Quando si dice lunedì nero. Lunedì 8 febbraio Bob
Gualtieri, sceriffo di Oldsmar, piccola cittadina di 13mila anime della contea
di Pinellas, Florida, a 15 miglia da Tampa, ha l’ingrato compito, da dietro un
leggio e un microfono, di gestire una conferenza stampa (VIDEO) cui assistono media nazionali e internazionali.
Un evento a dir poco insolito, che ha portato in città anche l’Fbi e i Secret
services. In piedi accanto a lui, con aria dimessa e un po’ spaesata, anche il
sindaco e il city manager. Pochi giri di parole, lo sceriffo va subito al
dunque.
Cosa è successo
“Venerdì 5 febbraio c’è stata un’intrusione
illegale nei sistemi informatici dell’impianto di trattamento dell’acqua di
Oldsmar”, esordisce. Si tratta di un impianto che rifornisce di acqua i
residenti della cittadina, dopo un trattamento con sostanze chimiche per
renderla potabile. Questo genere di impianti - continua Gualtieri - fanno
parte delle infrastrutture critiche del Paese e possono diventare un target per
chi voglia colpire la sicurezza pubblica. Dopo questa premessa poco
rassicurante, lo sceriffo prosegue fornendo i dettagli di quanto accaduto.
L’intrusione e la
modifica dei parametri
Alle 8 del mattino di venerdì 5 febbraio un
dipendente della struttura di trattamento dell’acqua ha notato che qualcuno
aveva avuto accesso da remoto ai sistemi informatici che stava monitorando,
sistemi che controllano le sostanze chimiche e altre operazioni dell’impianto.
L’accesso era avvenuto attraverso un software di assistenza da remoto usato
alcune volte dal suo stesso capo per svolgere delle attività, per cui a un
primo momento il dipendente non ci ha prestato attenzione. Ma quando l’evento
si è ripetuto di nuovo nel pomeriggio, l’uomo ha notato che chi era collegato,
muovendo il mouse proprio davanti ai suoi occhi, stava in realtà aumentando la
quantità di soda caustica nell’acqua, “un importante e potenzialmente
pericoloso incremento”, ha specificato lo sceriffo. Per la precisione: da 100
parti per milione a 11.100 parti per milione. Un incremento che se avesse
raggiunto la popolazione “avrebbe potuto provocare seri malesseri o fatalità”, scrive Ars technica.
L’operatore ha subito ripristinato i valori
modificati da colui che ormai era evidentemente un pericoloso intruso e
lanciato l’allarme. Poche ore dopo partiva un’indagine di Fbi e Secret
Services. Lo sceriffo ha precisato che comunque nell’impianto erano presenti
dei meccanismi di controllo, delle ridondanze che avrebbero individuato
l’eventuale incremento nell’acqua anche qualora l’operatore non se ne ne fosse
accorto in tempo reale.
Un attacco che ha
sfruttato gravi vulnerabilità
Questa storia dalla contea di Pinellas ha fatto il
giro del mondo, perché quel tipo di intrusione, in quel tipo di infrastruttura
critica, con quelle possibili conseguenze (un aumento importante di una
sostanza usata per regolare il ph ma che, superate certe soglie, diventa
pericolosa), è l’incubo di molti esperti di cybersicurezza. Va subito detto
però, alla luce di quanto emerso nelle ore successive, che l’attacco appare
assai meno sofisticato di quanto si possa pensare. Una precisazione forse poco
tranquillizzante ma importante.
Il problema è che la possibilità di intrusione
sembra sia stata servita su un piatto di argento.
Come ha infatti spiegato un avviso sulla sicurezza
emesso dallo Stato del Massachusetts sul caso specifico e le misure da
adottare, “soggetti non identificati hanno avuto accesso ai controlli SCADA
(sistemi informatici utilizzati per il controllo e il monitoraggio di processi
industriali e sistemi infrastrutturali, ndr) dell’impianto di trattamento
dell’acqua attraverso un software per l’accesso da remoto, TeamViewer, che era
installato su uno dei diversi computer usati dal personale dell’impianto per
condurre controlli sullo stato del sistema e rispondere ad allarmi o altre
questioni che possono emergere”.
L’avviso prosegue spiegando che tutti i computer
usati dal personale erano connessi ai sistemi SCADA e usavano Windows 7. E che
“tutti i computer condividevano la stessa password per l’accesso da remoto e
apparentemente erano connessi direttamente a internet senza alcun tipo di
firewall”.
Ipotesi di un insider
Cosa vuol dire tutto ciò? Che la struttura aveva
pratiche di sicurezza che lasciavano alquanto a desiderare (assenza di
firewall, stessa password, uso di un sistema operativo per cui Microsoft non
fornisce più aggiornamenti di sicurezza, ecc). E che in questo scenario non è
da scartare la possibilità che si tratti di un ex dipendente, come ipotizzato ad esempio da Christopher Krebs, ex capo
della CISA, l’agenzia federale per la sicurezza delle infrastrutture critiche e
la cybersicurezza. Altri hanno pensato a un atto di “vandalismo”, ovvero il
gesto inconsulto di qualcuno che sia riuscito ad ottenere un accesso.
Un problema annoso,
specie per tante piccole infrastrutture locali
In realtà, come ha notato su Twitter la giornalista Kim Zetter, non
sorprende che queste infrastrutture siano accessibili online, è anzi una
questione annosa (vedi questa sua storia del 2012). E, come nota Brian Hogan del SANS
Institute, molte organizzazioni usano soluzioni di accesso da remoto per
permettere a staff e fornitori di lavorare da lontano, un fenomeno per altro incrementato
dalla pandemia. Per questo, aggiunge, è tempo di rivedere le varie soluzioni
per assicurarsi che siano configurate correttamente e che abbiano
l’autenticazione multifattore.
Secondo vari osservatori, quello che fino ad oggi
ha tenuto protette alcune di queste infrastrutture così esposte è il fatto che
attaccanti di basso livello farebbero comunque fatica a districarsi nella
complessità di quei sistemi interni. D’altro canto, attaccanti di alto livello
(Stati) sanno fin troppo bene il rischio cui andrebbero incontro in operazioni
di questo tipo (un’azione del genere, diversamente da campagne di spionaggio, e
al di là del suo esito effettivo, potrebbe essere considerata un atto di
terrorismo). Il che però non li esclude del tutto dallo scenario.
Nessun commento:
Posta un commento