I rischi imprevisti delle infrastrutture intelligenti

Nel 1999 un tecnologo di nome Kevin Ashton coniò il termine "Internet delle cose" per esprimere il fatto che non tutto ciò che è connesso a Internet genera dati a partire da una tastiera su cui digita un essere umano. Oggi, queste "cose" includono parti delle nostre infrastrutture critiche nazionali attraverso i cosiddetti SCADA (Supervisory Control And Data Acquisition) o sistemi ICS (sistemi di controllo industriale). Purtroppo, questi sistemi possono essere altrettanto vulnerabili agli attacchi dei nostri computer portatili.
La sicurezza legata al loro essere nell'ombra ha contribuito a proteggere questi sistemi fino a quando, poco tempo fa, la loro presenza non è diventata evidente ai normali utenti di Internet. Non c'è più modo di nasconderli. Molti sanno che i motori di ricerca come Google, se interrogati con "operatori avanzati", possono rivelare la presenza di certe apparecchiature. E questo è ancora più semplice con motori di ricerca come Shodan, specificamente dedicati a localizzare webcam, router, e così via, ma che possono altrettanto facilmente rivelare i sistemi SCADA.
Neppure la mancanza di una connessione diretta a Internet è garanzia di sicurezza. Di solito, i sistemi di controllo non protetti possono essere raggiunti indirettamente attraverso quella "interfaccia girevole" che è un essere umano indotto a trasferire qualcosa da Internet ai sistemi automatizzati, o viceversa.

Nel 2010 abbiamo potuto constatare come anche la più sicura "paratia stagna" può essere violata: lo abbiamo visto quando l'impianto di arricchimento nucleare iraniano di Natanz è stato infettato con il virus Stuxnet. Sembra che ciò sia avvenuto quando un operatore ha collegato una chiavetta USB infetta a un PC isolato, poi usato per comunicare con i computer interni che monitoravano e controllavano le centrifughe per la produzione di uranio arricchito. Il virus Stuxnet ha causato un cattivo funzionamento delle centrifughe, segnalando contemporaneamente agli operatori che tutto andava bene. Lasciate in giro una chiavetta USB con quello che sembra un gioco gratuito, e sarete sorpresi da quanti utenti lo hanno caricato sul più vicino computer.
A partire da questo incidente c'è stata una crescente consapevolezza che diversi elementi delle infrastrutture critiche nazionali sono altrettanto vulnerabili: queste infrastrutture usano sistemi informatici integrati simili, se non identici, a quelli usati a Natanz. L'idea iniziale era di difendersi da potenziali aggressioni nemiche. Dopo tutto, era un modo semplice per paralizzare un paese senza sparare fisicamente un colpo. Perché lanciare missili se è possibile spegnere le luci e chiudere l'acqua? E' anche molto più economico, tanto da trasformare questa forma di attacco in un grande livellatore, offrendo a piccole nazioni l'opportunità di sferrare colpi di potenza ben superiore al loro peso.
Per un po' c'è stato chi ha sminuito questo tipo di minaccia, affermando che, semplicemente, tutto ciò non poteva accadere. Tra l'altro, quando Stuxnet è messo in circolazione, erano già stati effettuati test presso istituti di ricerca come l'Idaho National Laboratory. Questi test hanno dimostrato che l'accesso ai sistemi SCADA non era in grado di disattivare le apparecchiature da cui noi tutti dipendiamo, ma poteva causarne l'autodistruzione.

Quindi, il cosiddetto embedded computing va tenuto sempre aggiornato e deve essere protetto né più né meno dei nostri computer. Purtroppo, mantenere aggiornati questi sistemi può essere problematico. Paradossalmente, anche se possono essere vulnerabili ad attacchi da remoto, l'aggiornamento del loro software (noto come firmware quando non è accessibile di routine da un computer remoto) può richiedere l'accesso reale ai dispositivi fisici: ci vuole tempo e fatica. Se a questo aggiungiamo la lunga sottovalutazione del rischio di attacchi, ecco che oggi molti sistemi rimangono vulnerabili per periodi significativi, anche dopo averne riscontrato la vulnerabilità.
Gli allarmanti test condotti all'Idaho National Laboratory e l'analisi di Stuxnet hanno mostrato in pieno il potenziale di questo tipo di attacchi, se portati su una scala nazionale. E questo è diventato ancora più evidente quando su Internet sono comparsi nuovi virus, tutti derivati da Stuxnet, insieme a copie dello stesso Stuxnet e a documenti e video su come usarlo. Il fatto che i “figli” di Stuxnet siano emersi così presto ha mostrato una lacuna di questo tipo di arma: è l'unica arma consegnata volontariamente al nemico, che può quindi usarla contro il suo autore. Come nella guerra biologica, prima di rendere pubblica l'arma è bene già disporre di una difesa contro di essa.

Alcuni governi hanno riconosciuto il pericolo e stanno indirizzando i loro centri di ricerca allo studio della minaccia e, si spera, a prepararsi a fronteggiare qualsiasi attacco. Dopo aver dichiarato gli attacchi informatici “una minaccia di livello 1” agli interessi nazionali, il governo britannico ha istituito il Centre for the Protection of Critical National Infrastructure, dedicato ad affrontare le minacce informatiche. Tuttavia, non tutti i paesi sono così previdenti e l'assunzione di questa misura cautelativa è particolarmente difficile nei paesi che non hanno, per esempio, una rete nazionale, o in cui le infrastrutture critiche nazionali sono fornite quasi esclusivamente da imprese private con poca sorveglianza.

Gran parte delle precauzioni prese, se pure sono state adottate, presuppone tra l'altro che la minaccia provenga da Stati nazionali. Ma questi non sono gli unici attori in gioco. Cosa cosa succede se gruppi criminali acquisiscono la capacità di condurre simili attacchi?
Immaginate qualcosa di simile ai diffusi attacchi con ransomware, in cui il computer è bloccato e può essere riattivato solo pagando un "riscatto". Che cosa si può fare per fermare dei criminali che tengano in ostaggio elementi di una nostra infrastruttura nazionale critica? Sta iniziando a emergere la sgradevole prospettiva di un racket della “protezione informatica”. Considerato che i criminali stanno diventando sempre più audaci nelle loro scorrerie su Internet, è qualcosa a cui dobbiamo essere preparati.
Ognuno ha un ruolo da svolgere, non solo il governo. Che sia il contatore intelligente che abbiamo in casa, le macchine usate dai vostri clienti o pazienti, o qualcosa di cui si è responsabili su scala industriale, tutti dobbiamo ricordare che viviamo in un mondo sempre più interconnesso e, talvolta, in comunicazione con "cose" che non avevamo mai nemmeno preso in considerazione.
Per parafrasare John Philpot Curran, la tecnologia ci sta dando un mondo sempre più connesso, ma il prezzo è l'eterna vigilanza.
(Alan Woodward è un esperto in sicurezza informatica, crittografia e steganografia che lavora all'Università del Surrey. La versione originale di questo articolo è apparsa su scientificamerican.com il 24 aprile 2013. Riproduzione autorizzata, tutti i diritti riservati)

http://www.lescienze.it/news/2013/04/29/news/infrastrutture_critiche_attacchi_informatici_sicurezza_minaccia-1633473/

Per essere informato degli ultimi articoli, iscriviti:
Cedistic © 2014 -  Ospitato da Overblog