News

Infrastrutture critiche e sicurezza: quando certificare non basta

Sono un colabrodo le architetture su cui poggiano le infrastrutture critiche. Un team di esperti ha rilevato numerose falle, la maggior parte “coperte” da certificazioni. È un problema di come si ottengono, oppure di cosa certificano? 

Pubblicato il 19 Apr 2023

Sicurezza e IOT, ecco la soluzione InfoCert Machine ID PKI

La brutta notizia, che fa poco notizia, è la presenza di numerose vulnerabilità nei dispositivi utilizzati nelle infrastrutture critiche. Lo testimoniano i numerosi attacchi e abbiamo già imparato a non illuderci di poter raggiungere la condizione di “rischio zero”. C’è quindi un senso di impotenza, misto a rassegnazione: si fa quello che si può. 

Il reale problema è che non si sta facendo davvero tutto il possibile per mantenere in sicurezza le nostre infrastrutture critiche. Un nuovo studio, infatti, rivela che i punti deboli sono nascosti dietro a certificazioni ufficiali. A maggior ragione, si rischia quindi di non identificarli, se non si va oltre la documentazione ufficiale sugli standard di sicurezza. 

L’insicurezza certificata

In un documento pre-print intitolato “Insecure by Design in the Backbone of Critical Infrastructure”, Jos Wetzels e Daniel dos Santos, ricercatori presso Forescout, e Mohammad Ghafari, professore della Technical University di Clausthal (Germania), hanno mostrato che la maggior parte di prodotti OT per infrastrutture critiche dichiara certificazioni di sicurezza non sempre effettivamente ottenute. Forniscono false certezze, quindi, e continuano a essere utilizzati anche se pieni di falle. Alcune arriverebbero a causare denial of service e manipolazione della configurazione, oppure a permettere l’esecuzione di codice da remoto.

Lo studio rappresenta un importante avvertimento e non è uno dei tanti modi per cavalcare il premiante allarmismo nel settore. Per poter affermare tutto ciò, infatti, i due esperti hanno esaminato 45 linee di prodotti OT utilizzati nei settori governativo, sanitario, idrico, petrolifero e del gas, della produzione di energia, manifatturiero e della vendita al dettaglio. Hanno scoperto le vulnerabilità nascoste, attraverso un complesso lavoro di reverse engineering che ha permesso di identificare pratiche scorrette come protocolli non autenticati e crittografia debole. In particolare, hanno scovato 53 CVE (Common Vulnerabilities and Exposures) spaziando tra vari fornitori inclusi Bently Nevada, Emerson, Honeywell, JTEKT, Motorola, Omron, Phoenix Contact, Siemens, Yokogawa e Schneider Electric.

Italia regina dei dispositivi più esposti

Più di un terzo (21 CVE) potrebbe facilitare la compromissione delle credenziali. Altre 18 CVE comportano la manipolazione dei dati, e 13 di queste consentono la manipolazione del firmware. Altre 10 forniscono un percorso per l’esecuzione di codice remoto.

I punti critici possono essere banali o più complessi, gli impatti di queste falle sono ampiamente differenti, anche al variare del contesto. Molto dipende però dalla consapevolezza che si ha delle proprie vulnerabilità, soprattutto se sono conseguenza di carenze nella progettazione della sicurezza di base. Purtroppo, è proprio ciò che accade più frequentemente. 

Secondo quanto spiegano gli autori del report, infatti, solo il 51% dei dispositivi esaminati dispone di una sorta di autenticazione per gli aggiornamenti del firmware. Il 78%, inoltre, non implementa la firma crittografica del firmware.

A tutto ciò, va aggiunto anche che la maggior parte dei componenti software coinvolti (84%) sono scritti in C++, linguaggio più complesso di C. Per il firmware, gli autori dello studio si sono trovati spesso di fronte a mix di C o C++, senza crittografia od offuscamento, anche se spesso formati da file proprietari. 

La panoramica sui dispositivi OT delle infrastrutture critiche effettuata ha compreso numerosi fornitori, tanto da diventare deliziosamente agnostica, oltre che preoccupante. Tra le architetture hardware ci sono Arm (31%), x86 (26%), PowerPC (24%), SuperH (12%) e altre (7%). Tra quelle del firmware: VxWorks (22%), QNX (14%), Linux (13%), WinCE (9%), OS-9 (4%), ITRON/TKERNEL (4%). In questo caso si ha poi anche un 11% che utilizza un sistema operativo personalizzato e un altro 23% che utilizza altri sistemi operativi.

Grazie a strumenti di ricerca open source, i ricercatori hanno potuto stimare anche il numero di sistemi potenzialmente vulnerabili esposti a Internet. I risultati sono significativi, soprattutto per l’Italia che svetta in cima alla lista con 1.255 dispositivi esposti, seguita, ma a grande distanza da Germania (440), Spagna (393), Francia (376), Svizzera (263) e Stati Uniti (178).

A peggiorare la situazione c’è il fatto che si tratta di prodotti certificati, con vulnerabilità che avrebbero dovuto essere individuate durante il processo di certificazione. Qualcosa non quadra, la situazione è critica: va preso atto che gli standard non coprono. Oppure che, anche quando lo fanno, non sono sempre adeguati e attendibili nella pratica. Potrebbe valer la pena, quindi, di rivederli, ma controllando da cima a fondo anche i processi di certificazione e verifica. Per lo meno quando si tratta di infrastrutture critiche che, una volta attaccate, possono lasciare un intero paese in ostaggio dei criminali informatici, o di chi li ha sguinzagliati. 

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Speciale Digital360Awards e CIOsumm.it

Tutti
Update
Keynote
Round table
Video
Digital360Awards e CIOsumm.it, i momenti salienti
Approfondimenti
La sinergia tra CIO e CISO trasforma la cybersecurity in un obiettivo di business strategico
Approfondimenti 
Etica dell’innovazione tecnologica per i CIO: prima chiedersi perché. Poi definire cosa e come
Eventi
Digital360 Awards e CIOsumm.IT, ecco i progetti vincitori
Tavola rotonda
Evoluzione del CIO: da centro di costo a motore strategico del business
Tavola rotonda
Business Process Augmentation: dall’RPA alla GenAI… il dato e tratto
Approfondimenti
Sistemi digitali potenziati: l’intelligenza dei chatbot è nelle mani dei CIO
Tavola rotonda
Intelligenza collaborativa e AI: sfide e opportunità per i CIO nell’era dello Human to Machine (H2M) 
Approfondimenti
Open Source: collaborazione e innovazione nel caos apparente del software libero 
Metodologie
BANI: che cos’è e come l’AI può aiutare i CIO a gestire la felicità (e l’infelicità) dei talenti
Prospettive
AI in un mondo complesso. Tra ordine e disordine, le aziende iniziano a capire la giusta via
Approfondimenti
Intelligenza Umana vs Intelligenza Artificiale insieme. Non invece
Eventi
Digital360 Awards e CIOsumm.IT, al via l’evento conclusivo
Video
Digital360Awards e CIOsumm.it, i momenti salienti
Approfondimenti
La sinergia tra CIO e CISO trasforma la cybersecurity in un obiettivo di business strategico
Approfondimenti 
Etica dell’innovazione tecnologica per i CIO: prima chiedersi perché. Poi definire cosa e come
Eventi
Digital360 Awards e CIOsumm.IT, ecco i progetti vincitori
Tavola rotonda
Evoluzione del CIO: da centro di costo a motore strategico del business
Tavola rotonda
Business Process Augmentation: dall’RPA alla GenAI… il dato e tratto
Approfondimenti
Sistemi digitali potenziati: l’intelligenza dei chatbot è nelle mani dei CIO
Tavola rotonda
Intelligenza collaborativa e AI: sfide e opportunità per i CIO nell’era dello Human to Machine (H2M) 
Approfondimenti
Open Source: collaborazione e innovazione nel caos apparente del software libero 
Metodologie
BANI: che cos’è e come l’AI può aiutare i CIO a gestire la felicità (e l’infelicità) dei talenti
Prospettive
AI in un mondo complesso. Tra ordine e disordine, le aziende iniziano a capire la giusta via
Approfondimenti
Intelligenza Umana vs Intelligenza Artificiale insieme. Non invece
Eventi
Digital360 Awards e CIOsumm.IT, al via l’evento conclusivo

Articoli correlati

Articolo 1 di 4