E' una storia che sembra surreale, peccato che non lo è: anzi, è un precedente utile per capire come la cybersecurity non attenga più solo a cose "immateriali" come dati, foto, credenziali. Data la sempre maggiore interrelazione tra mondi digitale e reale, il confine tra i due mondi si è fatto talmente labile da divenire invisibile, al punto che ormai un cyber attacco rischia di avere effetti "materialissimi", potendo perfino fare vittime.
Per quanto non sia la prima volta che accade, quanto successo in Florida sta facendo il giro del mondo: un attaccante è riuscito ad avere accesso al sistema di depurazione dell'acqua della città di Oldsmar in Florida e tentato di incrementare la concentrazione dell'idrossido di sodio (NaOH), meglio conosciuto come soda caustica, nell'acqua trattata. L'idrossido di sodio è comunemente presente in molti detergenti per la casa, ma diviene estremamente pericoloso se ingestito in alte concentrazioni. In basse concentrazioni è usato negli impianti di depurazione dell'acqua per regolarne l'acidità (PH) e rimuovere metalli pesanti.
L'attacco è avvenuto lo scorso Venerdì intorno alle 1.30 della notte, ora locale: l'attaccante ha ottenuto l'accesso e preso il controllo del pc di uno degli impiegati dell'impianto usando TeamViewer: questo quanto dichiarato all'agenzia di stampa Reuters dallo Sceriffo della città Bob Gualtieri. Uno degli operatori dell'impianto ha raccontato di aver visto qualcuno prendere il controllo del mouse del suo pc e usarlo per effettuare alcuni cambiamenti nel software che regola le funzioni del depuratore cittadino. L'intruso è riuscito a rimanere nel sistema dai 3 ai 5 minuti, portando il livello di soda caustica nell'acqua da 100 parti al milione a 11.100 parti per milione. La tragedia è stata evitata dall'operatore stesso, che ha immediatamente annullato le operazioni compiute e poi interrotto l'accesso remoto al sistema.
Eric Seidel, sindaco della città, ha affermato che il sistema di trattamento delle acque cittadino è stato pensato con sistemi di ridondanza che avrebbero immediatamente dato l'allarme se i livelli dei componenti chimici nell'acqua avessero raggiunto davvero livelli pericolosi per la salute dei cittadini e degli animali. Ciò non toglie la pericolosità dell'evento e anche il rischio che un eventuale accesso "più profondo" nell'infrastruttura di gestione della rete idrica potrebbe mettere in condizione un attaccante di sabotare anche i meccanismi di controllo. Da parte sua lo Sceriffo Gualtieri ha fatto sapere che non ci sono stati arresti in seguito al cyber attacco, dato che non ci sono informazioni sull'attaccante e non si è ad ora neppure riusciti a ricostruire se l'attacco sia originato dagli Stati Uniti stessi o dall'esterno: motivo per il quale è entrata in campo direttamente l'FBI.
Attaccanti dilettanti e misure di sicurezza
Partiamo da un'evidenza: rispetto alle complicatissime tecniche di attacco alle quali siamo solitamente abituati, questo episodio è da inserirsi nella lista, purtroppo crescente, di quei tentativi di attacco remoto contro sistemi di controllo industriale da parte di attaccanti con basse competenze e poche skills di hacking. Il numero di incidenti di questo tipo è un crescita nell'ultimo anno, stando ai numeri pubblicati dal team Mandiant Threat Intelligence (MTI).
"Molte delle vittime di questi attacchi sembrano scelte a caso, tra piccoli proprietari di infrastrutture critiche e operatori che servono una popolazione limitata. Questa tipologia di attaccanti, attraverso l'interazione remota con i sistemi di controlli industriale, si impegna in operazioni a impatto limitato, spesso manipolando le variabili dei processi fisici. In nessuno dei casi precedenti ci sono stati danni a persone o infrastrutture, perché i processi industriali sono monitorati da ingegneri professionisti che conoscono perfettamente e sanno implementare meccanismi di sicurezza per prevenire modifiche impreviste" dichiarano da MTI.
La domanda è, però, cosa potrebbe accadere se un attacco di questo genere venisse portato da gruppi di cybercriminali esperti o sponsorizzati da governi avversi. I meccanismi di difesa e ridondanza sarebbero sufficienti?
Impianti di trattamento dell'acqua sotto attacco
Negli ultimi 20 anni attacchi agli impianti di trattamen
to dell'acqua sono accaduti già alcune volte: nel 2000 un impianto di trattamento delle acque reflue in Australia è stato attaccato creando rischi per la pubblica incolumità. In quel caso era stato un dipendente scontento ad utilizzare equipaggiamento rubato per accedere illegittimamente al controller SCADA e rilasciare 800.000 litri di acque reflue non trattate in due importanti corsi d'acqua locali.
Nel 2011 un gruppo di cyber attaccanti che si autodefinisce "prof" ha pubblicato alcuni screenshot dimostrando l'accesso all'impianto di trattamento delle acque reflue nel South Houston in seguito al blocco delle pompe dell'acqua, nei fatti rivendicando il malfunzionamento.
Nel report Data Breach Digest 2016 di Verizon non si fanno nomi, ma spunta un ennesimo attacco di questo tipo: un gruppo di cyber attivisti è riuscito ad avere accesso ai sistemi di una grande azienda di fornitura e depurazione delle acque sfruttando vulnerabilità di software e hardware obsoleti.
Nessun commento:
Posta un commento