Alessia Valentini - 26 febbraio 2015
Un test svela lo stato di salute delle reti SCADA in Italia, bersaglio di attacchi che mettono a repentaglio sicurezza informatica e servizi primari.
SCADA
Le infrastrutture energetiche sono spesso oggetto di attacchi informatici con l’obiettivo di deviare il carico o interromperlo: oggetto degli “offensive” sono gli apparati SCADA (Supervisory Control And Data Acquisition) che normalmente governano i sistemi fisici di una infrastruttura critica, causando un’interruzione di servizi primari per la popolazione.
SCADA in Italia
In Italia non è chiaro quale sia lo stato di salute delle reti SCADA per quanto riguarda la sicurezza informatica. Per valutare la situazione è stato effettuato un test, i cui risultati sono stati interpretati da un esperto, Andrea Carcano, ricercatore (PHD) e CEO di Nozomi Networks*. L’analisi sul territorio italiano ha riguardato l’individuazione dei sistemi SCADA esposti sul Web. Tramite uno script sono state raccolte informazioni dalla rete Internet per una settimana, provando ad aprire una connessione TCP verso alcune porte note (es.502-modbus, 102-S7/MMS) prima in cerca di un handshake TCP e poi di una risposta nota (il codice inoltra un messaggio corrispondente al “chi sei?” per capire firmware e luogo d’installazione, effettuando interrogazioni per ogni IP possibile).
Mappa nazionale
Il risultato è una lista di circa 13.500 indirizzi IP con relativa porta, provider Internet, luogo geografico, coordinate GPS, nome del PLC (se disponibile) e dati estratti dall’interrogazione.
Secondo Carcano, che ha studiato per anni malware progettato contro apparati SCADA, troppo spesso le esigenze di business non tengono in giusto conto le problematiche di sicurezza, dimenticando che le tecnologie abilitanti dei sistemi SCADA sono state pensate per ambienti chiusi e non esposti e la loro visibilità sul Web dovrebbe prevedere come minimo delle credenziali di accesso.Tra i servizi esposti figurano quelli relativi a pannelli fotovoltaici da cui trapelano informazioni come energia prodotta, email e numeri telefonici dei proprietari, configurazione. Numerosi sistemi PLC risultano accessibili sia in lettura che in scrittura e, anche se non se ne capisce il loro funzionamento, perché manca una semantica delle informazioni (alterandone a caso i valori in memoria), si induce un potenziale problema di sicurezza degli apparati fisici da essi controllati. Il rischio di IP esposti e accessibili dal Web riguarda la diffusione di informazioni private e la loro manomissione.
Protezione
Non è possibile stabilire un tempo medio di studio di una rete SCADA per poterla attaccare, poiché sono presenti diverse variabili:la bravura dell’attaccante, il tipo di rete e naturalmente le contromisure di protezione; l’intervallo di tempo può richiedere pochi minuti per “disturbare” i PLC accessibili o diversi giorni per analizzare l’evoluzione dello stato dei PLC ed effettuare un attacco mirato a modificare la produttività dell’impianto senza creare grossi disservizi diventando difficile da individuare.
Il motivo di questa esposizione “selvaggia” non è giustificabile. Si può parlare d’ignoranza o negligenza ma a volte anche di una banale questione di comodità. Basterebbe un accesso con password per limitare i danni, ma sembra esistere la convinzione che un indirizzo IP sia sicuro perché difficile da indovinare (credenza sbagliata). E se i sistemi sono visibili, allora sono anche protetti male. Un sistema PLC, RTU o similare non va esposto su Internet. Non ci sono mezze misure. Le azioni di contrasto sono diverse, a partire da un’analisi del rischio e delle vulnerabilità della struttura. Come primo intervento per gli applicativi consumer connessi alla videosorveglianza e ai pannelli fotovoltaici, si consiglia di abilitare almeno l’accesso protetto da credenziali ai pannelli di controllo, evitando password di default facilmente reperibili dai manuali di utilizzo. L’esposizione è da evitare specialmente se i PLC sono connessi a infrastrutture critiche. Nel caso sia obbligatoria una gestione da remoto, servono apparati di protezione e l’inserimento in una VPN (Virtual Private Network) su rete protetta.