www.MegaLab.it

Per la delicata funzione svolta nei confronti della collettività, ci si aspetta che le strutture preposte alla produzione e alla distribuzione di energie elettrica siano adeguatamente dotate dal punto di vista della sicurezza. E invece pare sia vero l'esatto contrario: penetrare all'interno dei sistemi delle centrali energetiche non comporta molto lavoro, basta in effetti un giorno per approntare i tool giusti e prendere il controllo totale dei gangli vitali dell'infrastruttura.

Solleva la questione Ira Winkler, consulente di sicurezza esperto in test di penetrazione che alla RSA Conference di San Francisco espone la sua esperienza, frutto del lavoro di un team assoldato proprio da una delle suddette centrali elettriche degli Stati Uniti interessata a conoscere lo stato reale dei propri sistemi di sicurezza.

L'esperto non svela di quale società si tratti, ma per il resto è impietoso nel riferire come lui e i suoi colleghi siano riusciti a prendere il sopravvento su svariate macchine in un solo giorno di tempo, raggiungendo il "core" del network di "supervisory, control and data acquisition" (SCADA) responsabile della gestione diretta degli impianti di produzione e stoccaggio dell'energia.

Il problema principale dell'attuale insieme di reti presenti nelle centrali, sottolinea Winkler, è che i network SCADA si sono evoluti grandemente rispetto al passato, passando dal loro essere sistemi chiusi a infrastrutture interfacciate direttamente con Internet. "Questi network non sono più chiusi. Sono stati aperti per più di un decennio" rivela Winkler.

E proprio da Internet il team di Winkler è riuscito a condurre con successo il suo attacco, grazie a un pizzico di ingegneria sociale - tipico di truffe a base di phishing - e allo sfruttamento di una falla del browser web. Gli esperti hanno cominciato raccattando indirizzi e-mail nei gruppi di utenti dei network SCADA, a cui hanno poi inviato un falso avviso di decurtazione dei benefit sullo stipendio con tanto di link a un sito web per "saperne di più".

Naturalmente, una volta aperta la pagina non c'era nessuna notizia ad attendere il visitatore, che veniva al contrario "intrattenuto" con un messaggio di errore mentre il server scaricava in locale un malware appositamente progettato, in grado di garantire a Winkler e soci il controllo della macchina da remoto. L'attacco si è rivelato essere sin troppo efficace, al punto che è stato necessario una veloce disinfestazione delle macchine colpite prima che venissero compromessi in maniera critica i server della rete SCADA.

Questo triste stato di cose non è una novità, dice Winkler, e "i veri cattivi già sanno quello che sto dicendo". L'eccessiva permeabilità delle reti interne delle centrali rispetto a Internet è il vero problema da affrontare, perché stando così le cose "c'è il potenziale per danni davvero seri" avverte l'esperto. Occorre inoltre adottare software SCADA certificato per essere meno prono alle vulnerabilità: far girare Internet Explorer 6 su un sistema desktop in una Intranet connessa all'esterno non è proprio il massimo della profilassi, conclude Winkler.