Ict n. 1 - Forum per la Tecnologia della Informazione

Smart Grid e Sicurezza ICT:
valutare il rischio1
Questo articolo prende
spunto dalla tesi “SMART GRID
E SICUREZZA ICT” svolta da
Andrea Gentile presso la
Facoltà di Ingegneria
dell’Università di Perugia –
Relatori: Prof. P. Pozzi (FTI),
Ing. Angelo Frascella
(ENEA UTT PMI).
Seconda parte
di Angelo Frascella,
Andrea Gentile, Piero Pozzi
S
i è discusso nell’articolo Smart Grid e sicurezza ICT pubblicato su Cyber Crime di LuglioAgosto 2011, come le odierne reti elettriche
vadano incontro a una trasformazione
profonda, caratterizzata dal passaggio da un paradigma centralizzato a uno distribuito. Tale trasformazione sarà analoga a quella che è stata, per le tecnologie
dell’informazione e della comunicazione, la diffusione di Internet. La costruzione di questa nuova rete
elettrica intelligente, o Smart Grid, implicherà l’integrazione in essa di componenti e sistemi digitali, tecnologie ICT e sistemi software che, se da una parte
aiuteranno ad affrontare le sfide, sempre più urgenti, legate all’uso dell’energia, alla salvaguardia dell’ambiente e all’evoluzione della situazione geo-politica, dall’altra aumenteranno il rischio di attacchi
informatici deliberati alla rete elettrica.
I nemici da cui bisognerà difendersi non saranno solo hacker, ladri e truffatori, ma anche organizzazioni
criminali, terroristiche e spionistiche, che potranno
mettere a rischio la stabilità dell’intera rete elettrica.
Un attacco ben diretto, infatti, potrebbe compromettere la fornitura di energia elettrica su scala nazionale. Per capire meglio le conseguenze di un simile
evento si pensi a quello che è accaduto il 28 settembre 2003, quando la caduta di un albero sui cavi del-
16
l’alta tensione in Svizzera provocò una serie di eventi a catena che culminarono in black-out che interessò tutta l’Italia. Ci vollero 20 ore perché la fornitura
elettrica fosse ripristinata ovunque. Durante il blackout si verificarono problemi ai trasporti (treni e metropolitane bloccate, semafori non funzionanti, aerei
in ritardo), situazioni critiche in diversi ospedali, disservizi della rete di telefonia cellulare, carenze idriche in molte abitazioni e il blocco della produzione
per diverse aziende a ciclo continuo. Oltre a tali disagi e ai conseguenti danni economici, stimati in 390
milioni di Euro, ben otto decessi furono causati da
incidenti dovuti alla mancanza improvvisa di luce.
Non è esagerato, perciò, ipotizzare che la Smart Grid
possa diventare un campo di battaglia privilegiato
per le future cyber-war.
LE CYBER WAR SONO GIÀ INIZIATE?
Questa prospettiva è solo un’ipotesi per il futuro?
Nel giugno del 1997, Pentagono, NSA ed FBI realizzarono un test, incaricando una squadra di hacker
dell’NSA di attaccare le infrastrutture nazionali statunitensi e si accorsero che la rete elettrica degli USA
era vulnerabile ad attacchi informatici.
In effetti, già allora, iniziava a diffondersi nei sistemi
di controllo della rete elettrica statunitense l’uso di
computer distribuiti basati standard aperti. Era inol-
che tale infezione non sia stata la causa principale
del problema, ma che abbia contribuito a peggiorare
la situazione. Infatti, il virus congestionò le comunicazioni fra gli operatori del sistema elettrico, rendendo più difficile il coordinamento necessario ad affrontare la crisi. Vale la pena ricordare anche che nel
2011, un attacco informatico finalizzato a una truffa, portò alla chiusura della Borsa Europea dei permessi per le emissioni di CO23. Questo episodio, anche se non interessa direttamente la rete elettrica, lascia intravedere le falle potenziali di sicurezza insite
nello sviluppo di un mercato europeo dell’elettricità
aperto e basato sull’e-business.
2009: L’ANNO DEL DRAGONE
tre attivo un sistema basato su Web2 per richiedere
servizi relativi alla trasmissione elettrica.
Ma se quella del ‘96 era solo una simulazione, nel
2001 gli hacker penetrarono per davvero nei sistemi
del principale operatore della rete di trasmissione
elettrica della California. L’attacco cominciò il 25
Aprile e non fu rilevato prima dell’11 Maggio. Secondo i rapporti ufficiali non ebbe conseguenze gravi e,
anche se il 7 e l’8 Maggio si verificarono una serie di
black-out in tutto lo stato, l’operatore negò qualunque legame con l’infiltrazione degli hacker.
Poi, nel 2003, molto prima dell’ormai celebre virus
Stuxnet (si veda l’articolo pubblicato su Cyber Crime luglio/agosto 2011), il virus Blaster degradò le connessioni con i data center di diverse compagnie elettriche statunitensi. In concomitanza, si verificò un
black-out sulla costa est degli Stati Uniti. Si ritiene
1 L’articolo prende spunto dalla tesi “SMART GRID E
SICUREZZA ICT” svolta da Andrea Gentile presso la
Facoltà di Ingegneria dell’Università di Perugia – Relatori:
Prof. P. Pozzi (FTI), Ing. Angelo Frascella (ENEA).
2 Open Access Same-Time Information System (OASIS)
3 Il mercato delle emissioni è uno strumento
amministrativo, nato nell’ambito del protocollo di Kyoto,
per controllare le emissioni di inquinanti e gas serra
attraverso la quotazione monetaria delle emissioni stesse e
il commercio di tali quote tra stati diversi.
Se quelli precedentemente elencati si configurano
solo come episodi isolati, l’escalation verso la guerra
informatica era dietro l’angolo.
Nell’Aprile del 2009, il Wall Street Journal diede la
notizia della penetrazione di spie informatiche nei
sistemi nella rete elettrica USA ad opera dei servizi segreti russi e cinesi. Russia e Cina, comunque, negarono qualunque coinvolgimento.
Nel 2011, però, McAfee ha diffuso un rapporto intitolato Global Energy Cyberattacks: “Night Dragon” in cui afferma che, a partire dal 2009, hacker cinesi hanno condotto degli attacchi coordinati contro diverse compagnie energetiche. Gli attaccanti
hanno sfruttato delle vulnerabilità di Windows e utilizzato una serie di tecniche comuni di ingegneria sociale per piazzare su dei Web Server, tramite la tecnica di SQL injection, dei tool da utilizzare per l’attacco. Si trattava di comuni tool di amministrazione remota o, in inglese,Remote Administration Tool (RAT), in
grado di abilitare la gestione in remoto dei sistemi
sotto attacco. Il passo successivo è stato l’invio di
messaggi elettronici “maligni” agli impiegati delle
compagnie. La tecnica prende il nome di spearphishing e permette all’attaccante di rubare le identità
dei destinatari. Tali mail contenevano anche i link
dei Web Server precedentemente compromessi. In
tal modo gli attaccanti sono riusciti a scaricare, sui
computer della compagnia, il RAT. A quel punto gli
hacker hanno avuto un facile accesso ai sistemi delle compagnie sotto attacco e in particolare ai documenti sensibili in essi contenuti. Anche se, in questo
caso, pare siano “solo” state rubate informazioni, è
evidente come, tramite tecniche di attacco molto
semplici, sia stato possibile penetrare nei sistemi delle aziende energetiche fino a comprometterne tutte
le macchine e a prendere il comando dei sistemi di
controllo. Se gli attaccanti avessero voluto, avrebbero potuto usare gli strumenti di amministrazione remota per controllare direttamente i sistemi fisici delle compagnie energetiche.
POSSIBILI TIPOLOGIE DI ATTACCO
Cerchiamo di capire meglio come si potrebbe indurre un black-out, sfruttando un accesso ai sistemi di
controllo, come quello appena illustrato.
Settembre - Ottobre 2011 • CyberCrime 17
Nella rete elettrica deve esserci sempre equilibrio fra
l’energia elettrica immessa nella rete dai produttori e
quella effettivamente consumata, pena l’instabilità
dell’intero sistema. Senza entrare nei dettagli, basterà
dire che ci sono una serie di apparati che controllano che questa condizione venga rispettata istante per
istante e sistemi di emergenza, che coinvolgono sia
automatismi che il personale operativo, per ripristinare le condizioni normali, nel caso in cui si verifichi un pericolo. L’esempio del black-out italiano del
2003, in cui la mancanza improvvisa di potenza in
ingresso dalla Svizzera provocò un grave sbilanciamento fra produzione e utilizzo, dimostra come questo complesso sistema di sicurezza elettrica possa andare in crisi. Da un punto di vista informatico, una
simile condizione si potrebbe produrre agendo su diversi punti della rete. A differenza dei sistemi informativi d’impresa, in cui i confini da proteggere sono
fisicamente e geograficamente circoscrivibili e quindi meglio controllabili (in realtà sempre meno spesso, con la crescente diffusione di cloud computing e dispositivi mobili), difendere la Smart Grid sarà un’operazione molto più difficile: si dovrà fare i conti con
una frammentazione capillare dell’infrastruttura da
proteggere, il che renderà la protezione globale del sistema molto più difficile.
Un attacco agli impianti di produzione o di trasporto dell’energia potrebbe sbilanciare facilmente la rete. Una simile offensiva potrebbe essere portata sui
sistemi di controllo della rete di distribuzione, cioè
quella che arriva agli utenti finali (si potrebbero così
staccare una serie di utenze semplicemente aprendo
un interruttore) o della rete di trasmissione che rappresenta la struttura “dorsale” del trasporto di elettricità. Un hacker potrebbe agire anche in maniera diretta, infiltrandosi nei sistemi di controllo di un generatore oppure utilizzando i controlli remoti che
spesso i generatori mettono a disposizione dei gestori di rete. Si potrebbero anche ingannare gli operatori umani che sovraintendono alla gestione della rete
elettrica. Per esempio, si potrebbe operare in modo
che essi non si accorgano di una situazione di emergenza dovuta all’azione degli hacker, con tecniche
cosiddette stealth, “falsificando” l’interfaccia macchina-operatore, in modo che quest’ultimo rilevi una situazione di apparente funzionamento regolare e non
quindi adottare le necessarie contromisure4. Ma è
anche, al contrario, che l’interfaccia venga falsificata
in modo da generare falsi allarmi e indurre gli operatori a inutili azioni “correttive” che potrebbero invece scoprire il fianco all’attacco vero e proprio.
LA SICUREZZA INFORMATICA DELLE
SMART GRID
La costruzione della Smart Grid si baserà su tecnologie di ampia diffusione (sistemi operativi, applicazioni, protocolli di rete come TCP ed IP, dispositivi di rete) ereditandone vulnerabilità, spesso già note, e rendendo quindi l’intero sistema elettrico digitalmente
meno sicuro dell’attuale.
18
Diverrà fondamentale il ruolo dei prosumer (producer-consumer), dal momento che la generazione non
sarà più affidata esclusivamente a grandi impianti,
ma si baserà fortemente su piccola generazione diffusa sul territorio e in comunicazione con gli operatori
di rete5. Sarà molto più semplice infiltrarsi in tali sistemi casalinghi, magari collegati alla rete di gestione domotica tramite connessioni Wi-Fi, sfruttando
vulnerabilità software note e non, tecniche di ingegneria sociale ed il frequente cattivo uso dei sistemi
di sicurezza informatica (analogo a quello dei computer domestici) per scarsa competenza dell’utente
casalingo, per operare su un numero significativo di
piccoli generatori, staccandoli dalla rete o inviando
dati falsi su potenza prodotta o consumata. Potranno essere anche utilizzati come base per far partire
attacchi del tipo Denial of Service (come avviene nelle botnet, in cui un’insieme di computer compromessi viene controllato da un’unica entità) mandando in crisi il gestore elettrico.
Se è vero che la Smart Grid sarà soggetta alle stesse
tipologie di attacco che interessano le reti di calcolatori, essa presenta alcune peculiarità rispetto a Internet. La Smart Grid, infatti, sarà molto più vasta
di Internet, dato che tutti i suoi componenti (sensori, interruttori, sistemi di controllo, contatori, elettrodomestici connessi alla rete casalinga, contatori,
energy box per il controllo della rete domotica, tralicci dotati di sensori e persino singoli lampioni cittadini) saranno equipaggiati dispositivi intelligenti
con indirizzo IP unico e collegati a formare un sistema decentrato. Inoltre molti di questi dispositivi saranno fisicamente accessibili: i contatori, ad esempio, sono spesso posti negli androni delle abitazioni e quindi facilmente manomettibili. A ciò si aggiunga il fatto che il tempo di vita medio dei dispositivi della rete elettrica è dell’ordine di grandezza
delle decadi. Nel progettare la sicurezza occorrerà
tener presente di messaggi elettronici “maligni”:
andranno quindi pensate preventivamente metodologie
sicure
di
aggiornamento
di
software/firmware, oltre che di sostituzione di tali
apparati.
Infine, l’insieme degli standard su cui dovranno basarsi le Smart Grid è tuttora in fase di costruzione.
Questo significa che, finché tali standard non saranno pienamente sviluppati, si avranno solo versioni provvisorie e, quindi, potenzialmente insicure, su cui iniziare a sviluppare le prime implementazioni. Come si stanno, dunque, affrontando questi problemi da un punto di vista tecnico e operativo? Per la risposta si rimanda il lettore al terzo conclusivo articolo.
■
4 Loren Sands-Ramshaw, “Creating Large Disturbances
in the Power Grid: Methods of Attack After Cyber
Infiltration”, Giugno 2008
5 Attualmente la piccola generazione è collegata ancora
in modo passivo, senza alcun sistema di comunicazione,
con la rete.