4653 Letture

Stuxnet: quando la minaccia arriva nel mondo reale

Di Stuxnet si è cominciato a parlare all'inizio dello scorso mese di luglio. Su IlSoftware.it abbiamo più volte affrontato l'argomento (ved. questi articoli) registrando le opinioni di alcuni esperti ed evidenziando le principali caratteristiche del malware.
Torniamo sull'argomento pubblicando un'intervista ad Antonio Forzieri, Security Evangelist di Symantec, che ha evidenziao come la nuova minaccia dalle reti corporate sia passata a colpire i sistemi di controllo industriali.

"E' un virus - spiega Antonio Forzieri, Security Evangelist di Symantec - e questa è la parte più semplice del problema. Perché è un virus che rispecchia in pieno le tendenze di cui da tempo parliamo".
Stuxnet, in sostanza, è la dimostrazione pratica che gli attacchi stanno cambiano fisionomia: da attacchi di massa, studiati per colpire nel mucchio il maggior numero di individui, si passa agli attacchi mirati, che colpiscono bersagli molto specifici.
"Non solo - prosegue Forzieri - parliamo di un attacco con un livello di sofisticazione molto elevato, per la cui realizzazione sono stati spesi molto tempo e molti soldi: firme digitali, zero day importanti, alcuni dei quali ancora sconosciuti, conoscenza dei sistemi attaccati, nello specifico i sistemi Siemens e i Plc".


Già, perché la peculiarità di Stuxnet, che viene accreditato come nato in Israele, è quella di attaccare i sistemi di controllo delle infrastrutture, costituendo così una minaccia per le "cose reali", potenzialmente nei settori Power ed Energy e nelle utilities in generale.
"Stuxnet è la prova concreta della volontà di colpire un determinato settore, una determinata zona o di una determinata azienda. E della capacità di riuscire a farlo. Il sistema, che sicuramente è partito da una rete corporate, è andato a colpire reti Scada, vale a dire le reti dei sistemi di controllo delle infrastrutture. Stuxnet, utilizza un rootkit firmato e introduce un codice nei sistemi Plc, potendo dunque alterare e controllare sistemi Scada".
Potenzialmente, ad esempio, da un sistema infettato in una utility si potrebbero comandare aperture o chiusure di valvole e flussi.

Stuxnet, in effetti, si inserisce in un mondo che fino a qualche tempo fa era considerato e in ogni caso viveva del tutto separato dai problemi che affliggevano le reti corporate. Erano due mondi separati, uno dei quali viveva di sistemi e controlli proprietari.
"Questo quadro appartiene però al passato. Perché anche le reti Scada sono nel frattempo evolute, parlano su Tcp/Ip e finiscono per essere esposte agli stessi problemi delle reti corporate".
I rimedi, in effetti, esistono già.
"Sono le tecniche di reputation, le soluzioni di protezione delle informazioni, quelle di data loss prevention, il controllo dei dispositivi, delle conformità, delle configurazioni di rete. Nulla che non sia stato già in qualche misura affrontato, ma che oggi deve forse fare i conti con nuovi interlocutori".


In effetti, laddove nelle reti corporate esiste un Cso, un security officer, per le reti Scada a volte manca una figura parallela o il gruppo è ancora in via di costituzione. Ed è ora che si inizi a farlo.

www.01net.it

  1. Avatar
    kijio
    02/10/2010 12:35:37
    Non capiro' mai le paure generate da sistemi di intrusione legati al singolo s.o. windows. Chi ha progetti importanti e ci tiene alla sicurezza non usa microsoft! Aggirare i sistemi di protezione di un'accozzaglia di elementi che definiscono il "registro di sistema" non e' questione di se ma solo di quando. Sono a mio avviso piu' pericolosi i sistemi di social eng. che hanno bisogno di preparazioni elevate sotto un sacco di aspetti e certamente piu' vicini allo spionaggio industriale di alto livello, che non il nerd (bravissimo per quanto lo si possa definire) che riesce a indirizzare un serie di istruzioni di un sistema di per se' "bacato" verso una certa direzione. L'unico giustificativo per un'azienda di scegliere il commerciale (e non un s.o. che si puo' blindare pesantemente con sorgenti aperti, esempio un bel kernel "rifatto" e monolitico, protocolli creati ex-novo, etc.) e' che le mazzette hanno priorità sulla professionalita', e quindi con una bella "donnina" al night e una bella bustarella si arriva piu' facilmente la' dove un improbabile uomo in calzamaglia alla "mission impossbbbooll" entra con in mano la chiavetta con dentro un avveneristico "virus mutante trasgenico intelligente". Ma secondo voi ... si fa prima a pagare 2 milioni di eurI per avere il progetto segreto della concorrenza pagando un amministratore di sistema della ditta concorrente o pagarne 2 per 1o-creare un sistema criptato che funzioni da b.d. 2o-fare in modo che tale programma sia inserito nella intranet aziendale 3o-avere un server di appoggio criptato per acquisire le informazioni inviate da detto sistema 4o-ovviamente pagare il personale per creare e mantenere su tutta sta combriccola- ???? secondo me si fa prima a creare qualcosa di "simpatico" alla "Cult of Death Cow" e poi spacciarla come "minaccia globale" e vendere antivirus a iosa! Chi usa windows come me e voi, che non ha "segreti industriali" deve avere una sola paura: la perdita dei dati. La soluzione e' semplice - ricordarsi di fare un bel bk ogni tanto!- si prende un bel softw. open o commerciale ... e via di dvd e/o h.d. ! il resto a mio avviso e' solo fuffa (cosa che non lo e' per venditori di antivirus ed ovviamente niubbi)!.
Stuxnet: quando la minaccia arriva nel mondo reale - IlSoftware.it