ALEZEIA

La verità vi farà liberi

Posted by ikzus su 26 dicembre 2010


Ahmadinejad deve riconoscere di essere stato battuto da “Stuxnet”

Mahmoud Ahmadinejad ha riconosciuto che il programma iraniano di arricchimento dell’uranio ha subito una battuta d’arresto: “ Sono stati in grado di mettere fuori uso, in modo limitato, alcune delle nostre centrifughe attraverso un software installato nelle nostre attrezzature elettroniche”, ha riconosciuto il presidente iraniano di fronte ai giornalisti. Bell’eufemismo. Il programma iraniano d’arricchimento dell’uranio è stato messo al palo per un significativo lasso di tempo; le sue risorse tecniche drenate altrove; e le risorse umane disorganizzate. Il software in questione è un worm per computer di nome Stuxnet ( N.d.T. un worm è programma auto-replicante capace di propagarsi attraverso una rete con effetti distruttivi sul sistema in questione), già visto in azioni (di successo) nella breve narrativa storica delle cyber-guerre.

Stuxnet ha fatto per la prima volta la sua comparsa lo scorso 17 Giugno, quando una compagnia di sicurezza digitale di Minsk, VirusBlokAda, ne fece la scoperta in uno dei suoi computer destinato ad uno dei suoi clienti iraniani. E’ stato immediatamente chiaro che Stuxnet non era un comune malware (N.d.T. per malware si intende qualsiasi programma inteso a danneggiare o mettere fuori uso computer o sistemi per computer).

Infatti Stuxnet non è un virus ma un worm. Si tratta di virus che si appoggiano su programmi già presenti su di un computer. I worm sono programmi in tutto e per tutto, che si nascondono dentro un computer, e che segretamente si propagano in altri computer. Dopo un mese di studio alcuni ingegneri di cyber-sicurezza hanno emesso la sentenza: Stuxnet è stato disegnato per interferire con sistemi industriali costruiti dalla casa tedesca Siemens, con la finalità di mettere fuori uso i controlli di supervisione ed i protocolli di acquisizione dati degli stessi, i c.d. SCADA. Come a dire che, a differenza di molti malware oggi in circolazione (tesi alla mera manipolazione di operazioni virtuali), Stuxnet può invece generare conseguenze nel mondo reale: questo worm è infatti in grado di comandare tanto i lavori di un grande stabilimento industriale, quanto quelli di una centrale energetica, di una diga o di un’industria. Di quale impianto si sia trattato in questo caso, non è dato saperlo.

Quel che sappiamo però, è che Stuxnet ha sin da subito mostrato un profilo di anomalia rispetto ai suoi predecessori. I worm che hanno interferito con SCADA non sono sconosciuti ma eccezionalmente rari. Quale sequenza di codice fisico, Stuxnet è enorme (si stima che pesi all’incirca mezzo megabyte), superando in grandezza, di molti multipli, un medio esemplare di worm in circolazione.

Prendiamo in conto ora il suo raggio d’infezione: Stuxnet è riuscito ad infiltrarsi in almeno 100.000 computer in tutto il mondo, di cui il 60% solo in Iran. Senza contare che la potenza e l’eleganza di Stuxnet lo rendono ancora più intrigante agli addetti ai lavori. Molti sistemi industriali girano su computer che usano Microsoft Windows quale sistema operativo. Gli hacker mettono alla prova costantemente quelle che in gergo vengono chiamate le vulnerabilità del “giorno zero” (zero day vulnerabilities), i punti deboli del codice non identificati dai programmatori-creatori. Su un pezzo di software sofisticato quale è Windows, la scoperta di una sola vulnerabilità del “giorno zero” è estremamente rara. Basterà dire allora che i creatori di Stuxnet ne hanno trovate, e usate, ben quattro. Nessuno negli ambienti della cyber-sicurezza aveva mai visto niente del genere.

Il worm ha ottenuto il suo primo accesso attraverso un drive USB ordinario. Immaginate quando attaccate un flash drive nel vostro computer: il computer incomincia a fare una serie di operazioni in modo automatico; una di queste è quella di far comparire le icone sul vostro schermo, le quali rappresentano i dati sul drive ospite. Attraverso questa procedura di inserimento del drive USB, Stuxnet si inoltra nel computer. Ora, una volta nella macchina, il worm diviene visibile ai protocolli di sicurezza, i quali monitorano costantemente i file alla ricerca di malware o virus. Per non farsi scoprire, Stuxnet installa quel che è chiamato un ‘rootkit’, ovvero un pezzo di codice che intercetta i monitoraggi di sicurezza e che invia indietro falsi messaggi di sicurezza, a voler indicare che il worm è innocuo.

L’installazione di un ‘rootkit’ ha bisogno di driver dai quali i sistemi Windows sono abituati a guardarsi bene. Windows infatti richiede che tutti i driver immessi in una macchina che si affida al suo sistema operativo, forniscano una verifica della loro ‘sincerità’ attraverso la presentazione di una firma digitale sicura. Queste firme digitali sono segretamente custodite. L’aspetto interessante di questa vicenda è che i driver di Stuxnet avevano in dotazione firme digitali per così dire originarie, ovvero provenienti da due compagnie di computer, Realtek Semiconductor e JMichron Technologies. Entrambe le compagnie hanno uffici negli stessi stabilimenti del parco scientifico di Hsinchu, sull’isola di Taiwan. Con frode elettronica o con scasso e furto (non è dato sapere), i creatori di Stuxnet hanno rubato queste firme digitali, in modo abbastanza sofisticato da fare in modo che nessuno sapesse che esse fossero compromesse.

Per ricapitolare: la chiavi di sicurezza danno il là ai driver, i quali permettono l’installazione di un ‘rootkit’, che a sua volta nasconde il worm che è stato consegnato dal drive USB corrotto. Stuxnet a quel punto ha l’obiettivo di propagarsi con efficienza e in modo silenzioso. Allorché un altro drive USB viene inserito in un computer già infetto, esso viene infettato a sua volta. Ma per ridurre la sua tracciabilità, Stuxnet permette ad ogni USB infetta di passare il worm in soli tre computer alla volta. Ma questo non è il solo modo con cui Stuxnet si propaga. (Fine della prima puntata, continua…)

L’Occidentale del 20-12-2010

Chi ha inquinato il programma nucleare dell’Iran col virus “Stuxnet”?

“Stuxnet” è stato disegnato per propagarsi su internet in generale, ma può muoversi anche attraverso reti locali che usano programmi di gestione delle azioni in attesa delle stampanti, i c.d. “print scoolers”. In ogni gruppo di computer con una stampante in comune, quando un computer si infetta, Stuxnet striscia velocemente attraverso il print scooler della stampante per contaminare tutti gli altri. Una volta raggiunto un computer con un accesso alla rete, esso comincia a comunicare con i centri di comando e controllo dei server in Danimarca e in Malesia (chiunque abbia gestito l’operazione in questione ha messo questi server fuori rete, ovvero offline, appena Stuxnet è stato scoperto). Mentre i server erano in funzione, Stuxnet ha rilasciato informazioni che aveva raccolto a proposito dei sistemi che aveva invaso, immettendole nei server e richiedendo delle versioni aggiornate di sé stesso.Varie versioni di Stuxnet sono state isolate, e ciò significa che i programmatori sono stati in grado ridefinire in tempo reale il worm, ben oltre il momento del suo rilascio. Infine si parli degli effetti del worm. Una volta dentro una macchina con sistema operativo Windows, Stuxnet cerca i programmi WinCC e PCS 7 SCADA. Se la macchina non possiede nessuno dei due, allora Stuxnet si dà il semplice obiettivo di propagarsi. Quando invece Stuxnet riesce a trovare uno dei due programmi, allora il worm inizia la riprogrammazione del software di controllo logico programmabile (programmable logic control, PLC), apportando modifiche in un pezzo di codice chiamato Blocco Operazionale 35 (Operational Block 35). Per mesi nessuno è riuscito a comprendere cosa Stuxnet intendesse fare con questo blocco una volta impossessatosene. Da tre settimane la ragione è divenuta chiara.

L’ingegnere di cybersicurezza Ralph Langner la mette cosi: Stuxnet è un’arma con due testate. La prima ‘testata’ è stata indirizzata al programma di controllo Siemens S7-417 della centrale nucleare di Bushehr. La seconda ha puntato al programma di controllo Siemens S7-315 della centrifuga di Natanz, dove l’uranio è processato e arricchito. A Bushehr il worm Stuxnet ha probabilmente tentato di degradare la turbina a vapore dell’impianto, con risultati che ci sono sconosciuti. Quanto all’attacco a Natanz, sembra aver dato risultati brillanti. Ancora una volta, la progettazione di Stuxnet ha dimostrato un’eleganza inaspettata. Assumendo il controllo della centrifuga di Natanz, il worm ha scatenato un singolo e catastrofico incidente.

Stuxnet ha di fatto assunto il controllo dei convertitori di frequenza della centrifuga durante le operazioni di routine giornaliera, dando il là a piccole esplosioni accelerative delle attività della macchina, seguite da repentine decelerazioni. Questi cambi di velocità hanno sottoposto a stress le componenti della centrifuga. Le componenti si sono deteriorate velocemente, sino a rompere misteriosamente le centrifughe. Inoltre ciò ha permesso che l’uranio sottoposto ad arricchimento si corrompesse. Nel frattempo mentre i danni si estendevano, Stuxnet ha continuato ad inviare agli iraniani normali feedback, dicendo loro che dal punto di vista del computer, il sistema stava operando come un orologio svizzero. Questo lenta degradazione è andata avanti per un anno, portando gli iraniani all’esasperazione per ciò che sembrava sabotaggio e che sapeva di sabotaggio, benché i loro computer non mancassero di rassicurarli sul fatto che tutto stesse filando liscio.

Per farla breve: Stuxnet ha mandato al macero un anno di sforzi di arricchimento a Natanz, fatto danni nelle componenti della centrifuga e nei luoghi di stoccaggio dell’uranio, seminato il caos nel programma nucleare iraniano e forzato con buona probabilità l’Iran a spendere un anno ancora nella disinfestazione di propri sistemi prima che possano operare con i picchi di operatività pre-infezione. Considerato tutto, un’operazione di successo.

Chi merita credito per Stuxnet? Tre possibilità: la prima un singolo attore statuale; seconda possibilità: un consorzio di Stati; e terza possibilità: un gruppo privato. Ognuna di queste possibilità è a prima vista plausibile. Ma l’exploit è certamente stato molto più complicato di quanto non appaia a prima vista. La pianificazione e l’implementazione di Stuxnet è certamente passata per il superamento di tre livelli di complicazione.

Il primo livello sta nella sofisticazione del worm stesso. Microsoft ha stimato che la codificazione di Stuxnet ha avuto bisogno di qualcosa di simile ad un monte ore vicino alle 10.000 giornate di lavoro umano. Con una squadra composta da una gruppo di programmatori oscillante tra le 30 e le 50 unità, la sua progettazione avrà avuto bisogno di almeno un anno o due di sforzo creativo. Tra il monte ore, i test del “giorno zero” e il design innovativo del worm, Stuxnet ha certamente richiesto non solo tempo, ma anche enorme sofisticazione tecnica e significativa dotazione finanziaria.

Il secondo livello riguarda la competenza da parte dei creatori di Stuxnet delle misteriose maestranze dello spionaggio. I certificati di verifica digitale devono essere stati rubati a Taiwan, e le USB infette devono essere state seminate dentro, o intorno, alla comunità di persone che lavorano nel programma nucleare iraniano, e ciò reso possibile con le tecniche di spionaggio moderno espresse ai più alti livelli.
Il terzo e ultimo livello di complicazione sta nell’ampio livello di competenza richiesto in termini di ingegneristica nucleare. Non è sufficiente infatti progettare un worm da infiltrare in una centrale nucleare. I creatori di Stuxnet dovevano avere delle competenze in almeno tre ambiti.  In primis essi dovevano sapere quali parti attaccare. Secondo: essi dovevano conoscere i dettagli della progettazione dei sistemi. E terzo: essi dovevano sapere come manipolare i sistemi al fine di raggiungere gli effetti desiderati.

Non v’è dubbio che raccogliere questi tre livelli di competenza deve essere stata impresa molto ardua. Il mondo è pieno di zelanti appassionati di computer; ma non ci sono tante persone che comprendano esattamente come centrifughe e reattori nucleari funzionino, oltre ad avere una minuta comprensione delle complessità dei sistemi di controllo quali il Siemens S7-315 o il S7-417. Appare improbabile che una parte privata – un gruppo di reprobi hacker o civili interessati – possano aver raccolto le competenze richieste in queste tre aree di conoscenza.

Allora chi è stato: gli israeliani, gli Stati Uniti, la Germania o la Russia? Una qualche combinazione dei suddetti? Non lo sapremo mai. Dato lo scopo dell’operazione, è già abbastanza incredibile che si possa capire quel che già abbiamo colto sul conto di Stuxnet. Molti dei precedenti atti di cyber-guerra hanno avuto luogo nell’ombra. Stuxnet è la prima seria cyber-arma vista in azione da civili. E questa è proprio la ragione per cui abbiamo assistito, negli scorsi mesi, alla nascita di un gruppo d’investigazione open-source, composto da esperti in differenti discipline da ogni parte del mondo. Gli entusiasti di tecnologia continueranno a spingere e a testare Stuxnet, nel tentativo di capire come abbia funzionato, e soprattutto per comprendere come certi sistemi possano essere protetti da simili attacchi. E questo ci porta in estrema analisi ad affermare che fondamentalmente la cyber-guerra non è diversa dalla guerra tradizionale. Le innovazioni possono essere copiate, e esiste sempre la possibilità che i nemici possano usarle a proprio vantaggio. (Seconda puntata. Fine)

Tratto da The Weekly Standard

Traduzione di Edoardo Ferrazzani

L’Occidentale del 21-12-2010
Annunci

Rispondi

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...

 
%d blogger hanno fatto clic su Mi Piace per questo: