Shodan. La cyberwar è più complicata del previsto

Posted on 8 giugno 2012

0


Gli Stati Uniti scatenano la guerra informatica contro l’Iran, dando l’impressione di non aver calcolato appieno le possibili conseguenze e controindicazioni.

Si dice che le vie per l’inferno siano lastricate di buone intenzioni, pare quindi normale che da intenzioni pessime possano nascere situazioni disastrose, come nel caso delle immediate e già evidenti conseguenze dell’iniziativa israelo-americana di scatenare una cyberwar, una guerra informatica contro l’Iran, usando quindi attacchi informatici invece delle bombe.

Sulla paternità dell’iniziativa non ci sono dubbi, visto che proprio giorni fa autorevoli quanto anonime fonti governative hanno dipinto Obama come il comandante in capo che ha introdotto questa attività, nonostante gli Stati Uniti abbiano più volte affermato di considerare attacchi del genere, qualora si verificassero, come un atto di guerra al quale rispondere anche con le bombe. Peccato che la pessima esecuzione e la voglia di raccontarla abbiano messo in luce una clamorosa vulnerabilità dei sistemi industriali agli attacchi informatici e anche illustrato come portarli a termine con facilità.

Molti appassionati d’informatica a vario titolo hanno seguito con interesse la storia di Stuxnet, il virus usato per danneggiare gli impianti iraniani, ma soprattutto la storia ha attirato l’attenzione su una classe di macchine che di solito ha il compito di controllare impianti industriali, sistemi conosciuti con l’acronimo di SCADA (dall’inglese “Supervisory Control And Data Acquisition”, cioè “controllo di supervisione e acquisizione dati”) indica un sistema informatico distribuito per il monitoraggio elettronico di sistemi fisici (da Wikipedia). Si tratta di computer contenuti in scatole spesso molto robuste, che assicurano il controllo remoto degli impianti e nel mondo sono tantissimi, piazzati a guardia d’impianti di ogni tipo, primi fra tutti i più pericolosi.

Questo genere di computer sono genere molto affidabili, costruiti per resistere e funzionare per anni ripetendo all’infinito le stesse routine di controlli e ordini ad altri dispositivi meno intelligenti. Per programmare questi dispositivi occorre usare un personal computer come interfaccia e con la diffusione della rete è sembrato naturale farlo usare a dipendenti super-selezionati tra gli esperti e comodamente seduti presso la sede centrale dell’azienda, collegati a questi dispositivi grazie a internet. La storia di Stuxnet ha illuminato la grigia esistenza di questi dispositivi ed esposto la loro vulnerabilità, proprio in queste ore e in questi giorni è tutto un susseguirsi di storie che   li riguardano.

Molto clamore ha fatto la scoperta che questi dispositivi siano facilmente accessibili attraverso la rete e spesso per nulla protetti dalla curiosità e dall’influenza del primo che passa. Perché, questo è un altro degli aspetti di rilievo della storia, non occorre affatto essere degli hacker per fare danni, che probabilmente verranno proprio da imprudenti che andranno a mettere le mani dove non sanno nemmeno. C’è un problema di fondo rappresentato dal fatto che questi dispositivi spesso non dispongono di alcuna protezione, che è il dato che ha impressionato i più, ma c’è anche da dire che il solo fatto che siano identificabili e accessibili li espone a potenziali minacce.

Se non bastasse il Washington Post ha dedicato un lungo articolo al motore di ricerca Shodan all’interno di una serie intitolata “Giorno Zero – la minaccia nel cyberspazio”, utile a familiarizzare gli americani con una terribile minaccia incombente dopo che è stata la stessa amministrazione americana ad aprire il vaso di Pandora della cyberguerra. Niente di nuovo ed originale, ma fa sempre un po’ impressione, gli Stati Uniti hanno profetizzato e cominciato una cyberwar e oggi l’hanno scatenata, primi al mondo, contro un paese sovrano. Ma già a Washington si spiega a cittadini ed esperti del settore che che minaccia contro gli Stati Uniti è reale, tanto che gli americani hanno già da tempo istituito un Cybercommand per sovrintendere alla difesa e all’attacco informatico. Se qualcuno ha l’impressione che facciano tutto da soli, è abbastanza fondata.

Per il Washington Post la minaccia del giorno ha l’inquietante nome di Shodan, che sta per Sentient Hyper-Optimized Data Access Network ed è preso da un videogame. A sceglierlo per la sua creatura è stato un giovane informatico americano che oggi ha 29 anni e che quando lo ha costruito lo ha fatto pensando che fosse cool e oggi pensa che sia uno strumento fantastico per evidenziare queste falle nella sicurezza e altro ancora. Si tratta di un motore di ricerca particolare che sonda la rete per individuare non già le pagine web, ma tutta quella serie di apparati che sono collegati alla rete senza essere PC. Subito soprannominato il “Google per hacker” da gente di poca fantasia, Shodan trova e registra la presenza e i metadati di questi dispositivi e li ripropone agli utenti del motore di ricerca, che dal suo esordio ne ha già censiti a milioni, cento milioni secondo gli ultimi dati. Shodan diventa così la chiave d’accesso a quelle famose scatole preposte a controllare  gli impianti industriali che, sorpresa, non sono quasi mai dotate di alcuna protezione. Concepite quando ancora la rete non era tanto efficiente e pervasiva, non sono state studiate per operare in contesti che non siano quelli professionali. Alcuni di questi dispositivi offrivano la possibilità d’impostare delle password, ma quasi nessuno lo ha fatto, prima di tutto per economi, poi perché non si riteneva che le macchine potessero essere individuate con tanta facilità e anche per il fatto che molte di queste sono state collegate alla rete in seguito o che nella considerazione dei programmatori si trovassero abbastanza in profondità nel deep web da essere virtualmente introvabili. Prima di Shodan.

I maggiori produttori si distinguono tra quelli che come Siemens impostano una password di default e invitano i clienti a cambiarla e quelli come GE che offrono la possibilità d’inserire una password e consegnano i dispositivi senza. Nell’uno e nell’altro caso le password non le mette e non le cambia nessuno e se a qualcuno serve la password di Siemens la trova nei manuali online dei singoli prodotti. Ci sono poi i prodotti più datati, come  il D-20, sempre di GE. Una macchina che adotta un chip che Apple usava vent’anni fa per i suoi computer e per la quale GE non rilascia più aggiornamenti dal 1999. Un sistema ovviamente disegnato per funzionare all’interno di’impianti ai quali non accedono estranei e per essere gestito da tecnici specializzati, che ora è a tiro di qualunque adolescente brufoloso abbia voglia di sentirsi hacker per un giorno. Il Washington Post poi presenta un video con la musichetta ansiogena e una serie di pareri che incorniciano un quadro da tragedia, sembra un perfetto spot per le aziende che si occupano di sicurezza informatica, probabilmente le prime che saranno interpellate dai CEO paranoici quando la notizia li raggiungerà.

Fin dal 2010 sono stati lanciati sonori allarmi in questo senso e le aziende più accorte si stanno attrezzando, ben sapendo che una password non è comunque sufficiente a risolvere il problema, che appunto non riguardo solo un manipolo di produttori di pc, ma milioni d’impianti nel mondo, esposti potenzialmente ad attacchi dalla connessione con miliardi di altri dispositivi nel mondo. È sicuramente un bene che si diffonda la consapevolezza dell’esistenza di questo genere di vulnerabilità, meno bene è che lo si faccia invocando la minaccia di una guerra informatica, ancora meno se da parte dei primi che hanno avuto l’idea di scatenarne una davvero. Ancora meno bene sarà per le industrie e le aziende, che dovranno spendere per difendersi o per ripararsi a seguito di attacchi del genere, plausibilmente in crescita proprio grazie alla pubblicità e all’attenzione richiamata dall’evoluzione tattica americana. Che prevedibilmente nei prossimi anni pagherà i danni provocati da Stuxnet e i suoi fratelli, che come tutti i virus che si rispettino non conoscono frontiere e sono destinati a far danni ovunque, non solo dove Washington preferirebbe.

Pubblicato in Giornalettsimo

Annunci