctane <==> (honeypot en python  para practicar este tipo de sistemas)
https://www.ericzhang.me/gas-station-atgs-exposed-to-public/
http://hackpuntes.com/accediendo-al-sistema-de-control-de-las-gasolineras/
https://www.shodan.io/