Ahmadinejad deve riconoscere di essere stato battuto da “Stuxnet”
20 Dicembre 2010
Mahmoud Ahmadinejad ha riconosciuto che il programma iraniano di arricchimento dell’uranio ha subito una battuta d’arresto: “ Sono stati in grado di mettere fuori uso, in modo limitato, alcune delle nostre centrifughe attraverso un software installato nelle nostre attrezzature elettroniche”, ha riconosciuto il presidente iraniano di fronte ai giornalisti. Bell’eufemismo. Il programma iraniano d’arricchimento dell’uranio è stato messo al palo per un significativo lasso di tempo; le sue risorse tecniche drenate altrove; e le risorse umane disorganizzate. Il software in questione è un worm per computer di nome Stuxnet ( N.d.T. un worm è programma auto-replicante capace di propagarsi attraverso una rete con effetti distruttivi sul sistema in questione), già visto in azioni (di successo) nella breve narrativa storica delle cyber-guerre.
Stuxnet ha fatto per la prima volta la sua comparsa lo scorso 17 Giugno, quando una compagnia di sicurezza digitale di Minsk, VirusBlokAda, ne fece la scoperta in uno dei suoi computer destinato ad uno dei suoi clienti iraniani. E’ stato immediatamente chiaro che Stuxnet non era un comune malware (N.d.T. per malware si intende qualsiasi programma inteso a danneggiare o mettere fuori uso computer o sistemi per computer).
Infatti Stuxnet non è un virus ma un worm. Si tratta di virus che si appoggiano su programmi già presenti su di un computer. I worm sono programmi in tutto e per tutto, che si nascondono dentro un computer, e che segretamente si propagano in altri computer. Dopo un mese di studio alcuni ingegneri di cyber-sicurezza hanno emesso la sentenza: Stuxnet è stato disegnato per interferire con sistemi industriali costruiti dalla casa tedesca Siemens, con la finalità di mettere fuori uso i controlli di supervisione ed i protocolli di acquisizione dati degli stessi, i c.d. SCADA. Come a dire che, a differenza di molti malware oggi in circolazione (tesi alla mera manipolazione di operazioni virtuali), Stuxnet può invece generare conseguenze nel mondo reale: questo worm è infatti in grado di comandare tanto i lavori di un grande stabilimento industriale, quanto quelli di una centrale energetica, di una diga o di un’industria. Di quale impianto si sia trattato in questo caso, non è dato saperlo.
Quel che sappiamo però, è che Stuxnet ha sin da subito mostrato un profilo di anomalia rispetto ai suoi predecessori. I worm che hanno interferito con SCADA non sono sconosciuti ma eccezionalmente rari. Quale sequenza di codice fisico, Stuxnet è enorme (si stima che pesi all’incirca mezzo megabyte), superando in grandezza, di molti multipli, un medio esemplare di worm in circolazione.
Prendiamo in conto ora il suo raggio d’infezione: Stuxnet è riuscito ad infiltrarsi in almeno 100.000 computer in tutto il mondo, di cui il 60% solo in Iran. Senza contare che la potenza e l’eleganza di Stuxnet lo rendono ancora più intrigante agli addetti ai lavori. Molti sistemi industriali girano su computer che usano Microsoft Windows quale sistema operativo. Gli hacker mettono alla prova costantemente quelle che in gergo vengono chiamate le vulnerabilità del “giorno zero” (zero day vulnerabilities), i punti deboli del codice non identificati dai programmatori-creatori. Su un pezzo di software sofisticato quale è Windows, la scoperta di una sola vulnerabilità del “giorno zero” è estremamente rara. Basterà dire allora che i creatori di Stuxnet ne hanno trovate, e usate, ben quattro. Nessuno negli ambienti della cyber-sicurezza aveva mai visto niente del genere.
Il worm ha ottenuto il suo primo accesso attraverso un drive USB ordinario. Immaginate quando attaccate un flash drive nel vostro computer: il computer incomincia a fare una serie di operazioni in modo automatico; una di queste è quella di far comparire le icone sul vostro schermo, le quali rappresentano i dati sul drive ospite. Attraverso questa procedura di inserimento del drive USB, Stuxnet si inoltra nel computer. Ora, una volta nella macchina, il worm diviene visibile ai protocolli di sicurezza, i quali monitorano costantemente i file alla ricerca di malware o virus. Per non farsi scoprire, Stuxnet installa quel che è chiamato un ‘rootkit’, ovvero un pezzo di codice che intercetta i monitoraggi di sicurezza e che invia indietro falsi messaggi di sicurezza, a voler indicare che il worm è innocuo.
L’installazione di un ‘rootkit’ ha bisogno di driver dai quali i sistemi Windows sono abituati a guardarsi bene. Windows infatti richiede che tutti i driver immessi in una macchina che si affida al suo sistema operativo, forniscano una verifica della loro ‘sincerità’ attraverso la presentazione di una firma digitale sicura. Queste firme digitali sono segretamente custodite. L’aspetto interessante di questa vicenda è che i driver di Stuxnet avevano in dotazione firme digitali per così dire originarie, ovvero provenienti da due compagnie di computer, Realtek Semiconductor e JMichron Technologies. Entrambe le compagnie hanno uffici negli stessi stabilimenti del parco scientifico di Hsinchu, sull’isola di Taiwan. Con frode elettronica o con scasso e furto (non è dato sapere), i creatori di Stuxnet hanno rubato queste firme digitali, in modo abbastanza sofisticato da fare in modo che nessuno sapesse che esse fossero compromesse.
Per ricapitolare: la chiavi di sicurezza danno il là ai driver, i quali permettono l’installazione di un ‘rootkit’, che a sua volta nasconde il worm che è stato consegnato dal drive USB corrotto. Stuxnet a quel punto ha l’obiettivo di propagarsi con efficienza e in modo silenzioso. Allorché un altro drive USB viene inserito in un computer già infetto, esso viene infettato a sua volta. Ma per ridurre la sua tracciabilità, Stuxnet permette ad ogni USB infetta di passare il worm in soli tre computer alla volta. Ma questo non è il solo modo con cui Stuxnet si propaga. (Fine della prima puntata, continua…)
Tratto da The Weekly Standard
Traduzione di Edoardo Ferrazzani