La scorsa estate, tra gli esperti di sicurezza informatica, si è diffusa la notizia di un virus che stava attaccando gli Scada incaricati della supervisione negli impianti nucleari iraniani. Una notizia, sfuggita alla censura, che il regime degli Ayatollah non ha confermato ufficialmente, pur ammettendo ritardi e generici problemi ai computer.
In realtà i contorni della vicenda si stanno progressivamente definendo. StuxNet, questo il nome del worm in questione, sarebbe stato realizzato per colpire direttamente i sistemi Scada utilizzati nel controllo di strutture strategiche per l'Iran e fortemente temute dal mondo occidentale.
Già in passato, infatti, Stati Uniti e Israele hanno ammesso di aver promosso un programma di sabotaggio dei siti atomici iraniani. La possibilità di un simile attacco, più volte teorizzata, sembra ora una realtà e in molti si stanno chiedendo quali possano essere le ripercussioni nel mondo industriale.
Non è un caso
Il fatto di cronaca, per molti versi, sembrerebbe non riguardare direttamente il nostro Paese. In realtà, come sottolinea Alessio Pennasilico, security evangelist di Alba e membro del direttivo del Clusit (Associazione italiana per la sicurezza informatica), “questo evento è preoccupante perché mette in luce ciò che, sinora, era stato solamente teorizzato: un attacco diretto ai sistemi Scada. In passato i problemi erano stati imputati, sostanzialmente, a 'semplici' incidenti, mentre ora emerge come la situazione possa essere frutto di un attacco mirato e condotto da autentici specialisti”.
Un worm di questo tipo, del resto, non può essere frutto dell'attività di semplici hacker, ma richiede il lavoro di autentici esperti che hanno dedicato, presumibilmente, anni-uomo alla creazione di un simile attacco. Disponendo, inoltre, dei finanziamenti necessari per acquistare le vulnerabilità sul mercato specializzato (e illegale), oltre che dell'esperienza necessaria per sfruttarle con un attacco diretto a una piattaforma utilizzata solo in ambito industriale. La conferma del fatto che si tratti di operazioni ad alto livello è legata al fatto che Stuxnet sta sfruttando addirittura quattro diversi 'punti deboli' di Window (in gergo zero-day exploit) finora sconosciuti.
Un'ulteriore dimostrazione di una strategia accuratamente pianificata, in quanto gli Scada utilizzano un linguaggio di programmazione specifico dell'ambito industriale e, quindi, sconosciuto a un hacker qualsiasi.
Mancano le risorse
Un'operazione condotta a questi livelli e basata su un virus diffuso attraverso le chiavette Usb dovrebbe, per alcuni versi, non preoccupare le aziende italiane (anche perché i rapporti con le aziende iraniane sono rari). È però importante ricordare che il worm attacca i sistemi software Siemens WinCC e PCS7, molto utilizzati anche nel nostro Paese. Si tratta, quindi, di un significativo campanello d'allarme, che mette in evidenza i rischi ai quali, con la diffusione delle tecnologie informatiche, sono sempre più esposti anche i sistemi di controllo industriale. “Del resto”, continua Pennasilico, “nell'ambito dell'automazione industriale c'è un notevole deficit in termini di prevenzione. L'avvento di Ethernet fa diminuire significativamente i costi, ma espone anche a crescenti rischi, a fronte dei quali le aziende del nostro Paese non hanno attivato le necessarie contromisure”. Una situazione aggravata dal fatto che, per utilizzare i sistemi di sicurezza, è necessario dedicare una parte della potenza di elaborazione della cpu a queste funzionalità.
Al contrario, la continua ricerca del costo più basso induce molti a utilizzare cpu 'su misura' per i propri processi industriali, senza disporre della capacità necessaria per far funzionare anche i sistemi di sicurezza.
Le centrali nucleari rappresentano, ovviamente, strutture strategiche, ma non possiamo dimenticare che un problema ai sistemi di supervisione potrebbe rivelarsi drammatico anche per una comune azienda di produzione, così come per un acquedotto o una diga del nostro Paese.
La scarsa percezione dei rischi è confermata dal fatto che Enzo Maria Tieghi, amministratore delegato di ServiTecno, sia oggi l'unico italiano a partecipare attivamente ai lavori del comitato Isa SP99, che sta definendo uno standard per la sicurezza dei sistemi di automazione e controllo.
Professionisti al lavoro
L'evento iraniano ha avuto l'effetto positivo di far riflettere i responsabili delle aziende italiane sulle vulnerabilità dei sistemi di supervisione utilizzati. In molti casi, infatti, simili sistemi sono stati sviluppati da aziende non specializzate. Queste ultime, per assurdo, godono il vantaggio di non rappresentare un obiettivo interessante per un cyberterrorista. Ma proprio per l'assenza di adeguati test di sicurezza potrebbero essere vittime di danni di tipo casuale.
Diversa la situazione delle cosiddette strutture strategiche, dove la professionalità delle aziende, che hanno sviluppato gli Scada, offre maggiori garanzie a fronte di incidenti casuali. Di contro, simili soluzioni sono spesso diffuse a livello internazionale e, quindi, oggetto di un possibile attacco mirato, frutto di uno studio specifico di eventuali vulnerabilità.
Una situazione nota alle aziende anche se, secondo Tieghi, “gli investimenti in security sono spesso posticipati, poiché considerati poco strategici. Trascurando che le criticità esistono già oggi e un problema potrebbe esplodere in qualsiasi istante, con conseguenze anche devastanti in termini economici e produttivi”.
Un rischio con cui le aziende più attente si stanno misurando da tempo, al punto che uno dei principali produttori di energia elettrica nazionali ha installato firewall su tutti i propri impianti non presidiati. Un accorgimento teso a prevenire tentativi di attacco dall'interno della propria rete aziendale. Una simile scelta, effettuata nell'ottica di prevenire possibili rischi, è però poco praticata dalle aziende italiane. Anche per questa ragione Pennasilico sottolinea l'importanza di affidare la sicurezza ad aziende specializzate nella security industriale, in grado di implementare i software acquistati ma non correttamente configurati.
Del resto, come ribadisce Tieghi: “In Italia, ma lo stesso accade anche in altre realtà, si stanno percependo i rischi a cui è esposto un sistema Scada. Troppo spesso, però, si agisce in modo dilettantesco, magari installando un firewall, ma lasciando aperte una serie di porte per consentire lo scambio di alcuni dati. Tipicamente i migliori Scada dispongono già di propri sistemi di sicurezza, ma spesso non sono attivati correttamente, perché gestiti da persone prive della necessaria professionalità. Basti pensare che l'attacco di StuxNet è stato possibile dal fatto che alcune delle password utilizzate erano quelle di default”.
Il tutto senza dimenticare le regole più banali, come separare le reti di automazione da quelle degli uffici o impedire fisicamente l'impiego di chiavette Usb. Accorgimenti apparentemente scontati, ma spesso dimenticati anche su impianti strategici, come avvenuto nelle centrali nucleari iraniane.
---------------------
Tutto sotto controllo
Gli specialisti di Siemens assicurano che, grazie alla disponibilità di tool di identificazione e rimozione di StuxNet, gli impianti italiani non corrono nessun rischio
L'attacco scatenato da StuxNet, e teso a colpire le centrali nucleari iraniane, ha coinvolto direttamente anche Siemens, la multinazionale tedesca che fornisce i sistemi Scada utilizzati nel controllo di queste infrastrutture. É quindi interessante conoscere la posizione dell'azienda. Per tale ragione abbiamo incontrato Mauro Cerea, Sales Manager Simatic Hmi di Siemens.
StuxNet sembra essere indirizzato direttamente ai sistemi Scada basati su pacchetti e prodotti software Siemens WinCC e PCS7. Per quale ragione un attacco così diretto?
Vorrei sfatare un luogo comune sul quale si stanno costruendo congetture fondamentalmente errate, in quanto non è esatto parlare di un attacco diretto a Siemens. Un pool di esperti Siemens, coadiuvati da altrettanti esperti di Microsoft e delle più importanti software house specializzate nella sicurezza dei sistemi informatici, ha rilevato che StuxNet ricerca esclusivamente specifiche configurazioni di sistema e si attiva solo in presenza di esse.
Il fatto che questo criterio di ricerca non trovi riscontro in qualsiasi impianto abbia installati i software Siemens WinCC e PCS7, suggerisce che il bersaglio di StuxNet siano installazioni industriali assolutamente mirate e nel disegno degli ideatori di Stuxnet non ci sia l'intenzione esplicita di un attacco diretto a Siemens.
L'attacco sembrerebbe condotto da professionisti e molto mirato. Le vulnerabilità scoperte potrebbero essere utilizzate anche per attacchi di tipo terroristico?
Come detto è stato costituito un pool congiunto di esperti che ha svolto test intensivi e sono state attivate tutte le misure necessarie, ma non è stato possibile stabilire quale fosse il preciso scopo degli hacker che hanno ideato e diffuso StuxNet. Ad oggi tutti i casi che ci sono stati riportati sono stati risolti con successo e in nessuno di questi il virus ha intaccato o tentato di intaccare il sistema di controllo degli impianti colpiti.
Il worm sfrutta quattro diversi zero-day exploit, finora sconosciuti, di Windows. Quali contromisure sta adottando un fornitore di riferimento come Siemens?
Siemens sta affrontando la questione sicurezza degli impianti realizzati dai propri clienti con la massima priorità, attenzione e serietà. È nostra ferma intenzione essere parte attiva in ogni futuro sviluppo sul tema della sicurezza It in ambito automazione industriale. I nostri esperti lavorano a stretto contatto con le autorità e con gli specialisti in materia di sicurezza It a livello mondiale.
Gli Scada installati in Italia sono a rischio?
Avendo adottato tutte le misure preventive e quelle diagnostiche, tra le quali la diffusione del tool di identificazione e rimozione di StuxNet, disponibili già dal 22 luglio, direi assolutamente no. Ad oggi non risultano, sul territorio italiano, casi accertati di siti di produzione equipaggiati con sistemi di automazione Simatic WinCC e/o Simatic PCS7, che siano stati contagiati da StuxNet.
Quali consigli state dando ai vostri clienti?
Il primo consiglio è stato ed è tuttora quello di non lasciarsi prendere dal panico. A tale scopo Siemens ha operato fin da subito nella massima trasparenza nei confronti dei propri clienti pubblicando in data 19 luglio sul sito del Customer Support di Industry Automation una comunicazione ufficiale a proposito di StuxNet, ricevuta in automatico da tutti i clienti iscritti al servizio di newsletter offerto dal sito stesso e comunque raggiungibile all'indirizzo http://support.automation.siemens.com/WW/view/en/43876783. Il documento contiene informazioni assolutamente trasparenti e analitiche sul virus StuxNet (veicolo di propagazione, effetti conosciuti e molto algtro ancora) e le risposte alle domande più frequenti.
Abbiamo inoltre aggiornamenti in funzione della cronologia degli eventi: dalla scoperta di Stuxnet (15 luglio), alla data di disponibilità di un 'antidoto' realizzato da TrendMicro (22 luglio), al rilascio di una patch da parte di Microsoft (2 agosto), alla più recente evoluzione del caso. Proponiamo inoltre una procedura guidata all'individuazione e alla rimozione di Stuxnet e i tool ufficiali appositamente sviluppati da TrendMicro (virus removal) e Microsoft (patch per sistemi operativi). Infine, forniamo le raccomandazioni utili a evitare che in futuro altri eventuali attacchi di pirateria informatica possano mettere a rischio la sicurezza dei siti produttivi.
Come prevenire un possibile attacco?
In campo informatico non esiste un'azione preventiva specifica contro un virus/Trojan/Malware fintanto che gli hacker non lo diffondono, in quanto sarebbe impossibile curare un paziente fintanto che non manifesta sintomi o quando non esiste una specifica sintomatologia.
A torto si è sempre pensato che i sistemi di automazione industriale, basati su piattaforma pc, fossero immuni da qualsiasi attacco di pirateria informatica. In un passato non troppo remoto i pc di supervisione e di controllo processo non disponevano di connessione a Internet ed erano posti in aree ad accesso limitato. L'esigenza che i siti di produzione potessero sempre più interagire con il mondo esterno, scambiando informazioni con utenti remoti (consideriamo ad esempio i sistemi non presidiati) ha di fatto segnato la fine di tale isolamento, che man mano è venuto meno senza che il tema sicurezza venisse preso seriamente in considerazione. La miglior prevenzione è una maggiore consapevolezza che il fenomeno di hacking non sia più limitato al solo mondo Office e occorre che questa consapevolezza sia condivisa a ogni livello, a salvaguardia della sicurezza dei siti di produzione dei nostri utilizzatori finali.
