A colloquio con Antonio Forzieri, security Evangelist di Symantec, sulla nuova minaccia che dalle reti corporate è passata a colpire i sistemi di controllo industriali.
Di Stuxnet si è cominciato a parlare all’inizio dello scorso mese di luglio.
”E’ un virus – spiega Antonio Forzieri, Security Evangelist di Symantec – e questa è la parte più semplice del problema. Perché è un virus che rispecchia in pieno le tendenze di cui da tempo parliamo”.
Stuxnet, in sostanza, è la dimostrazione pratica che gli attacchi stanno cambiando fisionomia: da attacchi di massa, studiati per colpire nel mucchio il maggior numero di individui, si passa agli attacchi mirati, che colpiscono bersagli molto specifici.
”Non solo – prosegue Forzieri – parliamo di un attacco con un livello di sofisticazione molto elevato, per la cui realizzazione sono stati spesi molto tempo e molti soldi: firme digitali, zero day importanti, alcuni dei quali ancora sconosciuti, conoscenza dei sistemi attaccati, nello specifico i sistemi Siemens e i Plc”.
Già, perché la peculiarità di Stuxnet, che viene accreditato come nato in Israele, è quella di attaccare i sistemi di controllo delle infrastrutture, costituendo così una minaccia per le “cose reali”, potenzialmente nei settori Power ed Energy e nelle utilities in generale.
”Stuxnet è la prova concreta della volontà di colpire un determinato settore, una determinata zona o di una determinata azienda. E della capacità di riuscire a farlo. Il sistema, che sicuramente è partito da una rete corporate, è andato a colpire reti Scada, vale a dire le reti dei sistemi di controllo delle infrastrutture. Stuxnet, utilizza un rootkit firmato e introduce un codice nei sistemi Plc, potendo dunque alterare e controllare sistemi Scada”.
Potenzialmente, ad esempio, da un sistema infettato in una utility si potrebbero comandare aperture o chiusure di valvole e flussi.
Stuxnet, in effetti, si inserisce in un mondo che fino a qualche tempo fa era considerato e in ogni caso viveva del tutto separato dai problemi che affliggevano le reti corporate. Erano due mondi separati, uno dei quali viveva di sistemi e controlli proprietari.
”Questo quadro appartiene però al passato. Perché anche le reti Scada sono nel frattempo evolute, parlano su Tcp/Ip e finiscono per essere esposte agli stessi problemi delle reti corporate”.
I rimedi, in effetti, esistono già.
”Sono le tecniche di reputation, le soluzioni di protezione delle informazioni, quelle di data loss prevention, il controllo dei dispositivi, delle conformità, delle configurazioni di rete. Nulla che non sia stato già in qualche misura affrontato, ma che oggi deve forse fare i conti con nuovi interlocutori”.
In effetti, laddove nelle reti corporate esiste un Cso, un security officer, per le reti Scada a volte manca una figura parallela o il gruppo è ancora in via di costituzione. Ed è ora che si inizi a farlo.
