Stuxnet e la protezione dei sistemi industriali

Stuxnet è un malware molto anomalo. Si propaga con i sistemi standard dei worm, ma non invia spam, non cancella i file, non inserisce il nome della ex nel sistema… Stuxnet è stato creato per assumere il controllo di alcuni sistemi SCADA e, opzionalmente per riprogrammare i PLC.

Controllo siluri / Torpedo consoleStuxnet è un malware molto anomalo.

Si propaga con i sistemi standard dei worm, ma non invia spam, non cancella i file, non inserisce il nome della ex nel sistema… Stuxnet è stato creato per assumere il controllo di alcuni sistemi SCADA e, opzionalmente per riprogrammare i PLC.

L’obiettivo di Stuxnet sono i sistemi di controllo industriale WinCC/PCS7 di Siemens, che ha diffuso un bollettino con delle patch per SIMATIC. Gli SCADA di Siemens sono probabilmente quelli più diffusi e si trovano sia nei grandi impianti sia in quelli relativamente semplici.

Fino a qualche anno fa gli SCADA vivevano in un mondo indipendente, servivano solamente a controllare il processo industriale e i sistemi Siemens erano programmabili solamente attraverso interfacce seriali o proprietarie.

In seguito anche i sistemi di controllo dei PLC sono stati dotati di una porta ethernet con uno stack TCP/IP e gli SCADA dialogano con altri sistemi informatici per acquisire o restituire i dati di produzione. In poche parole, sono stati messi in rete anche loro.

In alcune realtà gli SCADA sono posti dietro un firewall abbastanza cattivo, ma spesso sono dei banali PC della LAN office o della LAN di produzione in cui si trovano anche dei normali computer utilizzati per le attività giornaliere di ufficio con le porte USB attive.

Inoltre i tecnici che programmano e fanno manutenzione agli impianti hanno necessariamente un portatile con cui visitano vari clienti.

Per completare il quadro, il 99% dei PC su cui girano i sistemi di controllo non ha abilitato WindowsUpdate  per varie ragioni tra cui l’assenza di connessione diretta a Internet, la qualifica del PC (in alcune realtà ogni aggiornamento o modifica devono essere valutati, testati e documentati), la ritrosia da parte dei responsabili (“non aggiustare quello che funziona!”). È, quindi, evidente che Stuxnet (o qualsiasi altro malware) ha vita facile a propagarsi in questo ambiente perché deve solamente scegliere quale vulnerabilità nota vuole sfruttare.

Le soluzioni a questo tipo di problemi ci sono, ma sono, in ultima analisi, costose. L’installazione di un antivirus, benché sia la prima idea che potrebbe venire in mente potrebbe essere anche la meno efficace: i PC di gestione sono spesso vecchi e poco carrozzati e potrebbero non avere la connessione costante a Internet e, quindi, si avrebbe una falsa sicurezza perché si aggiungerebbe un antivirus poco aggiornato ad un sistema operativo altrettanto non aggiornato.

Una possibile linea d’azione potrebbe passare per la virtualizzazione basata su sistemi host Linux e con macchine virtuali dotate di auto-rollback ad ogni boot, ma è molto più difficile di quel che si possa immaginare.

Aggiornamento 2/10/2010 08:30Il blog di F-Secure ha pubblicato una serie di domande e risposte sul tema.

Autore: Luigi Rosa

Consulente IT, sviluppatore, SysAdmin, cazzaro, e, ovviamente, geek.

11 pensieri riguardo “Stuxnet e la protezione dei sistemi industriali”

  1. Una possibile linea di azione sarebbe non usare windows per queste applicazioni, ma si sa che e` impossibile, siamo in un mondo infestato da windows in ogni possibile buco. A scuola (istituti tecnici) gli studenti hanno windows, solo windows, niente altro che windows. E imparano VB, .NET, e niente altro. Quindi i programmatori di domani (e di oggi) entrano nel mondo del lavoro conoscendo solo Windows, e visto che le aziende vogliono programmatori che costino pochissimo, assumono ragazzini di 19 anni senza esperienza, e si trovano persone che sanno usare solo windows. E M$ se la ride!

  2. Avevo poi letto anche una interessante dissertazione dietrologica, che supponeva che questo worm fosse stato fatto per attaccare le centrali nucleari iraniane, in quanto era molto specifico e sembrava essere stato studiato per attaccare uno specifico tipo di impianto… anche se ci sono persone che hanno detto che non avrebbe potuto funzionare, nei commenti all’articolo. Leggetelo, e` interessante.

    http://www.theregister.co.uk/2010/09/22/stuxnet_worm_weapon/

  3. Ho deliberatamente evitato le ipotesi cospirazioniste, di cyberwar o altro perche’ tanto ne parlano tutti gli altri 😉

    Per molti il problema “qui e ora” e’ il fatto di avere dei PC di produzione che “non si possono” aggiornare e che potrebbero essere vittime di attacchi.

    1. Concordo. Il problema e` che se lo sono cercato, usando windows per una cosa cosi` “delicata”. Anche io ho macchine in produzione che non si toccano perche` “quando va che tanto basta non toccar che poi si guasta”, ma almeno usano un sistema meno bacato.

  4. Non per difendere MS ma Linux non è la soluzione ai bug, anche Linux ne ha e deve essere aggiornato… ed anche li aggiornando spesso le cose smettono di funzionare! Inoltre riguardo a VB.NET, con le opportune accortezze si può far girare il tutto su Linux con Mono. La grande piaga dei sistemi Windows è il fatto che ntutti lo usano ma nessuno ha le competenze giuste in ambito di sicurezza, stop.

  5. Pingback: Cyberw

Spazio per un commento