a cura di David Gubiani, Technical Manager, Check Point Software Technologies Italia
Sempre più spesso si registrano attacchi informatici alle infrastrutture critiche, cosa che preoccupa sempre più organizzazioni e governi di tutto il mondo. Centrali di produzione energetica, sistemi di controllo del traffico metropolitano, impianti di trattamento delle acque e fabbriche sono stati recentemente oggetto di attacchi IT. Le vulnerabilità di questi sistemi possono essere le più varie, da quelle più banali – sistemi senza password o dotati solamente di password di default – a conflitti di configurazione e bug software. Ma se un hacker riesce ad eseguire un software che accede a un controller, il rischio che un attacco potenzialmente devastante abbia successo è molto alto.
A dicembre 2014, è stato reso noto che un’acciaieria in Germania era stata presa di mira da hacker capaci di accedere alla rete di produzione dell’impianto, e da qui di impedire la chiusura corretta di un altoforno, provocando danno definiti ‘enormi’. Precedentemente nello stesso anno, il Department of Homeland Security statunitense ha annunciato che avrebbe avviato un’indagine sulla possibilità che il trojan Havex avesse preso di mira sistemi di controllo industriale, compromettendo oltre 1000 aziende energetiche tra Europa e Nord America. Questi eventi che seguono il noto attacco Stuxnet, portato ai sistemi nucleari iraniani e scoperto nel 2010.
Questo tipo di attacchi portati alle infrastrutture critiche può avere un impatto significativo sulla disponibilità del servizi, sull’integrità dei dati, sulla compliance e addirittura sulla pubblica sicurezza, e spinge fortemente le organizzazioni ad attrezzarsi per affrontare queste problematiche di sicurezza. Per questo è importante chiarire la differenza che intercorre tra i sistemi ICS/SCADA e gli ambienti IT tradizionali.
Comprendere SCADA
Gli impianti delle infrastrutture critiche (elettricità, petrolio, gas, acqua, rifiuti, ecc…) si basano in modo significativo su apparati elettrici, meccanici, idraulici e di altro tipo ancora. Questi apparati vengono controllati e monitorati da sistemi informatici dedicati, noti come sensori e controller. Questi strumenti, assieme ai relativi sistemi di gestione, formano reti che usano soluzioni SCADA (Supervisory Control and Data Acquisition) e ICS (Industrial Control System) per consentire una raccolta ed analisi efficiente dei dati e per automatizzare le procedure di controllo degli apparati industriali.
Se le reti e i dispositivi SCADA/ICS sono progettati per offrire la massima affidabilità nel controllo e nella gestione, non sono tipicamente dotati di meccanismi in grado di prevenire accessi non autorizzati o di affrontare la continua evoluzione delle minacce derivanti da reti interne ed esterne. Ma i controller SCADA sono nella sostanza piccoli computer dotati di sistema operativo (spesso versioni embedded di Windows o Unix), applicazioni software, account e login, protocolli di comunicazione e via dicendo. Inoltre, alcuni dei loro sistemi di gestione fanno uso di ambienti di elaborazione standard quali workstation baste su Windows e Unix. Per questo, le problematiche tipicamente associate con exploit e vulnerabilità valgono anche per i sistemi ICS e SCADA, con la complicazione ulteriore che questi sistemi possono essere fisicamente difficili da raggiungere, o magari non possono essere posti offline.
Le vulnerabilità SCADA
Non sempre le reti ICS e SCADA sono separate dal network aziendale. Alcune aziende possono usare la stessa LAN e WAN per cifrare il traffico ICS e SCADA attraverso un’infrastruttura condivisa, ma più spesso le due reti sono interconnesse per consentire la possibilità di dare input operativi e/o di esportare i dati verso sistemi esterni di terze parti. I dispositivi di rete SCADA hanno caratteristiche specifiche che possono renderli molto differenti rispetto ai normali sistemi IT:
- Sono spesso installati in spazi cui è difficile accedere fisicamente (ad esempio torri, impianti di trivellazione, apparati industriali), spesso in ambienti sfavorevoli.
- Fanno inoltre uso di sistemi operativi proprietari che possono non essere hardenizzati a livello di sicurezza
- Il loro software non può essere aggiornato o dotato di patch troppo frequentemente, a causa di limitazioni di accesso, preoccupazioni legate al downtime o alla necessità di ri-certificazione
- Utilizzano protocolli proprietari o speciali
Queste specificità creano problemi quali mancata autenticazione e crittografia, oltre all’accumularsi di password deboli che possono essere utilizzate da hacker per penetrare nei sistemi. Se la gran parte dei sistemi ICS/SCADA ha una qualche forma di difesa perimetrale, come firewall e segmentazione di rete, i criminali sono sempre alla ricerca di percorsi alternativi per entrare – ad esempio attraverso un gate lasciato aperto, o lanciando operazioni all’interno di un’organizzazione cin grado di aprire un canale di comunicazione verso l’esterno. Alcune tattiche tipiche comprendono:
- Utilizzare di una porta di accesso remota usata dal vendor per la manutenzione
- Attaccare un canale di comunicazione legittimo tra i sistemi IT e sistemi ICS/SCADA
- Persuadere un utente interno a cliccare su un link contenuto in un messaggio email da una workstation collegata sia alla rete ICS/SCADA che a Internet
- Infettare laptop e/o supporti rimuovibili mentre si trovano fuori dalla rete ICS/SCADA, con l’obiettivo di contagiare i sistemi interni successivamente, quando vengono collegati alla rete per la raccolta dei dati o gli aggiornamenti software
- Sfruttare gli errori di configurazione nei dispositive di sicurezza o di rete
Una volta che l’hacker si è insinuato nella rete SCADA, ha la possibilità di inviare comandi malevoli ai dispositivi, per fermare o rallentare la loro attività, ed anche di interferire su specifici processi critici da loro controllati, come l’apertura e la chiusura di valvole. Questa è la tecnica che è stata usata nell’attacco all’acciaieria tedesca: i criminali hanno ottenuto accesso all’impianto attraverso la rete aziendale, con un attacco di tipo spear-phishing, poi sono penetrati fino alla rete di produzione per accedere finalmente all’apparato di controllo dei sistemi dell’impianto.
Rendere SCADA sicuro
Per raggiungere il livello di sicurezza necessario per le reti critiche ed industriali, una strategia di sicurezza adeguata deve individuare i comportamenti anormali e prevenire gli attacchi, offrendo parallelamente all’organizzazione gli strumenti adatti per indagare sulle falle nel caso in cui si verifichino. Ogni attività dovrebbe essere registrata con un processo indipendente ed esterno, non legato alla configurazione dei dispositivi SCADA, perché questi possono essere compromessi da un attacco. Questo dovrebbe essere supportato dalla creazione linee guida di comportamento sui dispositivi SCADA, per stabilire che cosa è permesso, che cosa non è permesso, e che cosa deve essere considerato sospetto, con tanto di notifiche automatiche e di prevenzioni di comportamenti che deviano dalla linee guida.
E’ altrettanto critico implementare meccanismi a garanzia di un’autorizzazione degli accessi, quali application control e identity awareness, oltre a una strategia di threat prevention che includa firewall, intrusion prevention, anti-virus e threat emulation. Componente fondamentale di una difesa multilivello per i dispositivi SCADA è l’inclusione di una threat intelligence in grado di raccogliere e condividere informazioni sulle minacce emergenti alle infrastrutture critiche, aiutando così le organizzazioni a difendere le loro reti dalle minacce informatiche, ancora prima che queste penetrino nel network.
Gli hacker si fanno sempre più furbi. E sono sempre più interessati alle infrastrutture critiche, motivo per cui, per le loro ben note vulnerabilità, le reti SCADA sono assolutamente a rischio. Per questo è essenziale che vengano messe in campo strategie e sistemi tesi a proteggere sia la rete che i servizi che controllano, per difendere non solamente le organizzazioni ma anche il pubblico.
