Attacchi informatici: rete elettrica, mezzi di trasporto, ecco cosa rischiamo oggi

Nel corso della RSA Conference sono emerse alcune delle minacce più temute dagli analisti, impegnati da una parte a prevenire che accadano, dall'altra a come reagire in caso di attacco. Ecco alcuni esempi pratici di quello che è già accaduto e accadrà di nuovo
di Alessandro Bordin pubblicato il 24 Febbraio 2017 nel canale SicurezzaRSA
Smart Grid e Industrial Control System (ICS)
Aumenta l'allarme anche su scala più ampia e meno controllabile dall'utente singolo, come ad esempio per le Smart Grid e gli Industrial Control System (ICS). Definiamo prima cosa sono. Con Smart Grid, grossolanamente, si intende tutto un sistema di distribuzione della rete elettrica, solitamente su scala nazionale, operata in maniera "intelligente" grazie a sistemi di controllo informatizzati, che prevedono una fitta rete di comunicazione e controllo. Gli ICS sono qualcosa di simile, nel senso che anche in questo caso vi sono reti con controlli remoti chiamati a svolgere le funzioni più disparate.
In comune hanno a monte un sistema di controllo formato da server di vario genere e dalle varie funzionalità, connessi a loro volta a sensori, stazioni di rilevamento, controlli di vario genere attraverso una rete che può essere molto estesa e, di conseguenza, attaccabile in alcuni punti che risultano più vulnerabili. Due i casi notevoli occorsi nel 2015 e nel 2016, ovvero l'attacco ad una parte della rete elettrica Ukraina. Solitamente dietro a questi attacchi ci sono governi o enti governativi di qualche tipo e sicuramente poco limpidi.
E' il 23 dicembre 2015, data passata alla storia in quanto occasione del primo attacco noto ad una Smart Grid. L'attacco, coordinato in precedenza in tutte le sue parti, ha preso il via da 3 impianti elettrici periferici particolarmente vulnerabili (partendo da email malevole con il BlackEnergy malware), usati come base di partenza per propagare l'attacco risalendo la rete fino a strutture di controllo in grado di servire vaste aree. L'attacco ha portato al coinvolgimento di 50 sottostazioni di distribuzione, delle quali 30 completamente spente nel corso dell'attacco, che ha portato ad un blackout totale della durata di 3,5 ore a danno di ben 225.000 persone. L'attacco ha apportato volontariamente il danneggiamento di oltre 100 server con la cancellazione totale dei dati (KillDisk malware), al fine di allungare i tempi di ripristino. L'energia non erogata è stata di ben 135 MWatt.
Pur già attaccate l'anno precedente ed avendo di conseguenza preso provvedimenti, le strutture dell'Ukraina viene attaccata di nuovo l'anno seguente. Sebbene l'attacco sia stato di entità più modesta (a parte l'incremento di energia non erogata, ben 200MWatt), il blackout è durato comunque più di un'ora, con un impatto comunque severo.
RSA manda un segnale chiaro dicendo che molte attenzioni andranno riservate a queste reti di importanza strategica per il sistema Paese, a prescindere da qualunque esso sia. Si tratta di nuovi fronti di ipotetiche guerre future, non solo cyber-conflitti ma guerre nel senso più ampio del termine. Essere in grado di mettere a terra una rete elettrica, la fornitura di gas e acqua, trasporti come i treni o altri servizi di primaria importanza, costituiscono un problema che dovrà essere affrontato da qualsiasi governo lungimirante. Prevenire, o limitare, è molto meglio che curare.