La brutta notizia, che fa poco notizia, è la presenza di numerose vulnerabilità nei dispositivi utilizzati nelle infrastrutture critiche. Lo testimoniano i numerosi attacchi e abbiamo già imparato a non illuderci di poter raggiungere la condizione di “rischio zero”. C’è quindi un senso di impotenza, misto a rassegnazione: si fa quello che si può.
Il reale problema è che non si sta facendo davvero tutto il possibile per mantenere in sicurezza le nostre infrastrutture critiche. Un nuovo studio, infatti, rivela che i punti deboli sono nascosti dietro a certificazioni ufficiali. A maggior ragione, si rischia quindi di non identificarli, se non si va oltre la documentazione ufficiale sugli standard di sicurezza.
L’insicurezza certificata
In un documento pre-print intitolato “Insecure by Design in the Backbone of Critical Infrastructure”, Jos Wetzels e Daniel dos Santos, ricercatori presso Forescout, e Mohammad Ghafari, professore della Technical University di Clausthal (Germania), hanno mostrato che la maggior parte di prodotti OT per infrastrutture critiche dichiara certificazioni di sicurezza non sempre effettivamente ottenute. Forniscono false certezze, quindi, e continuano a essere utilizzati anche se pieni di falle. Alcune arriverebbero a causare denial of service e manipolazione della configurazione, oppure a permettere l’esecuzione di codice da remoto.
Lo studio rappresenta un importante avvertimento e non è uno dei tanti modi per cavalcare il premiante allarmismo nel settore. Per poter affermare tutto ciò, infatti, i due esperti hanno esaminato 45 linee di prodotti OT utilizzati nei settori governativo, sanitario, idrico, petrolifero e del gas, della produzione di energia, manifatturiero e della vendita al dettaglio. Hanno scoperto le vulnerabilità nascoste, attraverso un complesso lavoro di reverse engineering che ha permesso di identificare pratiche scorrette come protocolli non autenticati e crittografia debole. In particolare, hanno scovato 53 CVE (Common Vulnerabilities and Exposures) spaziando tra vari fornitori inclusi Bently Nevada, Emerson, Honeywell, JTEKT, Motorola, Omron, Phoenix Contact, Siemens, Yokogawa e Schneider Electric.
Italia regina dei dispositivi più esposti
Più di un terzo (21 CVE) potrebbe facilitare la compromissione delle credenziali. Altre 18 CVE comportano la manipolazione dei dati, e 13 di queste consentono la manipolazione del firmware. Altre 10 forniscono un percorso per l’esecuzione di codice remoto.
I punti critici possono essere banali o più complessi, gli impatti di queste falle sono ampiamente differenti, anche al variare del contesto. Molto dipende però dalla consapevolezza che si ha delle proprie vulnerabilità, soprattutto se sono conseguenza di carenze nella progettazione della sicurezza di base. Purtroppo, è proprio ciò che accade più frequentemente.
Secondo quanto spiegano gli autori del report, infatti, solo il 51% dei dispositivi esaminati dispone di una sorta di autenticazione per gli aggiornamenti del firmware. Il 78%, inoltre, non implementa la firma crittografica del firmware.
A tutto ciò, va aggiunto anche che la maggior parte dei componenti software coinvolti (84%) sono scritti in C++, linguaggio più complesso di C. Per il firmware, gli autori dello studio si sono trovati spesso di fronte a mix di C o C++, senza crittografia od offuscamento, anche se spesso formati da file proprietari.
La panoramica sui dispositivi OT delle infrastrutture critiche effettuata ha compreso numerosi fornitori, tanto da diventare deliziosamente agnostica, oltre che preoccupante. Tra le architetture hardware ci sono Arm (31%), x86 (26%), PowerPC (24%), SuperH (12%) e altre (7%). Tra quelle del firmware: VxWorks (22%), QNX (14%), Linux (13%), WinCE (9%), OS-9 (4%), ITRON/TKERNEL (4%). In questo caso si ha poi anche un 11% che utilizza un sistema operativo personalizzato e un altro 23% che utilizza altri sistemi operativi.
Grazie a strumenti di ricerca open source, i ricercatori hanno potuto stimare anche il numero di sistemi potenzialmente vulnerabili esposti a Internet. I risultati sono significativi, soprattutto per l’Italia che svetta in cima alla lista con 1.255 dispositivi esposti, seguita, ma a grande distanza da Germania (440), Spagna (393), Francia (376), Svizzera (263) e Stati Uniti (178).
A peggiorare la situazione c’è il fatto che si tratta di prodotti certificati, con vulnerabilità che avrebbero dovuto essere individuate durante il processo di certificazione. Qualcosa non quadra, la situazione è critica: va preso atto che gli standard non coprono. Oppure che, anche quando lo fanno, non sono sempre adeguati e attendibili nella pratica. Potrebbe valer la pena, quindi, di rivederli, ma controllando da cima a fondo anche i processi di certificazione e verifica. Per lo meno quando si tratta di infrastrutture critiche che, una volta attaccate, possono lasciare un intero paese in ostaggio dei criminali informatici, o di chi li ha sguinzagliati.