Traduttore automatico - Read this site in another language

Visualizzazione post con etichetta ICS. Mostra tutti i post
Visualizzazione post con etichetta ICS. Mostra tutti i post

sabato 16 dicembre 2017

Un attacco cyber può mettere a rischio la vita?

La risposta è si.

E' già cosi da tempo, anche se non se ne parla. 
Un attacco cyber è pericoloso quanto un attacco per mezzo di armi convenzionali e può mettere a rischio la vita di chi lo subisce o di chi vi si trovi coinvolto inconsapevolmente.
Chi non è abituato a considerare il cyberspace come una dimensione reale si potrebbe chiedere come sia possibile, ecco dunque di seguito alcuni esempi.

Partiamo dalla fine: è di questi giorni la notizia relativa al malware noto come Triton, conosciuto anche come Trisis. Triton è un malware che colpisce una specifica tipologia di sistemi chiamati Industrial Control Systems (per brevità userò d'ora in poi ICS). 
Gli ICS sono dei sistemi di controllo impiegati nei processi industriali per monitorare lo stato dei sistemi e prendere provvedimenti quando necessario, ovvero, generalmente quando qualche problema può trasformarsi in incidente più o meno importante. 
E' chiaro a tutti che se un sistema di controllo industriale si occupa di verificare che la quantità di zucchero utilizzata in un impasto per la produzione di industriale di ciambelle non superi una certa quantità prestabilita, qualora il sistema non funzionasse a dovere si correrebbe il rischio di mangiare ciambelle troppo dolci, ma cosa accadrebbe se nello stesso impianto di produzione il sistema di controllo industriale  sovrintendesse anche al controllo della temperatura dei forni con il compito di spegnere i forni qualora la temperatura superasse i 170 gradi, non funzionasse correttamente? 
Mi sembra chiaro che i rischi potrebbero essere diversi: da un minimo di bruciare un forno di ciambelle al pericolo di incendio, magari con la distruzione di un impianto a seguito di un incendio, con eventuali vittime umane!
Non è neppure necessario che il sistema di controllo industriale sovrintenda alla produzione di acido solforico o all'arricchimento dell'uranio per creare dei rischi per la vita umana.
Ma torniamo al nostro Triton o Trisis che dir si voglia. 
Questo malware è stato creato per attaccare un sistema di controllo industriale  creato dalla Schneider Electric: il Triconex Safety Instrumented System, un sistema che monitora le performance di sistemi critici e agisce secondo schemi prefissati qualora siano rilevati valori pericolosi o fuori norma.
Il malware identificato sembra sia in grado di interrompere un processo di un sistema di produzione industriale senza che vi sia un reale pericolo, creando chiaramente dei danni di tipo economico ai danni di chi viene colpito ma allo stesso modo l'attaccante può costringere il sistema a non fermarsi anche di fronte ad una condizione di malfunzionamento potenzialmente pericolosa.
Diverse società stanno studiando il malware, tra queste la Symantec, la FireEye e la Dragos.
Non è ancora noto da dove possa essere stato lanciato l'attacco e chi sia la società oggetto dell'attacco anche se notizie delle ultime ore parlano di un probabile attacco dell'Iran verso sistemi situati in industrie dell'Arabia Saudita
L'unica cosa certa al momento, come già detto sopra, è che sono stati colpiti impianti dotati di sistemi di controllo della Schneider Electric.
Attacchi simili ricordano molto da vicino l'attacco ai danni dell'Iran per mezzo dello Stuxnet.
Ricercatori di FireEye pensano che l'attacco tramite Triton sia parte della preparazione di un più ampio attacco a guida di una non meglio identificata organizzazione statuale. 

Un consiglio: i responsabili di sistemi industriali critici che impiegano sistemi di controllo della Schneider Electric effettuino dei controlli approfonditi sui sistemi operativi delle postazioni di controllo, soprattutto se vecchi sistemi operativi Microsoft, assicurandosi che tutte le patch di sicurezza necessarie siano installate dato che l'attacco pare sia stato effettuato ai di un computer dotato di un sistema operativo Microsoft. Inoltre nei prossimi giorni potrebbero essere rilasciate specifiche patch ed è più che mai opportuno che si faccia particolare attenzione a recepire con immediatezza eventuali indicazioni.


Alessandro Rugolo

Per approfondire:
- https://thehackernews.com/2017/12/triton-ics-scada-malware.html;
- https://www.fireeye.com/blog/threat-research/2017/12/attackers-deploy-new-ics-attack-framework-triton.html;
- https://www.schneider-electric.com/b2b/en/products/industrial-automation-control/triconex-safety-systems/;
- https://www.symantec.com/blogs/threat-intelligence/triton-malware-ics;
- http://www.securityweek.com/iran-used-triton-malware-target-saudi-arabia-researchers;
- https://dragos.com/.