Svelate le falle di sei sistemi SCADA commerciali

Sicurezza degli SCADA

Un ricercatore italiano nel campo della sicurezza informatica, Luigi Auriemma, ha rivelato una lista di "bugs", non ancora corretti, riguardanti sei sistemi SCADA commerciali. I sistemi di controllo adottati dalle principali aziende industriali sono vulnerabili e soggetti a possibili attacchi da parte degli hacker?

Che cos’è uno SCADA

Forse tra i lettori c’è qualcuno che non sa esattamente in cosa consiste uno SCADA, e quale è la sua importanza nel campo dei sistemi di automazione e controllo industriali. Vediamo allora brevemente qualche concetto introduttivo. Il termine SCADA è l’acronimo di Supervisory Control And Data Acquisition, ed il nome stesso ben sintetizza le tre principali funzionalità comuni ad ogni sistema di questo tipo:

  1. acquisizione – questa funzione consiste nell’acquisizione (tramite appositi sensori collocati in opportuni punti del sistema) delle grandezze fisiche utili ai fine del controllo e della supervisione del sistema, e nella loro conversione, ove necessario, in formato digitale. In un forno industriale, ad esempio, può essere conveniente disporre della misura della temperatura (anche proveniente da più punti), dello stato di apertura/chiusura dello sportello, ecc.
  2. controllo – oltre ai sensori, utilizzati per compiere l’acquisizione delle misure, un sistema di controllo industriale dispone anche di attuatori (pompe, motori, elettrovalvole, ecc.) che agendo opportunamente sul sistema sono in grado appunto di "controllarlo", agire cioè sul suo funzionamento in modo tale che segua una legge ben stabilita. Sempre nel caso del forno, gli attuatori potrebbero agire sul sistema di produzione del calore in modo tale da disattivarlo quando la temperatura raggiunge un certo valore, oppure attivare dei ventilatori per distribuire uniformemente il calore nel forno
  3. supervisione – questa funzionalità permette di monitorare visivamente, tramite i cosiddetti quadri sinottici (oggi sostituiti dai monitor dei computer), lo stato di funzionamento del sistema, gli eventuali allarmi presenti, ecc. Oggi anche una sola persona può essere sufficiente a supervisionare un impianto industriale complesso, ed è altresì possibile eseguire la supervisione a distanza tramite collegamento remoto

Numerose sono le applicazioni dei sistemi SCADA. Tra queste ricordiamo i sistemi di fabbricazione e produzione industriale, gli impianti per la produzione di energia (centrali elettriche e nucleari, ad esempio), industrie chimiche, raffinerie, impianti di depurazione e per il trattamento delle acque, ecc. Nell’immagine seguente (tratta da Wikipedia) è mostrato un tipico esempio di applicazione SCADA. Abbiamo anzitutto un serbatorio che può essere riempito tramite l’azione svolta da una pompa elettrica (E-1), ed un sensore di flusso che misura la portata con cui viene riempito il serbatorio (F-1). Il PLC PLC-1 confronta il flusso misurato con quello richiesto e agisce di conseguenza sulla pompa per renderli uguali. Sul serbatoio sono presente un sensore di livello (L), ed una valvola V-2, controllati da PLC-2, il quale agisce su V-2 in modo tale che il livello assuma il valore desiderato. In questo contesto, lo SCADA, oltre alle funzioni di acquisizione e supervisione, svolge un’attività di controllo che consiste nell’impostare i set-point opportuni sui due PLC (portata per PLC-1 e livello per PLC-2).

 

I sistemi SCADA di ultima generazione sono caratterizzati sempre più dall’essere distribuiti ed interconnessi in rete. Ciò è dovuto sia alla larga diffusione dei protocolli di rete, come ad esempio i vari standard racchiusi sotto il "cappello" Ethernet, sia alla praticità e remotizzazione resa disponibile dal mondo Internet. Il rovescio della medaglia è che ogni dispositivo collegato in rete è di per sè potenzialmente vulnerabile, e soggetto a possibili attacchi compiuti da hacker o comunque da persone male intenzionate. Questa vulnerabilità è stata proprio messa in evidenza e dimostrata dal ricercatore italiano. Vediamo più in dettaglio che cosa ha scoperto.

 

Vulnerabilità degli SCADA

Luigi Auriemma ha svelato sul suo sito una lista dettagliata di difetti ("bug" nella terminologia informatica), al momento non ancora corretti, che interessano sei sistemi SCADA commerciali, tra i quali quello deil gigante statunitense dell’automazione, vale a dire Rockwell Automation. Per ogni bug viene fornita una descrizione dettagliata del difetto, e, ove applicabile, i passi necessari per provocarlo/riprodurlo. Questo punto è fondamentale, in quanto proprio attraverso queste informazioni gli sviluppatori che curano lo specifico prodotto software (o comunque chi è in carico della risoluzione dei difetti) possono apportare le necessarie modifiche e risolvere il problema. Alcuni dei sistemi SCADA interessati sono attualmente utilizzati in impianti per la produzione di energia, per il trattamento delle acque (anche potabili), per lo smaltimento dei rifiuti, e nell’agricoltura. Sorge a questo punto una domanda lecita: e se queste informazioni fossero utilizzate da hacker o da malintenzionati, i principali sistemi di controllo industriale potrebbero essere compromessi?. Occorre infatti tenere presente che le falle individuate dal ricercatore, in grado di minare la vulnerabilità dei sistemi SCADA interessati, possono permettere attacchi condotti tramite connessioni remote, lasciando aperta la porta ad attacchi di tipo DoS (Denial of Service) o addirittura il crash di talune applicazioni. Se sia giusto o meno rivelare queste informazioni rappresenta un argomento controverso, sul quale ognuno di noi ha la propria opinione. Vediamo qual’è l’opinione espressa da una parte del mondo della sicurezza informatica, e qual’è l’opinione del ricercatore italiano.

L’opinione più diffusa manifestata dal settore della sicurezza informatica (soprattutto dalle aziende che vi operano), è quella di non vedere di buon occhio la divulgazione di informazioni di questo tipo, indicate con il termine "0-day disclosure". Questo termine indica la diffusione immediata di un’informazione relativa a un difetto o malfunzionamento software prima ancora che sia disponibile la sua correzione ("patch"). Secondo questa opinione, infatti, si espongono i clienti (chi usa i prodotti incriminati) a possibili attacchi senza che sia ancora disponibile l’opportuna correzione, e questi attacchi potrebbero interessare vari tipi di apparecchiature e sistemi industriali, come ascensori, sistemi per la produzione di energia, ecc.

Luigi Auriemma, come egli stesso afferma sul suo sito, ama la diffusione delle informazioni, e cerca di rendere disponibile anche agli altri, condividendolo, tutto ciò che di utile ha scoperto. Dice anche di avere una particolare predilezione per i computer e per i bug software (ma solo perchè è la cosa che gli riesce meglio di fare in questo momento!). Per quanto riguarda il processo di individuazione e segnalazione dei bug, Luigi ha messo a punto una vera e propria linea di condotta (policy) che ha adottato sino al 2008, per poi modificarla. Una volta individuato un bug, il primo passo da compiere consiste nella preparazione del suo "disclosure", cioè nella sua rivelazione. Il passo successivo consiste nel contattare il venditore del prodotto software, o direttamente gli sviluppatori in carico dello stesso. Questo passo però, a partire dal 2008, viene compiuto o meno a discrezione del ricercatore (quindi in qualche caso Auriemma si limita solo a pubblicare la "responsible disclosure"). Qual’è l’opinione di Auriemma su questo tema? Lo possiamo sapere leggendo le sue parole testuali (traduzione dei contenuti in lingua inglese pubblicati sul suo sito):

"E ricordatevi che io scopro i bug, ma non sono io a crearli, sono gli sviluppatori le sole persone che creano i bug (indirettamente, naturalmente), così sono loro gli unici responsabili".

Ed aggiunge anche:

"Come per qualunque cosa al mondo, non è possibile controllare l’utilizzo di ciò che creiamo (si pensi ai produttori di coltelli, per fare un esempio comprensibile a tutti) – a me importa solo che la mia ricerca sia stata utile o interessante."

Link alla notizia pubblicata su Slashdot

 

21 Comments

  1. stefano88 26 settembre 2011
  2. fra83 26 settembre 2011
  3. divivoma 26 settembre 2011
  4. Fabrizio87 26 settembre 2011
  5. Fabrizio87 26 settembre 2011
  6. divivoma 26 settembre 2011
  7. stefano88 26 settembre 2011
  8. Fabrizio87 26 settembre 2011
  9. Francesco12-92 28 settembre 2011
  10. divivoma 28 settembre 2011
  11. Fabrizio87 28 settembre 2011
  12. divivoma 28 settembre 2011
  13. Fabrizio87 28 settembre 2011
  14. Fabrizio87 28 settembre 2011
  15. divivoma 28 settembre 2011
  16. Francesco12-92 30 settembre 2011
  17. divivoma 26 settembre 2011
  18. divivoma 26 settembre 2011
  19. stefano88 26 settembre 2011
  20. telegiangi61 26 settembre 2011
  21. Fabrizio87 26 settembre 2011

Leave a Reply

Vuoi leggere un articolo Premium GRATIS?

RFID: un acronimo mille possibilità