Ict n. 1 - Forum per la Tecnologia della Informazione
Transcript
Ict n. 1 - Forum per la Tecnologia della Informazione
Smart Grid e Sicurezza ICT: valutare il rischio1 Questo articolo prende spunto dalla tesi “SMART GRID E SICUREZZA ICT” svolta da Andrea Gentile presso la Facoltà di Ingegneria dell’Università di Perugia – Relatori: Prof. P. Pozzi (FTI), Ing. Angelo Frascella (ENEA UTT PMI). Seconda parte di Angelo Frascella, Andrea Gentile, Piero Pozzi S i è discusso nell’articolo Smart Grid e sicurezza ICT pubblicato su Cyber Crime di LuglioAgosto 2011, come le odierne reti elettriche vadano incontro a una trasformazione profonda, caratterizzata dal passaggio da un paradigma centralizzato a uno distribuito. Tale trasformazione sarà analoga a quella che è stata, per le tecnologie dell’informazione e della comunicazione, la diffusione di Internet. La costruzione di questa nuova rete elettrica intelligente, o Smart Grid, implicherà l’integrazione in essa di componenti e sistemi digitali, tecnologie ICT e sistemi software che, se da una parte aiuteranno ad affrontare le sfide, sempre più urgenti, legate all’uso dell’energia, alla salvaguardia dell’ambiente e all’evoluzione della situazione geo-politica, dall’altra aumenteranno il rischio di attacchi informatici deliberati alla rete elettrica. I nemici da cui bisognerà difendersi non saranno solo hacker, ladri e truffatori, ma anche organizzazioni criminali, terroristiche e spionistiche, che potranno mettere a rischio la stabilità dell’intera rete elettrica. Un attacco ben diretto, infatti, potrebbe compromettere la fornitura di energia elettrica su scala nazionale. Per capire meglio le conseguenze di un simile evento si pensi a quello che è accaduto il 28 settembre 2003, quando la caduta di un albero sui cavi del- 16 l’alta tensione in Svizzera provocò una serie di eventi a catena che culminarono in black-out che interessò tutta l’Italia. Ci vollero 20 ore perché la fornitura elettrica fosse ripristinata ovunque. Durante il blackout si verificarono problemi ai trasporti (treni e metropolitane bloccate, semafori non funzionanti, aerei in ritardo), situazioni critiche in diversi ospedali, disservizi della rete di telefonia cellulare, carenze idriche in molte abitazioni e il blocco della produzione per diverse aziende a ciclo continuo. Oltre a tali disagi e ai conseguenti danni economici, stimati in 390 milioni di Euro, ben otto decessi furono causati da incidenti dovuti alla mancanza improvvisa di luce. Non è esagerato, perciò, ipotizzare che la Smart Grid possa diventare un campo di battaglia privilegiato per le future cyber-war. LE CYBER WAR SONO GIÀ INIZIATE? Questa prospettiva è solo un’ipotesi per il futuro? Nel giugno del 1997, Pentagono, NSA ed FBI realizzarono un test, incaricando una squadra di hacker dell’NSA di attaccare le infrastrutture nazionali statunitensi e si accorsero che la rete elettrica degli USA era vulnerabile ad attacchi informatici. In effetti, già allora, iniziava a diffondersi nei sistemi di controllo della rete elettrica statunitense l’uso di computer distribuiti basati standard aperti. Era inol- che tale infezione non sia stata la causa principale del problema, ma che abbia contribuito a peggiorare la situazione. Infatti, il virus congestionò le comunicazioni fra gli operatori del sistema elettrico, rendendo più difficile il coordinamento necessario ad affrontare la crisi. Vale la pena ricordare anche che nel 2011, un attacco informatico finalizzato a una truffa, portò alla chiusura della Borsa Europea dei permessi per le emissioni di CO23. Questo episodio, anche se non interessa direttamente la rete elettrica, lascia intravedere le falle potenziali di sicurezza insite nello sviluppo di un mercato europeo dell’elettricità aperto e basato sull’e-business. 2009: L’ANNO DEL DRAGONE tre attivo un sistema basato su Web2 per richiedere servizi relativi alla trasmissione elettrica. Ma se quella del ‘96 era solo una simulazione, nel 2001 gli hacker penetrarono per davvero nei sistemi del principale operatore della rete di trasmissione elettrica della California. L’attacco cominciò il 25 Aprile e non fu rilevato prima dell’11 Maggio. Secondo i rapporti ufficiali non ebbe conseguenze gravi e, anche se il 7 e l’8 Maggio si verificarono una serie di black-out in tutto lo stato, l’operatore negò qualunque legame con l’infiltrazione degli hacker. Poi, nel 2003, molto prima dell’ormai celebre virus Stuxnet (si veda l’articolo pubblicato su Cyber Crime luglio/agosto 2011), il virus Blaster degradò le connessioni con i data center di diverse compagnie elettriche statunitensi. In concomitanza, si verificò un black-out sulla costa est degli Stati Uniti. Si ritiene 1 L’articolo prende spunto dalla tesi “SMART GRID E SICUREZZA ICT” svolta da Andrea Gentile presso la Facoltà di Ingegneria dell’Università di Perugia – Relatori: Prof. P. Pozzi (FTI), Ing. Angelo Frascella (ENEA). 2 Open Access Same-Time Information System (OASIS) 3 Il mercato delle emissioni è uno strumento amministrativo, nato nell’ambito del protocollo di Kyoto, per controllare le emissioni di inquinanti e gas serra attraverso la quotazione monetaria delle emissioni stesse e il commercio di tali quote tra stati diversi. Se quelli precedentemente elencati si configurano solo come episodi isolati, l’escalation verso la guerra informatica era dietro l’angolo. Nell’Aprile del 2009, il Wall Street Journal diede la notizia della penetrazione di spie informatiche nei sistemi nella rete elettrica USA ad opera dei servizi segreti russi e cinesi. Russia e Cina, comunque, negarono qualunque coinvolgimento. Nel 2011, però, McAfee ha diffuso un rapporto intitolato Global Energy Cyberattacks: “Night Dragon” in cui afferma che, a partire dal 2009, hacker cinesi hanno condotto degli attacchi coordinati contro diverse compagnie energetiche. Gli attaccanti hanno sfruttato delle vulnerabilità di Windows e utilizzato una serie di tecniche comuni di ingegneria sociale per piazzare su dei Web Server, tramite la tecnica di SQL injection, dei tool da utilizzare per l’attacco. Si trattava di comuni tool di amministrazione remota o, in inglese,Remote Administration Tool (RAT), in grado di abilitare la gestione in remoto dei sistemi sotto attacco. Il passo successivo è stato l’invio di messaggi elettronici “maligni” agli impiegati delle compagnie. La tecnica prende il nome di spearphishing e permette all’attaccante di rubare le identità dei destinatari. Tali mail contenevano anche i link dei Web Server precedentemente compromessi. In tal modo gli attaccanti sono riusciti a scaricare, sui computer della compagnia, il RAT. A quel punto gli hacker hanno avuto un facile accesso ai sistemi delle compagnie sotto attacco e in particolare ai documenti sensibili in essi contenuti. Anche se, in questo caso, pare siano “solo” state rubate informazioni, è evidente come, tramite tecniche di attacco molto semplici, sia stato possibile penetrare nei sistemi delle aziende energetiche fino a comprometterne tutte le macchine e a prendere il comando dei sistemi di controllo. Se gli attaccanti avessero voluto, avrebbero potuto usare gli strumenti di amministrazione remota per controllare direttamente i sistemi fisici delle compagnie energetiche. POSSIBILI TIPOLOGIE DI ATTACCO Cerchiamo di capire meglio come si potrebbe indurre un black-out, sfruttando un accesso ai sistemi di controllo, come quello appena illustrato. Settembre - Ottobre 2011 • CyberCrime 17 Nella rete elettrica deve esserci sempre equilibrio fra l’energia elettrica immessa nella rete dai produttori e quella effettivamente consumata, pena l’instabilità dell’intero sistema. Senza entrare nei dettagli, basterà dire che ci sono una serie di apparati che controllano che questa condizione venga rispettata istante per istante e sistemi di emergenza, che coinvolgono sia automatismi che il personale operativo, per ripristinare le condizioni normali, nel caso in cui si verifichi un pericolo. L’esempio del black-out italiano del 2003, in cui la mancanza improvvisa di potenza in ingresso dalla Svizzera provocò un grave sbilanciamento fra produzione e utilizzo, dimostra come questo complesso sistema di sicurezza elettrica possa andare in crisi. Da un punto di vista informatico, una simile condizione si potrebbe produrre agendo su diversi punti della rete. A differenza dei sistemi informativi d’impresa, in cui i confini da proteggere sono fisicamente e geograficamente circoscrivibili e quindi meglio controllabili (in realtà sempre meno spesso, con la crescente diffusione di cloud computing e dispositivi mobili), difendere la Smart Grid sarà un’operazione molto più difficile: si dovrà fare i conti con una frammentazione capillare dell’infrastruttura da proteggere, il che renderà la protezione globale del sistema molto più difficile. Un attacco agli impianti di produzione o di trasporto dell’energia potrebbe sbilanciare facilmente la rete. Una simile offensiva potrebbe essere portata sui sistemi di controllo della rete di distribuzione, cioè quella che arriva agli utenti finali (si potrebbero così staccare una serie di utenze semplicemente aprendo un interruttore) o della rete di trasmissione che rappresenta la struttura “dorsale” del trasporto di elettricità. Un hacker potrebbe agire anche in maniera diretta, infiltrandosi nei sistemi di controllo di un generatore oppure utilizzando i controlli remoti che spesso i generatori mettono a disposizione dei gestori di rete. Si potrebbero anche ingannare gli operatori umani che sovraintendono alla gestione della rete elettrica. Per esempio, si potrebbe operare in modo che essi non si accorgano di una situazione di emergenza dovuta all’azione degli hacker, con tecniche cosiddette stealth, “falsificando” l’interfaccia macchina-operatore, in modo che quest’ultimo rilevi una situazione di apparente funzionamento regolare e non quindi adottare le necessarie contromisure4. Ma è anche, al contrario, che l’interfaccia venga falsificata in modo da generare falsi allarmi e indurre gli operatori a inutili azioni “correttive” che potrebbero invece scoprire il fianco all’attacco vero e proprio. LA SICUREZZA INFORMATICA DELLE SMART GRID La costruzione della Smart Grid si baserà su tecnologie di ampia diffusione (sistemi operativi, applicazioni, protocolli di rete come TCP ed IP, dispositivi di rete) ereditandone vulnerabilità, spesso già note, e rendendo quindi l’intero sistema elettrico digitalmente meno sicuro dell’attuale. 18 Diverrà fondamentale il ruolo dei prosumer (producer-consumer), dal momento che la generazione non sarà più affidata esclusivamente a grandi impianti, ma si baserà fortemente su piccola generazione diffusa sul territorio e in comunicazione con gli operatori di rete5. Sarà molto più semplice infiltrarsi in tali sistemi casalinghi, magari collegati alla rete di gestione domotica tramite connessioni Wi-Fi, sfruttando vulnerabilità software note e non, tecniche di ingegneria sociale ed il frequente cattivo uso dei sistemi di sicurezza informatica (analogo a quello dei computer domestici) per scarsa competenza dell’utente casalingo, per operare su un numero significativo di piccoli generatori, staccandoli dalla rete o inviando dati falsi su potenza prodotta o consumata. Potranno essere anche utilizzati come base per far partire attacchi del tipo Denial of Service (come avviene nelle botnet, in cui un’insieme di computer compromessi viene controllato da un’unica entità) mandando in crisi il gestore elettrico. Se è vero che la Smart Grid sarà soggetta alle stesse tipologie di attacco che interessano le reti di calcolatori, essa presenta alcune peculiarità rispetto a Internet. La Smart Grid, infatti, sarà molto più vasta di Internet, dato che tutti i suoi componenti (sensori, interruttori, sistemi di controllo, contatori, elettrodomestici connessi alla rete casalinga, contatori, energy box per il controllo della rete domotica, tralicci dotati di sensori e persino singoli lampioni cittadini) saranno equipaggiati dispositivi intelligenti con indirizzo IP unico e collegati a formare un sistema decentrato. Inoltre molti di questi dispositivi saranno fisicamente accessibili: i contatori, ad esempio, sono spesso posti negli androni delle abitazioni e quindi facilmente manomettibili. A ciò si aggiunga il fatto che il tempo di vita medio dei dispositivi della rete elettrica è dell’ordine di grandezza delle decadi. Nel progettare la sicurezza occorrerà tener presente di messaggi elettronici “maligni”: andranno quindi pensate preventivamente metodologie sicure di aggiornamento di software/firmware, oltre che di sostituzione di tali apparati. Infine, l’insieme degli standard su cui dovranno basarsi le Smart Grid è tuttora in fase di costruzione. Questo significa che, finché tali standard non saranno pienamente sviluppati, si avranno solo versioni provvisorie e, quindi, potenzialmente insicure, su cui iniziare a sviluppare le prime implementazioni. Come si stanno, dunque, affrontando questi problemi da un punto di vista tecnico e operativo? Per la risposta si rimanda il lettore al terzo conclusivo articolo. ■ 4 Loren Sands-Ramshaw, “Creating Large Disturbances in the Power Grid: Methods of Attack After Cyber Infiltration”, Giugno 2008 5 Attualmente la piccola generazione è collegata ancora in modo passivo, senza alcun sistema di comunicazione, con la rete.