Non è la prima volta che il ricercatore olandese Daan Keuper si esibisce in un’operazione di hacking “a cielo aperto”. Nel 2012, sotto gli occhi dell’evento Pwn2Own (il più grande concorso hacking del mondo) Keuper aveva hackerato un iPhone nuovo di zecca, portandosi a casa un bottino di ben $30.000.
Spinti dalla curiosità, Keuper e il suo collega Thijs Alkemade hanno poi hackerato un’auto nel 2018. L’anno scorso, durante la pandemia, il duo ha anche violato diversi software di videoconferenze e app genericamente usate per lo smartworking.
La scorsa settimana invece, durante la loro ultima impresa, i due ricercatori olandesi si sono aggiudicati $90.000, nonché un nuovo trofeo del campionato Pwn2Own da aggiungere alla loro bacheca. Come? Prendendo di mira il software che aiuta a gestire le principali infrastrutture critiche del… mondo.
Nonostante la portata dell’impresa, i due dicono che sia stata la loro sfida più semplice sinora.
“Nei sistemi di controllo industriale, c’è ancora tanto da imparare”, afferma Keuper, concludendo che, purtroppo, “la sicurezza è in grave ritardo”.
“Questo è sicuramente uno degli ambienti più semplici in cui operare [per noi hacker]”, concorda Alkemade.
- I migliori notebook del 2022
- I migliori notebook economici del momento
- I migliori notebook per programmatori
Nello stesso momento in cui la coppia era in azione sul palco di Miami, prendendo di mira un piccolo arsenale di software industriali critici, gli Stati Uniti e i loro alleati avevano lanciato un avvertimento sull’elevata minaccia degli hacker russi nei confronti di infrastrutture come rete elettrica, reattori nucleari, sistemi idrici e tanto altro ancora.
Alcuni giorni fa, un gruppo di hacker russi era stato colto sul fatto mentre cercava di far crollare la rete elettrica ucraina. Un altro gruppo di hacker con l’obiettivo di interrompere i sistemi industriali critici era stato fermato pressappoco negli stessi giorni.
Su Pwn2Own, la posta in gioco era un po' più bassa. Ma badate: si tratta degli stessi sistemi che troverete nel mondo reale. Gli obiettivi della competizione erano tutti i sistemi di controllo industriale che gestiscono strutture critiche.
Quasi ognuna delle componenti del software che gestiscono queste infrastrutture vitali è caduta nelle mani degli hacker. Ma questo è il motivo per cui, dopo tutto, i partecipanti ricevono i loro benefit dagli sponsor: gli hacker che avranno successo condivideranno tutti i dettagli emersi, cosicché i difetti nel sistema possano essere risolti.
D’altro canto, però, è anche un segno che la sicurezza delle infrastrutture critiche ha ancora molta strada da fare.
“Molti dei bug che vediamo nel mondo dei sistemi di controllo industriale sono simili a quelli che abbiamo visto nel mondo aziendale 10 o 15 anni fa”, afferma Dustin Childs, che ha diretto l’hacking show di quest’anno. “C’e’ ancora molto lavoro da fare”.
Analisi: siamo davvero al sicuro?
Uno dei principali referenti dello show di quest’anno è stato Iconics Genesis64, uno strumento di interfaccia uomo-macchina in cui gli hacker possono entrare per abbattere obiettivi critici, facendo al contempo credere agli operatori umani che sia tutto sotto controllo.
Conosciamo già una simile minaccia perché, circa un decennio fa, il malware Stuxnet prese di mira il programma nucleare iraniano. Gli hacker, presumibilmente arruolati da Stati Uniti e Israele, sbloccarono i controllori logici programmabili all’interno delle centrifughe a gas usate per separare i materiali nucleari. Al contempo, hanno anche fatto in modo che le macchine comunicassero agli operatori iraniani che tutto stava procedendo nella norma.
Ovviamente, questo fattore aggiunto dell’operazione di sabotaggio ha moltiplicato il successo complessivo dell’impresa.
Durante l’evento di Miami, l’Iconics Genesis64 è stato violato almeno sei volte, lasciando agli invasori il pieno controllo della piattaforma. Le squadre vincenti hanno incassato un montepremi totale di $75.000.
È sorprendente vedere così tanti e diversi bug su Iconics Genesis64”, afferma Childs. “Tutto questo ci dimostra che […] là fuori c’è molto di più di quanto le persone siano in grado di segnalare in questo momento”.
Il momento clou dello show è stato senza dubbio quello in cui Keuper e Alkemade hanno preso di mira un protocollo di comunicazione chiamato OPC UA. Possiamo immaginare quest’ultima come una lingua franca usata dalle diverse parti di un sistema di operazioni critiche per comunicare tra loro in contesti industriali.
Durante la competizione, Keuper e Alkemade hanno superato con successo i controlli di sicurezza dell’applicazione. Al momento dello “scasso”, la stanza è istantaneamente esplosa in un applauso monumentale. In pochi secondi, la squadra si è intascata $40.000 e abbastanza punti per assicurarsi il massimo titolo della competizione, il “Master of Pwn”. “È esattamente ciò che stiamo cercando”, ha commentato Childs.
L’hacking dell’iPhone del 2012 ha richiesto tre settimane di lavoro mirato. Al contrario, l’operazione dell’OPC UA era un progetto collaterale, quella che potremmo definire una “distrazione” dai lavori ordinari di Keuper e Alkemade. Tuttavia, l’impatto dell’impresa è smisurato.
Come potete immaginare, ci sono notevoli differenze tra le conseguenze dell’hacking di un iPhone e l’irruzione nei software di infrastrutture critiche. Un iPhone può essere facilmente aggiornato, così come un nuovo smartphone è sempre dietro l’angolo.
Al contrario, quando si parla di infrastrutture critiche, alcuni sistemi possono rimanere operativi per decenni. Alcuni noti difetti della sicurezza non si possono risolvere. Spesso, gli operatori non sono in grado di aggiornare la loro tecnologia in termini di sicurezza, perché portare un sistema offline – anche solo per poco – è fuori questione.
Accendere e spegnere un’intera industria come se si trattasse di un interruttore della luce o di un portatile, ahinoi, non è possibile.
Nonostante il successo riscosso la scorsa settimana, Keuper e Alkemade non si sono affatto illusi che i problemi di sicurezza industriale siano stati risolti. Ma, secondo loro, prendere atto del problema costituisce già un buon inizio.
