I sistemi per il controllo industriale esistenti sono stati in gran parte progettati e sviluppati in tempi passati, con criteri di sicurezza che non sono più adeguati per contrastare la dilagante attività dell’industria del crimine. La disponibilità di strumenti di attacco, sempre più sofisticati ed evoluti, non mette a rischio solo le “vecchie” infrastrutture critiche, ma anche tutta l’emergente dimensione d’impresa riferibile all’Industry 4.0.
di Corrado Giustozzi, Head of Cyber Security Team di SELTA *
Il 17 dicembre 2016 a Kiev, capitale dell’Ucraina, si verificò un’importante interruzione nella fornitura dell’energia elettrica: un black-out durato ben 75 minuti, avvenuto senza apparente motivo. La causa tecnica dell’incidente è stata recentemente identificata in un particolare tipo di malware di nuova generazione, il primo a presentare la capacità di colloquiare direttamente coi sistemi di distribuzione dell’energia elettrica sfruttandone nativamente i protocolli di comunicazione. Denominato dai ricercatori Industroyer o CrashOverride, questo malware unisce alle funzioni tipiche dei tradizionali software di attacco per reti IP, la capacità di interagire direttamente con i più diffusi sistemi di controllo industriale del mercato energy, utilizzandone i protocolli nativi. Da un lato, quindi, è capace di aprire backdoor sulla macchina ospite, può collegarsi ad uno o più server di Comando e Controllo mediante connessioni protette (tramite rete Tor), è in grado di rimanere persistente sul sistema ospite e sa come passare inosservato agli antivirus; dall’altro implementa i principali protocolli standard di comunicazione e controllo impiegati nel settore energetico quali IEC 60870-5-101, IEC 60870-5-104, IEC 61850, e OLE for Process Control Data Access (OPC DA), e può quindi interagire direttamente coi sistemi di controllo senza bisogno di sfruttare sistemi intermedi.
La nuova generazione cybercrime
Industroyer è il primo rappresentante di una nuova generazione di software di attacco rivolto al mondo dei sistemi cyber-fisici. L’analisi del suo codice non mostra particolari somiglianze con analoghi malware precedenti, quali quelli denominati BlackEnergy e KillDisk, il che fa pensare che sia un prodotto autonomo frutto di expertise ben specifiche. Tra l’altro chi lo ha sviluppato ha anche inserito nel suo codice dei moduli in grado di attaccare specifici prodotti di mercato: ad esempio è in grado di colpire i sistemi Siemens SIPROTECT con un attacco di tipo Denial of Service ottenuto sfruttando una vulnerabilità di questi apparati nota sin dal 2015 (CVE-2015-5374). Il motivo per cui Industroyer è così micidiale va individuato nel relativo isolamento, sia tecnologico che culturale, di cui hanno goduto i sistemi ICS (Industrial Control System) nel corso degli anni, che li ha fatti evolvere poco ed in un mondo sostanzialmente privo di reali minacce cibernetiche. In passato i sistemi ICS disponevano di semplici logiche di controllo realizzate ad hoc, che venivano implementate mediante microcontrollori programmabili. Date la scarsa potenza di calcolo e la limitata capacità di comunicazione di questi oggetti, i relativi protocolli di comunicazione sono stati creati in modo da essere estremamente semplici ed efficienti. E dato che i relativi sistemi dovevano agire in contesti di isolamento da ogni altra rete, nei protocolli non è stata inserita per semplicità alcuna funzione di sicurezza intrinseca quale ad esempio quella di “autenticazione”, “autorizzazione”, “protezione del dato”. Oggi le cose non stanno più così.
Il motivo per cui Industroyer è così micidiale va individuato nel relativo isolamento, sia tecnologico che culturale, di cui hanno goduto i sistemi ICS (Industrial Control System) nel corso degli anni, che li ha fatti evolvere poco ed in un mondo sostanzialmente privo di reali minacce cibernetiche. Oggi le cose non stanno più così.
Le vulnerabilità degli ambienti OT
Gli attuali ICS sono sempre più realizzati mediante specializzazioni di sistemi a microprocessore su cui girano sistemi operativi standard, mentre le reti cui appartengono non sono più “air-gapped” ma connesse a tante reti IT, se non addirittura raggiungibili direttamente da Internet. Non solo, i protocolli che ne regolano l’interazione sono ancora quelli di una volta, privi di sicurezza intrinseca, e manipolandoli non si ottengono solo effetti di tipo logico, quali la corruzione di un file o la cancellazione di un dato: si possono aprire valvole, chiudere interruttori, attivare motori. Nel dominio dei sistemi cyber-fisici gli effetti di un attacco cibernetico si riflettono perciò direttamente sul mondo fisico e i danni sono reali, tangibili e potenzialmente pericolosi per la stessa vita umana. A differenza del mondo dei sistemi IT, intervenire sui sistemi OT per sanare le vulnerabilità non è generalmente facile. Innanzitutto, un sistema di controllo industriale di norma non si può arrestare, e quindi il suo software di base non viene quasi mai aggiornato; inoltre non si può correre il rischio che qualche processo si blocchi o anche semplicemente venga rallentato. Ne consegue, quindi, che in un ambiente di produzione o di infrastrutture critiche non è possibile installare antivirus o software di sicurezza locali sulle macchine di controllo, né apparati di sicurezza attiva quali IDS/IPS sulle reti di connessione. Ecco perché è così comune trovare ancora oggi impianti o sistemi di controllo che utilizzano sistemi IT di supporto obsoleti quali Windows XP o addirittura precedenti. Anche aggiornare i protocolli di comunicazione obsoleti con versioni più moderne e sicure non è sempre una soluzione praticabile. E’ infatti probabile che questi ultimi non siano in grado di girare su hardware preesistente – vecchio di anni o decine di anni – e prevederne la sostituzione significa andare a incidere su costi che non sono ancora stati ammortizzati.
A differenza del mondo dei sistemi IT, intervenire sui sistemi OT per sanare le vulnerabilità non è generalmente facile. Innanzitutto, un sistema di controllo industriale di norma non si può arrestare, e quindi il suo software di base non viene quasi mai aggiornato; inoltre non si può correre il rischio che qualche processo si blocchi o anche semplicemente venga rallentato
Cybersecurity, una questione di importanza primaria
E’ un tema, quello della cybersecurity, che interessa ormai la società nel suo complesso poiché il funzionamento e la gestione dei servizi dipendono sempre più da sistemi intelligenti. Proprio per questo, e per fortuna, la sensibilità internazionale è in aumento. La Direttiva Europea sulla sicurezza delle reti e dell’informazione (brevemente chiamata Direttiva NIS), emanata lo scorso anno e di obbligatoria attuazione entro la prima metà del 2018, obbliga ad esempio tutti gli Stati Membri adattuare contromisure che innalzino la sicurezza di molti comparti critici, tra cui ovviamente quello industriale . Ma tanto va ancora fatto, ad esempio nel migliorare le modalità di progettazione e sviluppo dei nuovi prodotti della “Internet delle Cose” (IoT) inserendo nel loro ciclo di vita i concetti di “security by design” e “security by default” che al momento mancano del tutto. La sicurezza degli oggetti “smart” è fondamentale, e va affrontata in modo sistemico e generalizzato se non vogliamo finire con l’affidare la gestione delle nostre città a sistemi estremamente fragili e vulnerabili.
* Corrado Giustozzi è attualmente Responsabile del Team di Cybersecurity di SELTA . E’ esperto di sicurezza cibernetica presso l’Agenzia per l’Italia Digitale per lo sviluppo del CERT della Pubblica Amministrazione, componente del Permanent Stakeholders’ Group dell’Agenzia dell’Unione Europea per la Sicurezza delle Reti e delle Informazioni (ENISA) e componente del Consiglio direttivo di Clusit. Membro di varie associazioni scientifiche e tecniche, componente di molteplici comitati scientifici, docente presso varie Università sui temi della cybersecurity e della criminalità informatica, collabora da molti anni con le forze dell’ordine nel contrasto al cybercrime ed al cyberterrorismo e svolge inoltre un’intensa attività di divulgazione culturale della materia tenendo frequentemente conferenze e seminari specialistici. Ha al suo attivo oltre mille articoli e quattro libri.
SELTA, Prodotti e servizi di cybersecurity
SELTA è un marchio leader nel mercato dei sistemi e soluzioni infrastrutturali per il settore delle telecomunicazioni e dell’automazione, in particolare nel campo delle reti energetiche. Vanta decenni di esperienza nel delicato settore della fornitura di sistemi e servizi per le infrastrutture critiche nazionali, soluzioni che si sono da sempre caratterizzate per essere innovative e Made in Italy in quanto progettate, sviluppate e costruite nei due centri di R&D e produzione di Cadeo (PC) e Tortoreto (TE).
Nel settore della sicurezza SELTA è presente da anni con una propria divisione dedicata. Inizialmente operativa nell’ambito della Difesa, con il crescere della consapevolezza verso l’aumento della minaccia cibernetica, la struttura è stata ulteriormente sviluppata fino a diventare un importante centro di competenza nazionale per la cybersecurity nel mondo non solo militare, ma anche industriale e civile.
Unendo le proprie competenze in questi settori, SELTA è oggi in una posizione privilegiata per poter offrire prodotti e servizi di cybersecurity unici nel mondo dell’automazione e controllo, grazie a un know-how che spazia dalla profonda conoscenza progettuale e operativa dei sistemi RTU e SCADA, all’estesa esperienza nell’analisi e gestione del rischio cyber in ambienti ad elevata criticità. Non solo prodotti intrinsecamente cyber-sicuri, quindi, ma anche servizi di consulenza per l’analisi dei rischi, i test di vulnerabilità e la messa in sicurezza dei sistemi di controllo, ad esempio in ottica di innalzamento dei livelli di protezione secondo quanto previsto dalla Direttiva Europa NIS di recente introduzione.
In un mondo che va ormai rapidamente verso l’Industry 4.0 e la progressiva affermazione di soluzioni “smart” per l’economia nazionale e il benessere dei cittadini, SELTA ha infine sviluppato una completa offerta per il mondo IoT derivata dalla duplice esperienza in ambito automazione e telecomunicazioni, che associa versatilità, protezione, affidabilità, facilità di gestione al concetto esclusivo di Unified Communications of Everythings (UCOE).