Avevo parlato del virus Stuxnet a luglio, quando era stato segnalato come un pericolo un po' bizzarro per gli utenti Windows perché ne sfruttava una vulnerabilità (oggi rattoppata) per raggiungere il suo vero bersaglio, che era costituito dai sistemi di controllo di processi industriali denominati genericamente SCADA.
Ora nuove indagini sembrano indicare che sia molto più di un virus atipico: sarebbe addirittura un'arma informatica concepita per colpire un bersaglio militare ben preciso facendone andare in tilt gli apparati di controllo. C'è chi fa il nome della centrale nucleare iraniana di Bushehr, vista da molti come una potenziale fabbrica di armi atomiche.
Indubbiamente le analisi del virus pubblicate da Symantec indicano che non si tratta del solito virus fabbricato da un ragazzino arrabbiato o dal crimine organizzato in cerca di soldi facili. Usa un metodo d'infezione nuovo e originale che non richiede l'interazione dell'utente: basta che venga visualizzata la sua icona su un sistema Windows non aggiornato. Sfrutta ben quattro vulnerabilità prima sconosciute. È un rootkit, capace non solo di rendersi invisibile a Windows, in modo classico, ma anche di sfruttare i programmi Windows usati per programmare i sistemi di controllo industriale (PLC) per iniettarsi in questi sistemi e rendersi invisibile anche lì. È, in altre parole, il primo rootkit per PLC, secondo Virus Bulletin.
Come se non bastasse, contiene inoltre 70 blocchi cifrati che rimpiazzano alcune funzioni fondamentali di questi sistemi, come il confronto di date e orari di file, ed è capace di personalizzare l'iniezione di questi blocchi in base al tipo di PLC che sta attaccando. Se la prende soltanto con una specifica configurazione di software presente nei sistemi di controllo realizzati dalla Siemens (che ha predisposto una pagina informativa apposita). I suoi autori hanno rubato le firme digitali segrete di due fabbricanti di chip taiwanesi per usarle in Stuxnet e farlo sembrare software certificato. Perché darsi tutta questa pena? E perché le statistiche d'infezione di Stuxnet sin da luglio scorso vedono al primo posto l'Iran, con quasi il 60% delle infezioni?
Il 29 settembre verranno presentati a Vancouver, nel corso della VB Conference 2010, i risultati delle indagini dei principali produttori di antivirus. Ma alcuni esperti si sono già sbilanciati: Liam O'Murchu, della Symantec, ha detto alla BBC che "il fatto che vediamo così tante infezioni in più in Iran che in qualunque altro paese del mondo ci fa pensare che questa minaccia informatica era mirata all'Iran e che c'era qualcosa in Iran che aveva un valore molto, molto alto per chiunque l'abbia scritta". È abbastanza evidente che se un virus del genere prende il controllo di un sistema industriale, può farne saltare le sicurezze, aprendone le valvole, spegnendone gli apparati di raffreddamento o facendolo girare troppo velocemente, per esempio. Il risultato non è un crash di un PC: è un kaboom di una fabbrica, di un oleodotto, di un impianto chimico o di una centrale elettrica.
Il ricercatore di sicurezza informatica tedesco Ralph Langner ha pubblicato un'analisi dettagliata di Stuxnet che descrive Stuxnet come un attacco di sabotaggio diretto, "un'arma usabile una sola volta", e mirato a un sistema di controllo industriale molto specifico, che ha richiesto grandi risorse economiche e ampie conoscenze dall'interno (in altre parole, spionaggio) da parte di qualcuno che sa che verrà identificato ma sa anche di poter agire con impunità.
Langner ipotizza inoltre che il bersaglio specifico sia (o sia stato) il reattore nucleare iraniano di Bushehr, citando come indizio supplementare una fotografia (mostrata qui accanto) di una schermata del sistema di controllo del reattore che visualizza una finestra di avviso di licenza scaduta. Se è autentica, c'è di che rabbrividire all'idea di far girare un reattore nucleare usando software pirata, con o senza Stuxnet in mezzo ai piedi. Un altro possibile indizio è che l'avvio della centrale di Bushehr, previsto per agosto, è stato misteriosamente rinviato, ufficialmente per l'eccessiva calura estiva. Ma Bruce Schneier obietta che le prove concrete a supporto di questa parte della tesi di Langner sono per ora scarse.
Siemens, da parte sua, ha chiarito alla BBC che non ha alcun legame con l'Iran o con la fornitura di impianti per la centrale di Bushehr o di altri apparati nucleari iraniani, e che nessuno dei casi documentati d'infezione di sistemi industriali da parte di Stuxnet (a suo dire solo quindici, principalmente in Germania) ha causato problemi di produzione o controllo. La cosa non sorprende, perché una caratteristica di Stuxnet è che prima di agire distruttivamente verifica che il sistema che lo ospita sia proprio quello desiderato dai suoi creatori, altrimenti non fa nulla. Altre fonti parlano di circa 45.000 sistemi infetti in giro per il mondo.
Sia come sia, Stuxnet rappresenta il primo caso pubblicamente noto di un virus informatico utilizzato a scopi militari per un attacco distruttivo nel mondo reale (o forse il secondo, se la storia del Dossier Farewell e dell'esplosione dell'oleodotto siberiano nel 1982 è vera). Il vero problema è che le sue tecnologie verranno rese pubbliche e quindi saranno presto a disposizione di stati (o di organizzazioni criminali) anche meno sofisticati di quelli che l'hanno creato. Quand'anche l'ipotesi di attacco informatico alla centrale nucleare iraniana dovesse rivelarsi soltanto una fantasia alla Tom Clancy, rimane il fatto che Stuxnet ha dimostrato che i sistemi industriali vitali sono troppo vulnerabili. Meglio cogliere l'occasione per riflettere seriamente sulle politiche aziendali di sicurezza riguardanti questi sistemi.
Aggiornamento 2010/09/26
La BBC scrive che secondo l'agenzia iraniana ufficiale IRNA, Stuxnet ha infettato i personal computer del personale presso la centrale nucleare di Bushehr, ma il sistema operativo della centrale non è stato danneggiato. Secondo Mahmoud Liay, responsabile del consiglio per l'informatica del ministero dell'industria iraniano, "è stata lanciata una guerra elettronica contro l'Iran" e gli indirizzi IP infetti in Iran sarebbero circa 30.000.
Aggiornamento 2010/09/30
L'analisi di Stuxnet rivela vari indizi interessanti: un riferimento biblico che secondo alcuni potrebbe indicare Israele come artefice del super-virus oppure essere stato messo da qualcun altro per incastrare Israele. C'è chi invece teorizza che l'attacco informatico sia opera del Pentagono con il supporto della Germania. Alla fine Stuxnet diventa un'arma psicologica: oltre a danneggiare gli impianti, crea paranoia. E la paranoia è assai più distruttiva di qualunque attacco convenzionale.
Un ricercatore di Symantec ha inoltre scoperto che Stuxnet è in grado di reinfettare un PC dopo che il PC è stato ripulito con un antivirus. Si nasconde nei file utilizzati per configurare i sistemi Siemens che sono il suo vero bersaglio.
Aggiornamento 2010/10/05
Cnet ha pubblicato un'ottima sintesi dello stato attuale delle conoscenze pubbliche su Stuxnet, fra miti e realtà.
Nessun commento:
Posta un commento