![\"PLC\"](\"http:\/\/upload.wikimedia.org\/wikipedia\/commons\/thumb\/f\/f3\/Siemens_Simatic_S7-416-3.jpg\/388px-Siemens_Simatic_S7-416-3.jpg\")
La storia di Stuxnet \u00e8 da raccontare.<\/p>\nLa storia di Stuxnet \u00e8 da raccontare.<\/p>\n
In breve, Stuxnet \u00e8 un virus. Ma non \u00e8 uno dei soliti, fabbricato da un lamer qualsiasi o da uno spammer professionale. E non \u00e8 nemmeno una proof-of-concept, un virus creato per dimostrare che esiste una vulnerabilit\u00e0 e pu\u00f2 essere sfruttata.<\/p>\n
Stuxnet \u00e8 stato rilevato gi\u00e0 in Gennaio, ma solo nel Luglio di quest’anno si sono notate alcune sue caratteristiche non comuni e all’analisi di Symantec<\/a>, \u00e8 apparso subito come un prodotto un po’ particolare. Infatti, questo virus infetta i sistemi windoze, ma non \u00e8 interessato a un sistema qualsiasi. Lui cerca i sistemi di controllo industriale, genericamente noti come SCADA Systems<\/a>.<\/p>\n Per\u00f2 questo tipo di sistemi, di solito, non risiede su macchine collegate ad internet o, se lo sono, si collegano solo a indirizzi ben precisi, spesso via VPN (reti private criptate e altamente sicure). Non si legge la mail e non si surfa tranquillamente su un computer che controlla, per es., una centrale elettrica. Non ci si infilano nemmeno USB key perch\u00e9 queste macchine sono costruite ad hoc con varie schede di I\/O e non hanno le interfacce dei computer normali, ma solo quelle collegate ai sensori e agli attuatori di controllo. Spesso non hanno nemmeno tastiera e monitor (vedi immagine in alto a destra). Quindi, come pu\u00f2 un virus installarsi in uno di questi computer?<\/p>\n Il fatto \u00e8 che questi sistemi, chiamati Programmable Logic Controller (PLC)<\/a>, sono, in realt\u00e0, dei micro-computer in cui si deve caricare il programma che controller\u00e0 l’automazione di un processo industriale e questo programma viene creato tramite un sistema di sviluppo che gira su un computer windoze. Quello che succede \u00e8 che un programmatore prepara, su un emulatore windoze, il codice destinato ad essere caricato nel PLC.<\/p>\n A questo punto \u00e8 chiaro che, anche se il PLC non \u00e8 collegato ad internet, un modo per infettarlo esiste. Consiste nel raggiungere il computer che ospita il sistema di sviluppo che serve a creare il software destinato al PLC e infettare proprio questo software. In tal modo, quando il programma sar\u00e0 caricato nel PLC, anche il virus verr\u00e0 caricato con lui.<\/p>\n Stuxnet cerca questo tipo di macchine, ma non tutte: se la prende soltanto con una specifica configurazione di software presente nei sistemi di controllo realizzati dalla Siemens. Per infettare le proprie vittime, usa un metodo d’infezione nuovo e originale che non richiede l’interazione dell’utente: basta che venga visualizzata la sua icona su un sistema Windows non aggiornato. Sfrutta ben quattro vulnerabilit\u00e0 prima sconosciute. Inoltre, \u00e8 capace di rendersi invisibile a windoze e di iniettarsi nei software creati per i PLC e rendersi invisibile anche in questi ultimi. Infine, contiene ben 70 blocchi cifrati che rimpiazzano alcune funzioni fondamentali di questi sistemi. Per impedire che venga scoperto, i suoi autori hanno rubato le firme digitali segrete di due fabbricanti di chip taiwanesi per usarle in Stuxnet e farlo sembrare software certificato.<\/p>\n Si tratta di uno spiegamento di forze pazzesco per un virus, anche per uno non banale. Quattro vulnerabilit\u00e0 prima sconosciute, blocchi di codice cifrato, sostituzione di funzioni fondamentali, firme digitali rubate indicano il possesso di conoscenze che vanno al di l\u00e0 di quelle di cui dispone un singolo hacker o cracker e fanno sospettare anche che le aziende produttrici di questi PLC abbiano fornito pi\u00f9 di una informazione. Allora chi ha fatto uno sforzo di questo genere e perch\u00e9?<\/p>\n <\/strong><\/p>\n Il grafico in questa pagina di Symantec<\/a> mostra che la distribuzione delle infezioni si concentra nell’Iran: quasi il 60% delle macchine colpite \u00e8 in questo paese. Liam O’Murchu, della Symantec, ha detto alla BBC<\/a> che<\/p>\n il fatto che vediamo cos\u00ec tante infezioni in pi\u00f9 in Iran che in qualunque altro paese del mondo ci fa pensare che questa minaccia informatica era mirata all’Iran e che c’era qualcosa in Iran che aveva un valore molto, molto alto per chiunque l’abbia scritta<\/p><\/blockquote>\n Ma l’analisi di Symantec \u00e8 andata avanti, scoprendo che, anche quando Stuxnet ha trovato una macchina che risponde alla caratteristiche richieste e la infetta, non entra in azione sempre, ma fa, prima, altri controlli. Cerca un sistema con una data configurazione e che sia collegato a dei convertitori di frequenza fabbricati da due sole aziende, una delle quali \u00e8 finlandese, mentre l’altra ha sede a Tehran, Iran.<\/p>\n Non solo. Il virus controlla anche che i convertitori lavorino a frequenze elevate, comparse fra 807 e 1210 Hz. Gli impianti con componenti che richiedono tali frequenze non sono molti. Uno di questi \u00e8 costituito dalle centrifughe utilizzate per l’arricchimento dell’uranio.<\/p>\n Un convertitore di frequenza \u00e8 un dispositivo che pu\u00f2 variare la propria frequenza di uscita, che controlla la velocit\u00e0 (il numero di giri) di un motore. Stuxnet pu\u00f2 interferire con questo controllo e variare la velocit\u00e0 dei motori, sabotando, cos\u00ec, l’intero processo.<\/p>\n In conclusione, abbiamo un virus molto raffinato, che sfrutta conoscenze non facilmente ottenibili, usa modalit\u00e0 di infezione difficili da realizzare e prende di mira impianti con componenti comuni in Iran. Inoltre controlla che l’impianto in questione abbia caratteristiche tipiche degli impianti di arricchimento dell’uranio iraniani. Altre fonti nominano il reattore nucleare di Bushehr.<\/p>\n In effetti, la BBC ha scritto<\/a> che secondo l’agenzia iraniana ufficiale IRNA, Stuxnet ha infettato i personal computer del personale presso la centrale nucleare di Bushehr, ma il sistema operativo della centrale non \u00e8 stato danneggiato. Secondo Mahmoud Liay, responsabile del consiglio per l’informatica del ministero dell’industria iraniano, “\u00e8 stata lanciata una guerra elettronica contro l’Iran”<\/em> e gli indirizzi IP infetti in Iran sarebbero circa 30.000.<\/p>\n Da quanto possiamo vedere, stiamo probabilmente assistendo a uno dei primi casi noti pubblicamente di attacco informatico alle installazioni nucleari di un paese. Che cosa si sia voluto colpire non \u00e8 chiarissimo, perch\u00e9 centrifughe a cos\u00ec alta velocit\u00e0, in una centrale non dovrebbero essercene, ma in un impianto di arricchimento dell’uranio invece s\u00ec. \u00c8 invece chiaro, dai numeri, che il virus era diretto principalmente all’Iran e ha potuto agire per circa un anno prima di essere analizzato a fondo.<\/p>\n Chi abbia messo in atto questo attacco, non \u00e8 dato saperlo. Il codice del virus contiene un riferimento biblico che farebbe pensare a Israele. Si tratta della parola “Myrtus” che pu\u00f2 essere letta come un’allusione al libro di Esther, nel Vecchio Testamento, dove si narra di come gli ebrei riescano a sventare un complotto persiano mirato a distruggerli.<\/p>\n Tuttavia, ci si chiede perch\u00e9 Israele avrebbe firmato un attacco di questo tipo e si pu\u00f2 anche pensare che il suddetto riferimento sia stato piazzato a bella posta per depistare. D’altra parte, la megalomania dei soggetti che fanno lavori di questo tipo \u00e8 nota e si traduce spesso nel lasciare un firma. Inoltre potrebbe trattarsi solo di una minaccia oppure una prova, per far sapere che si \u00e8 in grado di farlo e quindi di fare anche di peggio…<\/p>\n Fonti: Symantec qui<\/a>, qui<\/a> e qui<\/a> (rapporto completo in pdf); il Disinformatico, qui<\/a> e qui<\/a>.<\/p>\n