Cerca nel blog

2010/11/17

Stuxnet, si accumulano gli indizi: se non per colpire una centrale nucleare, a cosa serviva un attacco così mirato?

L'articolo è stato aggiornato dopo la pubblicazione iniziale. Ultimo aggiornamento: 2010/12/01.

Symantec ha pubblicato un'analisi approfondita del virus/worm Stuxnet, sospettato di essere un attacco informatico costruito su misura per sabotare le centrali nucleari iraniane. Gli indizi si accumulano: Stuxnet agisce soltanto se il sistema di controllo industriale è dotato di convertitori di frequenza di due particolari marche e usa specifiche marche di moduli di comunicazione. Non solo: Stuxnet interviene soltanto se i convertitori di frequenza pilotano motori a velocità molto elevate. Per esempio le velocità delle centrifughe di un impianto per l'arricchimento dell'uranio. A parte le centrali nucleari, quali altri sistemi industriali utilizzano apparati del genere?

Symantec ha anche descritto il metodo di funzionamento di Stuxnet: l'attacco modifica le frequenze di uscita e quindi le velocità dei motori per brevi periodi nell'arco di mesi, sabotando così il normale funzionamento del processo industriale controllato dai PLC presi di mira. Il rapporto tecnico aggiornato è qui.

Grazie a Luigi e a Siamogeek.com per la segnalazione.


2010/12/01 - L'Iran ammette: Stuxnet ha colpito sistemi nucleari


Il 29 novembre il presidente iraniano Ahmadinejad ha ammesso che Stuxnet ha danneggiato alcune centrifughe per l'arricchimento dell'uranio, secondo quanto riportato per esempio da The Register.

31 commenti:

Giuseppe ha detto...

Secondo me, più che di un attacco vero e proprio, si tratta di una prova tecnica e non necessariamente da parte del "nemico occidentale".
Può essere, ad esempio, una prova di utilizzo militare dei virus informatici attraverso internet per verificare fino a che punto possono essere efficaci attacchi di questo tipo (cioè attacchi "automatici" in cui è il software virale che deve trovare la strada fino al bersaglio senza altro aiuto esterno eccetto la sua "iniezione" nella rete"); oppure un test degli iraniani per verificare la sicurezza dei loro sistemi di fronte a un attacco informatico attraverso internet.
Penso che se si fosse voluto attaccare davvero una centrale iraniana, considerando che le apparecchiature per la gestione della stessa sono "occidentali", sarebbe stato più logico infettare i PLC o altri software prima della consegna agli iraniani.

Pjt ha detto...

Ci sono diversi processi industriali che utilizzano motori a velocità elevate, non necessariamente centrali di raffinamento del combustibile nuclare. Il fatto che il virus cerchi solo apparati specifici prodotti da determinati produttori è però sicuramente indice che si prende di mira un impianto (od un tipo di impianti) in particolare, di cui si conoscono molto bene le specifiche, sia di progetto che costruttive.

Anonimo ha detto...

Credo ci sia un errore di concordanza: "Stuxnet interviene soltanto se i convertitori di frequenza pilotano motori a velocità molto elevate. Per esempio quelle delle centrifughe". Va concordato con motori, o con velocità?

Diego ha detto...

@Accademia

Credo che la frase sarebbe più corretta se fosse:

"Per esempio a quelle delle centrifughe"

Per non appesantire troppo io concorderei con "velocità", e metterei una virgola, o un punto e virgola, al posto del punto.

GC ha detto...

@Pjt

È vero che i convertitori di frequenza sono utilizzati in moltissimi campi, ma come osserva Symantec ( http://www.symantec.com/connect/blogs/stuxnet-breakthrough ) frequenze così alte (807-1210 Hz) sono difficilmente utilizzate per semplici nastri trasportatori, e ad esempio negli Stati Uniti l'esportazione di convertitori di frequenza a più di 600 Hz è controllata dalla Nuclear Regulatory Commission, proprio perché possono essere usati nel processo di arricchimento dell'uranio.

Mi permetto anche di ricordare la teoria (peraltro ripresa da Bruce Schneier) per cui questo virus potrebbe essere un messaggio, un po' come una bomba: solo il mittente e il destinatario sono in grado di comprenderla, e tipicamente il messaggio è: "attento a quello che fai, perché sono in grado di fare questo".

Un'altra teoria (non troppo cospirazionista) è che sia un attacco a Siemens, che in effetti pare si sia trovata in imbarazzo durante la stipula di alcuni contratti in Cina.

Paolo Attivissimo ha detto...

AdP,

Va concordato con motori, o con velocità?

Velocità. Sistemo per chiarezza.

Turz ha detto...

Ma è sempre il virus delle icone?

Alexandre ha detto...

Mi rendo conto che questa cosa è “pericolosa” per una serie di motivi, e soprattutto per le implicazioni derivanti dall’esistenza di un virus simile, ma non posso fare a meno di sentire un brivido di “ammirazione” per aver messo in piedi un progetto simile. Il fatto, poi, che sia esistito ed abbia viaggiato per la rete almeno da un anno prima della sua scoperta, rende tutto ancora più incredibile.
Rimane la perplessità per l’utilizzo di WINDOWS (mamma mia) per il sistema di controllo di una centrale nucleare...
Come però riporta il pdf linkato, difficilmente i computer che controllano le centrali nucleari sono collegati ad internet (e vorrei ben vedere).
L’infezione, perciò, è verosimilmente avvenuta via dischi removibili o altri metodi simili, e quando stuxnet è stato scoperto, l’attacco era già stato portato a termine.
Insomma, notevole... e inquietante.

frankbat ha detto...

@Alexandre: "Rimane la perplessità per l’utilizzo di WINDOWS (mamma mia) per il sistema di controllo di una centrale nucleare..."
Siccome con sistemi Siemens ci lavoro tutti i giorni, devo confermarti che PCS7 di Siemens gira SOLO su sistemi Windows; che sia bene o male lo lascio decidere ad altri, ma e' cosi', e noi sviluppatori dobbiamo farci i conti ogni giorno.
"L’infezione, perciò, è verosimilmente avvenuta via dischi removibili o altri metodi simili"
Certo! Non e' stata la prima, temo non sara' l'ultima.
Le altre infezioni avevano solo avuto meno visibilita' mediatica, e meno scalpore. Ricordo che i sistemi infettati non hanno raggiunto la cifra di 50, e quindi e' e rimane un'infezione ridicola. Fa scalpore il TIPO di impianti coinvolti.

ǚşå÷₣ŗẻễ ha detto...

OT

Ho visto che Paolo, quando riceve una donazione, segnala il nickname di chi gliela fa, ma come fa se nel form vanno inseriti nome e cognome reali? Lui li vede? O bisoggna mettere il nick nel campo descrizione così lui capisce?

Ho letto la guida ma non sono mica sicuro di aver capito :D

Fabrizio Faleni ha detto...

Non so se avete letto il rapporto di 64 pagine (quello del penultimo link del post di Paolo), ma vi posso assicurare che è stata un'esperienza interessantissima! Mi sembrava di leggere un romanzo di spionaggio: centro di comando, simulazioni con PLC reali, controllo qualità, uso di numerosi exploit one-day, tempi lunghissimi di gestione, effetti collaterali...
Insomma, ci si potrebbe fare un film, leggendo tra le righe e romanzando appena un pochino questa storia incredibile.
E poi ho provato una grande invidia per quei tre autori del rapporto che hanno eseguito un'indagine interessantissima. E pensare che saranno anche pagati profumatamente per fare un lavoro che non gli sembrerà nemmeno di faticare! Grazie Paolo per questa segnalazione!

Sara ha detto...

Paolo, ti rigiro questo articolo da Repubblica, facci sapere che ne pensi!!!! :)

http://www.repubblica.it/scienze/2010/11/17/news/cern_antimateria-9209385/?ref=HREC1-5

Sara

Alexandre ha detto...

@frankbat
Beh oddio “certo” mica tanto. Vuol dire che qualcuno ha usato dischi infetti per diffondere il virus, quindi, a meno che non si sia trattato di un’infezione volontaria (possibilissimo), significherebbe che il livello di sicurezza non è poi ‘sto granché. Secoli fa ero amministratore di sistemi e la gente si becca i virus piú stupidi dell’universo, mi ricordo che metá degli uffici installava screen saver infetti, nella piú completa ignoranza e allegria.
Si è ristretto l’accesso e la possibilitá di effettuare modifiche, e c’é stato un sollevamento popolare perché i laboriosi impiegati della Telecom Italia non potevano giocare e installare le loro cagate piene di virus (facevo questo lavoro per conto di un’impresa privata, non sono mai stato dipendente Telecom, mene vergognerei troppo).
Ora, era l’epoca in cui Telecom era privata e nessuno faceva una ceppa. Capisco che utenti ignoranti causino danni in maniera piú o meno inconsapevole.
Ma se non si è trattato di un’infezione volontaria (che avrebbe comunque senso), ritengo piuttosto preoccupante che si usino dischi infetti senza controllarli in una centrale nucleare.
Certo all’epoca probabilmente gli antivirus nemmeno rilevavano stuxnet, ma mi aspetterei piú attenzione nella gestione di una centrale nucleare... brrr...


aggiungo un articolo

http://www.richardsilverstein.com/tikun_olam/2010/09/25/iran-confirms-stuxnet-damage-to-nuclear-facilities/

Claudio Fe ha detto...

Faccio solo una precisazione, credo degna di quelle di Accademia dei pedanti.
Una "centrale nucleare" è considerata una centrale elettrica, mentre l'IMPIANTO nucleare attaccato era per l'arricchimento dell'uranio. Si parla di centrifughe, giusto ? Centrifughe ad alta velocità in una centrale elettrica non ce ne sono.

Per chi si preoccupa che Windows controlli una centrale nucleare, faccio notare che tantissime centrali elettriche, da quelle impresenziate (i piccoli impianti idroelettrici da 300 kW), alle grandi centrali termoelettriche (1000 MW), usano Windows.
Dato che i server impiegati non devono eseguire decine di programmi ma solo quello di gestione fornito dal costruttore o comunque dal fornitore, è decisamente più importante che quest'ultimo sia scritto bene.
Di questo aspetto se ne era già pralto in maniera più seria nei commenti del vecchio articolo.

Alexandre ha detto...

Giusto, giusto, impianto nucleare.
E grazie per la precisazione. Avendo una lunga esperienza con windows, diciamo che anche le migliori versioni quali xp-7 non sono esenti da bachi preoccupanti che mi preoccupano un po' se usate in stabilimenti che controllano materiali radioattivi, ecco.

W.B. ha detto...

questi americani cattivi..
i soliti complottisti!

Explobot ha detto...

Secondo me è un attacco di un concorrente (cinese?) di quei 2 produttori.
Il caso che abbia colpito la strumentazione della centrale iraniana se è voluto, lo è solo per cercare di ottenere più pubblicità possibile.

Non vedo un tentativo diretto di danneggiare il programma nucleare iraniano. Questo di primo acchito, poi appena leggerò il PDF lincato magari gli indizi a tal proposito sono molto più gravi.

Claudio Fe ha detto...

@Alexandre
Se usano Linux ti sentiresti più sicuro ? E perché non OpenBSD ? Tenendo tutto semre con un programma di supervisione che ha le stesse problematiche che su windows, naturalmente

puffolottiaccident ha detto...

@Pjt e Gc

Il messaggio potrebbe essere:

"Puoi farlo in pochi modi e, privo della tecnologia di base, devi obbligatoriamente passare per alcune strettoie che conosco, posso aspettarti lì, e lì sei un pipistrello che sfida un leone in una gara di rutti."

Naturalmente la mia è solo un'ipotesi fra tante.

Orsovolante ha detto...

Io so per certo che anche molti sistemi avionici integrati girano sotto windows 2000 o NT. Su un noto elicottero di produzione italo inglese (ma nato come progetto italo americano,) tutta l'avionica integrata, di produzione Honeywell, è gestita da 2 MAU (in pratica due computer)che viaggiano sotto winzoz... Visto che gestiscono dall'autopilota, alle telecamere esterne, agli apparati radio, mi aspetto sempre che un giorno tutti i monitor diventino blu...

Dark ha detto...

ciao,

non so se ne sei a conoscenza,
ma sulla rete, specialmente alcuni siti
di un certo tipo (americani principalmente)
si vocifera che ci sia dietro la mano di
Israele. Poi c'è chi giudica la (ipotetica)
cosa in maniera positiva, chi negativa, chi
neutra.

Ciao,

Giovanni

Anonimo ha detto...

Per Dark

non so se ne sei a conoscenza,
ma sulla rete, specialmente alcuni siti
di un certo tipo (americani principalmente)
si vocifera che ci sia dietro la mano di
Israele. Poi c'è chi giudica la (ipotetica)
cosa in maniera positiva, chi negativa, chi
neutra.


Essendo la diffusione di virus un atto illecito, non si saprà probabilmente mai chi ha scritto il programma. Sicuramente persone ben informate sulla tecnologia delle apparecchiature che si intendevano sabotare.

puffolottiaccident ha detto...

Per Dark

Una volta si sostituiva gli sboccati "***** ***" e "******* ***" con dei castigati "Governo ladro".

In generale...

Se fosse un'azione indetta dal governo israeliano, a quest'ora il governo israeliano avrebbe già detto a tutta la galassia qualcosa che potrebbe suonare come: "Questo era il sinistro, se non la hai capita ti arriva il destro"

Nello specifico non mi pare ci sia lo stile. sarebbe come se un giaguaro uccidesse un coniglio facendolo annegare: meccanicamente possibile ma quantomeno molto inconsueto.

matteo ha detto...

@ Sara
Per una volta la redazione scentifica (non è un refuso, è la mia opinione) di la Repubblica non ha preso una cantonata, come fonte un po' più autorevole puoi leggere il comunicato stampa del CERN.

Epsilon ha detto...

Prova

Anonimo ha detto...

È di oggi la notizia che Mahmud Ahmadinejad avrebbe ammesso che stuxnet ha causato danni limitati alle centrifughe:

http://tinyurl.com/365gh8s

Ne parla brevemente anche Repubblica.

motogio ha detto...

Sky News segnala che il codice sorgente di Stuxnet è apparso sul mercato nero e Will Gilpin, consulente per la sicurezza IT del governo del Regno Unito, afferma che potrebbe essere adattato per "spegnere centrali elettriche, la rete dei trasporti nazionale oppure i servizi di emergenza.

Worm Stuxnet potrebbe spegnere la luce agli inglesi

In Iran, nel frattempo, la guerra al programma nucleare iraniano prosegue con mezzi più arcaici ma tremendamente efficaci:

Lunedì mattina a Teheran Majid Shahriari, uno scienziato nucleare iraniano, è morto nell'esplosione della sua auto, mentre in un episodio analogo il suo collega Fereidoun Abbasi è rimasto ferito.

Corriere della Sera

Da segnalare che Majid Shahriari era considerato anche il maggior esperto iraniano nella lotta contro il virus informatico Stuxnet.


Affaire à suivre

Anonimo ha detto...

Sky News segnala che il codice sorgente di Stuxnet è apparso sul mercato nero e Will Gilpin, consulente per la sicurezza IT del governo del Regno Unito, afferma che potrebbe essere adattato per "spegnere centrali elettriche, la rete dei trasporti nazionale oppure i servizi di emergenza.

Imbarazzante a dir poco il sommario della notizia raccontata da Punto informatico, un tempo l'unica realtà aggiornata quotidianamente su ciò che avviene in rete, oggi degradata a Cronaca vera dell'informatica:

Secondo non meglio identificati esperti in sicurezza informatica, il codice sorgente del super-worm sarebbe finito nelle mani sbagliate.

Abbiamo letto bene? Nelle mani sbagliate? Il codice sorgente di un virus informatico, per definizione illecito, sarebbe stato nelle mani giuste in precedenza?
Negli anni Settanta si legittimava il partito armato, per "servire il popolo"! Oggi c'è chi legittima il virus armato, e serve solamente il Patto Atlantico.

[scusate lo sfogo fuori tema qui, ma non ce l'ho fatta a trattenermi].

Gwilbor ha detto...

Typo: c'è una parentesi quadra all'inizio del titolo!

Paolo Attivissimo ha detto...

Sistemato, grazie!

pgc ha detto...

un report aggiornato della situazione: http://edition.cnn.com/2011/11/08/tech/iran-stuxnet/index.html?hpt=hp_c1