About these ads

Archive

Archive for February, 2011

Smart Grid? Dumb Security!

February 27, 2011 3 comments

Gli eventi che stanno sconquassando il Vecchio Continente ai suoi confini meridionali ripropongono purtroppo l’immancabile litania del problema energetico che lega indissolubilmente l’Occidente ai paesi produttori di petrolio in cui, guarda a caso, il livello dei diritti civili (e indirettamente la stabilità politica) è sempre inversamente proporzionale ai barili di petrolio prodotti.

Tra le soluzioni che l’occidente (cosiddetto) evoluto sta approntando per far fronte alle necessità di ottimizzare i consumi energetici, rientrano le cosiddette Smart Grid, ovvero le reti di distribuzione energetica intelligente, che costituiscono uno degli ingredienti fondamentali per il raggiungimento degli obiettivi Europei  del pacchetto clima-energia “20-20-20”. Approvato nel 2008, il pacchetto prevede entro il 2020 la riduzione del 20% delle emissioni di gas serra rispetto ai livelli del 1990, l’aumento dell’efficienza energetica del 20%, e che il 20% di produzione di energia elettrica provenga da fonti rinnovabili. Per il Belpaese questi obiettivi si traducono nel raggiungimento, da un livello del 5,2% nel 2005, ad un livello di produzione di energia da fonti rinnovabili del 17% entro il 2020.

Una Smart Grid altro non è che una griglia energetica che utilizza tecnologie proprie del mondo IP per consentire comunicazioni bidirezionali, coordinamento e controllo finalizzati ad una redistribuzione intelligente e dinamica dell’energia elettrica per far fronte ad eventuali picchi di consumo, oppure per ottimizzare la fornitura a fronte di cali improvvisi di consumo. In sostanza una rete di informazioni (basata su IP) viene sovrapposta ad una rete elettrica tradizionale, rendendo i nodi di consumo in grado di comunicare con la rete di distribuzione al fine di rendere l’intera struttura distribuita, resiliente, sicura e reattiva nei confronti delle richieste dei consumatori e delle possibilità di offerta degli operatori.

Da un punto di vista concettuale, una smart grid è per tutto assimilabile ad Internet:

  • E’ gerarchica nella sua struttura e possiede punti di demarcazione (ovvero di passaggio) tra diversi (Internet) Service Provider ben definiti;
  • La rete di generazione e trasmissione è assimilabile ad un backbone;
  • All’interno di aree geografiche limitrofe, le utility produttrici di energia distribuiscono l’energia agli utenti finali su Neighborhood Area Network (NAN) o Field Area Network (FAN), equivalenti alle Metropolitan Area Network (MAN) proprie del mondo IP.
  • La linea di demarcazione tra la rete di distribuzione e il consumatore (domestico o industriale) è rappresentata dall’Advanced Metering Infrastructure (AMI), che equivale ad un contatore elettronico di ultima generazione in grado di effettuare comunicazione bidirezionale con la rete di distribuzione. In ambito IP l’AMI corrisponde esattamente al ruoter di accesso (Customer Equipment) dall’ultimo miglio alla rete del provider a cui le nostre connessioni internet ci hanno ormai abituato;
  • All’intero di una casa o di un ufficio la Smart Grid si appoggia su una Home Area Network (HAN) o su una Building Area Network (BAN), concetti equivalenti approssimativamente ad una LAN di piano o LAN di palazzo. Aree più vaste delimitate da un AMI vengono chiamate Infrastructure Area Network (IAN)  e corrispondono aii cosiddetti campus del mondo IP).

Fino a qui le belle notizie: una rete Smart Grid è resiliente, distribuita, dinamica, consente di ottimizzare i consumi e sensibilizzare gli utenti sul valore dell’energia grazie alle funzioni per cui è stata concepita, ovvero:

  • Riprendersi autonomamente da perturbazioni (sbalzi e interruzioni di corrente);
  • Sensibilizzare gli utenti su un utilizzo più efficiente dell’energia;
  • Migliorare la qualità dell’energia in linea con le attuali esigenze di consumo;
  • Funzionare con diverse possibilità di generazione e consumo;
  • Permettere la creazione di nuovi prodotti, servizi e mercati
  • Ottimizzare l’utilizzo delle risorse.

Da qui in poi le brutte notizie: una rete Smart Grid, generalmente è composta da tecnologie eterogenee di 15/20 anni fa (è questo il tipico ciclo di vita dei componenti). Tecnologie eterogenee (e sovente non proprio di ultimissima generazione) che utilizzano il protocollo IP per trasportare le informazioni e che sfortunatamente non sono state create per garantire i livelli di sicurezza richiesti dall’apertura garantita dal mondo Internet. Se da un lato il protocollo IP costituisce l’intelligenza del sistema che consente ai vari nodi di pensare come un unico ecosistema, l’apertura verso questa intelligenza ha un prezzo costituito dal dover abbracciare inconsapevolmente le minacce annidate tra i pacchetti. Queste minacce nel caso di una Smart Grid potrebbero significare, nel peggiore dei casi, la possibilità di rendere indisponibile l’intera rete o una parte consistente di essa.

Pensandoci bene, dal punto di vista della connettività, le reti Smart Grid rappresentano un salto verso l’ignoto, ed è interessante il parallelismo con la rete Internet: nata per interconnettere i computer continentali di Oltreoceano, nessuno avrebbe potuto prevedere una simile diffusione, una simile influenza nella cultura e nella vita di tutti (e un simile impatto dei problemi di sicurezza da essa scaturiti). A peggiorare ulteriormente il quadro concorre l’evidenza che i sistemi di controllo delle Smart Grid, come il vituperato Supervisory Control and Data Acquisition, (esatto proprio lo SCADA già compromesso nel caso di Stuxnet) saranno costretti a raggiungere un livello di complessità notevole per essere in grado di gestire il proliferare delle smart grid e i dati raccolti  dalle stesse (provo un sottile brivido al pensiero dei relativi problemi di Privacy): “old-school SCADA that’s been bolted into some sort of a newer technology“.

La conseguenza è che le utility di energia stanno di fatto costruendo una nuova Internet, un vero e proprio universo parallelo, come lo definisce il National Institute of Standards and Technology (NIST), che, sulla scia dei problemi di sicurezza ha rilasciato appositi standard e specifiche per la cyber-sicurezza dei sistemi di controllo smart-grid.

Dei problemi di sicurezza delle Smart Grid si è parlato anche all’ultima RSA Conference 2011. Allo stato attuale il problema principale è rappresentato dall’obsolescenza della tecnologia (il tipico ciclo di vita è di 15/20 anni) dalla frammentazione della stessa tecnologia e delle competenze: le utility hanno centinaia di standard e protocolli differenti, e tipicamente le risorse che gestiscono le infrastrutture hanno  poche competenze IT. Questo rende difficile anche la convergenza tra le diverse discipline, come se ad una convergenza tra le tecnologie, di distribuzione dell’energia e di controllo basato su IP, non fosse corrisposta una analoga convergenza tra le strutture di gestione e questo un po’ anche per ragioni culturali: chi gestisce le utility ha poca fiducia su chi proviene dal mondo IT abituato a mettere le mani a destra e manca, e tende di conseguenza a tenere la gestione del proprio mondo chiusa.

Ma quali sono gli attacchi a cui potrebbero essere vulnerabili le Smart Grid?

Chi si ricorda “Una Poltrona Per Due” ricorderà il goffo tentativo di aggiotaggio dei fratelli Duke (interpretati da Ralph Bellamy e un impareggiabile Don Ameche) basato sulla conoscenza in anticipo del prezzo delle arance finalizzato a speculazioni borsistiche. Arance a parte nel caso di una Smart Grid lo scenario non sarebbe molto diverso: un attaccante potrebbe manipolare i dati della griglia intrufolandosi virtualmente all’interno di una substation di distribuzione e intercettando le comunicazioni tra substation, operatori, e fornitori di elettricità. Poiché questi dati sono usati dagli operatori per fissare i prezzi dell’elettricità e per bilanciare la domanda e offerta di energia, nel migliore dei casi gli operatori potrebbero fare milioni di dollari a spese dei contribuenti (prevedendo e influenzando artificialmente il costo dell’energia alterando le richieste), nel peggiore dei casi potrebbero rendere la griglia instabile causando blackout. Il perché è facilmente comprensibile sulla base del processo di fatturazione di una smart grid: tipicamente gli operatori fissano il prezzo dell’energia un giorno prima in base ai dati raccolti su disponibilità e necessità dei clienti, e sulla base delle stesse previsioni preparano l’infrastruttura a sostenere il consumo che verrà fatturato il giorno successivo. Ovviamente è sufficiente manipolare i dati per creare necessità artificiose, alterare i prezzi e con tutta probabilità diventare milionari scommettendo in borsa sul prezzo dell’energia (ti piace vincere facile…)

Questo è teoricamente possibile già oggi, ma basta chiudere gli occhi e pensare ad un futuro non troppo lontano che già si delineano gli scenari prossimi venturi: ad esempio le stazioni di ricarica delle autovetture elettirche, tutti punti deboli e interconnessi, in cui un singolo point of failure, aperto al mondo esterno e quindi accessibile, potrebbe compromettere l’intera infrastruttura.

Come uscire dal tunnel? Sicuramente con investimenti tecnologici che applichino nativamente agli elementi di una Smart Grid le funzioni di sicurezza proprie del mondo IP (a cominciare dalla cifratura), con un nuova impostazione interdisciplinare che elimini le barriere tra gestori delle utility e gestori delle infrastrutture IT, e soprattutto con un approccio strategico che integri le funzioni di analisi del rischio e gestione del rischio a tutti i livelli della griglia.

Una mano in questo senso verrà sicuramente con il programma NERC CIP (North American Electric Reliability Corp.’s Critical Infrastructure Protection Plan), piano recentemente aggiornato che raccoglie oltre 100 standard e stabilisce i requisiti per la protezione degli elementi critici di una Smart Grid, avendo come punto di partenza ed elemento chiave proprio la sicurezza delle infrastrutture IT.

Con la sete di energia, l’instabilità che caratterizza certe zone del globo, e l’evidenza che le guerre si stanno spostando sulle scacchiere virtuali, c’è da essere certi che sentiremo molto spesso parlare delle Smart Grid… E non solo per gli indubbi vantaggi energetici…

About these ads

Se L’Androide Gioca A RisiKo!

February 26, 2011 Leave a comment

Il video sottostante circola già in rete da qualche tempo ma non ha assolutamente perso il grip (anche se non dovrei vantarmene l’ho linkato un paio di giorni or sono sul mio profilo Facebook): i ragazzi di Android Talks hanno rappresentato graficamente le attivazioni degli Androidi a livello mondiale.

A voi il commento! Io mi limito a dire che, alla prima visione, di questo Risiko virtuale, dopo la suggestione iniziale, non ho potuto fare a meno di collegarlo con i recenti sviluppi in termini di sicurezza. A quando un video che rappresenterà la proliferazione di una botnet di Androidi o Melafonini, magari sulla scia di quanto i ricercatori Symantec hanno fatto per Stuxnet?

Lo Smartphone? Ha fatto il BOT!

February 23, 2011 2 comments

E’ stato appena pubblicato un interessante articolo di Georgia Weidman relativo al concept di una botnet di smartphone controllati tramite SMS. Il lavoro, annunciato alla fine del mese di gennaio 2011 e presentato alla Shmoocon di Washington, aveva da subito attirato la mia attenzione poiché, in tempi non sospetti, avevo ipotizzato che la concomitanza di fattori quali la crescente potenza di calcolo dei dispositivi mobili e la loro diffusione esponenziale, avrebbe presto portato alla nascita di possibili eserciti di Androidi (o Mele) controllate da remoto in grado di eseguire la volontà del proprio padrone.

Il modello di mobile bot ipotizzato (per cui è stato sviluppato un Proof-Of-Concept per diverse piattaforme) è molto raffinato e prevede il controllo dei terminali compromessi da parte di un server C&C di Comando e Controllo, mediante messaggi SMS (con una struttura di controllo gerarchica), che vengono intercettati da un livello applicativo malevolo posizionato tra il driver GSM ed il livello applicativo. La scelta degli SMS come mezzo di trasmissione (che in questo modello di controllo assurgono al ruolo di indirizzi IP) è dovuto all’esigenza di rendere quanto più possibile trasparente il meccanismo di controllo per utenti e operatori (l’alternativa sarebbe quella del controllo tramite una connessione  dati che tuttavia desterebbe presto l’attenzione dell’utente per l’aumento sospetto di consumo della batteria che non è mai troppo per gli Androidi e i Melafonini ubriaconi). Naturalmente il livello applicativo malevolo è completamente trasparente per l’utente e del tutto inerme nel processare i dati e gli SMS leciti e passarli correttamente al livello applicativo senza destare sospetti.

Georgia Weidman non ha trascurato proprio nulla e nel suo modello ipotizza una struttura gerarchica a tre livelli:

  • Il primo livello è composto dai Master Bot, controllati direttamente dagli “ammucchiatori”. I Master Bot non sono necessariamente terminali (nemmeno compromessi), ma dovendo impartire ordini via SMS possono essere dispositivi qualsiasi dotati di un Modem;
  • Il secondo livello è composto dai Sentinel Bot: questi agiscono come proxy tra i master e l’esercito di terminali compromessi. Le sentinelle devono essere dispositivi “di fiducia”, ovvero dispositivi sotto il diretto controllo degli “ammucchiatori” o membri della botnet da un periodo di tempo sufficientemente lungo da far ritenere che l’infezione sia ormai passata inosservata per il proprietario e degna pertanto di promuoverli al ruolo di sentinelle.
  • Il terzo livello è composto dagli slave bot. I veri e propri soldati dell’esercito di terminali compromessi che ricevono le istruzioni dalla sentinelle ed eseguono il volere del capo.

Da notare che questo modello gerarchico applica il paradigma del “divide et impera”. I terminali compromessi slave non comunicano mai direttamente con il master, e solo quest’ultimo, inoltre, conosce la struttura dell’intera botnet. L’utilizzo del SMS inoltre consente al master di poter cambiare numero di telefono all’occorrenza ed eludere così le forze del bene, ovvero gli eventuali cacciatori di bot.

Ovviamente tutte le comunicazioni avvengono tramite SMS cifrati (con un algoritmo di cifratura a chiave asimmetrica) e autenticati, inoltre la scoperta di un telefono infetto non pregiudica l’intera rete di terminali compromessi ma solo il segmento controllato dalla sentinella di riferimento (il master può sempre cambiare numero).

Quali possono essere gli utilizzi di una botnet così strutturata? Naturalmente rubare informazioni, per fini personali o di qualsiasi altro tipo (politici, economici, etc.). Purtroppo, per questa classe di dispositivi, che stanno trovando sempre di più applicazioni verso i livelli alti di una Organizzazione, gli exploit e i bachi sono all’ordine del giorno per cui teoricamente sarebbe possibile rubare il contenuto della memoria SD con un semplice SMS. Ma non finisce qui purtroppo: considerata la potenza di calcolo (abbiamo ormai un PC nel taschino) e la potenza di calcolo, questi dispositivi possono essere facilmente usati come seminatori di traffico, ovvero sorgenti di attacchi di tipo DDoS (Distributed Denial of Service), specialmente nel caso di connessioni Wi-Fi che si appoggiano su un operatore fisso  che offre possibilità  di banda maggiori e quindi più consone ad un attacco di tipo Distributed Denial Of Service. Questo si sposa perfettamente con la dinamicità di una botnet basata su SMS (in cui il master può cambiare numero per nascondersi) e con le infrastrutture degli operatori mobili (o fissi offerenti servizi Wi-Fi) che potrebbero non essere completamente pronte per affrontare simili tipologie di eventi informatici (come anche evidenziato dal recente report di Arbor Networks). Altra nefasta applicazione potrebbe essere lo spam, soprattutto se effettuato tramite SMS. Interessante inoltre la combinazione con il GPS che potrebbe portare al blocco totale delle comunicazioni GSM in determinate circostanze spazio-temporali (sembra fantapolitica ma è comunque teoricamente possibile).

Rimane ora l’ultimo punto che era rimasto in sospeso quando avevo trattato di questo argomento per la prima volta:  mi ero difatti chiesto la questione fondamentale, ovvero se il software malevolo di bot avesse necessità o meno di permessi di root. La risposta è affermativa, ma questo non mitiga la gravità del Proof-Of-Concept, ribadisce anzi l’importanza di un concetto fondamentale: alla base della sicurezza c’è sempre l’utente, il cui controllo sovrasta anche i meccanismi di sicurezza del sistema operativo, e questo non solo perché ancora una volta viene evidenziata drammaticamente la pericolosità di pratiche “smanettone” sui propri dispositivi (che possono avere conseguenze ancora più gravi se il terminale è usato per scopi professionali), ma anche perché gli utenti devono prendere consapevolezza del modello di sicurezza necessario, facendo attenzione alle applicazioni installate.

Lato operatori, urge l’assicurazione che gli aggiornamenti di sicurezza raggiungano sempre i dispositivi non appena rilasciati. Aggiungerei inoltre, sulla scia di quanto dichiarato da Arbor Networks, possibili investimenti infrastrutturali per l’eventuale rilevazione di eventi anomali dentro i propri confini.

A questo punto, il fatto che i produttori di sicurezza abbiano, quasi all’unanimità, inserito il mondo mobile al centro delle preoccupazioni di sicurezza per il 2011 perde qualsiasi dubbio sul fatto che si tratti di una moda passeggera, ed è asupicabile che  gli stessi stiano già correndo ai ripari, aggiungendo livelli di sicurezza aggiuntivi ai meccanismi intrinseci del sistema operativo con l’ausilio di tecnologie di DLP (come indicato dal report Cisco per il 2011), virtualizzazione e integrando sempre di più tecnologie di sicurezza nei dispositivi: ultimo annuncio in ordine di tempo? Quello di McAfee Intel che si dimostra, ancora una volta, molto attiva nel settore mobile.

Tecnologia e Normativa: Le Due Facce Del Cloud

February 22, 2011 1 comment

In queste ore IDC ha pubblicato un interessante documentoAccelerate Hybrid Cloud Success: Adjusting the IT Mindset” (sponsorizzato da VMware) in cui esamina l’andamento del mercato dei servizi legati al Cloud nei prossimi 4 anni in EMEA (Europa, Middle East e Africa). Nel corso del 2009 i datacenter del Vecchio Continente, Medio Oriente e Africa, hanno assistito allo storico sorpasso delle macchine virtuali nei confronti delle macchine fisiche. Questo sorpasso ha agito da volano per il cloud, che ha esteso rapidamente la propria ampiezza e profondità, diventando un perno delle infrastrutture IT per gli anni a venire.

Lo studio delinea in maniera inequivocabile il trend esponenziale di adozione del cloud con particolare focus sulle infrastrutture di tipo hybrid cloud (ovvero quelle che adottano un approccio intermedio tra una infrastuttura completamente pubblica e una infrastruttura completamente privata). Se nel 2009 IDC stima che sono stati spesi circa 3.4 mld di $ per servizi legati alla nube di tipo software-as-a-service [SaaS], infrastructure-as-a-service [IaaS], e platform-as-a-service [PaaS], gli investimenti per servizi analoghi, sempre secondo le stime IDC, raggiungeranno nel 2010 i 5.3 mld di $ (con una crescita del 56% rispetto all’anno precedente) e sono destinati a crescere sino a 18.8 mld. di $ nel 2014.

Il motivo di una tale crescita è presto detto (e abusato): il cloud sopperisce ai problemi cronici delle infrastrutture IT riassumibili in:  costi di gestione elevati, utilizzo non efficiente delle risorse computazionali, consumo eccessivo di energia, inquinamento e, last but not least, mancanza di agilità dei servizi erogati che non si muovono alla stessa velocità dei requisiti di business.

Ai problemi cronici delle infrastrutture IT si sommano ulteriori fattori, letteralmente esplosi nel corso degli ultimi due anni:

  • La diffusione selvaggia dei server x86 in EMEA (raddoppiata da 1.3 milioni a 2.7 milioni di unità tra il 2003 e il 2008) con tutte le conseguenze in termini di consumo energetico e costi di approvvigionamento e gestione;
  • Processi di business sempre più dinamici e in tempo reale che necessitano  di infrastrutture dinamiche e in grado di adattarsi al processo con la stessa velocità con cui lo stesso muta;
  • Base di client eterogenei composta da dispositivi mobili e multiformi (smartphone, tablet, netbook), dispositivi che devono accedere alle risorse ed ai servizi da una vasta gamma di piattaforme, con le stesse condizioni di sicurezza.

Una simile diffusione non deve però mettere in ombra quelli che sono i problemi storici del cloud, evidenziati anche in queste pagine: la sicurezza, le prestazioni, l’affidabilità e (fattore non esplicitamente citato nella ricerca IDC sebbene strettamente pertinente alla sicurezza), la conformità con le normative vigenti nei vari paesi.

Come suggerisce il titolo del documento IDC la rivoluzione non è solo tecnologica ma (soprattutto) culturale: per gli utenti (che non hanno più il controllo diretto dei propri dati), e per i gestori che vedono fiorire modelli di servizio ibridi e soprattutto vedono cadere le barriere gestionali dei diversi componenti di una infrastruttura: il Data Center 3.0 basa difatti la propria intelligenza e dinamicità sulla rete e considera sistemi, storage e rete come una unica entità.

Purtroppo non è tutto oro quello che luccica, soprattutto nel Belpaese. Tecnologia e Normativa non si muovono alla stessa velocità e, ironia della sorte, lo studio IDC raggiunge la comunità IT a poche ore dalle dichiarazioni di Luca Bolognini, Presidente dell’Istituto Italiano Privacy, che, nel corso di una tavola rotonda nell’ambito dell’IDC Security Conference 2011 (sempre di IDC si tratta), ha dichiarato che il Cloud, per quanto sia una tecnologia vincente, è teoricamente illecito in quanto non conforme con le normative di diversi paesi europei.

I motivi sono i soliti:

  • La nomina del responsabile del trattamento dei dati che diviene eccessivamente fumosa all’interno della nube: una entità che vede molteplici soggetti che interagiscono all’interno del servizio, sovente non identificabili. A peggiorare il quadro concorre il fatto che in Europa non è concepita oggi la figura del super-responsabile.
  • La sicurezza dei dati in termini di diritto e privacy, intesa non solo come sicurezza protettiva dagli abusi;
  • La perdita dei dati, che dovrà essere notificata anche dai Cloud Provider tramite apposita normativa;
  • L’ultima questione, la più importante (e a mio avviso legata alla sicurezza) riguarda il problema dei dati all’estero, che sfuggono totalmente alla normativa locale. Non a caso avevo già sollevato questo problema giungendo alla conclusione che, in caso di necessità di un servizio cloud di qualsiasi tipo, mi avvarrei sicuramente di un fornitore di servizi nazionale. Solo in questo caso potrei essere (almeno teoricamente) sicuro che la tutela delle mie informazioni sia in linea con la legge e certo, in caso di necessità, di poter disporre delle informazioni necessarie per una eventuale analisi forense.

Questa dicotomia tra tecnologia e normativa sarà in grado di trovare una convergenza parallela? Probabilmente si, non credo proprio che le previsioni IDC sulla nube andranno in fumo a causa della scarsa aderenza alle normative. La soluzione sulla carta è chiara e prevede l’adozione di una normativa più realistica che capovolga il paradigma dell’attuale modello di controllo: da un modello pubblico centralizzato ad un modello privato e distribuito, che si appoggi cioè su una rete di fornitori di servizi che si facciano essi stessi garanti con un insieme di regole comuni e condivise. Nel frattempo i fornitori di servizi dovranno essere pronti: nella prima metà del 2011 si prevedono difatti le prime ispezioni (probabilmente conoscitive) del Garante.

Strategia Intel Per il Mobile: Io Ballo Da Sola

February 21, 2011 1 comment

Devo ammettere che la strategia Intel in ambito sicurezza e mobile mi sta incuriosendo molto. Commentando il matrimonio dell’anno tra Nokia e Microsoft, in particolare sin dalle prime voci che si rincorrevano da dicembre 2010, mi ero sbilanciato affermando che un terzo incomodo sarebbe stato invitato al banchetto nuziale dell’anno: Intel, il gigante dei processori di Santa Clara che, assieme al colosso finlandese di Espoo, stava sviluppando MeeGo, il sistema operativo basato su Linux, nelle idee degli sviluppatori l’anti-Androide che avrebbe dovuto (sigh!) equipaggiare smartphone di fascia alta e tablet.

Ovviamente nulla lasciava presagire che il maggior produttore di processori al mondo, imbarcatosi in questa improvvida avventura con i finlandesi, fosse stato mantenuto all’oscuro della sotta linea rossa che nel frattempo si stava sviluppando tra Redmond ed Espoo… Anzi, virtualmente il colosso di Santa Clara avrebbe potuto avere una parte importante nell’improbabile sodalizio, ad esempio fornendo i processori, settore in cui Intel soffre la concorrenza di Qualcomm e ARM.

Alla fine gli eventi hanno lasciato un po’ spiazzati tutti gli osservatori. Windows Phone 7 e MeeGo sono due fardelli troppo ingombranti (e onerosi in termini di risorse di sviluppo) all’interno di una stessa offerta, così il  primo frutto del matrimonio  finnico-americano è stato il ridimensionamento di MeeGo (a cui sembrerebbe stesse lavorando team composto da soli 3 sviluppatori esterni). Niente di strano, se non fosse che Chipzilla (questo il simpatico soprannome con cui spesso ci si riferisce simpaticamente al gigante dei processori) sembrerebbe fosse realmente all’oscuro della trama che si stava snodando tra le due sponde dell’Atlantico. Una volta incassato il colpo, Intel ha ribadito la propria intenzione di proseguire con MeeGo (affermando addirittura che al posto di Nokia avrebbe sposato Android). I fan di Matrix ricorderanno la celebre frase di Morpheus: “Al destino non manca il senso dell’Ironia”, e difatti non può che esserci ironia nel fatto che solo un anno fa (il 15 febbraio 2010) Nokia e Intel a Barcellona battevano la grancassa del marketing per annunciare la nascita di MeeGo dalle ceneri dei propri sistemi operativi Maemo e Moblin.

In teoria il colosso di Santa Clara ha le risorse e i mezzi per affrontare una scommessa del genere ma la sfida si presenta estremamente ardua, non solo per il ritardo con cui il sistema operativo si presenta sul mercato, ma anche perché, e la mossa di Nokia lo dimostra, la guerra dei sistemi operativi mobili si combatte soprattutto con gli ecosistemi di sviluppatori e applicazioni che si sviluppano attorno. Anche in questo caso il ritardo è notevole vista la posizione consolidata di Apple, la crescita di Android (a cui sembrerebbe stia cercando di agganciarsi anche RIM con una Virtual Machine che consentirebbe di far girare le applicazioni  native dell’Androide) e le difficoltà che la stessa Microsoft sta incontrando per guadagnarsi un suo spazio vitale.

Ciò nonostante la strategia di Intel verso il mondo mobile continua imperterrita per la sua strada. Dopo gli annunci relativi al sistema operativo a Barcellona è arrivato l’atteso annuncio relativo alla nuova generazione di processori per dispositivi mobili, battezzata Medfield (ironia della sorte potranno far girare il Sistema Operativo Androide!), processori che, nelle intenzioni degli ingegneri, promettono scintille (è proprio il caso di dirlo) nei confronti della concorrenza (ARM in testa) soprattutto per quanto riguarda durata e consumo energetico.

Ma Intel non si è fermata qui e, a conferma della necessità di creare un ecosistema di applicazioni, il colosso dei processori, tramite il suo braccio armato finanziario Intel Capital, ha proseguito la sua opera di finanziamento di startup nel mondo mobile.

Naturalmente quando si parla di Intel, la strategia del mondo mobile si incrocia inevitabilmente con la sicurezza: questa era  stata una delle chiavi di interpretazione della maxi acquisizione di McAfee (approvata dalla Comunità Europea solo 26 gennaio di quest’anno) i cui primi frutti si dovrebbero vedere nella seconda metà del 2011 (ma è probabile che il know-how del produttore rosso di sicurezza possa trovare ulteriori applicazioni per i dispositivi mobili). In questo campo potrebbe avere applicazione anche una interessante tecnologia di autenticazione che il gigante dei processori sta sviluppando insieme a Symantec, il principale concorrente di McAfee (o meglio di se stessa) e con la  ulteriore collaborazione di Vasco, gigante europeo dell’Autenticazione. Questo improbabile terzetto è attualmente al lavoro su una rivoluzionaria tecnologia di autenticazione chiamata Identity Protection Technology, o IPT, che nelle sua versione iniziale sarà cablata all’interno dei nuovi processori i3, i5 e i7. Con questa tecnologia Intel  mira ad ampliare la propria sfera di azione sui servizi di autenticazione (ad esempio home banking) rendendo un processore in grado di generare una one-time password (OTP) per autenticarsi verso un sito compatibile precedentemente accoppiato. Un patto con il Diavolo Symantec? Solo Parzialmente visto che Symantec controlla Verisign, uno dei principali fornitori di servizi di autenticazione, e che probabilmente è la tecnologia coinvolta in questo accordo.

A prescindere dal fatto che la scommessa MeeGo venga vinta o meno, Intel è comunque molto attiva su molteplici fronti, motivo per cui, nel 2011, questo produttore andrà tenuto d’occhio.

Report Cisco 4Q 2010: Il Malware Web ha fatto il Bot(net)

February 20, 2011 Leave a comment

Dopo i turni di McAfee e Symantec è la volta di Cisco: il gigante dei router e della sicurezza perimetrale ha da poco pubblicato il proprio Cisco 4Q10 Global Threat Report che riflette i trend della sicurezza su scala globale da ottobre a dicembre 2010.

Il report Cisco si differenzia leggermente dai documenti precedentemente citati poiché proviene da un produttore di sicurezza focalizzato su soluzioni di rete, e si basa inoltre su dati di traffico raccolti dalla propria rete di sensori di Intrusion Prevention (IPS), di dispositivi di sicurezza IronPort per la posta e per il traffico Web, dai propri servizi di gestione remota Remote Management Services (RMS), ed infine dai porpri servizi di sicurezza basati sul Cloud ScanSafe.

Picco di Malware in Ottobre

Gli utenti Enterprise in media hanno registrato, nel periodo in esame, 135 impatti di nuovo malware al mese, con un picco di 250 eventi al mese in ottobre, mese che ha visto anche il più elevato numero di host intercettati ospitanti web malware  che si è attestato a 16.905. In totale nel periodo sono stati rilevati 38.811 eventi web risultanti, in totale, a 127.622 URL.

Il traffico correlato ai motori di ricerca si è attestato a circa l’8% del web malware con la maggior percentuale, pari al 3.84%, proeveniente da Google, in notevole calo rispetto al 7% della stessaa tipologia di traffico rilevata nel terzo quarto. Il traffico di tipo webmail si è invece attestato all’1%.

Il malware Gumblar (caratterizzato del redirigere le ricerche) ha compromesso in media il 2% delle ricerche nel periodo Q4 2010,  anche in questo caso in netto calo rispetto al picco del 17% raggiunto a maggio 2010.

Per quanto concerne gli exploit applicativi, Java l’ha fatta da padrone: la creatura di SUN Oracle ha sbaragliato la concorrenza, posizionandosi al 6.5%, una percentuale quasi quattro volte maggiore rispetto alle vulnerabilità inerenti i file PDF.

I settori verticali più a rischio sono risultati essere il Farmaceutico, Il Chimico, e il settore dell’energia (gas and oil), probabilmente per quest’ultimo ha contribuito anche il malware Night Dragon.

Attività delle BotNET

Le analisi rese possibili dai dati raccolti mediante i sensori IPS e i servizi gestiti hanno consentito di tracciare le attività delle botnet nel periodo preso in esame. I dati hanno evidenziato un leggero aumento del traffico generato dalle Botnet, soprattutto per quanto riguarda Rustock, la rete di macchine compromesse più diffusa, che ha avuto un picco notevole al termine dell’anno.

Per quanto riguarda le signature di attacco maggiormente rilevate, al primo posto spiccano le “Iniezioni SQL” (Generic SQL Injection), a conferma del fatto, indicato da molti produttori, che nel 2011 le vulnerabilità tradizionali verrano utilizzate in modo più strutturato per scopi più ampi (furto di informazioni, hactivisim, etc.).

Interessante notare che ancora nel 2011 sono stati rilevati residuati virali quali Conficker, MyDoom e Slammer. Per contro, a detta del produttore di San Francisco, i virus di tipo più vecchio quali infezioni dei settori di boot e file DOS, sarebbero in via di estinzione (ironia della sorte era appena uscito il report ed è stata rilevata una nuova infezione informatica diretta al Master Boot Record che ha sollevato una certa attenzione nell’ambiente).

Interessante anche l’impatto degli eventi mondiali sulla qualità e quantità del traffico: la rete di sensori Cisco ha difatti rilevato un picco di traffico peer-to-peer (in particolare BitTorrent) nell’ultima parte dell’anno coincidente, temporalmente, con la rivelazione dei “segreti” di Wikilieaks che ha portato gli utenti, viste le misure di arginamento tentate dalle autorità statunitensi, a ricercare vie parallele per avere mano ai documenti.

Meno Spam per tutti!

I produttori di sicurezza raramente vanno d’accordo tra loro, tuttavia, nel caso dello Spam, le indicazioni del gigante di San Jose sono in sostanziale accordo con quelle di McAfee. Il quarto trimestre del 2010 ha registrato un calo considerevole delle mail indesiderate, verosimilmente imputabile alle operazioni di pulizia su vasta scala compiute all’inizio dell’anno passato nei confronti delle grndi botnet: Lethic, Waledac, Mariposa e Zeus; e più avanti nel corso del medesimo anno nei confronti di Pushdo, Bredolab e Koobface.

La Sindrome Cinese

February 17, 2011 Leave a comment

Nel giorno in cui anche alla RSA Conference 2011 è stato ribadito che “E’ ora di prepararsi per le minacce mobili”, la Sindrome Cinese ha nuovamente colpito l’Androide che, in poche ore, è stato vittima di un nuovo malanno informatico. Ancora proveniente dalla Cina, ancora caratterizzato dal fatto di utilizzare come vettore di infezione un store di applicazioni parallelo cinese. A quanto pare quindi il malware Geinimi ha fatto proseliti.

A seguire le sue orme è oggi il malware HongTouTou (conosciuto anche con il nome di Android.Adrd o anche Android/Adrd.A nella sua ultima variante).

Le dinamiche di questo nuovo contagio dell’Androide Cagionevole (che alcuni ritengono essere una variante di Geinimi) sono le medesime, purtroppo collaudatissime, del suo illustre predecessore: il malware è rimpacchettato dentro applicazioni Android popolari e distribuito tramite market di applicazioni parallele e forum frequentati da utenti di lingua cinese. Ovviamente l’utente dovrebbe accorgersi dei permessi sospetti richiesti durante la fase di installazione.

Il malware, di cui sono state rilevate 14 istanze, è impacchettato dentro applicazioni lecite (tra cui il famosissimo Robo Defense con cui ho passato ore di riposo all’ombra di un ombrellone sotto il Sol Leone dell’Agosto passato). Una volta installata l’applicazione richiede i seguenti permessi, in realtà un po’ sospetti per un semplice passatempo o per un wallpaper:

android.permission.WRITE_APN_SETTINGS
android.permission.RECEIVE_BOOT_COMPLETED
android.permission.ACCESS_NETWORK_STATE
android.permission.READ_PHONE_STATE
android.permission.WRITE_EXTERNAL_STORAGE
android.permission.INTERNET
android.permission.MODIFY_PHONE_STATE

 

All’avvio dell’applicazione infetta,  il malware si insinua nel telefono colpito viene eseguito al verificarsi di una delle condizioni sottostanti:

  • Sono passate 12 ore dell’avvio del Sistema Operativo;
  • E’ cambiata la connettività di rete (ad esempio è stata persa e ristabilita);
  • Il dispositivo infetto riceve una chiamata.

All’avvio il Trojan tenta di rubare le seguenti informazioni;

  • 3gnet
  • 3gwap
  • APN
  • cmnet
  • cmwap
  • Hardware information
  • IMEI
  • IMSI
  • Network connectivity
  • uninet
  • uniwap
  • Wifi

e le invia cifrate ad una coppia di domini remoti:

http://adrd.taxuan.net/index
http://adrd.xiaxiab.com/pic.

 

In risposta, HongTouTou riceve una pagina Web, ed un insieme di parole chiave di ricerca da inviare come query. Le richieste vengono inviate ad alcuni link noti. Un esempio di stringa è la seguente:

wap.baidu.com/s?word=[ENCODED SEARCH STRING]&vit=uni&from=[ID]

 

Lo scopo delle query è quello di incrementare il ranking e quindi la visibilità del sito Web.

A questo punto il malware emula il processo di richiesta utilizzando le parole chiave, analizza i risultati della ricerca con il ranking maggiore ed emula i click su specifici risultati, come se fosse l’utente ad effettuarli. Per il motore di ricerca truffato, le richieste sembrano provenire da un utente mobile che utilizza come browser il programma UCWeb Browser, “casualmente” un progamma di navigazione mobile “Made in China” (l’User-Agent corrisponde a J2ME/UCWEB7.4.0.57).

Il malware inoltre è in grado di scaricare pacchetti di installazione Android APK e quindi di autoaggiornarsi. Anche se ancora non è stato osservato sembrerebbe che il malware sia anche in grado di monitorare le conversazioni SMS e inserire contenuto inopportuno all’interno della conversazione SMS.

Ancor prima di dotarsi di una applicazione anti-malware mobile, come al solito le raccomandazioni sono sempre le stesse:

  • Evitare, a meno che non sia strettamente necessario, di abilitare l’opzione di installazione delle applicazioni da Sorgenti Sconosciute (pratica definita anche “sideloading”).
  • Fare attenzione in generale a ciò che si scarica e comunque installare esclusivamente applicazioni da sorgenti fidate (ad esempio l’Android Market ufficiale, le cui applicazioni non sono infette). Buona abitudine è anche quella di verificare il nome dello sviluppatore, le recensioni e i voti degli utenti;
  • Controllare sempre i permessi delle applicazioni durante l’installazione. Naturalmente il buon senso corrisponde al migliore anti-malware per verificare se i permessi sono adeguati allo scopo dell’applicazione;
  • Fare attenzione ai sintomi comportamenti inusuali del telefono (ad esempio SMS inusuali o una sospetta attività di rete) che potrebbero essere indicatori di una possibile infezione.

Aldilà delle raccomandazioni, applicabili in qualsiasi contesto, non posso fare a meno di notare che HongTouTou (o Android.Adrd) è il secondo malware per l’Androide proveniente dalla Cina in meno di due mesi. Poiché sovente i produttori cinesi di sicurezza sono  stati accusati di mettere in circolazione essi stessi il malware per promuovere i propri prodotti, mi domando a questo punto se certe scorciatoie non siano sbarcate anche nel mondo mobile…

L’Androide (Virtuale)? E’ Tutto Casa e Lavoro

February 16, 2011 2 comments

In questi i giorni i fari multimediali del mondo sono puntati verso Barcellona, dove si sta svolgendo il Mobile World Congress 2011.

Il lancio dei nuovi tablet ed i commenti del “giorno dopo” relativi alla Santa Alleanza tra Nokia e Microsoft (inclusa l’ostinazione di Intel nel perseguire il progetto MeeGo), l’hanno fatta da padroni. Tuttavia, accompagnato dalla mia immancabile deformazione professionale sono andato alla ricerca, tra i meandri dell’evento, di un qualcosa che non  fosse la solita presentazione di prodotti. Da qualche giorno difatti un tarlo mi assilla, inconsapevolmente incoraggiato dai buchi di sicurezza che, quotidianamente, i ricercatori di tutto il globo scoprono all’interno dei terminali, siano essi Cuore di Mela o Cuore di Androide.

In effetti sembrerebbe proprio che i nostri dati e la nostra vita (professionale e personale), che sempre di più affidiamo a questi oggetti, siano sempre meno al sicuro. Probabilmente, come più volte ripetuto (ma forse mai abbastanza) il peso maggiore di questa insicurezza è da imputare ai comportamenti superficiali degli utenti che, una volta abituatisi alla velocità, comodità e potenza dello strumento, ne dimenticano i limiti fisici ed il confine che separa l’utilizzo personale dall’utilizzo professionale. In teoria la tecnologia dovrebbe supportare l’utente per il corretto utilizzo professionale, tuttavia proprio in questo punto giace il paradosso: il secondo fattore che minaccia la diffusione di smartphone e tablet per un uso massiccio professionale consiste proprio nel fatto che, con l’eccezione della creatura di casa RIM, il famigerato Blackberry, i terminali di casa Apple e Android non sono stati nativamente concepiti per un uso esclusivamente professionale, ma hanno successivamente ereditato funzioni di tipo enterprise costrette a convivere con le altre funzioni del terminale meno adatte all’attività lavorativa (in termine tecnico si chiamano frocerie).

Questo fenomeno è noto come consumerization dell’information technology, ed è uno dei cavalli di battaglia con cui i produttori di sicurezza puntano il dito verso i produttori di tecnologia mobile, e più in generale verso tutte le tecnologie prestate dall’uso di tutti i giorni all’uso professionale (e ora capisco perché i telefoni della serie E di Nokia erano sempre una versione software indietro rispetto agli altri). Alle vulnerabilità di cifratura, delle applicazioni malandrine che escono dal recinto della sandbox, dei vari browser e flash (e perché no anche alla mancanza di attenzione degli utenti), i produttori di sicurezza dovranno porre rimedio, presumibilmente introducendo un livello di protezione aggiuntivo che recinti le applicazioni e le vulnerabilità troppo esuberanti e protegga i dati sensibili dell’utente, più di quanto il sistema operativo e i suoi meccanismi di sicurezza nativi riescano a fare.

L’ispirazione mi è venuta qualche settimana fa, leggendo il Cisco 2010 Annual Security Report, ed in particolare un passaggio ivi contenuto:

Mobility and Virtualization Trends Contributing to Renewed Focus on Data Loss Prevention

Ovvero la prossima frontiera della mobilità sarà proprio il DLP, in termini tecnologici e di conformità (procedure e tecnologie di DLP hanno sempre alla base necessità di compliance). Nel mondo mobile le due strade convergono inevitabilmente: il primo passo per una strategia di protezione dei dati e di separazione netta tra necessità personali e professionali si snoda attraverso la virtualizzazione del Sistema Operativo Mobile: un argomento che avevo già affrontato in un post precedente e per il quale mi sono chiesto, dopo l’annuncio dello scorso anno di Vmware e LG, se al Mobile World Congress 2011, sarebbero arrivate novità.

Il mio intuito ha avuto ragione e mi sono imbattuto in questo video in cui Hoofar Razivi, responsabile Vmware del product management, ha dimostrato, durante l’evento, l’utilizzo dell’applicazione di virtualizzazione sul dispositivo LG Optimus Black, sfoggiando uno switch semplice ed istantaneo tra i due sistemi operativi (Android ospitante e la versione Android embedded di Vmware) senza necessità di effettuare il reset del dispositivo.

Il terminale è così in grado di ospitare due versioni del sistema operativo: una personale, ed una professionale controllata centralmente dall’Organizzazione. Le policy che è possibile controllare nell’Androide professionale includono ad esempio la disabilitazione del cut and paste per prevenire la copia di dati sensibili, la disabilitazione di fotocamera, GPS e il Bluetooth. Esiste inoltre un client VPN interno e, come ulteriore protezione, i dati dell’Androide professionale, la cui immagine è cifrata in condizioni normali e può risiedere anche nella scheda SD, possono inoltre essere cancellati remotamente.

L’applicazione, che sarà sugli scaffali nella seconda metà di quest’anno, non dipende dal sistema operativo sottostante e può essere resa disponibile in modalità Over-The-Air, così può virtualmente funzionare su qualsiasi terminale (a patto che abbia abbastanza risorse). E’ molto probabile che sarà disponibile anche per altri sistemi operativi, sulla scia anche di quanto fatto da RIM che sta per presentare la propria soluzione BlackBerry Balance, concepita per gestire in maniera separata le informazioni personali e quelle aziendali all’interno di una Mora RIM.

Alla fine sembra proprio che, almeno nel mondo mobile, la virtualizzazione servirà per aumentare il livello di sicurezza dei dispositivi.

Report Symantec Q4 2010: Fate Presto… Prima che la sicurezza SCADA!

February 16, 2011 1 comment

Symantec è particolarmente attiva in questo scorcio del 2011, così, dopo la pubblicazione del Dossier Stuxnet aggiornato, ha appena rivelato alla comunità di sicurezza il Symantec Intelligence Quarterly Report: October – December, 2010 che è interessante analizzare, notando, come questo si discosti notevolmente dall’analogo report recentemente pubblicato dalla livrea rossa di McAfee, principale concorrente del produttore di sicurezza di Cupertino.

Il titolo del report è tutto un programma: “Targeted Attacks on Critical Infrastructures” e riassume quelle che sono state le caratteristiche, dal punto di vista della sicurezza, di questo fine 2010: i cybercriminali si sono concentrati sulla creazione di malware targeted (ovvero ritagliato su misura) per danneggiare infrastrutture critiche.

Gli attacchi cosiddetti targeted sono perpetrati verso una specifica organizzazione o una specifica categoria di utenti e per questo sono notevolmente pericolosi ed efficaci, anche se usano tecniche tradizionali come phishing o link malevoli, essendo ritagliati su misura per l’infrastruttura obiettivo o anche per le abitudini o caratteristiche comportamentali degli utenti.

Attacchi di questo tipo, definiti anche Advanced Persistent Threat, trovano purtroppo una vasta gamma di applicazioni che spaziano dal furto di dati confidenziali finalizzato al profitto (ad esempo la sottrazione di credenziali bancarie), sino all’interferenza con le operazioni , se non in un vero e proprio sabotaggio dell’infrastruttura obiettivo. In molti casi, come ci ha dimostrato il 2011 (ed in particolare il mai troppo abusato Stuxnet) per ottenere lo scopo è sufficiente infettare un solo host (il famigerato paziente 0) per poi utilizzarlo come ponte involontario e catalizzatore per l’ondata di attacchi successiva.

E quindi cosa è accaduto nel 2010? La risposta è relativamente semplice, come dimostrato dal Trojan Hydraq (aka Operation Aurora secondo la nomenclatura adottata dal concorrente McAfee): una volta scoperte le potenzialità dei targeted attack i Cyber-criminali ne hanno utilizzato l’energia distruttiva verso le Infrastrutture Critiche.

A sostegno di questa tesi, il documento cita appunto i casi di Hydraq e Stuxnet. Il primo è inizialmente nato come un targeted attack facente leva su una Vulnerabilità del browser di casa Microsoft (advisory number 979352) con lo scopo finale di sottrarre informazioni alla vittima ed inviarle ad un server di comando e controllo. Questo attacco, che ha caratterizzato l’inizio del 2010 si è da subito tinto di giallo, non tanto per il mistero, quanto per i sospetti che sia stata proprio la Cina ad utilizzarlo con lo scopo di rubare credenziali di dissidenti dagli Account di Google.

Del secondo sappiamo tutto, addirittura Stuxnet era talmente targeted e così interconnesso con l’infrastruttura vittima, a tal punto che, secondo i ricercatori Symantec, sono passate solo 12 ore dalla prima compilazione alla prima infezione.

Curiosamente (ma fino a un certo punto) il report Symantec non cita Night Dragon, il malware scoperto dal concorrente McAfee che a mio avviso incarna meglio di chiunque altro, nel corso dell’ultimo trimestre 2010, il concetto del targeted attack rivolto a specifiche facility (questa volta un malware con il vizio del petrolchimico) e soprattutto facente uso di metodi tradizionali (SQL Injection e soprattutto download di malware tramite tecniche di Spearphishing) al fine di penetrare le barriere iniziali di protezione ed addentrarsi intimanente all’interno della rete verso le casseforti virtuali dove sono custoditi i segreti tecnici ed economici dell’organizzazione.

Gli attacchi di tipo targeted si fanno particolarmente pericolosi quando, come nel caso di Stuxnet. incrociano il mondo SCADA (Supervisory Control and Data Acquisition), ovvero quei processi e tecnologie che sottendono al monitoraggio e controllo delle Infrastrutture Critiche e dell’Industria, e che proprio per questo motivo, soprattutto in un momento turbolento come quello che stiamo vivendo, potrebbero essere al centro dell’attenzione di paesi nemici o singoli individui guidati da motivazioni ideologiche e politiche.

La pericolosità di SCADA non è nuova (si legga ad esempio questo articolo della stessa Symantec risalente al 2006), tuttavia nel 2010, è assurta alla ribalta grazie a Stuxnet e agli eventi successivi. Solo nell’ultimo trimestre dell’anno passato Symantec ha documentato 10 vulnerabilità pubbliche di SCADA, sulle 15 totali scoperte nel corso dell’anno. Ma non facciamoci troppe illusioni… Anche se numericamente esigue a causa della natura elitaria delle ricerche di sicurezza su questa tecnologia,  l’impatto di queste vulnerabilità è immane e un malintenzionato che volesse sfruttarle saprebbe bene come rendere il proprio attacco targeted per i punti deboli di SCADA, tra i quali Symantec ha annoverato nel 2010:

  • Tre vulnerabilità nell’interfaccia Web CGI dei prodotti Intellicom Netbiter webSCADA WS100 e WS200. Le vulnerabilità rilevate non sono di poco conto poiché consentono di caricare ed eseguire codice arbitrario ed accedere di conseguenza ad informazioni potenzialmente sensibili;
  • Una vulnerabilità di tipo SQL-injection all’interno della pagina di login del sistema SCADA Industrial Technology System (ITS). La vulnerabilità in oggetto consente di compromettere l’applicazione modificando la struttura del database sottostante;
  • Tre vulnerabilità di tipo buffer-overflow per il server DATAC RealWin SCADA. Grazie a questo insperato aiuto un attaccante è in grado di eseguire codice sul server;
  • Ulteriori tre vulnerabilità sono state scoperte nel prodotto Ecava IntegraXor, di cui due di tipo remote code-execution e una terza di tipo directory-traversal. “Ambetre” le vulnerabilità di questo prodotto possono essere utilizzate da un malintenzionato per eseguire codice arbitrario o accedere a informazioni sensibili ivi contenute.

Purtroppo la situazione è ulteriormente complicata dal fatto che una architettura SCADA non deve fare i conti con le sole proprie vulnerabilità intrinseche ma è costretta a portarsi dietro anche il pesante fardello delle vulnerabilità ereditate dai sistemi operativi ospitanti (sovente Microsoft) o dal middleware e database utilizzato per l’applicazione SCADA.

L’applicazione pratica di una vulnerabilità SCADA in una infrastrutture critica è presto detta, ed il caso di Stuxnet ne è emblematico: i sistemi di controllo industriale (di cui SCADA costituisce un esempio) sono utilizzati all’interno delle infrastrutture critiche per controllare i processi operativi quotidiani. In particolare sono essenziali per controllare e processare le informazioni inviate dai sensori ed attuare di conseguenza le necessarie azioni e comandi di risposta. A questo compito si aggiungono il monitoraggio degli ambienti operativi per verificare che le attività vengono sempre effettuate all’interno dei parametri di sicurezza (sono quindi in grado di prevenire condizioni pericolose per l’uomo quali: surriscaldamento, aumento dei livelli di tossicità, incendi o potenziali sovraccarichi).

Un sistema di controllo compromesso da un malware potrebbe non essere in grado di riconoscere le condizioni di pericolosità o anche di non contrastarle efficacemente, se non addirittura di sabotare deliberatamente e in maniera subdola l’infrastruttura come nel caso di Stuxnet. Le conseguenze potrebbero essere disastrose e portare ad eventi come quello (involontario) della città di Lake Havasu rimasta a secco per un guasto nel sistema di monitoraggio delle pompe d’acqua (Luglio 2010).

E quindi?

E quindi Symantec suggerisce di limitare l’esposizione delle reti che ospitano sistemi SCADA, possibilmente  isolandole dal resto del Globo. Nel caso in cui ciò non fosse possibile, il traffico verso il mondo esterno andrebbe limitato ai soli protocolli richiesti non disdegnando di proteggere ulteriormente gli accessi individuali mediante VPN IPSec autenticate ed eventualmente integrando la difesa con tecnologie di protezione di tipo endpoint sui sistemi operativi ospitanti (che comunque andrebbero sempre aggiornate) e con sistemi di Intrusion Detection & Prevention per le minacce di rete.

Dal punto di vista infrastrutturale la sicurezza di una infrastruttura SCADA è ulteriormente minata dal fatto che spesso, a causa della complessità, non è possibile creare un ambiente di test. Inoltre le interruzioni di servizio andrebbero limitate al minimo indispensabile poiché spesso sono costose se non addirittura distruttive. Suggeriti invece i test che possono essere fatti in linea, senza interrompere l’operatività quali passive asset discovery e vulnerability scanning, mentre tutte le operazioni di aggiornamento (Antivirus e pezze patch di sistema operativo) dovrebbero essere effettuate con la massima cura e con il massimo supporto dei produttori dei sistemi di controllo per minimizzare rischi e tempi di down.

Last But Not Least, non trascurare le attività di audit e policy compliance…

I Cinque Domini Dell’Apocalisse

February 15, 2011 2 comments

Quando la sicurezza Informatica incontra (involontariamente) l’arte…

Zoom Del Grafico Infezione al Dominio E (Aprile 2010 - Dati Symantec)

Symantec ha da poco pubblicato un aggiornamento relativo al proprio documento di analisi del malware Stuxnet. In questa versione del documento, che rappresenta forse il lavoro più esaustivo dedicato al malware delle centrali nucleari, il produttore di sicurezza di Cupertino ha aggregato i dati raccolti relativi al traffico effettuato dal malware verso i server di controllo remoto, con lo scopo di tracciare la linea spazio-temporale che ha caratterizzato l’infezione.

Come molti ricorderanno Stuxnet è stato da subito caratterizzato da una notevole complessità tecnica sancita, oltre che dall’uso massiccio di vulnerabilità 0-day, anche da molteplici meccanismi di infezione. A partire dall’infezione di una qualsiasi macchina Windows connessa in rete (il paziente zero), il malware è stato in grado di propagarsi con virulenza inaudita [e con l' (in)sperato supporto delle Vulnerabilità 0-day di Microsoft] all’interno della LAN. Come ultimo livello di infezione, grazie alla possibilità di propagarsi tramite drive USB, il malware ha raggiunto il vero (presumibile) obiettivo finale costituito dai nodi di programmazione PLC (definiti field PG) dei miscelatori delle Centrali Nucleari (soprattutto quelle Iraniane), nodi che tipicamente non sono connessi in rete.

Oltre a molteplici meccanismi di infezione, il team di sviluppo di Stuxnet (perché di un team deve essersi trattato considerata la complessità dell’architettura) ha dotato il malware della possibilità di aggiornarsi (per contrastare l’aggiornamento dei sistemi operativi e dei software di protezione anti-malware) e di essere controllato da remoto. In effetti il virus delle centrali nucleari non si è fatto mancare nulla ed i suoi creatori hanno previsto, seguendo la tendenza attuale del malware evoluto, un efficiente meccanismo peer-to-peer per controllare il malware da remoto ed eventualmente aggiornarlo grazie alla possibilità di connettersi ad un Server remoto di Comando e Controllo (C&C).

Sfrtuttando questo “vizietto” del malware, a partire dal 20 luglio 2010, Symantec ha messo in opera il monitoraggio del traffico dagli host compromessi connessi in rete verso i server di comando e controllo di Stuxnet. L’analisi dei campioni di virus analizzati ha consentito difatti di rilevare che i server di comando e controllo puntavano in realtà (tramite l’usuale http 80) a due domini:

www.mypremierfutbol.com
www.todaysfutbol.com

facenti riferimento a server ubicati in Malesia e Danimarca. Una volta smascherati i finti domini il traffico è stato rediretto in lidi più sicuri. Contestualmente è stato possibile monitorare e analizzare il flusso di dati, impedendo ulteriormente il controllo delle macchine compromesse, e provvedendo nello stesso tempo ad avvisare le organizzazioni infette. I dati raccolti, appartenenti unicamente ai nodi compromessi connessi in rete, si sono rivelati estremamente preziosi per comprendere l’evoluzione dell’infezione. Ogni connessione verso i server di comando e controllo difatti, contiene dati quali: indirizzi IP interni ed esterni, nome del Computer, versione del Sistema Operativo, ed inoltre un indicatore che consente di capire se la macchina infetta ospita (e fa girare) il software di controllo industriale SIMATIC Step 7.

Grazie all’analisi di questi dati è stato possibile rilevare che alla  data del 29 settembre 2010 vi erano nel mondo 100.000 host infetti dei quali oltre il 60% localizzati in Iran. Dove peò i dati cominciano a farsi interessanti, è nel modo in cui è nata l’infezione: Symantec sostiene infatti che l’infezione sia nata da 5 punti ben precisi, ovvero tutto farebbe pensare che l’operazione sia stata concepita a tavolino per far partire il suo attacco mortale da cinque domini (il produttore giallo non rivela quali), da cui poi si è diffusa in tutto il globo.

A queste conclusioni si è giunti raccogliendo 3280 campioni del virus, “in rappresentanza” delle tre varianti del malware. Dal momento che il virus, ogni volta che infetta una nuova macchina, registra un timestamp oltre ad altre informazioni del sistema infetto; ogni campione racconta la storia del computer infetto, inclusa la prima infezione, il cosiddetto Paziente 0. Ovviamente con questi dati a disposizione è stato possibile ricostruire l’evoluzione del virus e determinare le caratteristiche di questa Apocalisse informatica:

  • Il nome di dominio registrato ha rivelato che Stuxnet è stato un attacco rivolto esplicitamente a cinque organizzazioni diverse;
  • Le cinque organizzazioni hanno subito 12.000 infezioni;
  • Tre organizzazioni sono state attaccate una sola volta, una è stata attaccata due volte, ed una ulteriore addirittura tre volte;
  • Il Dominio A è stato attaccato due volte (Giugno 2009 e Aprile 2010);
  • In ambedue i casi il paziente 0 (ovvero il computer origine dell’infezione) è stato sempre lo stesso;
  • Il Dominio B è stato attaccato tre volte (Giugno 2009, Marzo 2010 e Maggio 2010);
  • Il Dominio C è stato attaccato una sola volta (Luglio 2009);
  • Il Dominio D è stato attaccato una sola volta (Luglio 2009);
  • Il Dominio E sembra essere stato attaccato una sola volta (Maggio 2010), ma con tre infezioni iniziali (ovvero la stessa chiavetta USB galeotta è stata inserita dentro tre computer differenti);
  • Da queste 10 infezioni iniziali hanno avuto origine 12000 infezioni;
  • Sono stati registrati 1800 nomi di dominio diversi;
  • Tutte le date di infezione sono riconducibili a Giugno 2009, Luglio 2009, Marzo 2010, Aprile 2010 e Maggio 2010;
  • Tutte le organizzazioni infette hanno presenza in Iran;

Il grafici seguenti mostrano le lugubri figure geometriche derivanti dalla ricostruzione dell’infezione:

Infezioni per i domini A e B a Giugno 2009 (Dati Symantec)

Dominio B: Infezione Marzo 2010 (Symantec)

Sono stati riscontrati 10 cluster di infezione, il più virulento dei quali è stato quello che ha visto protagonista il Dominio B nel marzo 2010. Gli attacchi del 2009 hanno registrato il minore impatto, forse un artefatto causato dal numero ridotto di campioni raccolti per quell’anno. Inoltre, i grafici di infezione hanno principalmente rami lineari come se una singola infezione potesse influenzare un solo computer. Questo sarebbe solo parzialmente dovuto alle caratteristiche di autolimitazione del codice, mentre, probabilmente, potrebbe essere un artifatto introdotto dal numero ridotto di campioni raccolti.

Infezioni Aprile 2010 (Dati Symantec)

I dati evidenziano inoltre un non trascurabile effetto collaterale: il fatto che dagli iniziali 5 domini ne siano stati colpiti 1800 con 12000 indezioni, dimostra che Stuxnet è riuscito a sfuggire dai confini dei domini inizialmente colpiti, probabilmente per la collaborazione involontaria di partner e fornitori che, mediante una chiavetta USB galeotta, hanno propagato l’infezione oltre il perimetro virtuale del dominio obiettivo iniziale.

Il documento Symantec è estremamente curato e dettagliato, e questo ultimo aggiornamento è ulteriormente interessante e suggestivo (i grafi di evoluzione del virus sembrano opere arte ed hanno a mio avviso un contenuto artistico molto maggiore rispetto a certe opere che ho visto al MAXXI). Curiosamente, però, non ho potuto fare a meno di osservare che il documento Symantec è stato pubblicato subito dopo il report McAfee relativo al virus Night Dragon (che attacca facility differenti, appare meno raffinato del suo predecessore Stuxnet, ed ha inoltre sollevato reazioni controverse tra altri vendor di sicurezza). Questo sembrerebbe delineare una nuova tendenza dei produttori: ieri mettevano alla prova la bontà della propria tecnologia e dei propri laboratori di ricerca sfidandosi reciprocamente nella corsa dei tempi di rilascio delle signature per le nuove infezioni; oggi la sfida risiede nello sradicare per primi le minacce di nuova generazione (i cosiddetti Advanced Persistent Threat), soprattutto quando queste, anche utilizzando metodi di infezione “tradizionali”, effettuano il salto di qualità e minano alla base le infrastrutture critiche che presiedono all’Ordine Mondiale (almeno così come lo consociamo).

Follow

Get every new post delivered to your Inbox.

Join 2,705 other followers