La comunicación y el intercambio de datos entre los diferentes dispositivos que componen una industria es algo muy habitual. De hecho, los procesos de automatización en una fábrica constan de diferentes softwares, controladores y dispositivos de varios fabricantes y marcas, pero que a su vez todos se comunican entre sí mediante protocolos de comunicación.
Uno de ellos es el conocido como DCOM (Distributed Component Object Model o Modelo de Objetos Componentes Distribuidos), creado por Microsoft, el cual se utiliza para la comunicación entre los componentes de software de los dispositivos en red y permite que aplicaciones en diferentes computadoras o diferentes capas se comuniquen y colaboren entre sí. En la industria, se ha utilizado en aplicaciones que requieren de trasvase de información de una capa software a otra superior o viceversa. Como puede ser trazabilidad de la fabricación o el propio histórico de datos de una línea automatizada..
Por su parte, el protocolo OPC (OLE for Process Control) permite a los programas de Windows comunicarse con dispositivos de hardware industrial. Es el estándar de conectividad de datos más popular que se utiliza para comunicarse entre controladores, dispositivos, aplicaciones y otros sistemas basados en servidores para la transferencia de datos. Este protocolo fue creado a mediados de los años 90 con el fin de encontrar un interfaz común para la comunicación de procesos industriales. La versión nombrada como OPC DA se basa en la tecnología DCOM, que explicamos anteriormente, este protocolo permite de una manera abstracta la comunicación de diferentes elementos de la red de procesos.
Ahora bien, el OPC DA utiliza las comunicaciones DCOM para pasar información entre dispositivos y se ha convertido en uno de los estándares de comunicación más utilizados en la automatización industrial.Es utilizado para responder a uno de los mayores retos de la industria de la automatización: cómo comunicar dispositivos, controladores y/o aplicaciones sin caer en los problemas habituales de las conexiones basadas en protocolos propietarios.
Es por ello que más que un protocolo, OPC-DA es un estándar para la conectividad de datos que se basa en una serie de especificaciones OPC gestionadas por la OPC Foundation. Por tanto, cualquier software que sea compatible con estas especificaciones OPC proporciona a usuarios e integradores conectividad abierta e independiente tanto del fabricante del dispositivo como del desarrollador de la aplicación cliente. Es aquí una de sus principales ventajas.
The interoperability facilitated by this protocol has enabled the implementation of advanced control and automation systems in a wide variety of applications in industry, such as energy management, production automation and critical infrastructure management. It has also contributed to the implementation of emerging technologies in industry, such as the internet of things and artificial intelligence, by facilitating communication between devices and systems from different manufacturers and enabling the integration of production data into advanced analytics.
Some time ago, due to the need to find more "cybersecure" integrations between systems and with all the existing software layers, the OPC UA alternative emerged. This new standard has the same objective as the previous one of standardizing communications between systems but adds power in communications and the security and encryption necessary to make these communications secure.
OPC DA and OPC UA have been coexisting for some time in the industry with the difference that OPC DA is at the end of its life cycle helped by Microsoft and its new versions, and OPC UA has a long way to go because it is designed to comply with current cybersecurity regulations.
Microsoft's KB5004442 patch: a game changer in the technology landscape
Los parches de seguridad de Windows son actualizaciones diseñadas para resolver las vulnerabilidades de los ordenadores que llevan este sistema operativo. Es común que todos los sistemas operativos tengan vulnerabilidades, pero la solución a este problema radica en la actualización del sistema operativo que incluye los parches o soluciones correspondientes.
Pero en las actualizaciones acumulativas de Microsoft de junio de 2022, se incluyó un parche de seguridad para limitar la exposición de CVE-2021-26414 con CVSS de 4.3 donde un potencial atacante podría saltarse las opciones de seguridad implementadas en el protocolo de comunicación DCOM. El parche creado para ello es el KB5004442.
Este problema permitía a los atacantes con acceso local no privilegiado leer archivos protegidos del sistema operativo, lo que podría llevar a la exposición de información confidencial y la toma de control no autorizada de dispositivos y sistemas, la interrupción de procesos críticos y la filtración de datos confidenciales. En entornos industriales, esto puede tener consecuencias graves, ya que las interrupciones en la producción pueden tener un impacto financiero significativo y, en algunos casos, incluso poner en peligro la seguridad de los trabajadores. Al instalar el parche de seguridad de Microsoft KB5004442, las empresas pueden protegerse contra esta vulnerabilidad crítica y garantizar la integridad y la disponibilidad de sus sistemas y dispositivos de control y automatización.
That is why this patch increases by default the security level required for DCOM communications. But all applications that use the Windows API to establish DCOM connections between two devices are affected like the OPC-DA protocol.
Si bien el parche de Microsoft KB5004442 es importante para la industria porque resuelve una vulnerabilidad crítica de seguridad en DCOM, también genera ciertas inquietudes en las entidades. Y a partir de marzo del 2023 este parche incrementa el nivel de seguridad requerido para las comunicaciones DCOM sin posibilidad de ser deshabilitado. Pero no todas las implementaciones de OPC utilizan DCOM, pero las aplicaciones OPC que se verán afectadas son las DA/AE/HDA1 clásicas distribuidas (remotas), las cuales deberán utilizar una configuración de autenticación con seguridad mínima denominada “integridad de paquetes”. Las aplicaciones que utilicen OPC UA y OPC DA/AE/HDA clásicas locales no utilizan DCOM y por tanto no se ven afectadas ya que la función de cliente OPC se ejecuta de manera local.
OPC-DA users who intend to continue to rely on DCOM in their OPC Classic architectures should pay close attention to these new changes. Failure to properly mitigate DCOM security updates may result in loss of data connectivity.
Los especialistas indican que después de la actualización de marzo de 2023, los administradores ya no podrán desactivar las funciones de seguridad. Las únicas opciones en este punto serán por un lado obtener versiones actualizadas de las aplicaciones afectadas de los proveedores de software, cambiar al uso de soluciones como bridge OPC DA/UA, que elimina el uso de DCOM y migrar a otros métodos de comunicación como OPC-UA.
Ante los nuevos cambios, muchas de las empresas e industrias que utilizan el protocolo OPC-DA se preguntan cómo les afectará y qué soluciones encontrar cuando surja un problema con este nuevo parche. En HEXA Ingenieros puedes encontrar la respuesta para solucionar esta problemática. Somos un equipo de expertos en el sector y trabajaremos para ayudarte a encontrar las mejores soluciones en software y automatización.