Stuxnet è un malware molto anomalo.
Si propaga con i sistemi standard dei worm, ma non invia spam, non cancella i file, non inserisce il nome della ex nel sistema… Stuxnet è stato creato per assumere il controllo di alcuni sistemi SCADA e, opzionalmente per riprogrammare i PLC.
L’obiettivo di Stuxnet sono i sistemi di controllo industriale WinCC/PCS7 di Siemens, che ha diffuso un bollettino con delle patch per SIMATIC. Gli SCADA di Siemens sono probabilmente quelli più diffusi e si trovano sia nei grandi impianti sia in quelli relativamente semplici.
Fino a qualche anno fa gli SCADA vivevano in un mondo indipendente, servivano solamente a controllare il processo industriale e i sistemi Siemens erano programmabili solamente attraverso interfacce seriali o proprietarie.
In seguito anche i sistemi di controllo dei PLC sono stati dotati di una porta ethernet con uno stack TCP/IP e gli SCADA dialogano con altri sistemi informatici per acquisire o restituire i dati di produzione. In poche parole, sono stati messi in rete anche loro.
In alcune realtà gli SCADA sono posti dietro un firewall abbastanza cattivo, ma spesso sono dei banali PC della LAN office o della LAN di produzione in cui si trovano anche dei normali computer utilizzati per le attività giornaliere di ufficio con le porte USB attive.
Inoltre i tecnici che programmano e fanno manutenzione agli impianti hanno necessariamente un portatile con cui visitano vari clienti.
Per completare il quadro, il 99% dei PC su cui girano i sistemi di controllo non ha abilitato WindowsUpdate per varie ragioni tra cui l’assenza di connessione diretta a Internet, la qualifica del PC (in alcune realtà ogni aggiornamento o modifica devono essere valutati, testati e documentati), la ritrosia da parte dei responsabili (“non aggiustare quello che funziona!”). È, quindi, evidente che Stuxnet (o qualsiasi altro malware) ha vita facile a propagarsi in questo ambiente perché deve solamente scegliere quale vulnerabilità nota vuole sfruttare.
Le soluzioni a questo tipo di problemi ci sono, ma sono, in ultima analisi, costose. L’installazione di un antivirus, benché sia la prima idea che potrebbe venire in mente potrebbe essere anche la meno efficace: i PC di gestione sono spesso vecchi e poco carrozzati e potrebbero non avere la connessione costante a Internet e, quindi, si avrebbe una falsa sicurezza perché si aggiungerebbe un antivirus poco aggiornato ad un sistema operativo altrettanto non aggiornato.
Una possibile linea d’azione potrebbe passare per la virtualizzazione basata su sistemi host Linux e con macchine virtuali dotate di auto-rollback ad ogni boot, ma è molto più difficile di quel che si possa immaginare.
Aggiornamento 2/10/2010 08:30 – Il blog di F-Secure ha pubblicato una serie di domande e risposte sul tema.
Lascia un commento