About these ads

Archive

Posts Tagged ‘Siemens’

1-15 September 2012 Cyber Attacks Timeline

September 19, 2012 Leave a comment

Here it is the usual compilation for the Cyber Attacks in the first half of September, a period which has apparently confirmed the revamping of hacktivism seen in August.

Several operations such as #OpFreeAssange (in support of Julian Assange), #OpTPB2 against the arrest of The Pirate Bay Co-Founder Gottfrid Svartholm Warg, and #OpIndipendencia in Mexico have characterized the first half of September. Curiously the hacktivists have also characterized this period for a couple of controversial events: the alleged leak of 1 million of UDIDs from FBI (later proven to be fake) and the alleged attack to GoDaddy (later proven to be a network issue, that is the reason why I not even mentioned it in this timeline). Other actions motivated by hacktivists have been carried on by Pro-Syrian hackers.

From a Cyber Crime perspective, there are two events particularly interesting (even if well different): the alleged leak of Mitt Romney’s tax returns and yet another breach against a Bitcoin Exchange (Bitfloor), worthing the equivalent of 250,000 USD which forced the operator to suspend the operations.

If you want to have an idea of how fragile our data are inside the cyberspace, have a look at the timelines of the main Cyber Attacks in 2011 and 2012 and the related statistics (regularly updated), and follow @paulsparrows on Twitter for the latest updates.

Also, feel free to submit remarkable incidents that in your opinion deserve to be included in the timelines (and charts).

Read more…

About these ads

16 – 31 August 2012 Cyber Attacks Timeline

September 5, 2012 Leave a comment

Here the first part with the timeline from 1 to 15 August 2012.

Here we are with the second part of the August 2012 Cyber Attacks Timeline. A second part of the month that has been characterized by hacktivism, most of all because of the so-called OperationFreeAssange, which has targeted many high-profile websites.

Among the targets of the month, Philips has been particularly “unlucky”. The Dutch giant has been the victim of three Cyber Attacks, even if there are several doubts about the authenticity of the hacks.

But maybe the biggest operation of the month is the #ProjectHellFire, carried on by the collective @TeamGhostShell, that has unleashed something as 1 million of accounts belonging to different sectors (banks, government agencies, consulting firms, law enforcement and the CIA). And the group promises new action for this Fall and Winter.

The Middle East confirms to be very hot, with a new Cyber Attack, probably another occurrence of Shamoon, targeting RasGas, yet another Oil Company.

Just one note: of course it is impossible to track all the targets of the #OpFreeAssange. You can find a complete list at cyberwarnews.info.

If you want to have an idea of how fragile our data are inside the cyberspace, have a look at the timelines of the main Cyber Attacks in 2011 and 2012 and the related statistics (regularly updated), and follow @paulsparrows on Twitter for the latest updates.

Also, feel free to submit remarkable incidents that in your opinion deserve to be included in the timelines (and charts).

Read more…

Categories: Cyber Attacks Timeline, Security Tags: , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , ,

December 2011 Cyber Attacks Timeline (Part II)

December 30, 2011 2 comments

This infamous 2011 is nearly gone and here it is the last post for this year concerning the 2011 Cyber Attacks Timeline. As you will soon see from an infosec perspective this month has been characterized by two main events: the LulzXmas with its terrible Stratfor hack (whose effects are still ongoing with the recent release of 860,000 accounts), and an unprecented wave of breaches in China which led to the dump of nearly 88 million of users for a theoretical cost of nearly $19 million (yes the Sony brech is close). For the rest an endless cyberwar between India and Pakistan, some hactivism and (unfortunately) the usual amounts of “minor” breaches and defacement. After the page break you find all the references.

Last but not least… This post is my very personal way to wish you a happy new infosec year.

Read more…

Due Tacchini Non Fanno Un’Aquila

February 9, 2011 1 comment

Con questa perentoria battuta, Vic Gundotra, Vice-President di Google (ironia della sorte Ex Manager di Microsoft), ha commentato le presunte voci che danno per imminente (l’annuncio dovrebbe essere dato l’11 febbraio), l’approdo del sistema operativo mobile a Finestre di Casa Microsoft all’interno dei terminali Nokia. In realtà la citazione aviaria non è casuale, ma rappresenta uno scambio di cortesie nei confronti di Anssi Vanjoki, Vice President di Nokia (in fase di uscita dopo aver fallito la nomina a CEO – mi domando come mai), che nell’ormai prestorico 2005 liquidò con la stessa battuta (e la stessa eleganza) l’acqusizione da parte di BenQ delle attività mobili di Siemens. Per la cronaca Anssi si distinse anche per la classe con cui mise a tacere le voci di un possibile “abboccamento” dei terminali di casa Nokia nei confronti del Sistema Operativo Androide, accostando l’ipotetico sodalizio con una pratica in voga presso la terra di Finlandia per “automitigare” gli effetti dei duri inverni: Using Android is like peeing in your pants for warmth (lascio la traduzione dell’elegante sentenza ai più smaliziati cultori della lingua anglosassone).

Oggi la situazione è cambiata radicalmente: un memo (anzi sarebbe meglio dire un Maemo) del CEO di Nokia trapelato dalle solite manine ignote alle fauci della  gogna mediatica (ma perché è così difficile adottare tecnologie di Data Leakage Prevention?) ha rivelato, con una azzeccata similitudine (Our Platform Is Burning) la situazione poco invidiabile in cui versa il gigante finlandese. Se da un lato le quote di mercato (e i profitti) che si restringono, dall’altro lato il gap tecnologico con l’Androide e la Mela aumentano di pari passo in modo inversamente proporzionale: una deriva, la cui sola ancora di salvezza (il parallelo nautico, come spiegherò tra poco, non è casuale) appare proprio l’improbabile connubio con il sistema operativo di Redmond.

Il termine utilizzato “piattaforma” richiama l’aneddoto di un uomo intrappolato su una piattaforma  petrolifera in fiamme nei mari del nord. In condizioni normali non avrebbe mai pensato di buttarsi da 30 metri, certo di una morte sicura tra le fredde acque artiche; tuttavia considerata la situazione eccezionale (e disperata) prese proprio la decisione di buttarsi, decisione che lo avrebbe portato a morte sicura ma che in quelle circostanze eccezionali fu proprio la sua salvezza, venendo, di lì a poco, recuperato da una nave di passaggio.

Ovviamente il termine Our Platform è facilmente adattabile ad una piattaforma software (Symbian) che sta bruciando vittima della concorrenza, ed in questa ottica la similitudine diventa intrigante: cosa potrebbe fare Nokia mentre la propria piattaforma software brucia? Venire bruciata dalla stessa oppure buttarsi nel gelido mare in attesa di un incrociatore battente bandiera liberiana americana, e sfoggiante uno scintillante un vessillo a finestre?

Similitudini a parte, leggendo il testo integrale del memo di Stephen Elop, si ritrovano comunque alcuni punti che avevo sottolineato nel mio post in cui discussi, in tempi non sospetti, delle difficoltà del gigante finlandese stretto tra il morso dell’Androide e la morsa della Mela, i più evidenti dei quali consistono nello sconvolgimento del panorama causato, nel 2007, dalla  comparsa dell’iPhone dal cilindro magico di Steve Jobs, nella velocità con cui l’Androide sta macinando quote di mercato ed infine nella lentezza di MeeGo nell’aggredire il mercato. Eventi che il colosso finlandese ha affrontato con eccessiva inerzia, ormai non ulteriormente prolungabile.

Naturalmente la lettera del CEO di Espoo non è passata inosservata alla comunità che ci ha letto un tentativo di addolcire la pillola che gli aficionados di Symbian dovranno ingoiare quando verrà loro annunciato l’improbabile connubio con Microsoft (e se per Nokia questo evento sarà un bel tuffo  dalla piattaforma nelle gelide acque del mare del nord, per gli utenti sarà comunque una doccia fredda).

A peggiorare i grattacapi di Mr. Elop hanno contribuito anche i dati relativi alle poco esaltanti performance di Nokia nel 2010, dati che in questo momento dell’anno cominciano ad accavallarsi e che dimostrano come, nonostante le sirene di allarme dei produttori di sicurezza (non ultima quella di McAfee), i dispositivi mobili, ed in particolare i terminali equipaggiati con il cuore di Androide, suscitino un notevole appeal nei consumatori.

L’ultimo report in ordine di tempo è quello redatto da Gartner che riporta, per i dispositivi mobili evoluti (i cosiddetti smartphone) una crescita del 72.1 % nei confronti del 2009, grazie alla quale, secondo l’Istituto di Ricerca, il 19 % di tutto il traffico mobile è originato da dispositivi di questo tipo. Lo stesso studio indica che nel corso dell’ultimo trimestre, le vendite di smartphone hanno pesato per il 22.2 % all’interno dei 452 milioni di terminali venduti, mentre in tutto il 2010 sono stati venduti 1.6 miliardi di unità con una crescita del 31.8  % nei confronti del 2009.

Da notare il calo di Nokia, e la Mela di Apple che si appresta a superare la Mora di RIM (Blackberry).

Inutile dire che nei sistemi operativi il tanto vituperato (in termini di sicurezza) Androide la fa da padrone avendo registrato, nel corso del 2010 una crescita quasi a 3 cifre (888.8 %) rispetto all’anno precedente:

Interessante confrontare i dati con le analoghe rilevazioni effettuate da IDC che, seppur con qualche differenza, confermano il volo dell’androide.

Primi 5 venditori di Smartphone : Esemplari venduti e quote di mercato nel 2010 (Unità in Milioni)

Vendor 2010 Units Shipped 2010 Market Share 2009 Units Shipped 2009 Market Share Year-over-year growth
Nokia 100.3 33.1% 67.7 39.0% 48.2%
Research In Motion 48.8 16.1% 34.5 19.9% 41.4%
Apple 47.5 15.7% 25.1 14.5% 89.2%
Samsung 23 7.6% 5.5 3.2% 318.2%
HTC 21.5 7.1% 8.1 4.7% 165.4%
Others 61.5 20.3% 32.6 18.8% 88.7%
Total 302.6 100.0% 173.5 100.0% 74.4%

Stuxnet, Bufale E Dragoni: Il giorno dopo le rivelazioni del NYT

January 20, 2011 1 comment

L’ondata del giorno dopo sembra stia un po’ mitigando il fuoco mediatico appiccato dal New York Times, dopo la pubblicazione dell’articolo in cui si sosteneva un complotto USA Israeliano, alla base del virus Stuxnet.

I delatori sostengono che il NYT sia spinto un po’ troppo oltre nelle sue speculazioni e che la tesi del patto tra Washington e Tel Aviv non regga per almeno 4 motivi:

  • In primo luogo la ricostruzione del NYT non riporta alcuna prova del fatto che il malware sia stato realizzato nel complesso di Dimona, né appare plausibile che qualche gola profonda sia lasciata sfuggire il segreto verso un giornalista occidentale, vista la particolare attenzione del Mossad nei confronti di chi ha la cattiva abitudine di rivelare segreti militari ai giornalisti stranieri;
  • La dichiarazione del direttore del Mossad Meir Dagan, il giorno prima del suo pensionamento, in cui ha annunciato al Knesset che l’Iran non sarebbe stato capace, al contrario delle previsioni, di sviluppare un’arma nucleare sino al 2015, è stata presa dal quotidiano d’Oltreoceano come ulteriore prova del coinvolgimento israeliano. Il NYT tuttavia non riporta il disaccordo relativo alla dichiarazione, da parte del Primo Ministro Israeliano;
  • Ancora prima della pubblicazione del report dell’Agenzia Internazionale per l’Energia Atomica (IAEA) del 23 novembre era noto che l’Iran stesse incontrando problemi per la produzione dell’Uranio arricchito, ma mentre alcuni fanno risalire la causa dei problemi di produzione al virus Stuxnet, altri li riconducono all’utilizzo di macchine obsolete della famiglia P-1. Nello stesso giorno è stato pubblicato un documento di analisi del report da parte dell’Institute for Science and Security (ISIS), dove si indicava che nello stesso periodo l’Iran aveva incrementato la propria efficienza di operazione in quasi tutti i parametri.
  • Diversi esperti di sicurezza israeliani sostengono che la concezione del virus è troppo semplice per essere stata sviluppata da Israele per scopi militari;
  • Qualcuno ha anche riscontrato una inesattezza cronologica negli articoli del NYT (ma questo forse è un peccato veniale), facendo risalire l’inizio dell’infezione informatica a luglio 2009, ovvero un anno prima della scala cronologica del virus contenuta nel Report Symantec.
  • Un ulteriore documento ISIS “Did Stuxnet Take Out 1,000 Centrifuges at the Natanz Enrichment Plant?” sostiene che l’impatto di Stuxnet è stato, tutto sommato, limitato, ed ha interessato un numero limitato di centrifughe (modello IR-1 che tra il 2008 e il 2009 hanno sostituito le obsolete P-1), riuscendo in definitiva, solo parzialmente al suo scopo ed in maniera limitata nel tempo. Strategia diversa da quella sostenuta dal Primo Ministro Israeliano che ritiene le sanzioni come mezzo principale per contrastare la strategia nucleare dell’Iran, e l’opzione militare come seconda scelta.

Aspetto interessante, che ancora mancava all’appello, è costituito dalla presunta, immancabile, pista cinese per il malware, la quale, suffragata da alcune ipotesi, sta cominciando ad acquisire una certa (in)credibilità:

  • I miscelatori attaccati da Stuxnet sono prodotti in Cina da un’azienda finlandese (Vacon);
  • Il primo certificato digitale falsificato (e rubato) da Stuxnet appartiene a RealTek che ha una sede in Cina, nella stessa città (Suzhou) dove vengono prodotti i miscelatori Vacon;
  • La Cina ha accesso diretto al codice sorgente di Stuxnet, che avrebbe consentito di sviluppare così velocemente 4 nuove vulnerabilità 0-day;
  • L’infezione di Stuxnet è arrivata in Cina con 3 mesi di ritardo rispetto al resto del mondo, nonostante la massiccia diffusione di tecnologia Siemens nel paese dei Mandarini. Ironia della sorte, la notizia dell’infezione di milioni di PC appartenenti a 1000 impianti (infezione di cui sono stati accusati gli americani) è stata rilasciata da un produttore locale, Rising International, accusato di aver corrotto un funzionario, condannato a morte, per aver sparso terrorismo psicologico, intimando agli utenti di scaricare un antivirus della stessa azienda per proteggersi da un nuovo tipo di infezione (sembrerebbe che la pratica di sviluppare i virus sia molto diffusa tra i produttori cinesi che poi rivendono ai poveri consumatori gli antidoti informatici).

Perchè Stuxnet avrebbe gli occhi a mandorla? La risposta è (quasi) semplice: Pechino vorrebbe fermare la proliferazione nucleare dell’Iran, mostrando comunque un atteggiamento riverente nei confronti del suo terzo maggior fornitore di petrolio: e allora quale miglior modo del buon vecchio metodo: “un colpo al cerchio e uno alla botte”? Che significa criticare da un lato le sanzioni internazionali e sabotare dall’altro le centrali nucleari con un virus informatico?

Tesi realistica o Fantapolitica? (o meglio fantascientifica?), o più semplicemente controinormazione da pare di chi vuole nascondere la vera origine del virus? (Di nuovo) ai posteri l’ardua sentenza. Io intanto aspetto che venga scoperta qualche attinenza con la storia cinese relativamente a date e simboli contenuti all’interno del codice di Stuxnet, che magari non avrà raggiunto l’obiettivo di sabotare tutte le centrali nucleari iraniane, ma  è comunque riuscito nel ben più difficile intento di attirare su di sè l’attenzione di ricercatori e giornalisti di tuto il globo (sollevando severi interrogativi sul fatto che le le infrastrutture critiche siano effettivamente pronte ad affrontare minacce di siffatta portata).

Virus e Servizi Segreti (Ancora Su Stuxnet)

January 16, 2011 2 comments

Il complesso di Dimona (Foto Getty Images)

E’ di questa mattina la notizia, secondo il New York Times, che il famigerato malware Stuxnet, il virus delle centrali nucleari, sarebbe stato sviluppato da un team composto da Israeliani e Americani (con la collaborazione indiretta degli ingegneri tedeschi di Siemens) presso il complesso israleliano di Dimona, nel bel mezzo del deserto del Negev.

Lo sviluppo di questo terribile malware sarebbe partito nel 2009. Il virus, assurto alla ribalta nel 2010, ha messo in ginocchio un quinto delle centrali nuclerari iraniane ed avrebbe raggiunto parzialmente il suo scopo (molte centrifughe sono state arrestate prima dell’insorgere di danni irreversibili) secondo il quotidiano d’Oltreoceano, riuscendo però a tardare la realizzazione della bomba sino al 2015.

Stuxnet, che prefigura il modello di infezione informatica Advanced Persistent Threat, che nel 2011 turberà i nostri sogni, aveva da subito attirato l’attenzione dei ricercatori di tutto il mondo sia per la sua complessità tecnica (7 vettori di infezione, l’utilizzo massiccio di vulnerabilità 0-day, la possibilità di falsificare certificati ed infine la conoscenza approfondita della tecnologia Siemens relativa alle centrifughe colpite), sia per i presunti richiami all’Antico Testamento più o meno nascosti all’interno del codice.

La complessità alla base del malware è presumibilmente dovuta al fatto che all’inizio del 2008, Siemens avrebbe collaborato con uno dei principali laboratori statunitensi, in Idaho, al fine di identificare le vulnerabilità dei computer che controllano le macchine industriali vendute da Siemens in tutto il mondo. Macchine Industriali che l’Intelligence d’Oltreoceano aveva identificato essere componenti chiave degli impianti di arricchimento dell’Uranio iraniani.

Siemens sostiene comunque che il programma (confermato dall’Idaho National Laboratory) era parte delle attività di routine volte a rendere sicuri dai Cyber-attacchi i propri sistemi che presiedono alle Infrastrutture Critiche, e ad ogni modo non avrebbe dato all’Idaho National Laboratory, parte del Dipartimento dell’Energia responsabile per gli armamenti nucleari USA, la possibilità di identificare i buchi del sistema utilizzati da Stuxnet nel 2010. I risultati sono stati riassunti in questa presentazione mostrata a luglio 2008 al Siemens Automation Summit presso Chicago. Il laboratorio americano, interrogato sulla questione, si è difeso indicando che la presentazione, sebbene contenesse schemi dettagliati, non mostrava come utilizzare le vulnerabilità, rifiutandosi nel contempo di fornire indicazioni relativamente agli aspetti classificati delle attività effettuate congiuntamente con Siemens. Siemens, dal canto suo, ha commentato la nitizia indicando che la presentazione non recava informazioni relative all’ubicazione delle centrifughe. Sta di fatto che la presentazione è recentamente scomparsa dal proprio sito Web.

L’origine politica del progetto partirebbe dagli ultimi mesi dell’Amministrazione Bush, che a gennaio 2009 avrebbe autorizzato (secondo il NYT) un programma nascosto per sabotare i sistemi elettronici ed informatici del complesso iraniano di Natanz, il principale centro di arricchimento dell’Uranio. Al suo insediamento, il Presidente Obama, appena informato del programma, ne avrebbe accelerato lo sviluppo secondo fonti dell’Amministrazione vicine agli strateghi responsabili dei piani volti a contrastare la strategia nucleare iraniana.

Naturalmente gli israeliani, preoccupati dai pericolosi sviluppi della situazione iraniana, non si lasciarono sfuggire l’occasione sviluppando una strategia di contrasto della minaccia iraniana congiunta con gli USA e differente da quella militare sostenuta sino ad allora.

Stuxnet o non Stuxnet, recentemente sia il Segretario di Stato Americano Hilary Clinton, sia il direttore uscente del Mossad, Meir Dagan, hanno confermato separatamente (rispettivamente il 10 e 7 gennaio) la propria convinzione di un ritardo (o meglio di un arretramento di alcuni anni) nei piani di sviluppo nucleare dell’Iran. Ma mentre la signora Clinton ha fatto riferimento alle sanzioni pilotate dagli USA, sanzioni che avrebbero reso difficile all’Iran procurarsi i componenti, e più in generale commerciare con altri paesi della comunità internazionale; il Signor Dagan ha annunciato al Knesset (il parlamento isreaeliano) l’improvviso insorgere di difficoltà tecnologiche in grado di ritardare la preparazione di una bomba iraniana sino al 2015. Da notare che sino ad allora gli israeliani erano stati fermamente convinti dello stato avanzato di realizzazione del programma nucleare iraniano e che il Mossad è stato accusato dall’Iran di essere la longa manus dietro agli attentati in cui è rimasto ucciso Majid Shahriari, scienziato nucleare iraniano e Fereydoon Abbasi, altro scienzato nucleare, è rimasto ferito.

Gli argomenti della spy story ci sono tutti: CIA, Mossad, lo spettro della Guerra Nucleare, il tutto condito con un pizzico di malware, Cyberwar e… perchè no di Sacre Scritture. Sarà davvero l’ultima puntata della storia?

Come ti impoverisco l’Uranio con un virus…

November 19, 2010 8 comments

Da tempo la televisione ed il cinema ci hanno abituato a improbabili (almeno fino a qualche tempo fa) scenari, in cui altrettanto improbabili cyber-terroristi partono alla conquista del mondo utilizzando la rete per rubare segreti o sabotare infrastrutture critiche.

Il tutto parte da lontano: già dal 1983, quando internet era appena agli albori, War Games e Superman III mostrarono ai curiosi adolescenti figli degli anni ’80, quali danni si potevano fare con i bit. Se War Games disegna in modo un po’ ingenuo e romantico la figura del “protoHacker”, in Superman III, il compianto Cristopher Reeve nei panni dell’eroe di Krypton affronta un supercomputer concepito con lo scopo esplicito si sabotare le  infrastrutture Critiche (centrali petrolifere e relative petroliere) per bloccare la società civile e ottenere il controllo del mondo (energia, comunicazioni, etc.).

Ai tempi fui sorpreso, non riuscivo proprio a concepire un computer che potesse bloccare tutti i pozzi petrofileri del mondo. Oggi, a più di 20 anni di distanza devo ammettere che Richard Donner fu un ottimo profeta: le minacce informatiche alle infrastrutture critiche che regolano “l’ordine mondiale” (energia, trasporti, economia, etc.) sono una realtà consolidata e destinata ad assumere sempre maggiore importanza nel panorama della sicurezza informatica. Così importanti da spingere qualcuno ad affermare che le guerre del futuro si combatteranno a colpi di bit piuttosto che a colpi di armi.

Il 2010 è stato un anno particolarmente significativo per questo trend: all’inizio di quest’anno McAfee, uno dei più importanti player di sicurezza informatica, ha stilato un report inerente al livello di esposizione delle infrastrutture critiche nell’epoca della guerra informatica. Il documento, redatto in base a questionari anonimi compilati da 600 responsabili di sicurezza e IT di 14 paesi delinea un quadro piuttosto allarmante: oltre la metà dei dirigenti interpellati (54%) aveva dichiarato di aver subito un attacco di tipo Denial Of Service e soprattutto, il 59% (in Italia il 45%) riteneva che negli eventi fossero coinvolti rappresentanti di governi stranieri (caso emblematico è l’attacco informatico di cui fu vittima l’Estonia nel 2007 e che causò per alcune settimane il blocco dei principali siti, istituzionali, economici e di informazione del paese baltico).

Il report di McAfee conteneva, tra le altre informazioni, due sinistre profezie: la forma di attacco più diffusa allora era risultata essere l’infezione da virus o malware, subita dall’89% degli intervistati ed inoltre nello stesso report  veniva segnalato il basso livello di sicurezza dei sistemi SCADA o ICS (Industrial Control System – Sistemi di Controllo industriale) ovvero quei sistemi utilizzati per il monitoraggio delle infrastrutture critiche.

Le due indicazioni precedenti contengono l’essenza della minaccia informatica che nel corso del 2010 ha cambiato le regole del gioco delinenando le caratteristiche delle infezioni virali di nuova generazione nell’epoca del cyber-terrorismo.

Sto parlando naturalmente di Stuxnet, una infezione virale di nuova concezione espressamente creata per infettare sistemi di controllo industriale non connessi in rete (partendo da una chiavetta USB), e di espandersi utilizzando 6 vulnerabilità Microsoft (delle quali 2 di tipo 0-Day) con 7 diversi vettori:

  1. Replica su dispositivi Mobili
  2. Vulnerabilità del protocollo SMB (MS08-067);
  3. Diffusione tramite share di rete;
  4. Replica utilizzando una vulnerabilità dello spooler di stampa Windows (MS10-061);
  5. Possibilità di replicarsi mediante WinCC – l’applicazione utilizzata per il controllo e la gestione dei sistemi ICS Siemens;
  6. Possibilità di iniettare codice su un file Step 7, il software utilizzato per la programmazione dei sistemi di controllo Siemens,
  7. Infine (last but not least), possibilità di crere una rete peer-to-peer all’interno di una LAN per l’aggiornamento e la gestione del vettore di infezione.

In sostanza quindi Stuxnet agisce come un rootkit per i sistemi SCADA Siemens.

Analizzando bene le caratteristiche del vettore di infezione, la parabola di stuxnet si tinge di giallo (in tutti i sensi) e sembra essere uscita da un romanzo di Michael Crichton. In un post pubblicato di recente, Symantec ha rilevato che lo scopo di Stuxnet è quello di alterare il normale ciclo di funzionamento per i convertitori di frequenza utilizzati nei SIstemi di Controllo Industriale. In ambito ICS i convertitori di frequenza sono apposite unità di alimentazione che hanno lo scopo di cambiare la frequenza del segnale e in output, ad esempio per aumentare la velocità di un motore. In particolare Stuxnet agisce per convertitori di frequenze operanti a cicli elevati  (tra 807 Hz e 1210 Hz), variando la frequenza (e quindi la velocità di funzionamento del motore) per brevi periodi su scale di mesi, alterandone il comportamento e di fatto sabotando l’infrastruttura. (E’ comunque quantomeno curioso il fatto che alla stessa conclusione sia giunta quasi in contemporanea, una azienda di sicurezza tedesca).

Dove sta il giallo? Oltre che nella livrea Symantec che ha risolto l’arcano, il giallo risiede nel fatto che le frequenze in oggetto sono compatibili con quelle utilizzate negli impianti di arricchimento dell’Uranio. Come se non bastasse inoltre, il maggiore livello di diffusione del virus è localizzato in… Iran (con circa 60.000 host infetti, dei quali, quasi il 70% con software Siemens).

Naturalmente queste “coincidenze”, unite al fatto che il virus in oggetto è talmente raffinato da aver probabilmente richiesto risorse ingenti in fase di sviluppo (e una approfondita conoscenza degli “internals” dell’architettura SCADA), fanno pensare che alla base dell’attacco non ci sia un hacker smanettone in cerca di fama, quanto piuttosto una nazione desiderosa di frenare le velleità nucleari di un paese nemico.

Attualmente l’infezione è contenuta, tuttavia è importante notare lo scenario delineato; non solo Stuxnet ha una architettura di una complessità mai vista prima per un virus, ma per la prima volta sembrerebbe che il malware sia stato esplicitamente creato per scopi cyber-militari.

Che sia il primo passo di una nuova guerra combattuta a colpi di tasti? E’ possibile! Certo è che, a prescindere da considerazioni politiche, la scena di Indipendence Day in cui Jeff Goldbum sconfigge gli alieni iniettando un malware nella nave madre non mi stupisce più di tanto (diversamente da quanto fece nell’ormai lontano 1996). Certo mi sono sempre chiesto (e mi chiedo tutt’ora) se anche gli alieni utilizzassero il TCP-IP come protocollo di comunicazione… Ma questa è un’altra storia…

Follow

Get every new post delivered to your Inbox.

Join 2,705 other followers