Marco Calamari

Cassandra Crossing/ Cyber cold war

di M. Calamari - Scada, Stuxnet, token crittografici e Mutual Assured Destruction. La sicurezza non interessa a nessuno: sottili equilibri di potere sorreggono un sistema pieno di buchi

Roma - Come dice Wikipedia, in informatica, l'acronimo SCADA (dall'inglese "Supervisory Control And Data Acquisition", cioè "controllo di supervisione e acquisizione dati") indica un sistema informatico distribuito per il monitoraggio elettronico di sistemi fisici.
In pratica, specialmente quando si discute di sicurezza e guerra cibernetica, si intende quella classe di componenti hardware che controllano sistemi importanti come distribuzione elettrica, acquedotti, raffinerie, centrali nucleari: la cosa è importante perché i componenti di questi sistemi comunicano tra loro in reti WAN di tipo TCP o 3G, quando non addirittura attraverso Internet. Ormai da anni si discute dell'indifendibilità di questi sistemi di fronte ad attaccanti informatici preparati e decisi.

Stuxnet è un nome che non ha bisogno di spiegazione (se ne avesse, cliccate qui): un malware che ha soppiantato l'Internet Worm di Morris sui libri di storia della Rete, e che rappresenta la prima arma informatica utilizzata con successo a fini tanto ostili quanto precisi su un bersaglio ben identificato (per la cronaca, gli impianti di arricchimento di esafluoruro di uranio in Iran). L'arma è ancora attiva, come ben testimonia questo articolo.

I token crittografici RSA sono gadget da portachiavi che visualizzano un PIN di 6 cifre che cambia continuamente, e che vengono usati come one-time-password da banche ed altri fornitori di servizi per autenticare gli utenti; molte aziende li usano per identificare gli utenti che da remoto vogliono collegarsi alla rete aziendale.
Nel 2011 è stato confermato che la rete interna di un importantissimo costruttore di armamenti americano, Lockheed Martin, era stata violata superando un sistema di accesso protetto da questi token. Il costruttore dei token ha poi confermato, in grande ritardo e a malincuore, che gli erano stati sottratte le informazioni necessarie a violare la sicurezza di tutti i token prodotti fino ad allora.
In pratica, era stato sottratto un file contenente i "semi" crittografici dei token prodotti, associati con le relative matricole di fabbrica. Questo file non avrebbe nemmeno dovuto esistere, ma approfondire il discorso richiederebbe un articolo a parte. Il costruttore però non è stato sommerso dalle cause e fatto fallire, anzi pare essere stato lasciato del tutto indenne. Come mai?

MAD (Mutual Assured Destruction - distruzione reciproca assicurata) è la strategia che USA e URSS hanno usato per decenni al fine di tenere in equilibrio il mondo prevenendo una guerra termonucleare globale. Il concetto, che ha funzionato per decenni era "Se tu mi attacchi con dei missili nucleari, io riesco comunque a lanciare abbastanza missili nucleari da distruggerti". Che fosse perché il lancio veniva avvistato ed i missili di rappresaglia potessero partire prima dell'arrivo di quelli attaccanti, o perché le basi missilistiche superstiti potevano lanciare abbastanza missili di rappresaglia, poco importava.
Ah, val la pena di notare che se la cosa non avesse funzionato, ora non saremmo qui a preoccuparci di terrorismi e riscaldamento globale.

Quale filo logico, anzi paranoico, tiene insieme questi quattro fatti? È piuttosto semplice.

Oggi si fa un gran parlare di sicurezza informatica, di guerra cibernetica. Si creano, all'estero e persino in Italia, enti ed organizzazioni ben finanziate che si occupano di studio e difesa (ed offesa) in questo campo. Sembra che tutti siano coscienziosi e stiano correndo ai ripari.
Ma come gli addetti ai lavori ed anche i semplici interessati vedono ogni giorno, niente o quasi niente sta cambiando. I sistemi SCADA, ma anche i sistemi informatici, sono poco sicuri come in passato. Anzi, poiché nel frattempo stanno evolvendo e complicandosi, sono sempre meno sicuri.

Le uniche attività di aumento della sicurezza sono il turare le falle più clamorose, come le password lasciate di default o peggio ancora cablate nel software o nel firmware.

Persino attacchi informatici che portano alla compromissione totale e perpetua di un sistema di sicurezza come quello dei token crittografici RSA SecurID non provocano una sostituzione del sistema: conosco molte situazioni in cui i token incriminati e notoriamente compromessi continuano ad essere utilizzati, e non parlo della cassa mutua di un paesino della Bassa Padana, ma di multinazionali globali.

Cosa si può concludere? Beh, nel caso generale, ma sopratutto riguardo ai sistemi SCADA, che mettere in sicurezza le cose non interessa a nessuno.
Una giustificazione aziendale è che i costi di adeguamento dei sistemi sono insostenibili e graverebbero sugli utenti, una più andreottiana è uguale nella prima parte, ma finisce dicendo che le spese graverebbero sui profitti dell'azienda.

Il discorso paranoico diventa interessante se portato a livello di guerra cibernetica. Poiché almeno Stati Uniti, Cina e Russia son ormai da anni dotate di organizzazioni dedicate all'argomento, e visto che la cronaca di Stuxnet ne fornisce una conferma clamorosa, perché le suddette superpotenze non si impegnano in una vera e propria corsa alla messa in sicurezza degli impianti dotati di controlli SCADA?

Beh, oltre ai soldi una spiegazione che giustifica la staticità di questa situazione e la mancanza di azioni ostili può essere un equilibrio del terrore anche in questo campo, un accordo più o meno tacito e sicuramente non pubblico a non premere il bottone per primi per evitare una reazione altrettanto distruttiva.
E magari anche per poter spendere i soldi disponibili non per rendere gli impianti SCADA più sicuri, ma in importanti azioni di guerra missioni di pace.

E giustifica anche il fatto che un grande player della sicurezza informatica non venga punito quando commette un errore titanico.

Insomma, su sicurezza, guerra cibernetica e SCADA forse non si gioca a guardie contro ladri, ma si persegue un bilancio di potere.

Marco Calamari
Lo Slog (Static Blog) di Marco Calamari

Tutte le release di Cassandra Crossing sono disponibili a questo indirizzo
Notizie collegate
11 Commenti alla Notizia Cassandra Crossing/ Cyber cold war
Ordina
  • E' giusto preoccuparsi, ma io purtroppo non posso fare niente, perchè non lavoro al computer, lo utilizzo solo per cose personali.
       Grazie saluti.
                        G.B.
    non+autenticato
  • Eugene Kaspersky, qualche giorno fa, aveva annunciato che i lavori per il super S.O. 11.11 per sistemi SCADA era ancora in lavorazione, e che non intendeva sospenderlo (http://sicurezza-digitale.com/2012/10/26/11-11-sis.../)
  • prendiamo le turbine iraniane, perche mai gli iraniani non dovrebbero rendere la pariglia? e che dire di altri gruppi interessati a colpire?

    prendiamo la societa di certificazione olandese fatta fallire dopo essersi fatta fregare le chiavi di certificazione: qualcuno paga x la sua incompetenza, forse e' solo perche e' meno intrallazzato di altri?

    parlare di massimi sistemi e' interessante e utile, ma anche poco verificabile..
    non+autenticato
  • - Scritto da: rudy
    > prendiamo le turbine iraniane, perche mai gli
    > iraniani non dovrebbero rendere la pariglia? e
    > che dire di altri gruppi interessati a
    > colpire?
    la pariglia la renderanno, ma ti sfugge il punto.
    l'iran continuera' a comprare/usare hw siemens (volutamente bacato dagli occidentali) e continuera' a produrre/vendere hw iraniano (magari via cina) volutamente bacato da loro stessi.
    Questa e' la tesi.

    Del resto senza infilarci in robe da spy-story, ci si chiede perche siano stati venduti/vengano venduti router soho con backdoor... stile alcatel speedtouch, il pirelli di alice telecom, quelli con l'os custom di zyxel ecc..
    non+autenticato
  • E` questo il nome dell'ultimo grido nella ricerca sui sistemi embedded. Sono cioe` sistemi nei quali si studia l'interazione tra i sistemi digitali di controllo e i sistemi fisici sotto controllo.

    Qualcuno ha detto "smart grid"? La rete elettrica intelligente e` solo una delle applicazioni dei CPS.
    E una delle hot topic sui CPS e` la security: come faccio a gestire un attacco a un sistema fisico quando l'attacco puo` avvenire sia fisicamente (taglio fili, jamming) o informaticamente (DoS, etc.)?
    non+autenticato
  • cito (è la conclusione dell'articolo): Insomma, su sicurezza, guerra cibernetica e SCADA forse non si gioca a guardie contro ladri, ma si persegue un bilancio di potere.


    ottima sintesi di quello che è il cuore della questione


    come ben sanno i più attenti[*] (al contrario di quanto i più possano superficialmente pensare e al contrario di quanto a pochi conviene che si pensi) le tecnologie non sono neutre in sè ma sottendono intrinsecamente rapporti di potere che, di norma, insorgono già "sbilanciati" in partenza

    [*] prevengo le eventuali obiezioni: non sto a discutere su questo aspetto, né a mostrarlo, nè a fare esempi... lo assumo come un dato da molto tempo acclarato, ampiamente studiato, discusso e descritto da molti filosofi, sociologi ecc.


    tuttavia, poiché le tecnologie non sono tutte uguali, non lo sono nenache i rapporti di potere che esse sottendono, i soggetti coinvolti in questi rapporti, lo "sbilanciamento" di potere "iniziale" tra di essi e le dinamiche con cui il bilancio di potere evolve


    da questo punto di vista, le tecnologie digitali (la rete, il web e via dicendo) contengono un "potenziale di potere" enorme: i rapporti di potere che sottendono coinvolgono immediatamente e direttamente un numero di soggetti enorme, su un "campo" di azione multi-livello (potremo dire rizomatico) capace di sconfinare fin dentro i corpi e le menti come mai fatto prima da altre tecnologie [**] e -anche per questo- con una "quantità di potenza" (quantità di potere dispiegabile all'interno delle relazioni) grande come non mai

    [**] per esempio, essendo in grado di sostituire la realtà con un suo simulacro virtuale, in cui fare agire (a vuoto) le persone...


    un volta scomparsi il blocco sovietico e la guerra fredda, una volta disvelato l'utile imbroglio/invenzione del cosidetto terrorismo fondamentalista/internazionale, è allora evidente come nella guerra cibernetica non si gioca a guardie contro ladri: non è la guerra fredda contro il blocco sovietico, non è la guerra dell'occidente contro il "terrorismo islamico" (sic!), non è la guerra del bene contro il male...

    è un complesso e sofisticato gioco di potere, un fronte (tra i più importanti) della guerra globale con cui le elite del tecno-capitalismo finanziario (qualcuno parlerebbe dell'"1%") si stanno riposizionando e stanno acquisendo pienamente il controllo e il dominio globale su tutti gli altri (il "99%)


    sta anche a questo 99% decidere se essere schiavi o, invece, ribellarsi
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
Successiva
(pagina 1/2 - 6 discussioni)