Quanto erano pericolose le vulnerabilità di sicurezza individuate da Brian Meixell e Dillon Beresford nei sistemi SCADA (supervisory control and data acquisition) realizzati da Siemens? Dopo attenta valutazione compiuta assieme agli ufficiali del Department of Homeland Security (DHS) e di Siemens stessa, i due ricercatori di NSS Labs hanno deciso che la gravità del problema fosse tale da consigliare l’annullamento della loro presentazione prevista nel corso di una conferenza sulla sicurezza a Dallas.
Già presi di mira dal worm Stuxnet nelle installazioni nucleari iraniane, i sistemi SCADA di Siemens hanno messo in mostra una serie di problemi di sicurezza potenzialmente devastanti: Meixell e Beresford sostengono di aver scovato bug e vulnerabilità attraverso cui poter prendere il controllo di intere filiere produttive e sistemi di controllo nelle fabbriche e in ogni genere di impianto industriale.
La decisione di annullare – o apparentemente ritardare a tempo indefinito – la diffusione dei risultati del loro lavoro non è scaturita da minacce legali da parte di Siemens o del DHS, dicono i due ricercatori: una volta data un’occhiata al numero di complessi e installazioni interessati dal problema, gli esperti di NSS Labs hanno semplicemente deciso di rinviare sine die la presentazione finché Siemens non avesse reso disponibili le opportune soluzioni.
E ora Siemens assicura di essere “diligentemente al lavoro sul problema” collaborando con il DHS e NSS Labs. Il colosso tedesco è nella fase di “testing delle patch e sviluppo delle strategie di mitigazione” delle vulnerabilità, anche se nulla viene riferito in merito a eventuali date precise o a come l’azienda intenda procedere per governare l’enorme complessità del problema: l’update del software potrebbe richiedere il blocco di un numero esteso di produzioni industriali e di un laborioso processo di pianificazione per ogni singolo intervento.
Alfonso Maruccia
Ti potrebbe interessare
23 mag 2011