skip to main | skip to sidebar
31 commenti

Stuxnet, si accumulano gli indizi: se non per colpire una centrale nucleare, a cosa serviva un attacco così mirato?

L'articolo è stato aggiornato dopo la pubblicazione iniziale. Ultimo aggiornamento: 2010/12/01.

Symantec ha pubblicato un'analisi approfondita del virus/worm Stuxnet, sospettato di essere un attacco informatico costruito su misura per sabotare le centrali nucleari iraniane. Gli indizi si accumulano: Stuxnet agisce soltanto se il sistema di controllo industriale è dotato di convertitori di frequenza di due particolari marche e usa specifiche marche di moduli di comunicazione. Non solo: Stuxnet interviene soltanto se i convertitori di frequenza pilotano motori a velocità molto elevate. Per esempio le velocità delle centrifughe di un impianto per l'arricchimento dell'uranio. A parte le centrali nucleari, quali altri sistemi industriali utilizzano apparati del genere?

Symantec ha anche descritto il metodo di funzionamento di Stuxnet: l'attacco modifica le frequenze di uscita e quindi le velocità dei motori per brevi periodi nell'arco di mesi, sabotando così il normale funzionamento del processo industriale controllato dai PLC presi di mira. Il rapporto tecnico aggiornato è qui.

Grazie a Luigi e a Siamogeek.com per la segnalazione.


2010/12/01 - L'Iran ammette: Stuxnet ha colpito sistemi nucleari


Il 29 novembre il presidente iraniano Ahmadinejad ha ammesso che Stuxnet ha danneggiato alcune centrifughe per l'arricchimento dell'uranio, secondo quanto riportato per esempio da The Register.
Invia un commento
I commenti non appaiono subito, devono essere tutti approvati da un moderatore. Lo so, è scomodo, ma è necessario per tenere lontani scocciatori, spammer, troll e stupidi: siate civili e verrete pubblicati qualunque sia la vostra opinione; gli incivili di qualsiasi orientamento non verranno pubblicati, se non per mostrare il loro squallore.
Inviando un commento date il vostro consenso alla sua pubblicazione, qui o altrove.
Maggiori informazioni riguardanti regole e utilizzo dei commenti sono reperibili nella sezione apposita.
NOTA BENE. L'area sottostante per l'invio dei commenti non è contenuta in questa pagina ma è un iframe, cioè una finestra su una pagina di Blogger esterna a questo blog. Ciò significa che dovete assicurarvi che non venga bloccata da estensioni del vostro browser (tipo quelle che eliminano le pubblicità) e/o da altri programmi di protezione antimalware (tipo Kaspersky). Inoltre è necessario che sia permesso accettare i cookie da terze parti (informativa sulla privacy a riguardo).
Commenti
Commenti (31)
Secondo me, più che di un attacco vero e proprio, si tratta di una prova tecnica e non necessariamente da parte del "nemico occidentale".
Può essere, ad esempio, una prova di utilizzo militare dei virus informatici attraverso internet per verificare fino a che punto possono essere efficaci attacchi di questo tipo (cioè attacchi "automatici" in cui è il software virale che deve trovare la strada fino al bersaglio senza altro aiuto esterno eccetto la sua "iniezione" nella rete"); oppure un test degli iraniani per verificare la sicurezza dei loro sistemi di fronte a un attacco informatico attraverso internet.
Penso che se si fosse voluto attaccare davvero una centrale iraniana, considerando che le apparecchiature per la gestione della stessa sono "occidentali", sarebbe stato più logico infettare i PLC o altri software prima della consegna agli iraniani.
Ci sono diversi processi industriali che utilizzano motori a velocità elevate, non necessariamente centrali di raffinamento del combustibile nuclare. Il fatto che il virus cerchi solo apparati specifici prodotti da determinati produttori è però sicuramente indice che si prende di mira un impianto (od un tipo di impianti) in particolare, di cui si conoscono molto bene le specifiche, sia di progetto che costruttive.
Credo ci sia un errore di concordanza: "Stuxnet interviene soltanto se i convertitori di frequenza pilotano motori a velocità molto elevate. Per esempio quelle delle centrifughe". Va concordato con motori, o con velocità?
@Accademia

Credo che la frase sarebbe più corretta se fosse:

"Per esempio a quelle delle centrifughe"

Per non appesantire troppo io concorderei con "velocità", e metterei una virgola, o un punto e virgola, al posto del punto.
@Pjt

È vero che i convertitori di frequenza sono utilizzati in moltissimi campi, ma come osserva Symantec ( http://www.symantec.com/connect/blogs/stuxnet-breakthrough ) frequenze così alte (807-1210 Hz) sono difficilmente utilizzate per semplici nastri trasportatori, e ad esempio negli Stati Uniti l'esportazione di convertitori di frequenza a più di 600 Hz è controllata dalla Nuclear Regulatory Commission, proprio perché possono essere usati nel processo di arricchimento dell'uranio.

Mi permetto anche di ricordare la teoria (peraltro ripresa da Bruce Schneier) per cui questo virus potrebbe essere un messaggio, un po' come una bomba: solo il mittente e il destinatario sono in grado di comprenderla, e tipicamente il messaggio è: "attento a quello che fai, perché sono in grado di fare questo".

Un'altra teoria (non troppo cospirazionista) è che sia un attacco a Siemens, che in effetti pare si sia trovata in imbarazzo durante la stipula di alcuni contratti in Cina.
AdP,

Va concordato con motori, o con velocità?

Velocità. Sistemo per chiarezza.
Ma è sempre il virus delle icone?
Mi rendo conto che questa cosa è “pericolosa” per una serie di motivi, e soprattutto per le implicazioni derivanti dall’esistenza di un virus simile, ma non posso fare a meno di sentire un brivido di “ammirazione” per aver messo in piedi un progetto simile. Il fatto, poi, che sia esistito ed abbia viaggiato per la rete almeno da un anno prima della sua scoperta, rende tutto ancora più incredibile.
Rimane la perplessità per l’utilizzo di WINDOWS (mamma mia) per il sistema di controllo di una centrale nucleare...
Come però riporta il pdf linkato, difficilmente i computer che controllano le centrali nucleari sono collegati ad internet (e vorrei ben vedere).
L’infezione, perciò, è verosimilmente avvenuta via dischi removibili o altri metodi simili, e quando stuxnet è stato scoperto, l’attacco era già stato portato a termine.
Insomma, notevole... e inquietante.
@Alexandre: "Rimane la perplessità per l’utilizzo di WINDOWS (mamma mia) per il sistema di controllo di una centrale nucleare..."
Siccome con sistemi Siemens ci lavoro tutti i giorni, devo confermarti che PCS7 di Siemens gira SOLO su sistemi Windows; che sia bene o male lo lascio decidere ad altri, ma e' cosi', e noi sviluppatori dobbiamo farci i conti ogni giorno.
"L’infezione, perciò, è verosimilmente avvenuta via dischi removibili o altri metodi simili"
Certo! Non e' stata la prima, temo non sara' l'ultima.
Le altre infezioni avevano solo avuto meno visibilita' mediatica, e meno scalpore. Ricordo che i sistemi infettati non hanno raggiunto la cifra di 50, e quindi e' e rimane un'infezione ridicola. Fa scalpore il TIPO di impianti coinvolti.
OT

Ho visto che Paolo, quando riceve una donazione, segnala il nickname di chi gliela fa, ma come fa se nel form vanno inseriti nome e cognome reali? Lui li vede? O bisoggna mettere il nick nel campo descrizione così lui capisce?

Ho letto la guida ma non sono mica sicuro di aver capito :D
Non so se avete letto il rapporto di 64 pagine (quello del penultimo link del post di Paolo), ma vi posso assicurare che è stata un'esperienza interessantissima! Mi sembrava di leggere un romanzo di spionaggio: centro di comando, simulazioni con PLC reali, controllo qualità, uso di numerosi exploit one-day, tempi lunghissimi di gestione, effetti collaterali...
Insomma, ci si potrebbe fare un film, leggendo tra le righe e romanzando appena un pochino questa storia incredibile.
E poi ho provato una grande invidia per quei tre autori del rapporto che hanno eseguito un'indagine interessantissima. E pensare che saranno anche pagati profumatamente per fare un lavoro che non gli sembrerà nemmeno di faticare! Grazie Paolo per questa segnalazione!
Paolo, ti rigiro questo articolo da Repubblica, facci sapere che ne pensi!!!! :)

http://www.repubblica.it/scienze/2010/11/17/news/cern_antimateria-9209385/?ref=HREC1-5

Sara
@frankbat
Beh oddio “certo” mica tanto. Vuol dire che qualcuno ha usato dischi infetti per diffondere il virus, quindi, a meno che non si sia trattato di un’infezione volontaria (possibilissimo), significherebbe che il livello di sicurezza non è poi ‘sto granché. Secoli fa ero amministratore di sistemi e la gente si becca i virus piú stupidi dell’universo, mi ricordo che metá degli uffici installava screen saver infetti, nella piú completa ignoranza e allegria.
Si è ristretto l’accesso e la possibilitá di effettuare modifiche, e c’é stato un sollevamento popolare perché i laboriosi impiegati della Telecom Italia non potevano giocare e installare le loro cagate piene di virus (facevo questo lavoro per conto di un’impresa privata, non sono mai stato dipendente Telecom, mene vergognerei troppo).
Ora, era l’epoca in cui Telecom era privata e nessuno faceva una ceppa. Capisco che utenti ignoranti causino danni in maniera piú o meno inconsapevole.
Ma se non si è trattato di un’infezione volontaria (che avrebbe comunque senso), ritengo piuttosto preoccupante che si usino dischi infetti senza controllarli in una centrale nucleare.
Certo all’epoca probabilmente gli antivirus nemmeno rilevavano stuxnet, ma mi aspetterei piú attenzione nella gestione di una centrale nucleare... brrr...


aggiungo un articolo

http://www.richardsilverstein.com/tikun_olam/2010/09/25/iran-confirms-stuxnet-damage-to-nuclear-facilities/
Faccio solo una precisazione, credo degna di quelle di Accademia dei pedanti.
Una "centrale nucleare" è considerata una centrale elettrica, mentre l'IMPIANTO nucleare attaccato era per l'arricchimento dell'uranio. Si parla di centrifughe, giusto ? Centrifughe ad alta velocità in una centrale elettrica non ce ne sono.

Per chi si preoccupa che Windows controlli una centrale nucleare, faccio notare che tantissime centrali elettriche, da quelle impresenziate (i piccoli impianti idroelettrici da 300 kW), alle grandi centrali termoelettriche (1000 MW), usano Windows.
Dato che i server impiegati non devono eseguire decine di programmi ma solo quello di gestione fornito dal costruttore o comunque dal fornitore, è decisamente più importante che quest'ultimo sia scritto bene.
Di questo aspetto se ne era già pralto in maniera più seria nei commenti del vecchio articolo.
Giusto, giusto, impianto nucleare.
E grazie per la precisazione. Avendo una lunga esperienza con windows, diciamo che anche le migliori versioni quali xp-7 non sono esenti da bachi preoccupanti che mi preoccupano un po' se usate in stabilimenti che controllano materiali radioattivi, ecco.
questi americani cattivi..
i soliti complottisti!
Secondo me è un attacco di un concorrente (cinese?) di quei 2 produttori.
Il caso che abbia colpito la strumentazione della centrale iraniana se è voluto, lo è solo per cercare di ottenere più pubblicità possibile.

Non vedo un tentativo diretto di danneggiare il programma nucleare iraniano. Questo di primo acchito, poi appena leggerò il PDF lincato magari gli indizi a tal proposito sono molto più gravi.
@Alexandre
Se usano Linux ti sentiresti più sicuro ? E perché non OpenBSD ? Tenendo tutto semre con un programma di supervisione che ha le stesse problematiche che su windows, naturalmente
@Pjt e Gc

Il messaggio potrebbe essere:

"Puoi farlo in pochi modi e, privo della tecnologia di base, devi obbligatoriamente passare per alcune strettoie che conosco, posso aspettarti lì, e lì sei un pipistrello che sfida un leone in una gara di rutti."

Naturalmente la mia è solo un'ipotesi fra tante.
Io so per certo che anche molti sistemi avionici integrati girano sotto windows 2000 o NT. Su un noto elicottero di produzione italo inglese (ma nato come progetto italo americano,) tutta l'avionica integrata, di produzione Honeywell, è gestita da 2 MAU (in pratica due computer)che viaggiano sotto winzoz... Visto che gestiscono dall'autopilota, alle telecamere esterne, agli apparati radio, mi aspetto sempre che un giorno tutti i monitor diventino blu...
ciao,

non so se ne sei a conoscenza,
ma sulla rete, specialmente alcuni siti
di un certo tipo (americani principalmente)
si vocifera che ci sia dietro la mano di
Israele. Poi c'è chi giudica la (ipotetica)
cosa in maniera positiva, chi negativa, chi
neutra.

Ciao,

Giovanni
Per Dark

non so se ne sei a conoscenza,
ma sulla rete, specialmente alcuni siti
di un certo tipo (americani principalmente)
si vocifera che ci sia dietro la mano di
Israele. Poi c'è chi giudica la (ipotetica)
cosa in maniera positiva, chi negativa, chi
neutra.


Essendo la diffusione di virus un atto illecito, non si saprà probabilmente mai chi ha scritto il programma. Sicuramente persone ben informate sulla tecnologia delle apparecchiature che si intendevano sabotare.
Per Dark

Una volta si sostituiva gli sboccati "***** ***" e "******* ***" con dei castigati "Governo ladro".

In generale...

Se fosse un'azione indetta dal governo israeliano, a quest'ora il governo israeliano avrebbe già detto a tutta la galassia qualcosa che potrebbe suonare come: "Questo era il sinistro, se non la hai capita ti arriva il destro"

Nello specifico non mi pare ci sia lo stile. sarebbe come se un giaguaro uccidesse un coniglio facendolo annegare: meccanicamente possibile ma quantomeno molto inconsueto.
@ Sara
Per una volta la redazione scentifica (non è un refuso, è la mia opinione) di la Repubblica non ha preso una cantonata, come fonte un po' più autorevole puoi leggere il comunicato stampa del CERN.
Prova
È di oggi la notizia che Mahmud Ahmadinejad avrebbe ammesso che stuxnet ha causato danni limitati alle centrifughe:

http://tinyurl.com/365gh8s

Ne parla brevemente anche Repubblica.
Sky News segnala che il codice sorgente di Stuxnet è apparso sul mercato nero e Will Gilpin, consulente per la sicurezza IT del governo del Regno Unito, afferma che potrebbe essere adattato per "spegnere centrali elettriche, la rete dei trasporti nazionale oppure i servizi di emergenza.

Worm Stuxnet potrebbe spegnere la luce agli inglesi

In Iran, nel frattempo, la guerra al programma nucleare iraniano prosegue con mezzi più arcaici ma tremendamente efficaci:

Lunedì mattina a Teheran Majid Shahriari, uno scienziato nucleare iraniano, è morto nell'esplosione della sua auto, mentre in un episodio analogo il suo collega Fereidoun Abbasi è rimasto ferito.

Corriere della Sera

Da segnalare che Majid Shahriari era considerato anche il maggior esperto iraniano nella lotta contro il virus informatico Stuxnet.


Affaire à suivre
Sky News segnala che il codice sorgente di Stuxnet è apparso sul mercato nero e Will Gilpin, consulente per la sicurezza IT del governo del Regno Unito, afferma che potrebbe essere adattato per "spegnere centrali elettriche, la rete dei trasporti nazionale oppure i servizi di emergenza.

Imbarazzante a dir poco il sommario della notizia raccontata da Punto informatico, un tempo l'unica realtà aggiornata quotidianamente su ciò che avviene in rete, oggi degradata a Cronaca vera dell'informatica:

Secondo non meglio identificati esperti in sicurezza informatica, il codice sorgente del super-worm sarebbe finito nelle mani sbagliate.

Abbiamo letto bene? Nelle mani sbagliate? Il codice sorgente di un virus informatico, per definizione illecito, sarebbe stato nelle mani giuste in precedenza?
Negli anni Settanta si legittimava il partito armato, per "servire il popolo"! Oggi c'è chi legittima il virus armato, e serve solamente il Patto Atlantico.

[scusate lo sfogo fuori tema qui, ma non ce l'ho fatta a trattenermi].
Typo: c'è una parentesi quadra all'inizio del titolo!
Sistemato, grazie!
un report aggiornato della situazione: http://edition.cnn.com/2011/11/08/tech/iran-stuxnet/index.html?hpt=hp_c1