Last Updated on November 19, 2010
Da tempo la televisione ed il cinema ci hanno abituato a improbabili (almeno fino a qualche tempo fa) scenari, in cui altrettanto improbabili cyber-terroristi partono alla conquista del mondo utilizzando la rete per rubare segreti o sabotare infrastrutture critiche.
Il tutto parte da lontano: già dal 1983, quando internet era appena agli albori, War Games e Superman III mostrarono ai curiosi adolescenti figli degli anni ’80, quali danni si potevano fare con i bit. Se War Games disegna in modo un po’ ingenuo e romantico la figura del “protoHacker”, in Superman III, il compianto Cristopher Reeve nei panni dell’eroe di Krypton affronta un supercomputer concepito con lo scopo esplicito si sabotare le infrastrutture Critiche (centrali petrolifere e relative petroliere) per bloccare la società civile e ottenere il controllo del mondo (energia, comunicazioni, etc.).
Ai tempi fui sorpreso, non riuscivo proprio a concepire un computer che potesse bloccare tutti i pozzi petrofileri del mondo. Oggi, a più di 20 anni di distanza devo ammettere che Richard Donner fu un ottimo profeta: le minacce informatiche alle infrastrutture critiche che regolano “l’ordine mondiale” (energia, trasporti, economia, etc.) sono una realtà consolidata e destinata ad assumere sempre maggiore importanza nel panorama della sicurezza informatica. Così importanti da spingere qualcuno ad affermare che le guerre del futuro si combatteranno a colpi di bit piuttosto che a colpi di armi.
Il 2010 è stato un anno particolarmente significativo per questo trend: all’inizio di quest’anno McAfee, uno dei più importanti player di sicurezza informatica, ha stilato un report inerente al livello di esposizione delle infrastrutture critiche nell’epoca della guerra informatica. Il documento, redatto in base a questionari anonimi compilati da 600 responsabili di sicurezza e IT di 14 paesi delinea un quadro piuttosto allarmante: oltre la metà dei dirigenti interpellati (54%) aveva dichiarato di aver subito un attacco di tipo Denial Of Service e soprattutto, il 59% (in Italia il 45%) riteneva che negli eventi fossero coinvolti rappresentanti di governi stranieri (caso emblematico è l’attacco informatico di cui fu vittima l’Estonia nel 2007 e che causò per alcune settimane il blocco dei principali siti, istituzionali, economici e di informazione del paese baltico).
Il report di McAfee conteneva, tra le altre informazioni, due sinistre profezie: la forma di attacco più diffusa allora era risultata essere l’infezione da virus o malware, subita dall’89% degli intervistati ed inoltre nello stesso report veniva segnalato il basso livello di sicurezza dei sistemi SCADA o ICS (Industrial Control System – Sistemi di Controllo industriale) ovvero quei sistemi utilizzati per il monitoraggio delle infrastrutture critiche.
Le due indicazioni precedenti contengono l’essenza della minaccia informatica che nel corso del 2010 ha cambiato le regole del gioco delinenando le caratteristiche delle infezioni virali di nuova generazione nell’epoca del cyber-terrorismo.
Sto parlando naturalmente di Stuxnet, una infezione virale di nuova concezione espressamente creata per infettare sistemi di controllo industriale non connessi in rete (partendo da una chiavetta USB), e di espandersi utilizzando 6 vulnerabilità Microsoft (delle quali 2 di tipo 0-Day) con 7 diversi vettori:
- Replica su dispositivi Mobili
- Vulnerabilità del protocollo SMB (MS08-067);
- Diffusione tramite share di rete;
- Replica utilizzando una vulnerabilità dello spooler di stampa Windows (MS10-061);
- Possibilità di replicarsi mediante WinCC – l’applicazione utilizzata per il controllo e la gestione dei sistemi ICS Siemens;
- Possibilità di iniettare codice su un file Step 7, il software utilizzato per la programmazione dei sistemi di controllo Siemens,
- Infine (last but not least), possibilità di crere una rete peer-to-peer all’interno di una LAN per l’aggiornamento e la gestione del vettore di infezione.
In sostanza quindi Stuxnet agisce come un rootkit per i sistemi SCADA Siemens.
Analizzando bene le caratteristiche del vettore di infezione, la parabola di stuxnet si tinge di giallo (in tutti i sensi) e sembra essere uscita da un romanzo di Michael Crichton. In un post pubblicato di recente, Symantec ha rilevato che lo scopo di Stuxnet è quello di alterare il normale ciclo di funzionamento per i convertitori di frequenza utilizzati nei SIstemi di Controllo Industriale. In ambito ICS i convertitori di frequenza sono apposite unità di alimentazione che hanno lo scopo di cambiare la frequenza del segnale e in output, ad esempio per aumentare la velocità di un motore. In particolare Stuxnet agisce per convertitori di frequenze operanti a cicli elevati (tra 807 Hz e 1210 Hz), variando la frequenza (e quindi la velocità di funzionamento del motore) per brevi periodi su scale di mesi, alterandone il comportamento e di fatto sabotando l’infrastruttura. (E’ comunque quantomeno curioso il fatto che alla stessa conclusione sia giunta quasi in contemporanea, una azienda di sicurezza tedesca).
Dove sta il giallo? Oltre che nella livrea Symantec che ha risolto l’arcano, il giallo risiede nel fatto che le frequenze in oggetto sono compatibili con quelle utilizzate negli impianti di arricchimento dell’Uranio. Come se non bastasse inoltre, il maggiore livello di diffusione del virus è localizzato in… Iran (con circa 60.000 host infetti, dei quali, quasi il 70% con software Siemens).
Naturalmente queste “coincidenze”, unite al fatto che il virus in oggetto è talmente raffinato da aver probabilmente richiesto risorse ingenti in fase di sviluppo (e una approfondita conoscenza degli “internals” dell’architettura SCADA), fanno pensare che alla base dell’attacco non ci sia un hacker smanettone in cerca di fama, quanto piuttosto una nazione desiderosa di frenare le velleità nucleari di un paese nemico.
Attualmente l’infezione è contenuta, tuttavia è importante notare lo scenario delineato; non solo Stuxnet ha una architettura di una complessità mai vista prima per un virus, ma per la prima volta sembrerebbe che il malware sia stato esplicitamente creato per scopi cyber-militari.
Che sia il primo passo di una nuova guerra combattuta a colpi di tasti? E’ possibile! Certo è che, a prescindere da considerazioni politiche, la scena di Indipendence Day in cui Jeff Goldbum sconfigge gli alieni iniettando un malware nella nave madre non mi stupisce più di tanto (diversamente da quanto fece nell’ormai lontano 1996). Certo mi sono sempre chiesto (e mi chiedo tutt’ora) se anche gli alieni utilizzassero il TCP-IP come protocollo di comunicazione… Ma questa è un’altra storia…
Pingback: Smart Grid? Dumb Security! « Paolo Passeri's weblog
Pingback: I Cinque Domini Dell’Apocalisse « Paolo Passeri's weblog
Pingback: Virus e Servizi Segreti (Ancora Su Stuxnet) « Paolo Passeri's weblog
Pingback: Dalla Russia Con Amore… « Paolo Passeri's weblog
Pingback: Ancora Su Stuxnet (II Parte) « Paolo Passeri's weblog
Pingback: Ancora su Stuxnet « Paolo Passeri's weblog
Pingback: La Cabala dentro il virus « Paolo Passeri's weblog
Pingback: Targeting Iran’s nuclear program with Stuxnet virus « David Cenciotti's weblog