Due ricercatori olandesi hanno vinto un’importante competizione internazionale di hacker, dimostrando di poter violare il software che gestisce le reti elettriche, i gasdotti e altre strutture critiche. E non ha richiesto grande fatica
Patrick Howell O’Neill
Nel 2012, Daan Keuper, ha hackerato un iPhone nuovo di zecca e ha portato a casa 30.000 dollari mentre era al centro della scena al Pwn2Own, la più grande competizione di hacking del mondo. Spinti dalla curiosità, Keuper e il suo collega Thijs Alkemade hanno poi hackerato un’auto del gruppo Volkswagen nel 2018. L’anno scorso, spinti dalla pandemia, hanno violato software di videoconferenza e app per il coronavirus.
Ora, i due ricercatori olandesi portano a casa 90.000 dollari e un nuovo trofeo del campionato Pwn2Own: stavolta hanno preso di mira il software che aiuta a gestire le infrastrutture critiche globali. “E’ stato relativamente semplice”, dicono. “Nei sistemi di controllo industriale, “la sicurezza è in grave ritardo”.
Nello stesso momento in cui la coppia stava sul palco a Miami ad attaccare un piccolo arsenale di software industriale critico, gli Stati Uniti e i loro alleati hanno lanciato un avvertimento sull’elevata minaccia che gli hacker russi colpissero infrastrutture come rete elettrica, reattori nucleari, sistemi idrici e altro ancora. La scorsa settimana, sono stati bloccati un gruppo di hacker russi che cercava di sabotare la rete elettrica ucraina e altri hacker che volevano attaccare sistemi industriali critici.
A Pwn2Own, che quest’anno si è tenuta a Miami, la posta in gioco è un po’ più bassa, ma il meccanismo è lo stesso del mondo reale. Gli obiettivi erano i sistemi di controllo industriale che gestiscono strutture critiche. Quasi tutti i software sono stati violati dagli hacker. D’altronde gli sponsor finanziano la competizione per venire a conoscenza delle vulnerabilità in modo che il difetto possa essere risolto. Ma è anche un segno della scarsa sicurezza delle infrastrutture critiche.
Immagine: Zero Day Initiative
Un lavoro in grande stile
La star di quest’anno è stata Iconics Genesis64, uno strumento di interfaccia uomo-macchina che gli hacker hanno violato per colpire obiettivi critici, facendo credere agli operatori umani che tutto proceda nel modo giusto. Sappiamo che si tratta di una vera minaccia perché un decennio fa, una storica campagna di hacking nota come Stuxnet ha preso di mira il programma nucleare iraniano. Gli hacker, che si crede lavorassero per gli Stati Uniti e Israele, hanno sabotato i controllori logici programmabili all’interno delle centrifughe a gas usate per separare i materiali nucleari, ma hanno anche detto alle macchine di dire agli operatori iraniani che non c’erano problemi. Questa mossa ha permesso il successo dell’operazione.
A Miami, Iconics Genesis64 è stato violato almeno sei volte per garantire agli attaccanti il pieno controllo. I team che hanno accettato la sfida hanno vinto premi per 75.000 dollari. “E’ solo la punta dell’iceberg”, afferma Childs. Il clou indiscusso dello spettacolo è stata la violazione da parte dei due hacker del protocollo di comunicazione OPC-UA, una specie di lingua franca che le diverse parti di un sistema di operazioni critiche usano per parlare tra loro in contesti industriali.
Keuper e Alkemade, in gara con il nome della loro azienda, Computest, in soli due giorni hanno superato la prova con successo e si sono assicurati il titolo di “Master of Pwn”, oltre a 40.000 dollari. “OPC UA è utilizzato ovunque nel mondo industriale come connettore tra i sistemi”, spiega Keuper. “È un componente centrale delle tipiche reti industriali e permette di bypassare l’autenticazione normalmente richiesta per leggere o modificare qualsiasi cosa.
L’hacking dell’iPhone del 2012 aveva richiesto tre settimane di lavoro mirato. Ma l’impatto dell’operazione è del tutto diverso. Un iPhone può essere facilmente aggiornato e un nuovo telefono è sempre dietro l’angolo. Al contrario, nelle infrastrutture critiche, alcuni sistemi possono durare per decenni. Alcuni noti difetti di sicurezza non possono essere mai risolti. Gli operatori spesso non possono aggiornare la loro tecnologia per le correzioni di sicurezza perché portare un sistema offline è fuori questione. Non è facile accendere e spegnere di nuovo una fabbrica come un interruttore della luce o come un laptop.
“Facciamo ricerche per rendere il mondo un po’ più sicuro”, dicono i due hacker, “Non si tratta di soldi”. Nel frattempo, le competizioni Pwn2Own continuano, dopo aver regalato premi per 2 milioni di dollari l’anno scorso. Il mese prossimo, gli hacker si riuniranno a Vancouver per celebrare il 15° anniversario dello competizione. Uno degli obiettivi? Una macchina Tesla.
(rp)
