Gli attacchi hacker alle infrastrutture critiche e cosa ci insegnano

3' di lettura

I casi più recenti mostrano come attacchi su piccola o grande scala possano potenzialmente avere effetti apocalittici e dirompenti quando l'obiettivo sono le infrastrutture critiche.

Lo scorso febbraio un ignoto criminale ha modificato da remoto la concentrazione di soda caustica nell'acqua del sistema idrico di Oldsmar in Florida. L'intruso ha ottenuto l'accesso al computer semplicemente perché disponeva delle credenziali di accesso a TeamViewer, noto software per la gestione da remoto dei sistemi. Il rischio di avvelenamento di migliaia di persone non si è concretizzato soltanto perché la manipolazione è avvenuta sotto gli occhi di un operatore che in quel momento stava lavorando proprio su quell'applicazione.

Il secondo caso ha interessato la rete elettrica indiana e si presenta, una volta inserito nel contesto geopolitico in cui si è verificato, quasi come un vero e proprio atto di guerra perpetrato dalla Cina, nell'ambito di una contesa territoriale esplosa nel maggio 2020 con l'occupazione da parte dell'Esercito di Liberazione Cinese di una vasta area della regione più settentrionale del Ladakh. In questo quadro il 13 ottobre 2020 nel Maharashtra, dove si trova la capitale finanziaria dell'India, Mumbai, si verifica un black out la cui causa viene attribuita a un malware inserito nella locale rete elettrica. Il sospetto che dietro l'attacco ci sia Pechino trova una conferma, secondo alcuni osservatori, nella dipendenza dei sistemi di gestione della rete elettrica da hardware “made in China”. Peraltro quello della presenza di backdoor all'interno di componentistica cinese è un tema che da qualche anno viene denunciato da più parti e ancora lo scorso febbraio un'inchiesta di Bloomberg è tornata sull'argomento, riportando fatti del 2008 che avvalorerebbero la tesi.

Come ben si intuisce, l'unica cosa che hanno in comune le due situazioni è l'obiettivo dell'attacco, che in entrambi i casi (possibile avvelenamento della popolazione e black out) mostra come quanto avviene al di là di uno schermo facilmente possa portare a conseguenze fin troppo reali.

In prospettiva, le infrastrutture critiche diventeranno il target privilegiato per alcune buone ragioni.

La prima riguarda appunto la portata degli effetti: un malware che blocca un sistema amministrativo è un problema serio, ma se apre una diga è un disastro. Difficile per un operatore non cedere a un ricatto quando la conseguenza potrebbe essere la morte di migliaia di persone.

La seconda è rappresentata dalla vulnerabilità sistemica della stragrande maggioranza delle infrastrutture critiche basate su un software datato, quindi non più aggiornato; non di rado prive delle più elementari misure di sicurezza come firewall e intrusion prevention system, spesso incompatibili con il funzionamento dei sistemi di controllo industriali.

La terza è nella quantità di potenziali punti di ingresso che si snodano in una filiera molto lunga con centinaia di attori in gioco e migliaia di sistemi interconnessi tra loro e tutti in relazioni “trusted”: quando uno è stato compromesso lo sono anche gli altri senza eccezione.

In questo senso l'idea che sta prendendo forma in molti paesi di creare dei perimetri di sicurezza che comprendano tutte le infrastrutture critiche sembra piuttosto utopica per almeno due motivi. Da un lato definire dei confini dove manca perfino il terreno su cui disegnarli è forse eccessivamente ambizioso, dall'altro, ammesso che sia possibile, chi si difende dovrà sorvegliarne ogni singolo centimetro, o bit se preferite. Per contro all'attaccante basterà un singolo punto d'accesso per compromettere l'intero sistema. Combattere in un ambiente del genere significa dimenticare qualsiasi tipo di riferimento fisico come “sopra”, “sotto”, “davanti”, “dietro” e via dicendo.

In questo campo completamente aperto l'attaccante ha la possibilità di scegliere su un fronte infinito in quale luogo e momento colpire. Essenzialmente in uno scontro cyber tutti i vantaggi sono di chi attacca sia esso criminale, terrorista o governo.

Presidente
DI.GI. Academy S.r.l.