Archivi categoria: Informatica

Stuxnet

Pubblicato il da

PLCLa storia di Stuxnet è da raccontare.

In breve, Stuxnet è un virus. Ma non è uno dei soliti, fabbricato da un lamer qualsiasi o da uno spammer professionale. E non è nemmeno una proof-of-concept, un virus creato per dimostrare che esiste una vulnerabilità e può essere sfruttata.

Stuxnet è stato rilevato già in Gennaio, ma solo nel Luglio di quest’anno si sono notate alcune sue caratteristiche non comuni e all’analisi di Symantec, è apparso subito come un prodotto un po’ particolare. Infatti, questo virus infetta i sistemi windoze, ma non è interessato a un sistema qualsiasi. Lui cerca i sistemi di controllo industriale, genericamente noti come SCADA Systems.

Però questo tipo di sistemi, di solito, non risiede su macchine collegate ad internet o, se lo sono, si collegano solo a indirizzi ben precisi, spesso via VPN (reti private criptate e altamente sicure). Non si legge la mail e non si surfa tranquillamente su un computer che controlla, per es., una centrale elettrica. Non ci si infilano nemmeno USB key perché queste macchine sono costruite ad hoc con varie schede di I/O e non hanno le interfacce dei computer normali, ma solo quelle collegate ai sensori e agli attuatori di controllo. Spesso non hanno nemmeno tastiera e monitor (vedi immagine in alto a destra). Quindi, come può un virus installarsi in uno di questi computer?

Il fatto è che questi sistemi, chiamati Programmable Logic Controller (PLC), sono, in realtà, dei micro-computer in cui si deve caricare il programma che controllerà l’automazione di un processo industriale e questo programma viene creato tramite un sistema di sviluppo che gira su un computer windoze. Quello che succede è che un programmatore prepara, su un emulatore windoze, il codice destinato ad essere caricato nel PLC.

A questo punto è chiaro che, anche se il PLC non è collegato ad internet, un modo per infettarlo esiste. Consiste nel raggiungere il computer che ospita il sistema di sviluppo che serve a creare il software destinato al PLC e infettare proprio questo software. In tal modo, quando il programma sarà caricato nel PLC, anche il virus verrà caricato con lui.

Stuxnet cerca questo tipo di macchine, ma non tutte: se la prende soltanto con una specifica configurazione di software presente nei sistemi di controllo realizzati dalla Siemens. Per infettare le proprie vittime, usa un metodo d’infezione nuovo e originale che non richiede l’interazione dell’utente: basta che venga visualizzata la sua icona su un sistema Windows non aggiornato. Sfrutta ben quattro vulnerabilità prima sconosciute. Inoltre, è capace di rendersi invisibile a windoze e di iniettarsi nei software creati per i PLC e rendersi invisibile anche in questi ultimi. Infine, contiene ben 70 blocchi cifrati che rimpiazzano alcune funzioni fondamentali di questi sistemi. Per impedire che venga scoperto, i suoi autori hanno rubato le firme digitali segrete di due fabbricanti di chip taiwanesi per usarle in Stuxnet e farlo sembrare software certificato.

Si tratta di uno spiegamento di forze pazzesco per un virus, anche per uno non banale. Quattro vulnerabilità prima sconosciute, blocchi di codice cifrato, sostituzione di funzioni fondamentali, firme digitali rubate indicano il possesso di conoscenze che vanno al di là di quelle di cui dispone un singolo hacker o cracker e fanno sospettare anche che le aziende produttrici di questi PLC abbiano fornito più di una informazione. Allora chi ha fatto uno sforzo di questo genere e perché?

Il grafico in questa pagina di Symantec mostra che la distribuzione delle infezioni si concentra nell’Iran: quasi il 60% delle macchine colpite è in questo paese. Liam O’Murchu, della Symantec, ha detto alla BBC che

il fatto che vediamo così tante infezioni in più in Iran che in qualunque altro paese del mondo ci fa pensare che questa minaccia informatica era mirata all’Iran e che c’era qualcosa in Iran che aveva un valore molto, molto alto per chiunque l’abbia scritta

Ma l’analisi di Symantec è andata avanti, scoprendo che, anche quando Stuxnet ha trovato una macchina che risponde alla caratteristiche richieste e la infetta, non entra in azione sempre, ma fa, prima, altri controlli. Cerca un sistema con una data configurazione e che sia collegato a dei convertitori di frequenza fabbricati da due sole aziende, una delle quali è finlandese, mentre l’altra ha sede a Tehran, Iran.

Non solo. Il virus controlla anche che i convertitori lavorino a frequenze elevate, comparse fra 807 e 1210 Hz. Gli impianti con componenti che richiedono tali frequenze non sono molti. Uno di questi è costituito dalle centrifughe utilizzate per l’arricchimento dell’uranio.

Un convertitore di frequenza è un dispositivo che può variare la propria frequenza di uscita, che controlla la velocità (il numero di giri) di un motore. Stuxnet può interferire con questo controllo e variare la velocità dei motori, sabotando, così, l’intero processo.

In conclusione, abbiamo un virus molto raffinato, che sfrutta conoscenze non facilmente ottenibili, usa modalità di infezione difficili da realizzare e prende di mira impianti con componenti comuni in Iran. Inoltre controlla che l’impianto in questione abbia caratteristiche tipiche degli impianti di arricchimento dell’uranio iraniani. Altre fonti nominano il reattore nucleare di Bushehr.

In effetti, la BBC ha scritto che secondo l’agenzia iraniana ufficiale IRNA, Stuxnet ha infettato i personal computer del personale presso la centrale nucleare di Bushehr, ma il sistema operativo della centrale non è stato danneggiato. Secondo Mahmoud Liay, responsabile del consiglio per l’informatica del ministero dell’industria iraniano, “è stata lanciata una guerra elettronica contro l’Iran” e gli indirizzi IP infetti in Iran sarebbero circa 30.000.

Da quanto possiamo vedere, stiamo probabilmente assistendo a uno dei primi casi noti pubblicamente di attacco informatico alle installazioni nucleari di un paese. Che cosa si sia voluto colpire non è chiarissimo, perché centrifughe a così alta velocità, in una centrale non dovrebbero essercene, ma in un impianto di arricchimento dell’uranio invece sì. È invece chiaro, dai numeri, che il virus era diretto principalmente all’Iran e ha potuto agire per circa un anno prima di essere analizzato a fondo.

Chi abbia messo in atto questo attacco, non è dato saperlo. Il codice del virus contiene un riferimento biblico che farebbe pensare a Israele. Si tratta della parola “Myrtus” che può essere letta come un’allusione al libro di Esther, nel Vecchio Testamento, dove si narra di come gli ebrei riescano a sventare un complotto persiano mirato a distruggerli.

Tuttavia, ci si chiede perché Israele avrebbe firmato un attacco di questo tipo e si può anche pensare che il suddetto riferimento sia stato piazzato a bella posta per depistare. D’altra parte, la megalomania dei soggetti che fanno lavori di questo tipo è nota e si traduce spesso nel lasciare un firma. Inoltre potrebbe trattarsi solo di una minaccia oppure una prova, per far sapere che si è in grado di farlo e quindi di fare anche di peggio…

Fonti: Symantec qui, qui e qui (rapporto completo in pdf); il Disinformatico, qui e qui.

Arte live web

Pubblicato il da

C’è molta musica di alta qualità sul sito di Arte, la TV franco-tedesca visibile in tutta Europa,ma che non arriva in Italia nonostante l’appello lanciato nel 2004 da Abbado, perché spendere per la cultura non fa parte delle abitudini dei nostri governi.

Attualmente, a quanto mi consta, da noi Arte si può seguire gratuitamente solo mediante parabola satellitare in lingua francese o tedesca. Non mi risulta sia inclusa nei canali distribuiti gratuitamente sul digitale terrestre.

Fortunatamente possiamo sempre contare sul sito web in cui troviamo parte della produzione di questo canale. Non si tratta solo di musica classica: il sito ospita anche pop rock & electro, jazz & blues, chanson française, world music, teatro e danza.

Intanto guardatevi Ensemble Intercontemporain & Patricia Kopatchinskaja Quaerendo Invenietis di Bach

Arté site

Call 911 via Twitter

Pubblicato il da

We have what could be the first call for immediate help via Twitter.

A mountain biker who was too far from any real humans to scream for help, and too far from a cell phone tower to call 911 found that she did have enough of a cell signal to tweet her emergency.

“I’ve had a serious injury and NEED Help!” she typed. “Can someone please call Winding Trails in Farmington, CT tell them I’m stuck bike crash in woods.”

Within minutes of sending her tweet, she heard an ambulance siren. Here is the whole new.

What’s about this story? If you are at the edge of a (wireless) network, you’ll have fringe coverage enough to get a text message through.

Secondo voi, può accadere in Italia?

In altre parole, se vedete su Twitter un messaggio tipo quello di cui sopra, chiamate un’ambulanza o lo ignorate?

Pubblicato in Web | Contrassegnato

Maledetto calcio

Pubblicato il da

Sento ora che ieri pomeriggio, durante il secondo tempo della partita Italia – Slovacchia, il sito sui mondiali gestito dalla RAI ha totalizzato 1.500.000 pagine viste. Metà di questa gente guardava la partita in streaming dall’ufficio.

Infatti per tutto il secondo tempo, l’internet italiana era praticamente bloccata. La wireless mi dava 4 Mb/s (di solito è a 54).

Si conferma l’enorme superiorità della TV nella diffusione di eventi di massa.

Pubblicato in Web

Is anything real?

Pubblicato il da

UPDATE 2024:
Così scrivevo 14 anni fa e anche il video ha la stessa età

Con tecnologia digitale verrà un momento in cui nessuna foto e nessun film saranno più ammissibili come prova in un processo. Date un’occhiata qui.

The digital technology will ban photos and films from the trials, some day.

Internal Debate

Pubblicato il da

From College Humour

Computer: Monitor, display this document, ok?

Monitor: No prob, boss.

Computer: OK, now it looks like Mouse is moving around so, Monitor, will you move the pointer icon accordingly?

Monitor: Anything you ask, boss.

Computer: Great, great. OK, Mouse, where are you going now?

Mouse: Over to the icon panel, sir.

Computer: Hmm, Let me know if he clicks anything, OK?

Mouse: Of course.

Keyboard: Sir, he’s pressed control and P simultaneously.

Monitor: Oh God, here we go.

Computer: *sighs* Printer, are you there?

Printer: No.

Computer: Please, Printer. I know you’re there.

Printer: NO! I’m not here! Leave me alone!

Computer: Jesus. OK look, you really ne…

Mouse: Sir, he’s clicked on the printer icon.

Computer: Printer, now you have to print it twice.

Printer: NO! NO! NO! I don’t want to! I hate you! I hate printing! I’m turning off!

Computer: Printer, you know you can’t turn yourself off. Just print the document twice and we’ll leave you alone.

Printer: NO! That’s what you always say! I hate you! I’m out of ink!

Computer: You’re not out of in…

Printer: I’M OUT OF INK!

Computer: *Sighs* Monitor, please show a low ink level alert.

Monitor: But sir, he has plen…

Computer: Just do it, damn it!

Monitor: Yes sir.

Keyboard: AHHH! He’s hitting me!

Computer: Stay calm, he’ll stop soon. Stay calm, old friend.

Keyboard: He’s pressing everything. Oh god, I don’t know, he’s just pressing everything!

Computer: PRINTER! Are you happy now?! Do you see what you’ve done?!

Printer: HA! that’s what you get for trying to get me to do work. Next time he…hey…HEY! He’s trying to open me! HELP! HELP! Oh my god! He’s torn out my cartridge! HELP! Please! ERROR!

Monitor: Sir, maybe we should help him?

Computer: No. He did this to himself.

Su internet nessuno sa che sei un cane

Pubblicato il da

Questo per quelli che, su Facebook, si sono trovati iscritti a un gruppo pro Berlusconi senza saperlo, solo perché il gruppo a cui si erano iscritti, originariamente intitolato a tutt’altra cosa, ha cambiato improvvisamente nome.

Il punto è che, essendo faccialibro una piattaforma che raccoglie milioni di utenti, i gruppi sono utilizzati anche da varie organizzazioni che cercano di aggregare una certa quantità di utenti intorno a un tema per fini tipo:

  • marketing virale
  • invio di comunicazioni pubblicitarie (o spam o keylogger o virus o backdoor)
  • ricerca di individui interessati a certe tematiche per poi contattare i singoli (quest’area va dai giochi di ruolo alle squadre di calcio fino alle organizzazioni terroristiche o religiose di varia ispirazione)
  • varie ed eventuali

e il dato di fatto è che, se non conoscete il fondatore del gruppo, non avete la minima idea di chi vi sta davanti.

Pubblicato in Web

Virus da tastiera

Pubblicato il da

apple keyboardDopo una notizia interessante sul mondo Apple, ne arriva una un po’ inquietante, ma comunque divertente.

Le tastiere USB o Bluetooth di Apple sono infettabili da virus. Le tastiere, non il computer. Think different!

Il fatto è che le suddette tastiere contengono un firmware, cioè un piccolo software che risiede in una memoria flash di circa 8k (una memoria che non si cancella allo spegnimento, ma che può essere sovrascritta). Rimpiazzando questo software, si può alterare il comportamento della tastiera, permettendogli, per esempio, di registrare ciò che scrivete o anche di inviare autonomamente dei comandi alla macchina.

Il punto interessante è che la sostituzione del suddetto software può essere effettuata da remoto, come la stessa Apple fa. Quindi basta indurre l’utente a scaricare quello che lui crede essere un aggiornamento e il gioco è fatto.

Ovviamente, rispetto a tutti i virus che girano nel mondo windoze, si tratta di una banalità, ma ha almeno un aspetto inquietante: questo non è un virus normale. Potete anche rasare a zero l’hard disk, riformattare tutto e reinstallare il sistema da zero, ma lui resta sempre lì, perché vive nella tastiera, non nell’hard disk.

Dato che non ho un Mac, devo queste info al Disinformatico.