Posts Tagged ‘SCADA’

SCADA Security: Bridge the Gap (Updated)

April 19, 2011 2 comments

In the same hours in which I was writing the original article concerning the growing attention of utilities and security vendors versus SCADA security holes; an anonymous hacker put in practice the lesson and broke into wind turbine systems. He was able to break a 200 megawat wind turbine system owned by NextEra Energy Resources, a subsidiary of Florida Power & Light, claiming revenge for an “illegitimate firing”. Having said that it is not yet known whether or not it is an hoax (Wind power company sees no evidence of reported hack), the data was posted to the Full Disclossure security mailing list Saturday anonymously, by someone using the name “Bgr R.” In the post, the author of the hack wrote:

Here comes my revenge for illegitimate firing from Florida Power & Light Company (FPL)

   … ain’t nothing you can do with it, since your electricity is turned off !!!

Secure you SCADA better! Leaked files are attached …

In an e-mail interview, Bgr R said he’s a former employee who discovered a vulnerability in the company’s Cisco security management software. He used that vulnerability to hack into the SCADA (supervisory control and data acquisition) systems used to control the turbines.

Even if the screenshots of the Wind Turbine management interface look legitimate, there are some big question marks. In his interview Bigr R didn’t say much about how he broke into the SCADA systems themselves and he didn’t demonstrate much insider knowledge of Florida Power & Light (FPL) systems.

Hoax or not, this event renews the attention on SCADA Security Issues… For my part I promise I will no longer write down Security Predictions :-)

SCADA Security: Bridge the Gap

April 15, 2011 1 comment

Utilities and Security Vendors are taking very seriously the events of Stuxnet and they’re consequently running for cover. Although due to natural events, the dramatic facts of Fukushima have shown to the entire World (and likely to Cyber-terrorists) how close we are to the abyss of a nuclear meltdown, with the consequent fear that a simil-Stuxnet malware could give the final push (even if according to some urban legends Stuxnet might have played a role in the failure of cooling systems afterward the Tsunami of March 11, 2011).

In a previous post, I identified the Smart Grids (and more in general SCADA systems) as possible targets of Cyber-Attacks. Not only because they constitute one of the means through which the western world is trying to mitigate the effects on the energy bills of the chronic instability of the oil-producing countries and also the dependency from nuclear energy, but also because Smart Grids (and similar technologies based on Supervisory Control And Data Acquisition) will be the core of the promising Green Smart City initiatives promoted by several important IT players.

Taken for granted the many benefits, in terms of flexibility and resilience, deriving from the adoption of an IP-based approach, from a security perspective one must consider that a smart grid is generally composed by IP-Enabled heterogeneous technologies, 15/20 years old (this is the typical life cycle of the components). These technologies, often not even of last generation, unfortunately were not created to ensure the security made necessary by the adoption of an open-world Internet approach. While, on one hand, the IP protocol provides the intelligence that allows the different nodes to think as a single entity, on the other hand, the adoption of such a “single ecosystem model” comes with the price of having to accept (and mitigate) the threats hidden inside the IP packets.

But not only IP: in terms of connectivity, Smart Grids represent a leap into the unknown, since, to further worsen the picture, control systems of Smart Grid are based on the reviled  Supervisory Control and Data Acquisition, which will have to necessarily reach a meaningful level of complexity to manage the proliferation of smart grids and the huge amount of data collected (the only thought of privacy issues makes me feel a subtle shudder), “old-school that’s SCADA Been Bolted Into Some sort of a newer technology“. Moreover utilities have hundreds of different standards and protocols, and teams that typically operate and maintain the infrastructures own very few IT skills. This also makes it difficult the convergence between different disciplines: the convergence between power distribution and IP-based control technologies is not supported by an analogous convergence between management infrastructures. This is also the outcome of a cultural gap: who manages the utilities does not completely (if not at all) trusts who comes from the IT world because of the hands-on approach of the latter, and hence tends to hide the management details of their closed world.

As a consequence energy utilities are “de facto” building a new Internet, a real parallel universe, as defined by the National Institute of Standards and Technology (NIST), which, in the wake of security concerns has promoted appropriate standards and specifications concerning smart grid cyber security of control systems. Analogously further support in this direction will be provided by NERC CIP (North American Electric Reliability Corp. ‘s Critical Infrastructure Protection Plan), recently updated which contains more than 100 standard and establishes requirements for protection of the critical elements of a Smart Grid. Security of Smart Grid Infrastructure is the Starting point and key element of  the program.

It is not a coincidence that a recent report by market research firm Pike Research states that Smart grid cybersecurity will increase 62% between 2010 and 2011, and by 2015, the annual worldwide market spending will reach $1.3 billion. According to Pike Research senior analyst Bob Lockhart.

“Smart grid cybersecurity is significantly more complex than the traditional IT security world. It is a common misperception that IT networks and industrial control systems have the same cyber security issues and can be secured with the same countermeasures. They cannot. To successfully secure the electrical grid, utilities and their key suppliers must design solutions that effectively bridge the worlds of information and operations technology.”

Vendors are moving quickly to bulid the bridge and make SCADA premises secure. McAfee has recently announced a strategic partnership with Wind River (another Intel Subsidiary) for embedded devices, with particular focus on industrial control, energy management, automotive, national infrastructure, defense, networking and smartphones as well as emerging segments including smart grid, connected home health care, home gateways and tablets. In the same time, exactly on April, the 13th, the Security Manufacturer of Santa Clara announced a strict joint product certification initiative with Siemens-Division Industry Automation (the manufacturer of Industrial Control Systems hit by Stuxnet). In my opinion the latter press release is not important for the single product involved in the compatibility tests, but rather it states undoubtedly the fact that not only SCADA and IP technologies are converging in Smart Grids, but also security is converging and hence traditional IT focused security vendors are developing new initiatives to face these two sides of the coin. It is likely that similar initiatives will become more and more frequent in the security landscape, and the predictions contained in the Pike Research report will presumably act as a catalyzer.

Will Energy Facilities Be The Next Targets Of Cyber-War?

April 3, 2011 6 comments

I spent some time in reading the declarations of Comodo Hacker, the alleged author of the fake Certificates issued by mean of the compromising of a couple of (sigh!) Italian Comodo Partners, and I found some very interesting points far beyond the single event.

Actually, it had been clear from the beginning that the attack had been performed from an Iranian ISP, feeding the hypothesis of an Iranian Cyber Army action aimed to intercept emails from dissidents in a quite troubled moment from the Middle East after the winds of change blowing from the Maghreb.

Anyway Comodo Hacker was anxious to quickly put the record straight, declaring he was the only author of the attack, and, if one just wanted to involve an army on the event, had to consider that he was the only army, being able to rely on his own experience of 1000 programmers, 1000 project managers, 1000 hackers:

Now, even if the political connotation of the message still makes me think that behind this act there might be a real cyber army (but this is my personal opinion), this is not the real point. The real point is that this attack occurred as a kind of revenge against Stuxnet, and more in general the fact, supported by Comodo Hacker, that the U.S. and Israel where behind it.

Fight fire with fire, fight code with code…

The attack to Comodo Certificates has left a wide impact in the INFOSEC world and probably things will not be the same anymore since in few days  all the strongholds, the identity security model relied on, have been miserably compromised (I took the liberty to add the RSA affaire to this event even if there is no evidence so far of a political matrix behind it). But there is another interesting point, and it is the third law of motion (you will not probably know I was a physic in my previous life) which, with not too much imagination, could be applied to infosec as well, if one considers the events that are happening: “the mutual forces of action and reaction between two bodies are equal, opposite and collinear”, which, in few and simple words should sound as: “to every cber-action corresponds an equal and opposite cyber-reaction”. If this is true, this means to me, as an infosec professional, that we will have to get used to similar cyber actions. Also from this point of view things will not be the same anymore…

Armed with this awareness, my mind runs inevitably among the dunes of the Libyan desert, where a civil war is being fought, now sadly familiar to all. Let me fly (but not too much) with my imagination and think that the Civil War will end up with the exile of Mr. Muammar Gaddafi. In this case it is likely to expect that he will find his revenge, not only with real terrorists act, but also with (cyber)terrorist acts, in the wake of the Comodo affaire, which, even if related to Iran, is the first known example of a cyber-terrorist act strictly related not only to the Stuxnet attack, but also to the movements flooding from Maghreb to Middle East, what I called the Mobile Warfare due to the primary role played by the mobile technologies inside these events.

We don’t have privacy in internet, we don’t have security in digital world, just wait and see… These lines can be considered as a kind of Declaration of Cyber-war against everything…

Targets of Cyberwar

Nowadays everything has a stream of bit inside and as a matter of fact is vulnerable to malware. What is happening in Libya (and the consequences on our energy bills), together with the risk of nuclear meltdown in Fukushima is pushing the so called Western world to reconsider its energy policy and accelerate the development of Smart Grids in order to promote a better, wiser use of energy. In these circumstances compromising an energy facility would have a huge practical and symbolic impact (do you remember the Night Dragon APT, tailored specifically for Oil Facilities?), that is the reason why, in my opinion, the first targets of this Cyber-terrorism reaction will be energy utilities. Few weeks ago I wrote an article (in Italian) concerning vulnerabilities and security of Smart Grids, which can be considered the “world of unknown” from a security perspective since they adopt an Internet open model to interconnect old legacy SCADA systems and, to make matters worse, the structures that govern the IT world and the SCADA world have a silo-ed approach being often mutually suspicious against each other. As a dark omen, few days later, a list of 34 0-day SCADA vulnerabilities was released by Luigi Auriemma, an Italian Researcher.

Think about it: compromising a smart grid with a SCADA malware could have potentially devastating consequences and should sound as a kind of dark revenge: imagine an Iranian SCADA malware sabotaging the energy facilities of U.S., and more in general the facilities the Western World is building to cut the umbilical cord that ties him strictly to the Middle East countries (that often are also the hottest as far as the political temperature is concerned).

Moreover, the development of electric vehicles will further complicate the scenario since they will be able to interconnect Directly to Home Area Networks (the borderline of Smart Grids), offering an unexpected (and probably not so complicated) ingress point for Cyber-Terrorists to Smart Grids, if it is true that nowadays a small car owns 30-50 ECU (Electronic Control Units) interconnected by a bidirectional Synchronous bus and governed by something like 100 millions of lines of codes. My dear friend and colleague, ICT Security expert and Aviation Guru, David Cenciotti will be glad to know that an F-22 Raptor owns about one tenth of lines of codes (“only” 1.7 millions), the F-35 Joint Strike Fighter about 5.7 millions and Boeing 787 Dreamliner about 6.5 millions used to manage avionics and on-board systems. Of course one may not exclude a priori that these systems may be target as well of specific tailored malware (do you remember the intrepid Jeff Goldbum injecting on the mother ship of Aliens on Independence Day?)

Prepare ourselves for a Smart Grid Stuxnet? I think there is enough to be worried about for the next years…

Sono Rimasto di Stuxnet…

March 1, 2011 1 comment

Dietro ogni incontro, anche il più impensabile, si nasconde un fatto divertente. Durante una delle riunioni di lavoro di oggi, uno dei partecipanti, lettore del blog, mi ha casualmente raccontato che pochi giorni or sono, durante una attività professionale di tutt’altro tipo, si era imbattuto in Stuxnet, il famigerato Virus delle Centrali Nucleari. Dal momento che il malware era stato prontamente rilevato dall’Antivirus a bordo del Notbeook, non ho resistito alla tentazione e gli ho chiesto se la sua macchina recava ancora i segni dell’infezione.

Il risultato è davanti ai vostri occhi e in effetti devo ammettere che alla visione dell’immagine sottostante mi sono leggermente emozionato perché finalmente, dopo tanto parlarne, mi sono indirettamente imbattuto anch’io nel terrore dello SCADA e delle Infrastrutture Critiche, nonché indiscusso protagonista del panorama di sicurezza informatica del 2010.

Domanda facile facile: secondo voi quale è stato il meccanismo di infezione tra quelli disponibili dal Malware? Mentre indovinate la facile risposta vi invito comunque a non preoccuparvi: l’incontro ravvicinato del terzo tipo non è avvenuto in una centrale nucleare…

Smart Grid? Dumb Security!

February 27, 2011 3 comments

Gli eventi che stanno sconquassando il Vecchio Continente ai suoi confini meridionali ripropongono purtroppo l’immancabile litania del problema energetico che lega indissolubilmente l’Occidente ai paesi produttori di petrolio in cui, guarda a caso, il livello dei diritti civili (e indirettamente la stabilità politica) è sempre inversamente proporzionale ai barili di petrolio prodotti.

Tra le soluzioni che l’occidente (cosiddetto) evoluto sta approntando per far fronte alle necessità di ottimizzare i consumi energetici, rientrano le cosiddette Smart Grid, ovvero le reti di distribuzione energetica intelligente, che costituiscono uno degli ingredienti fondamentali per il raggiungimento degli obiettivi Europei  del pacchetto clima-energia “20-20-20”. Approvato nel 2008, il pacchetto prevede entro il 2020 la riduzione del 20% delle emissioni di gas serra rispetto ai livelli del 1990, l’aumento dell’efficienza energetica del 20%, e che il 20% di produzione di energia elettrica provenga da fonti rinnovabili. Per il Belpaese questi obiettivi si traducono nel raggiungimento, da un livello del 5,2% nel 2005, ad un livello di produzione di energia da fonti rinnovabili del 17% entro il 2020.

Una Smart Grid altro non è che una griglia energetica che utilizza tecnologie proprie del mondo IP per consentire comunicazioni bidirezionali, coordinamento e controllo finalizzati ad una redistribuzione intelligente e dinamica dell’energia elettrica per far fronte ad eventuali picchi di consumo, oppure per ottimizzare la fornitura a fronte di cali improvvisi di consumo. In sostanza una rete di informazioni (basata su IP) viene sovrapposta ad una rete elettrica tradizionale, rendendo i nodi di consumo in grado di comunicare con la rete di distribuzione al fine di rendere l’intera struttura distribuita, resiliente, sicura e reattiva nei confronti delle richieste dei consumatori e delle possibilità di offerta degli operatori.

Da un punto di vista concettuale, una smart grid è per tutto assimilabile ad Internet:

  • E’ gerarchica nella sua struttura e possiede punti di demarcazione (ovvero di passaggio) tra diversi (Internet) Service Provider ben definiti;
  • La rete di generazione e trasmissione è assimilabile ad un backbone;
  • All’interno di aree geografiche limitrofe, le utility produttrici di energia distribuiscono l’energia agli utenti finali su Neighborhood Area Network (NAN) o Field Area Network (FAN), equivalenti alle Metropolitan Area Network (MAN) proprie del mondo IP.
  • La linea di demarcazione tra la rete di distribuzione e il consumatore (domestico o industriale) è rappresentata dall’Advanced Metering Infrastructure (AMI), che equivale ad un contatore elettronico di ultima generazione in grado di effettuare comunicazione bidirezionale con la rete di distribuzione. In ambito IP l’AMI corrisponde esattamente al ruoter di accesso (Customer Equipment) dall’ultimo miglio alla rete del provider a cui le nostre connessioni internet ci hanno ormai abituato;
  • All’intero di una casa o di un ufficio la Smart Grid si appoggia su una Home Area Network (HAN) o su una Building Area Network (BAN), concetti equivalenti approssimativamente ad una LAN di piano o LAN di palazzo. Aree più vaste delimitate da un AMI vengono chiamate Infrastructure Area Network (IAN)  e corrispondono aii cosiddetti campus del mondo IP).

Fino a qui le belle notizie: una rete Smart Grid è resiliente, distribuita, dinamica, consente di ottimizzare i consumi e sensibilizzare gli utenti sul valore dell’energia grazie alle funzioni per cui è stata concepita, ovvero:

  • Riprendersi autonomamente da perturbazioni (sbalzi e interruzioni di corrente);
  • Sensibilizzare gli utenti su un utilizzo più efficiente dell’energia;
  • Migliorare la qualità dell’energia in linea con le attuali esigenze di consumo;
  • Funzionare con diverse possibilità di generazione e consumo;
  • Permettere la creazione di nuovi prodotti, servizi e mercati
  • Ottimizzare l’utilizzo delle risorse.

Da qui in poi le brutte notizie: una rete Smart Grid, generalmente è composta da tecnologie eterogenee di 15/20 anni fa (è questo il tipico ciclo di vita dei componenti). Tecnologie eterogenee (e sovente non proprio di ultimissima generazione) che utilizzano il protocollo IP per trasportare le informazioni e che sfortunatamente non sono state create per garantire i livelli di sicurezza richiesti dall’apertura garantita dal mondo Internet. Se da un lato il protocollo IP costituisce l’intelligenza del sistema che consente ai vari nodi di pensare come un unico ecosistema, l’apertura verso questa intelligenza ha un prezzo costituito dal dover abbracciare inconsapevolmente le minacce annidate tra i pacchetti. Queste minacce nel caso di una Smart Grid potrebbero significare, nel peggiore dei casi, la possibilità di rendere indisponibile l’intera rete o una parte consistente di essa.

Pensandoci bene, dal punto di vista della connettività, le reti Smart Grid rappresentano un salto verso l’ignoto, ed è interessante il parallelismo con la rete Internet: nata per interconnettere i computer continentali di Oltreoceano, nessuno avrebbe potuto prevedere una simile diffusione, una simile influenza nella cultura e nella vita di tutti (e un simile impatto dei problemi di sicurezza da essa scaturiti). A peggiorare ulteriormente il quadro concorre l’evidenza che i sistemi di controllo delle Smart Grid, come il vituperato Supervisory Control and Data Acquisition, (esatto proprio lo SCADA già compromesso nel caso di Stuxnet) saranno costretti a raggiungere un livello di complessità notevole per essere in grado di gestire il proliferare delle smart grid e i dati raccolti  dalle stesse (provo un sottile brivido al pensiero dei relativi problemi di Privacy): “old-school SCADA that’s been bolted into some sort of a newer technology“.

La conseguenza è che le utility di energia stanno di fatto costruendo una nuova Internet, un vero e proprio universo parallelo, come lo definisce il National Institute of Standards and Technology (NIST), che, sulla scia dei problemi di sicurezza ha rilasciato appositi standard e specifiche per la cyber-sicurezza dei sistemi di controllo smart-grid.

Dei problemi di sicurezza delle Smart Grid si è parlato anche all’ultima RSA Conference 2011. Allo stato attuale il problema principale è rappresentato dall’obsolescenza della tecnologia (il tipico ciclo di vita è di 15/20 anni) dalla frammentazione della stessa tecnologia e delle competenze: le utility hanno centinaia di standard e protocolli differenti, e tipicamente le risorse che gestiscono le infrastrutture hanno  poche competenze IT. Questo rende difficile anche la convergenza tra le diverse discipline, come se ad una convergenza tra le tecnologie, di distribuzione dell’energia e di controllo basato su IP, non fosse corrisposta una analoga convergenza tra le strutture di gestione e questo un po’ anche per ragioni culturali: chi gestisce le utility ha poca fiducia su chi proviene dal mondo IT abituato a mettere le mani a destra e manca, e tende di conseguenza a tenere la gestione del proprio mondo chiusa.

Ma quali sono gli attacchi a cui potrebbero essere vulnerabili le Smart Grid?

Chi si ricorda “Una Poltrona Per Due” ricorderà il goffo tentativo di aggiotaggio dei fratelli Duke (interpretati da Ralph Bellamy e un impareggiabile Don Ameche) basato sulla conoscenza in anticipo del prezzo delle arance finalizzato a speculazioni borsistiche. Arance a parte nel caso di una Smart Grid lo scenario non sarebbe molto diverso: un attaccante potrebbe manipolare i dati della griglia intrufolandosi virtualmente all’interno di una substation di distribuzione e intercettando le comunicazioni tra substation, operatori, e fornitori di elettricità. Poiché questi dati sono usati dagli operatori per fissare i prezzi dell’elettricità e per bilanciare la domanda e offerta di energia, nel migliore dei casi gli operatori potrebbero fare milioni di dollari a spese dei contribuenti (prevedendo e influenzando artificialmente il costo dell’energia alterando le richieste), nel peggiore dei casi potrebbero rendere la griglia instabile causando blackout. Il perché è facilmente comprensibile sulla base del processo di fatturazione di una smart grid: tipicamente gli operatori fissano il prezzo dell’energia un giorno prima in base ai dati raccolti su disponibilità e necessità dei clienti, e sulla base delle stesse previsioni preparano l’infrastruttura a sostenere il consumo che verrà fatturato il giorno successivo. Ovviamente è sufficiente manipolare i dati per creare necessità artificiose, alterare i prezzi e con tutta probabilità diventare milionari scommettendo in borsa sul prezzo dell’energia (ti piace vincere facile…)

Questo è teoricamente possibile già oggi, ma basta chiudere gli occhi e pensare ad un futuro non troppo lontano che già si delineano gli scenari prossimi venturi: ad esempio le stazioni di ricarica delle autovetture elettirche, tutti punti deboli e interconnessi, in cui un singolo point of failure, aperto al mondo esterno e quindi accessibile, potrebbe compromettere l’intera infrastruttura.

Come uscire dal tunnel? Sicuramente con investimenti tecnologici che applichino nativamente agli elementi di una Smart Grid le funzioni di sicurezza proprie del mondo IP (a cominciare dalla cifratura), con un nuova impostazione interdisciplinare che elimini le barriere tra gestori delle utility e gestori delle infrastrutture IT, e soprattutto con un approccio strategico che integri le funzioni di analisi del rischio e gestione del rischio a tutti i livelli della griglia.

Una mano in questo senso verrà sicuramente con il programma NERC CIP (North American Electric Reliability Corp.’s Critical Infrastructure Protection Plan), piano recentemente aggiornato che raccoglie oltre 100 standard e stabilisce i requisiti per la protezione degli elementi critici di una Smart Grid, avendo come punto di partenza ed elemento chiave proprio la sicurezza delle infrastrutture IT.

Con la sete di energia, l’instabilità che caratterizza certe zone del globo, e l’evidenza che le guerre si stanno spostando sulle scacchiere virtuali, c’è da essere certi che sentiremo molto spesso parlare delle Smart Grid… E non solo per gli indubbi vantaggi energetici…

Report Symantec Q4 2010: Fate Presto… Prima che la sicurezza SCADA!

February 16, 2011 1 comment

Symantec è particolarmente attiva in questo scorcio del 2011, così, dopo la pubblicazione del Dossier Stuxnet aggiornato, ha appena rivelato alla comunità di sicurezza il Symantec Intelligence Quarterly Report: October – December, 2010 che è interessante analizzare, notando, come questo si discosti notevolmente dall’analogo report recentemente pubblicato dalla livrea rossa di McAfee, principale concorrente del produttore di sicurezza di Cupertino.

Il titolo del report è tutto un programma: “Targeted Attacks on Critical Infrastructures” e riassume quelle che sono state le caratteristiche, dal punto di vista della sicurezza, di questo fine 2010: i cybercriminali si sono concentrati sulla creazione di malware targeted (ovvero ritagliato su misura) per danneggiare infrastrutture critiche.

Gli attacchi cosiddetti targeted sono perpetrati verso una specifica organizzazione o una specifica categoria di utenti e per questo sono notevolmente pericolosi ed efficaci, anche se usano tecniche tradizionali come phishing o link malevoli, essendo ritagliati su misura per l’infrastruttura obiettivo o anche per le abitudini o caratteristiche comportamentali degli utenti.

Attacchi di questo tipo, definiti anche Advanced Persistent Threat, trovano purtroppo una vasta gamma di applicazioni che spaziano dal furto di dati confidenziali finalizzato al profitto (ad esempo la sottrazione di credenziali bancarie), sino all’interferenza con le operazioni , se non in un vero e proprio sabotaggio dell’infrastruttura obiettivo. In molti casi, come ci ha dimostrato il 2011 (ed in particolare il mai troppo abusato Stuxnet) per ottenere lo scopo è sufficiente infettare un solo host (il famigerato paziente 0) per poi utilizzarlo come ponte involontario e catalizzatore per l’ondata di attacchi successiva.

E quindi cosa è accaduto nel 2010? La risposta è relativamente semplice, come dimostrato dal Trojan Hydraq (aka Operation Aurora secondo la nomenclatura adottata dal concorrente McAfee): una volta scoperte le potenzialità dei targeted attack i Cyber-criminali ne hanno utilizzato l’energia distruttiva verso le Infrastrutture Critiche.

A sostegno di questa tesi, il documento cita appunto i casi di Hydraq e Stuxnet. Il primo è inizialmente nato come un targeted attack facente leva su una Vulnerabilità del browser di casa Microsoft (advisory number 979352) con lo scopo finale di sottrarre informazioni alla vittima ed inviarle ad un server di comando e controllo. Questo attacco, che ha caratterizzato l’inizio del 2010 si è da subito tinto di giallo, non tanto per il mistero, quanto per i sospetti che sia stata proprio la Cina ad utilizzarlo con lo scopo di rubare credenziali di dissidenti dagli Account di Google.

Del secondo sappiamo tutto, addirittura Stuxnet era talmente targeted e così interconnesso con l’infrastruttura vittima, a tal punto che, secondo i ricercatori Symantec, sono passate solo 12 ore dalla prima compilazione alla prima infezione.

Curiosamente (ma fino a un certo punto) il report Symantec non cita Night Dragon, il malware scoperto dal concorrente McAfee che a mio avviso incarna meglio di chiunque altro, nel corso dell’ultimo trimestre 2010, il concetto del targeted attack rivolto a specifiche facility (questa volta un malware con il vizio del petrolchimico) e soprattutto facente uso di metodi tradizionali (SQL Injection e soprattutto download di malware tramite tecniche di Spearphishing) al fine di penetrare le barriere iniziali di protezione ed addentrarsi intimanente all’interno della rete verso le casseforti virtuali dove sono custoditi i segreti tecnici ed economici dell’organizzazione.

Gli attacchi di tipo targeted si fanno particolarmente pericolosi quando, come nel caso di Stuxnet. incrociano il mondo SCADA (Supervisory Control and Data Acquisition), ovvero quei processi e tecnologie che sottendono al monitoraggio e controllo delle Infrastrutture Critiche e dell’Industria, e che proprio per questo motivo, soprattutto in un momento turbolento come quello che stiamo vivendo, potrebbero essere al centro dell’attenzione di paesi nemici o singoli individui guidati da motivazioni ideologiche e politiche.

La pericolosità di SCADA non è nuova (si legga ad esempio questo articolo della stessa Symantec risalente al 2006), tuttavia nel 2010, è assurta alla ribalta grazie a Stuxnet e agli eventi successivi. Solo nell’ultimo trimestre dell’anno passato Symantec ha documentato 10 vulnerabilità pubbliche di SCADA, sulle 15 totali scoperte nel corso dell’anno. Ma non facciamoci troppe illusioni… Anche se numericamente esigue a causa della natura elitaria delle ricerche di sicurezza su questa tecnologia,  l’impatto di queste vulnerabilità è immane e un malintenzionato che volesse sfruttarle saprebbe bene come rendere il proprio attacco targeted per i punti deboli di SCADA, tra i quali Symantec ha annoverato nel 2010:

  • Tre vulnerabilità nell’interfaccia Web CGI dei prodotti Intellicom Netbiter webSCADA WS100 e WS200. Le vulnerabilità rilevate non sono di poco conto poiché consentono di caricare ed eseguire codice arbitrario ed accedere di conseguenza ad informazioni potenzialmente sensibili;
  • Una vulnerabilità di tipo SQL-injection all’interno della pagina di login del sistema SCADA Industrial Technology System (ITS). La vulnerabilità in oggetto consente di compromettere l’applicazione modificando la struttura del database sottostante;
  • Tre vulnerabilità di tipo buffer-overflow per il server DATAC RealWin SCADA. Grazie a questo insperato aiuto un attaccante è in grado di eseguire codice sul server;
  • Ulteriori tre vulnerabilità sono state scoperte nel prodotto Ecava IntegraXor, di cui due di tipo remote code-execution e una terza di tipo directory-traversal. “Ambetre” le vulnerabilità di questo prodotto possono essere utilizzate da un malintenzionato per eseguire codice arbitrario o accedere a informazioni sensibili ivi contenute.

Purtroppo la situazione è ulteriormente complicata dal fatto che una architettura SCADA non deve fare i conti con le sole proprie vulnerabilità intrinseche ma è costretta a portarsi dietro anche il pesante fardello delle vulnerabilità ereditate dai sistemi operativi ospitanti (sovente Microsoft) o dal middleware e database utilizzato per l’applicazione SCADA.

L’applicazione pratica di una vulnerabilità SCADA in una infrastrutture critica è presto detta, ed il caso di Stuxnet ne è emblematico: i sistemi di controllo industriale (di cui SCADA costituisce un esempio) sono utilizzati all’interno delle infrastrutture critiche per controllare i processi operativi quotidiani. In particolare sono essenziali per controllare e processare le informazioni inviate dai sensori ed attuare di conseguenza le necessarie azioni e comandi di risposta. A questo compito si aggiungono il monitoraggio degli ambienti operativi per verificare che le attività vengono sempre effettuate all’interno dei parametri di sicurezza (sono quindi in grado di prevenire condizioni pericolose per l’uomo quali: surriscaldamento, aumento dei livelli di tossicità, incendi o potenziali sovraccarichi).

Un sistema di controllo compromesso da un malware potrebbe non essere in grado di riconoscere le condizioni di pericolosità o anche di non contrastarle efficacemente, se non addirittura di sabotare deliberatamente e in maniera subdola l’infrastruttura come nel caso di Stuxnet. Le conseguenze potrebbero essere disastrose e portare ad eventi come quello (involontario) della città di Lake Havasu rimasta a secco per un guasto nel sistema di monitoraggio delle pompe d’acqua (Luglio 2010).

E quindi?

E quindi Symantec suggerisce di limitare l’esposizione delle reti che ospitano sistemi SCADA, possibilmente  isolandole dal resto del Globo. Nel caso in cui ciò non fosse possibile, il traffico verso il mondo esterno andrebbe limitato ai soli protocolli richiesti non disdegnando di proteggere ulteriormente gli accessi individuali mediante VPN IPSec autenticate ed eventualmente integrando la difesa con tecnologie di protezione di tipo endpoint sui sistemi operativi ospitanti (che comunque andrebbero sempre aggiornate) e con sistemi di Intrusion Detection & Prevention per le minacce di rete.

Dal punto di vista infrastrutturale la sicurezza di una infrastruttura SCADA è ulteriormente minata dal fatto che spesso, a causa della complessità, non è possibile creare un ambiente di test. Inoltre le interruzioni di servizio andrebbero limitate al minimo indispensabile poiché spesso sono costose se non addirittura distruttive. Suggeriti invece i test che possono essere fatti in linea, senza interrompere l’operatività quali passive asset discovery e vulnerability scanning, mentre tutte le operazioni di aggiornamento (Antivirus e pezze patch di sistema operativo) dovrebbero essere effettuate con la massima cura e con il massimo supporto dei produttori dei sistemi di controllo per minimizzare rischi e tempi di down.

Last But Not Least, non trascurare le attività di audit e policy compliance…

Virus e Servizi Segreti (Ancora Su Stuxnet)

January 16, 2011 2 comments

Il complesso di Dimona (Foto Getty Images)

E’ di questa mattina la notizia, secondo il New York Times, che il famigerato malware Stuxnet, il virus delle centrali nucleari, sarebbe stato sviluppato da un team composto da Israeliani e Americani (con la collaborazione indiretta degli ingegneri tedeschi di Siemens) presso il complesso israleliano di Dimona, nel bel mezzo del deserto del Negev.

Lo sviluppo di questo terribile malware sarebbe partito nel 2009. Il virus, assurto alla ribalta nel 2010, ha messo in ginocchio un quinto delle centrali nuclerari iraniane ed avrebbe raggiunto parzialmente il suo scopo (molte centrifughe sono state arrestate prima dell’insorgere di danni irreversibili) secondo il quotidiano d’Oltreoceano, riuscendo però a tardare la realizzazione della bomba sino al 2015.

Stuxnet, che prefigura il modello di infezione informatica Advanced Persistent Threat, che nel 2011 turberà i nostri sogni, aveva da subito attirato l’attenzione dei ricercatori di tutto il mondo sia per la sua complessità tecnica (7 vettori di infezione, l’utilizzo massiccio di vulnerabilità 0-day, la possibilità di falsificare certificati ed infine la conoscenza approfondita della tecnologia Siemens relativa alle centrifughe colpite), sia per i presunti richiami all’Antico Testamento più o meno nascosti all’interno del codice.

La complessità alla base del malware è presumibilmente dovuta al fatto che all’inizio del 2008, Siemens avrebbe collaborato con uno dei principali laboratori statunitensi, in Idaho, al fine di identificare le vulnerabilità dei computer che controllano le macchine industriali vendute da Siemens in tutto il mondo. Macchine Industriali che l’Intelligence d’Oltreoceano aveva identificato essere componenti chiave degli impianti di arricchimento dell’Uranio iraniani.

Siemens sostiene comunque che il programma (confermato dall’Idaho National Laboratory) era parte delle attività di routine volte a rendere sicuri dai Cyber-attacchi i propri sistemi che presiedono alle Infrastrutture Critiche, e ad ogni modo non avrebbe dato all’Idaho National Laboratory, parte del Dipartimento dell’Energia responsabile per gli armamenti nucleari USA, la possibilità di identificare i buchi del sistema utilizzati da Stuxnet nel 2010. I risultati sono stati riassunti in questa presentazione mostrata a luglio 2008 al Siemens Automation Summit presso Chicago. Il laboratorio americano, interrogato sulla questione, si è difeso indicando che la presentazione, sebbene contenesse schemi dettagliati, non mostrava come utilizzare le vulnerabilità, rifiutandosi nel contempo di fornire indicazioni relativamente agli aspetti classificati delle attività effettuate congiuntamente con Siemens. Siemens, dal canto suo, ha commentato la nitizia indicando che la presentazione non recava informazioni relative all’ubicazione delle centrifughe. Sta di fatto che la presentazione è recentamente scomparsa dal proprio sito Web.

L’origine politica del progetto partirebbe dagli ultimi mesi dell’Amministrazione Bush, che a gennaio 2009 avrebbe autorizzato (secondo il NYT) un programma nascosto per sabotare i sistemi elettronici ed informatici del complesso iraniano di Natanz, il principale centro di arricchimento dell’Uranio. Al suo insediamento, il Presidente Obama, appena informato del programma, ne avrebbe accelerato lo sviluppo secondo fonti dell’Amministrazione vicine agli strateghi responsabili dei piani volti a contrastare la strategia nucleare iraniana.

Naturalmente gli israeliani, preoccupati dai pericolosi sviluppi della situazione iraniana, non si lasciarono sfuggire l’occasione sviluppando una strategia di contrasto della minaccia iraniana congiunta con gli USA e differente da quella militare sostenuta sino ad allora.

Stuxnet o non Stuxnet, recentemente sia il Segretario di Stato Americano Hilary Clinton, sia il direttore uscente del Mossad, Meir Dagan, hanno confermato separatamente (rispettivamente il 10 e 7 gennaio) la propria convinzione di un ritardo (o meglio di un arretramento di alcuni anni) nei piani di sviluppo nucleare dell’Iran. Ma mentre la signora Clinton ha fatto riferimento alle sanzioni pilotate dagli USA, sanzioni che avrebbero reso difficile all’Iran procurarsi i componenti, e più in generale commerciare con altri paesi della comunità internazionale; il Signor Dagan ha annunciato al Knesset (il parlamento isreaeliano) l’improvviso insorgere di difficoltà tecnologiche in grado di ritardare la preparazione di una bomba iraniana sino al 2015. Da notare che sino ad allora gli israeliani erano stati fermamente convinti dello stato avanzato di realizzazione del programma nucleare iraniano e che il Mossad è stato accusato dall’Iran di essere la longa manus dietro agli attentati in cui è rimasto ucciso Majid Shahriari, scienziato nucleare iraniano e Fereydoon Abbasi, altro scienzato nucleare, è rimasto ferito.

Gli argomenti della spy story ci sono tutti: CIA, Mossad, lo spettro della Guerra Nucleare, il tutto condito con un pizzico di malware, Cyberwar e… perchè no di Sacre Scritture. Sarà davvero l’ultima puntata della storia?


Get every new post delivered to your Inbox.

Join 3,710 other followers