giovedì 23 settembre 2010

Stuxnet, ne parlo anche io

Fonte Trackback.it
A volte mi capita di essere poco attratto da qualche argomento a causa della sua notorietà. Mi è successo con dei libri (Il cacciatore di aquiloni, la trilogia di Millenium) e con dei film (Pulp Fiction). In tutti questi casi, quando poi mi sono convinto a non fermarmi a quell'iniziale senso di ripulsa ho scoperto che quei libri e quei film erano davvero affascinanti e meritavano la loro fama.

Adesso questa stessa cosa mi è successa su un argomento legato alla sicurezza. Stuxnet.

Stuxnet è un worm che è stato scoperto a metà luglio e che ha destato immediatamente un grande interesse in quanto aveva come bersaglio i sistemi SCADA (Supervisory Control and Data Acquisition), ossia quei sistemi con i quali si governano le reti elettriche o i grandi complessi industriali.

La cosa che mi ha fatto scattare l'interesse è che più i ricercatori scavavano, analizzando il malware, più si trovavano di fronte ad un incredibile scenario.

Non mi dilungherò sui dettagli tecnici di questo worm (li trovate descritti dai ricercatori di tutte le maggiori firm di antivirus e non solo), ricorderò solo che Stuxnet sfrutta quattro vulnerabilità di tipo 0day dei sistemi Microsoft (oltre alla nota vulnerabilità sfruttata anche da Conficker) e che chi lo scritto ha utilizzato dei certificati digitali rubati (appartenenti alla Realtek Semiconductor e alla JMicron). Inoltre, da ciò che sta emergendo, Stuxnet è stato scritto da chi si intende molto approfonditamente di sistemi SCADA prodotti da Siemens, cioè una nicchia nella nicchia. Infatti Stuxnet utilizza le macchine Windows compromesse per riprogrammare i sistemi SCADA attraverso l'uso di password di default di quei sistemi.

Un vero capolavoro di malware... e qui sorge la domanda... a beneficio di chi e per quale scopo è stato prodotto questo lavoro estremamente raffinato che utilizza vulnerabilità non precedentemente note e un livello di sofisticazione senza precedenti?

In tanti in questi giorni stanno azzardando delle ipotesi.

Tra le più accreditate c'è l'ipotesi (tutta da verificare) che sia un deliberato attacco all'iniziativa nucleare iraniana. E ciò sarebbe avvalorato da alcune evidenze tra cui appunto che il 60% di tutte le infezioni note dovute a Stuxnet sono appunto in Iran, che nei siti nucleari iraniani si usano le tecnologie oggetto dell'attacco e che da qualche settimana il programma nucleare iraniano sembra essere ritardato da non meglio precisati problemi tecnici.

Fantapolitica? Fantacyberwar?

Ralph Langner, un ricercatore tedesco esperto di sistemi di sicurezza industriali ha analizzato recentemente Stuxnet con tecniche di forensic ed è rimasto basito, dopodiché ha avanzato l'ipotesi dell'attacco all'Iran. Ma vediamo quali sono le basi del suo ragionamento.
"Molti aspetti di Stuxnet sono completamente diversi dal malware che noi conosciamo e il miglior modo per avvicinarsi a Stuxnet non è quello di pensarlo come un malware, come Sasser o Zotob, ma come parte di una Operazione. Le modalità dell'Operazione possono essere suddivise in tre fasi principali: Preparazione, Infiltrazione, Esecuzione.

Fase 1, Preparazione:
- Costituire il team, composto da più unità (Intelligence, operazioni segrete, scrittori di exploit, ingegneri di processo, ingegneri di sistema di controllo, specialisti di prodotto, militari)
- Realizzare il laboratorio di sviluppo e test, compreso il process model
- Tramite la componente di intelligence individuare gli specifici target, compresa l'identificazione delle persone chiave per l'infiltrazione iniziale
- Rubare i certificati digitali

Fase 2, Infiltrazione:
- Infiltrazione iniziale con pennetta USB, magari utilizzando personale a contratto
- Il malware si diffonde localmente tramite scambi di chiavette USB, cartelle condivise, spooler di stampa
- Il malware prende contatto con i server di comando e controllo per gli aggiornamenti e per la verifica della effettiva compromissione
- Il malware aggiorna le macchine compromesse utilizzando una componente peer-to-peer interna
- I server di Comando e Controllo vengono spenti

Fase 3, Esecuzione:
- Verificare la configurazione controller
- Identificare i vari controller dei target
- Caricare la componente malevola nel sistema target
- Nascondere la componente malevola agli ingegneri del sistema di controllo 
- Verificare l'esecuzione del processo
- Attivare la sequenza di attacco

Ciò dimostra che le vulnerabilità 0day servivano solo temporaneamente nella fase di infiltrazione. Un bel lusso per degli exploit così sofisticati!"

Tutto ciò fa venire in mente che dietro a tutto questo ci possa essere solo uno Stato sovrano e non dei singoli cracker, per quanto bravi e motivati.

Sarà proprio così? Sapremo mai con certezza cosa è accaduto?

I don't know... but stay tuned!

Riferimenti utili per chi volesse approfondire
Krebsonsecurity
ZDNet
Schneier on security
Securelist
Langner                                (Grazie a Niels Groeneveld per la segnalazione)
Joe Schorr su Infosecisland  (Grazie a Niels Groeneveld per la segnalazione)
--------------------------------------------------------------------------------------------
Aggiornamento 18 gennaio 2011
Mikko Hypponen, Chief Research Officer di F-Secure, ha pubblicato un bellissimo video in cui racconta Stuxnet, la sua importanza e tutte le implicazioni sullo scenario internazionale di questo malware che è destinato a cambiare la nostra percezione di ciò che è e che può fare un codice malevolo. Ecco il video

Nessun commento:

Posta un commento

http://www.wikio.it