12 Ottobre 2018
di Pasquale Russo, Direttore Generale Link Campus University
Il Washintgton Post di oggi riporta che ieri l’United States Government Accountability Office (GAO), il 9 ottobre ha rilasciato alla Commissione Difesa del Senato, una relazione sulla cybersicurezza dei sistemi di arma della Difesa Americana (https://www.gao.gov/assets/700/694913.pdf).
La relazione si può sintetizzare con una semplice frase: Quasi tutti i sistemi d’arma degli Stati Uniti hanno problemi “critici” sulla cyber security.
Il rapporto afferma che le criticità vanno dalla semplicità delle password utilizzate nelle apparecchiature di rete, (durante il test sono state scoperte in 9 secondi), al fatto che tutti i sistemi sono stati progettati senza integrare la cybersecurity, fino al mancato controllo cyber nella supply chain dei fornitori della Difesa.
Nel rapporto inoltre viene sottolineato che negli ultimi anni, l’investimento maggiore fatto dalla Difesa americana è stato quello di mettere i sistemi di arma in rete e di sostituire tutti i comandi meccanici con comandi software. In questo modo sottolinea il Rapporto, non essendo queste reti e questi software progettati con i criteri di sicurezza informatica, nei fatti si è aumentata la superficie di attacco e si è reso più facile per un hacker o per uno Stato nemico, il prendere il possesso di un’arma ( in questo caso si intenda naturalmente anche di un missile).
Ciò non stupisce, è infatti noto che tutti i sistemi industriali quelli aziende di produzione, alle reti elettriche, alle ferrovie, ecc. ecc. hanno le vulnerabilità proprie delle schede SCADA (dall'inglese "Supervisory Control And Data Acquisition" cioè "Controllo di Supervisione e Acquisizione Dati") ed indicano un sistema informatico distribuito per il monitoraggio e la supervisione di sistemi fisici.
Certo vi ricorderete di Stuxnet il virus che nel 2010 mise fuori uso la centrale nucleare iraniana, in particolare le centrifughe dedicate all’arricchimento dell’uranio, fu il primo caso di uso di un software per fare danni fisici ad oggetti materiali. Ma da allora sono stati scoperti molti atri malware quali Irongate nel 2014, Dragonfly (2016), Blackenergy3 ritenuto responsabile del blackout in Ucraina del 2015, nel 2016 ancora in Ucraina un altro blackout fu provocato da Crashoverride. Ambedue questi ultimi erano in grado di capire il funzionamento della sistema di rete elettrica e quindi inviare comandi “leciti” ai servocomandi staccando l’energia elettrica ad intere città. L’ultimo malware in ordine di tempo è del 2017 Triton scoperto in un’azienda di cui il CERT Nazionale non ha rivelato l’identità.
Insomma sia sistemi di arma, sia le infrastrutture industriali sono colabrodi per hacker malevoli che possono dirigere le armi verso i cittadini che tali armi dovrebbero proteggere, oppure possono decidere di fermare un treno, o staccare l’energia elettrica ad una città.
Non si vuole qui fare allarmismo, almeno non più di quello che fa il Rapporto consegnato al Senato Americano, ma è necessario mettere nell’agenda della sicurezza questo tema ed pensare ad un soluzione.
I laboratori della Link Campus University stanno sperimentando una soluzione che eviterà il cambiamento dei software dei sistemi di arma e dei sistemi di controllo industriali (ICS, SCADA o PLC), perché questa operazione costerebbe migliaia di miliardi di euro, costruendo un ulteriore elemento hardware e software che introdotto nella rete distribuita del sistema industriale o del sistema d’arma, che renda quasi impossibile l’agire di un intruso.
Intanto con i nostri ricercatori seguiremo i lavori della Industrial Control Systems (ICS) Cyber Security Conference USA: dal 22 al 25 Ottobre ad Atlanta e auspichiamo di riuscire avere disponibile per l’APAC di Singapore dal 24 al 26 Aprile 2019 la nostra proposta per riuscire nella difesa di questa straordinaria vulnerabilità dei sistemi produttivi di tutto il Mondo e di tutte le armi del Mondo.