La recente lettura di qualche interessante articolo sulla sicurezza dei sistemi di controllo industriali mi ha ricordato una discussione tenuta non più di tre anni fa nel gruppo Italian Security Professional di LinkedIn. La discussione verteva sulla sicurezza dei sistemi SCADA, PLC e, più in generale, delle infrastrutture critiche nazionali (NCI) che su di essi di basano per l’erogazione dei servizi primari.

In quell’occasione citai il film “Die Hard – Vivere o Morire” (Len Wiseman, 2007) e non a caso.

Die Hard – Vivere o Morire

Nel film, un gruppo di cyber criminali recluta alcuni hacker per ottenere l’accesso alle principali infrastrutture critiche statunitensi, con l’obiettivo di mettere in ginocchio l’intera nazione e prelevarne digitalmente le finanze. Dapprima assumendo il controllo dei sistemi di trasporto e segnalazione stradale, delle ferrovie e dell’aviazione civile, poi arrestando i servizi economici e finanziari del paese a partire dalla NYSE. L’ultima fase dell’attacco comporta l’arresto dei servizi primari, in particolare dall’erogazione dell’energia elettrica con conseguente black out generale.

La sceneggiatura del film prevede anche una serie di diversivi, come l’intrusione informatica e il falso allarme antrace nel quartier generale dell’FBI, nonché una forte componente psicologica fornita dal filmato di propaganda. Inevitabilmente l’intero paese cade in preda al caos e al panico con un enorme ingorgo automobilistico e l’arresto totale dei trasporti e dei sistemi di controllo, mentre le autorità federali e militari brancolano nel buio. Alla fine l’eroe John McClane risolve la situazione, grazie alla preziosa collaborazione dell’hacker etico Matt Farrell.

Il film è molto spettacolare e diverse volte travalica abbondantemente i limiti di credibilità dell’azione, sebbene sia proprio questo che attrae gli amanti del genere, me compreso. Nel leggere i commenti degli spettatori, infatti, emerge un sentimento generale di scetticismo misto ad incredulità sulla trama. Condivisibile, ma fino ad un certo punto.

Nel corso del film Farrell cita più volte i “saldi per incendio”, un termine che sta ad indicare una complessa operazione organizzata in tre fasi che consente di arrestare completamente l’economia e i servizi di un’intera nazione. “Si chiama saldi per incendio perché, dopo, tutto è da buttare via” afferma Farrell nel tentare di spiegare al pensionando McClane la gravità della situazione. Quest’ultimo sostiene che “il governo sarà preparato per cose del genere”, ma Farrell lo smonta rispondendo “si, continua a sognare!”.

Non va sottovalutato, a mio parere, il messaggio che lo scaltro Wiseman ha inequivocabilmente voluto lanciare all’opinione pubblica: tutto questo può succedere e non è così remota la possibilità che una situazione da “saldi per incendio” accada sul serio e si torni tutti istantaneamente all’età della pietra.

Saldi per incendio

Fire Sale, tradotto in italiano “saldi per incendio”, sta ad indicare la vendita di beni e merci a prezzi estremamente ridotti che avviene quando un imprenditore affronta la bancarotta o subisce un incidente, tipicamente un incendio, che mina irrimediabilmente la prosecuzione dell’attività commerciale. In ambito sportivo il medesimo termine indica la vendita sul mercato di tutti i giocatori più validi e più retribuiti di una società a causa di problemi finanziari.

Nell’ambito della cyber security, invece, questo termine è stato adottato per indicare un attacco organizzato e strutturato alle infrastrutture critiche di una nazione. L’intenzione dell’attaccante è quella di arrestare la rete dei trasporti, i servizi economici e finanziari, nonché i servizi primari e lasciare governo, istituzioni e forze militari e di polizia nella più completa impotenza.

L’attacco è tipicamente strutturato in tre fasi per ciascuna delle quali cerco di tracciare uno scenario di massima e le possibili conseguenze:

• Fase 1 – Compromissione e controllo della rete dei trasporti: treni, autostrade, segnaletica stradale, sistemi di controllo del traffico aereo e della movimentazione aeroportuale, ferrovie, metropolitane e infrastrutture portuali e marittime. Nel breve termine si ottiene una situazione di grande caos, di ingorghi e incidenti stradali, di impossibilità di movimento e un forte rischio di incidenti ferroviari, navali e aerei. Successivamente, l’arresto dei trasporti causa la mancata consegna dei beni di prima necessità, dei medicinali urgenti e del carburante, nonché l’impossibilità per diverse persone di raggiungere il posto di lavoro. Inizia il caos e il panico fra la popolazione.
• Fase 2 – Compromissione dei servizi economici e finanziari: arresto dei sistemi che regolano gli scambi in borsa e le reti interbancarie nazionali e internazionali. Nel breve termine si ottiene la paralisi dell’intero sistema: le carte di debito e credito non funzionano più, i servizi di Internet Banking non sono disponibili, gli sportelli ATM e i terminali POS vanno fuori linea rendendo impossibili prelievi di denaro e pagamenti telematici. In poco tempo la gente esaurisce il contante e non può ottenerne altro, di conseguenza aumenta ulteriormente lo stato di confusione e paura generale.
• Fase 3 – Arresto dei servizi primari: energia elettrica, acqua, gas, rete fognaria e telecomunicazioni. Black out, indisponibilità di acqua corrente e gas, impossibilità di contattare i servizi di emergenza sanitaria o le forze di polizia in caso di necessità. I generatori di emergenza di cui sono dotate le grandi aziende erogano energia elettrica fino al completo esaurimento del combustibile a disposizione che avviene più o meno entro le 72 ore. L’indisponibilità delle comunicazioni telefoniche, satellitari e della rete Internet impedisce alla popolazione di comprendere l’entità del fenomeno e acuisce ulteriormente la già grave situazione di panico e terrore. La prolungata indisponibilità dei servizi primari causa gravi interruzioni di servizio negli ospedali, dove i reparti più critici devono registrare gli inevitabili decessi dei pazienti meccanicamente o elettronicamente assistiti. Successivamente si fanno strada gravi problemi di sicurezza nelle industrie petrolchimiche e nelle centrali nucleari, dove non è più possibile assicurare i fondamentali servizi di protezione e contenimento.

Milioni di persone per strada o chiuse in casa nella più totale impotenza, senza poter comunicare, senza potersi procurare alimenti di prima necessità e senza sapere come gestire la situazione. Penso sia abbastanza facile immaginare quali conseguenze in termini di terrore, rabbia, isteria, panico e caos possono configurarsi in caso di un attacco di questa portata e vi assicuro che la possibilità di registrare decessi di massa non è poi così remota. Terrificante, vero?

La negazione

Come spesso avviene quando il rischio è talmente elevato da risultare inimmaginabile, la reazione della massa è di etichettare l’eventualità come surreale e irrealizzabile. Questa reazione in psicologia viene definita “negazione” e consiste in una spessa corazza protettiva che ci impedisce di guardare in faccia qualcosa che non saremmo in grado di accettare o gestire.

Spesso, quando un individuo sente che un certo argomento lo porta verso una conclusione non gradita, alza questa barriera di rifiuto, solida e impenetrabile, anche a costo di apparire ridicolo. Un meccanismo tanto facile da riconoscere negli altri quanto invisibile in noi stessi, ma che non va né deriso né disprezzato: è una preziosa valvola di sicurezza che consente all’individuo di non impazzire e di non cadere nel disorientamento che gli comporterebbe un’eventualità così difficile da contemplare. È già successo a tutti noi.

Una reazione più che comprensibile per la gente comune, ma non consentita ad un professionista di sicurezza delle informazioni: chiudere gli occhi o voltare la testa dall’altra parte non risolve il problema, perciò non resta che guardarlo in faccia, comprenderlo appieno e adottare le necessarie misure di protezione e prevenzione.

Le infrastrutture critiche nazionali

Al giorno d’oggi intere nazioni sono interamente basate sui computer e sull’automazione industriale. Le infrastrutture critiche nazionali, ovvero trasporti, finanza e servizi primari, operano per mezzo di sistemi di controllo industriale che sfruttano tecnologie informatiche per il controllo sull’erogazione e per il monitoraggio remoto di apparati e servizi.

I sistemi di controllo industriale sono composti da dispositivi programmabili di controllo logico (PLC) per la gestione dei processi industriali, sistemi di controllo distribuito (DCS) per l’elaborazione e l’acquisizione delle informazioni da apparati distribuiti e da sistemi di controllo di supervisione e acquisizione di dati (SCADA) per il monitoraggio e il controllo dei servizi.

Sistemi che sono stati disegnati, prodotti e messi in funzione dieci, venti anni fa o anche prima, in scenari dove la documentazione e le misure di protezione informatica sono da sempre concetti sconosciuti e dove sistemi operativi obsoleti, non aggiornati e non aggiornabili, interfacce di comunicazione antiquate e rozze, scarsa conoscenza informatica e assenza di documentazione tecnica e architetturale costituiscono la normalità. In impianti vecchi di qualche decennio nessuno è più in grado di sapere con certezza a cosa serve un particolare cavo o quale impatto può avere un qualsiasi evento sull’erogazione dei servizi.

Ebbene, la cosiddetta infrastrutture critiche nazionali sono ormai interamente basate su sistemi come quelli descritti e tutto è regolato e controllato per mezzo dell’informatica. Con l’aggravante costituita dalla forte privatizzazione attuata sulle aziende di servizio, di trasporto e sugli istituti finanziari che ha reso pressoché impotenti i governi, i quali non sono più in grado di imporre adeguate misure di sicurezza a tutela della popolazione, se non per mezzo di opportune leggi che sono però molto lontane a venire.

Una minaccia reale

Stando a diverse fonti specializzate, i sistemi industriali sono vulnerabili a numerose tipologie di attacco a causa della relativa obsolescenza tecnologica, del mancato aggiornamento con le necessarie patch di sicurezza, dell’insufficiente ricorso alla protezione perimetrale e antivirus. Il ricorso ad analisi di sicurezza, vulnerability assessment e penetration test è rarissimo e, nei pochi casi in cui si sceglie di realizzare verifiche di sicurezza, i sistemi più critici non vengono toccati per paura di interruzioni di servizio difficilmente gestibili.

Il dramma è che non serve necessariamente una superpotenza mondiale o un’organizzazione di cyber terroristi preparati e pronti a tutto per portare attacchi a sistemi di controllo industriale. Anzi, attacchi con pesanti conseguenze sull’erogazione dei servizi sono ampiamente alla portata di semplici smanettoni, data la relativa facilità di penetrazione e compromissione. Le notizie sulla scoperta di nuove vulnerabilità dei sistemi ICS si susseguono di continuo e, spesso, gli stessi produttori dei sistemi impattati non sono in grado di fornire le necessarie patch di sicurezza.

Ecco le ultime news internazionali sul tema:

• ICS-CERT: Siemens Scalence S Multiple Vulnerabilities;
• Researcher Uncovers More SCADA Zero-Day Flaws;
• Researchers release new exploits to hijack critical infrastructure;
• Rise of “forever day” bugs in industrial systems threatens critical infrastructure;
• #1 ICS and SCADA Security Myth: Protection by Air Gap;
• Hackers tap SCADA vuln search engine;
• U.S. warns of security holes in Chinese SCADA apps;
• SCADA security just got more serious.

Risulta evidente che va data la massima priorità alla protezione dei sistemi di automazione, come auspicato a gran voce dalla Casa Bianca, dal Pentagono, dall’FBI, dal CERT ICS e dal Dipartimento di Sicurezza Nazionale (DHS) degli Stati Uniti. Si parla addirittura di una possibile Pearl Harbor Cibernetica! Molti ingegneri sono a conoscenza del problema, ma il management delle aziende private raramente ravvisa una minaccia immediata, oppure ignora deliberatamente il problema perché intervenire sugli impianti industriali è molto costoso. Ed è tuttora difficile sradicare l’associazione del concetto di sicurezza all’utilizzo di elmetti e scarpe antinfortunistiche, o all’effettuazione di una corretta manutenzione meccanica. In aggiunta, anche gli ingegneri industriali si oppongono all’introduzione di filtri e misure di sicurezza per paura delle possibili ripercussioni sulla disponibilità e l’integrità dei sistemi.

Negli ultimi anni, però, la proliferazione di interfacce web e di accessi remoti, il raro ricorso alla crittografia, nonché la connessione delle reti di controllo industriale alle reti corporate, agli access point wireless e ad Internet in particolare, hanno aumentato considerevolmente l’entità della minaccia e del conseguente rischio che incombe sulle infrastrutture critiche nazionali. E anche per i professionisti della sicurezza non è semplice approcciare e valutare con esaustività i rischi dei sistemi di controllo industriale, perché solo un numero molto ristretto di esperti è in grado di dominarne gli aspetti tecnici e le verifiche strumentali di sicurezza con cognizione di causa e senza generare danni all’operatività.

Il caso Stuxnet ha dimostrato a tutto il mondo che un attacco mirato ai sistemi di controllo industriale è attuabile e può avere conseguenze disastrose come l’indisponibilità prolungata dei servizi primari erogati e possibili decessi umani. Oggi il codice sorgente del worm Stuxnet è disponibile liberamente sul web e non è così difficile riutilizzarlo per generare, con poche modifiche, nuovi worm per nuovi obiettivi.

Sta già succedendo!

A coloro che, giunti a questo punto, restano tuttora scettici sull’eventualità di un scenario da saldi per incendio, devo purtroppo dare un brutta notizia: sta già succedendo. I casi di compromissione e intrusione nei sistemi di controllo industriale sono numerosi e, recentemente, l’attenzione dei cyber criminali si sta progressivamente spostando anche su questo specifico settore.

Di seguito i casi di attacco ad infrastrutture critiche nazionali recentemente diffusi dai media:

• Attacco al Gwinnett Medical Center in Georgia;
• Attacco ai sistemi SCADA in tre diverse città statunitensi;
• Attacco al sistema idrico di Springfield in Illinois;
• Attacco alla segnaletica stradale in Michigan;
• Attacchi alle reti telefoniche aziendali;
• Attacco alla rete elettrica statunitense.

Ed ecco alcune fra le numerose denunce pubbliche in merito alle minacce che incombono sui sistemi ICS:

• Servizi idrici e di energia costantemente sotto attacco (DHS);
• Sempre più infrastrutture critiche sotto attacco (FBI);
• FBI sempre più preoccupata dalla manomissione dei contatori elettrici;
• Obama dichiara il mese della protezione delle infrastrutture critiche;
• Sistemi di controllo degli scambi ferroviari non protetti;
• I rischi nella gestione delle reti intelligenti di erogazione dell’energia elettrica (smart grid);
• I rischi per la segnaletica a pannello variabile delle autostrade;
• Reti ospedaliere a rischio di attacco informatico;
• Sistemi di controllo aereo a rischio di attacco informatico.

Infine, ecco qualche esempio di attacco gentilmente offerto da Max, un giovane cracker olandese che si diletta nell’interagire con sistemi di automazione e PLC organizzando una serie di scherzetti, fortunatamente innocui.

Il video è in lingua olandese, ma sul canale YouTube “maxcornelisse” è possibile consultare diversi filmati singoli con sottotitoli in lingua inglese. Non sono assolutamente certo della genuinità ed affidabilità delle intrusioni presentate, ma esse contribuiscono a rendere l’idea di cosa è possibile fare controllando qualche dispositivo PLC in giro per il mondo.

Conclusioni

Non abbiamo ancora sperimentato un “fire sale attack” perché finora è mancato un insieme organizzato e strutturato di attacchi posti nella corretta sequenza ma, presi singolarmente, praticamente tutti i sistemi di automazione e controllo sono più o meno vulnerabili e possono pertanto contribuire efficacemente alla realizzazione di un simile, tragico, scenario.

I governi sono pressoché impotenti nell’imporre onerose misure di sicurezza ad aziende private concentrate sul massimo profitto e generalmente poco interessate al tema sicurezza. Per quanti sforzi possano fare l’esercito e le forze di polizia, un’efficace gestione di un evento di questa portata è assolutamente impossibile, sia per la vastità che per la variabilità dei possibili scenari d’attacco. L’unica soluzione è investire sulla prevenzione. A partire dai produttori dei sistemi ICS, passando per le aziende che gestiscono infrastrutture NCI, fino all’attuazione di opportune verifiche sul campo da parte delle istituzioni governative di controllo.

Le conseguenze più gravi di uno scenario da saldi per incendio si ripercuoterebbero sulla popolazione, sulla gente comune, soprattutto sui soggetti più vulnerabili: malati gravi, anziani e bambini. Provate ad immaginare un’assenza prolungata per più settimane dei mezzi di trasporto, dei mezzi di comunicazione, di Internet, del denaro contante, della possibilità di reperire alimenti e beni di prima necessità, dell’erogazione di energia elettrica, gas e acqua corrente. Una società fortemente dipendente da questi servizi avrebbe enormi difficoltà nell’affrontare un simile scenario e dubito che nel mondo reale esista un John McClane pronto a risolvere la situazione.

A coloro che volessero approcciare la sicurezza e la protezione dei sistemi di controllo e automazione industriale consiglio vivamente di scaricare il Quaderno Clusit “Introduzione alla protezione di reti e sistemi di controllo e automazione (DCS, SCADA, PLC, ecc.)” scritto nel 2007 dall’esperto del settore Enzo M. Tieghi.

Ettore Guarnaccia