Skip to main content

Una nuova ricerca presentata nel corso del Black Hat dimostra con quale facilità sia possibile compromettere e danneggiare infrastrutture energetiche e idriche – e la messa in sicurezza di questi sistemi continua a essere troppo lenta.

di Tom Simonite

Tre dimostrazioni, date nel corso della conferenza sulla sicurezza informatica “Black Hat di Las Vegas, rivelano le vulnerabilità dei sistemi di controllo utilizzati per gestire infrastrutture energetiche quali i gasdotti. Si tratta dell’ultimo aggiornamento sulla vulnerabilità di tali sistemi ad attacchi informatici che potrebbero avere conseguenze devastanti; e sebbene i ricercatori abbiano proposto rimedi a ciascun difetto da loro identificato, tengono ad avvertire che, nel complesso, le infrastrutture industriali rimangono deplorevolmente vulnerabili.

Queste vulnerabilità si aggiungono alla crescente lista di problemi identificati a seguito di un recente incremento nelle ricerche dei sistemi di sicurezza industriali. I progressi nella risoluzione di questi problemi vanno a rilento, in parte a causa del design arretrato dei sistemi esistenti e in parte a causa della mancanza di forti incentivi a riguardo.

Nel corso di una dimostrazione, gli spettatori sono stati innaffiati con acqua dalla replica di un componente per centrali idriche che era stato manomesso e portato in sovrappressione. Un’altra dimostrazione ha esposto la possibilità di alterare i valori dei sensori comunemente adoperati per monitorare temperature e pressioni degli oleodotti, così da portare operatori umani o sistemi automatizzati a effettuare azioni dannose.

Nel corso di una terza dimostrazione si è parlato nel dettaglio dei difetti della tecnologia wireless utilizzata in 50 milioni di contatori elettrici, sparsi in giro per l’Europa, attraverso i quali è possibile spiare i consumi energetici di abitazioni e aziende e addirittura provocare blackout.

Ufficiali statunitensi hanno avvertito frequentemente che le vulnerabilità nei sistemi di controllo industriale potrebbero consentire gravi attacchi a infrastrutture pubbliche, con conseguenti blackout, danni ambientali, o persino decessi (vedi “U.S. Power Grids a Hacking Target“).

Tutti gli attacchi informatici menzionati hanno richiesto molte meno risorse e competenze di quante ne sono state utilizzate per condurre il miglior attacco mai riconosciuto a un sistema industriale, l’operazione eseguita attraverso Stuxnet da Stati Uniti e Israele ai danni del programma nucleare iraniano (vedi, “New Malware Brings Cyberwar One Step Closer” e “Iran: l’attacco informatico all’arricchimento dell’uranio“).

“Abbiamo dimostrato una serie di scenari che potrebbero provocare un collasso catastrofico – l’esplosione di un condotto o lo straripare di una cisterna – il tutto all’insaputa degli operatori, ai quali vengono forniti dati completamente diversi”, spiega Brian Meixel, della società di sicurezza informatica texana Cimation, che ha portato sul palco la replica del componente di una centrale idrica per mostrarne i punti deboli.

Assieme al collega Eric Forner, Meixell ha sfruttato un protocollo denominato Dbus che viene utilizzato nei sistemi di controllo industriale dagli anni ’70 ed è ancora molto diffuso in dispositivi connessi direttamente a Internet. Alcune scansioni degli indirizzi IP pubblici hanno rivelato che almeno 90,000 dispositivi di questo genere sono connessi e vulnerabili a quel tipo di attacco, spiega Forner (vedi “Cosa succede quando un uomo pizzica l’intera rete“). Il Dbus è vulnerabile perché nessuno dei suoi utenti ha mai pensato che fosse necessario proteggerlo, spiega Meixell.

Lucas Apa, un ricercatore della IOActive, sostiene che questo comportamento diffuso grava anche sul difetto che ha scoperto assieme al collega Carlos Mario Penagos nei sensori wireless utilizzato per monitorare infrastrutture petrolifere, idriche e nucleari. I tre principali fornitori di questi sensori li hanno sviluppati in maniera tale per cui possono essere alterati o spenti con un semplice trasmettitore radio da 40 miglia di gittata, spiega Penagos. “Possiamo forzare uno spegnimento totale di un impianto”, aggiunge.

Grazie a un programma di data-sharing del Department of Homeland Security, questi problemi sono ora noti alle società che producono i sistemi e alle infrastrutture industriali e municipali che li acquistano. Il programma, denominato Industrial Control System Cyber Emergency Response Team, o ICS-CERT, condivide con i diretti interessati (siano essi operatori o aziende) i più recenti dati pubblicati sulle vulnerabilità identificate.

Ciononostante, il fatto che l’ICS-CERT segnali un problema non significa necessariamente che questo venga prontamente risolto.

Apa prevede che molti sensori rimarranno vulnerabili ai suoi attacchi anche dopo la segnalazione dell’ICS-CERT, perché per aggiustarli occorre connettervisi fisicamente così da aggiornarne il software. “Siccome i dispositivi sono posizionati in punti pericolosi, puo essere molto difficile arrivarci”, e certe aziende avranno diverse centinaia di sensori come questi.

Sameer Bhalotra, ex senior director per la sicurezza informatica della Casa Bianca per Obama, ed ora capo dell’ufficio operativo della società di sicurezza informatica Impermium ci ha detto che nonostante l’ICS-CERT funzioni bene, non riesce a stimolare il progresso nella sicurezza industriale. Per contrasto, aziende di software quali la Microsoft sono divenute esperte nel tappare eventuali falle, al punto tale per cui oggi è difficile trovare difetti gravi. Le aziende che sviluppano attrezzature e software industriali di controllo non si sono mai dovute preoccupare troppo di sicurezza, per cui non sono in grado di generare rapidamente patch e aggiornamenti o apportare importanti modifiche nel design dei propri prodotti. “Non esiste niente di particolarmente organizzato al momento”, dice Bhalotra. “I venditori dovranno imparare a rimediare con rapidità agli errori, ma questo richiederà tempo”.

Uno dei motivi per cui il processo è tanto lento è la mancanza di incentivi, spiega Bhalotra. Le attuali norme non considerano gli operatori o produttori di sistemi di controllo responsabili di eventuali conseguenze, quali possono essere i danni provocati da esplosioni o blackout prolungati, dovute a una scarsa qualità nella progettazione o nella sicurezza di tali sistemi.

Solo l’introduzione di nuove norme per chiarire la responsabilità di queste parti potrà velocizzare l’evoluzione e lo sviluppo di nuovi sistemi industriale”.

(MO)