Cyber-change/ 2
Chi ha inquinato il programma nucleare dell'Iran col virus "Stuxnet"?

di Jonathan V. Last21 Dicembre 2010
http://www.loccidentale.it/articolo/chi+...F.00100171

"Stuxnet" è stato disegnato per propagarsi su internet in generale, ma può muoversi anche attraverso reti locali che usano programmi di gestione delle azioni in attesa delle stampanti, i c.d. “print scoolers”. In ogni gruppo di computer con una stampante in comune, quando un computer si infetta, Stuxnet striscia velocemente attraverso il print scooler della stampante per contaminare tutti gli altri. Una volta raggiunto un computer con un accesso alla rete, esso comincia a comunicare con i centri di comando e controllo dei server in Danimarca e in Malesia (chiunque abbia gestito l'operazione in questione ha messo questi server fuori rete, ovvero offline, appena Stuxnet è stato scoperto). Mentre i server erano in funzione, Stuxnet ha rilasciato informazioni che aveva raccolto a proposito dei sistemi che aveva invaso, immettendole nei server e richiedendo delle versioni aggiornate di sé stesso.
Varie versioni di Stuxnet sono state isolate, e ciò significa che i programmatori sono stati in grado ridefinire in tempo reale il worm, ben oltre il momento del suo rilascio. Infine si parli degli effetti del worm. Una volta dentro una macchina con sistema operativo Windows, Stuxnet cerca i programmi WinCC e PCS 7 SCADA. Se la macchina non possiede nessuno dei due, allora Stuxnet si dà il semplice obiettivo di propagarsi. Quando invece Stuxnet riesce a trovare uno dei due programmi, allora il worm inizia la riprogrammazione del software di controllo logico programmabile (programmable logic control, PLC), apportando modifiche in un pezzo di codice chiamato Blocco Operazionale 35 (Operational Block 35). Per mesi nessuno è riuscito a comprendere cosa Stuxnet intendesse fare con questo blocco una volta impossessatosene. Da tre settimane la ragione è divenuta chiara.
L'ingegnere di cybersicurezza Ralph Langner la mette cosi: Stuxnet è un'arma con due testate. La prima 'testata' è stata indirizzata al programma di controllo Siemens S7-417 della centrale nucleare di Bushehr. La seconda ha puntato al programma di controllo Siemens S7-315 della centrifuga di Natanz, dove l'uranio è processato e arricchito. A Bushehr il worm Stuxnet ha probabilmente tentato di degradare la turbina a vapore dell'impianto, con risultati che ci sono sconosciuti. Quanto all'attacco a Natanz, sembra aver dato risultati brillanti. Ancora una volta, la progettazione di Stuxnet ha dimostrato un'eleganza inaspettata. Assumendo il controllo della centrifuga di Natanz, il worm ha scatenato un singolo e catastrofico incidente.
Stuxnet ha di fatto assunto il controllo dei convertitori di frequenza della centrifuga durante le operazioni di routine giornaliera, dando il là a piccole esplosioni accelerative delle attività della macchina, seguite da repentine decelerazioni. Questi cambi di velocità hanno sottoposto a stress le componenti della centrifuga. Le componenti si sono deteriorate velocemente, sino a rompere misteriosamente le centrifughe. Inoltre ciò ha permesso che l'uranio sottoposto ad arricchimento si corrompesse. Nel frattempo mentre i danni si estendevano, Stuxnet ha continuato ad inviare agli iraniani normali feedback, dicendo loro che dal punto di vista del computer, il sistema stava operando come un orologio svizzero. Questo lenta degradazione è andata avanti per un anno, portando gli iraniani all'esasperazione per ciò che sembrava sabotaggio e che sapeva di sabotaggio, benché i loro computer non mancassero di rassicurarli sul fatto che tutto stesse filando liscio.
Per farla breve: Stuxnet ha mandato al macero un anno di sforzi di arricchimento a Natanz, fatto danni nelle componenti della centrifuga e nei luoghi di stoccaggio dell'uranio, seminato il caos nel programma nucleare iraniano e forzato con buona probabilità l'Iran a spendere un anno ancora nella disinfestazione di propri sistemi prima che possano operare con i picchi di operatività pre-infezione. Considerato tutto, un'operazione di successo.
Chi merita credito per Stuxnet? Tre possibilità: la prima un singolo attore statuale; seconda possibilità: un consorzio di Stati; e terza possibilità: un gruppo privato. Ognuna di queste possibilità è a prima vista plausibile. Ma l'exploit è certamente stato molto più complicato di quanto non appaia a prima vista. La pianificazione e l'implementazione di Stuxnet è certamente passata per il superamento di tre livelli di complicazione.
Il primo livello sta nella sofisticazione del worm stesso. Microsoft ha stimato che la codificazione di Stuxnet ha avuto bisogno di qualcosa di simile ad un monte ore vicino alle 10.000 giornate di lavoro umano. Con una squadra composta da una gruppo di programmatori oscillante tra le 30 e le 50 unità, la sua progettazione avrà avuto bisogno di almeno un anno o due di sforzo creativo. Tra il monte ore, i test del “giorno zero” e il design innovativo del worm, Stuxnet ha certamente richiesto non solo tempo, ma anche enorme sofisticazione tecnica e significativa dotazione finanziaria.Il secondo livello riguarda la competenza da parte dei creatori di Stuxnet delle misteriose maestranze dello spionaggio. I certificati di verifica digitale devono essere stati rubati a Taiwan, e le USB infette devono essere state seminate dentro, o intorno, alla comunità di persone che lavorano nel programma nucleare iraniano, e ciò reso possibile con le tecniche di spionaggio moderno espresse ai più alti livelli.
Il terzo e ultimo livello di complicazione sta nell'ampio livello di competenza richiesto in termini di ingegneristica nucleare. Non è sufficiente infatti progettare un worm da infiltrare in una centrale nucleare. I creatori di Stuxnet dovevano avere delle competenze in almeno tre ambiti.  In primis essi dovevano sapere quali parti attaccare. Secondo: essi dovevano conoscere i dettagli della progettazione dei sistemi. E terzo: essi dovevano sapere come manipolare i sistemi al fine di raggiungere gli effetti desiderati.
Non v'è dubbio che raccogliere questi tre livelli di competenza deve essere stata impresa molto ardua. Il mondo è pieno di zelanti appassionati di computer; ma non ci sono tante persone che comprendano esattamente come centrifughe e reattori nucleari funzionino, oltre ad avere una minuta comprensione delle complessità dei sistemi di controllo quali il Siemens S7-315 o il S7-417. Appare improbabile che una parte privata – un gruppo di reprobi hacker o civili interessati – possano aver raccolto le competenze richieste in queste tre aree di conoscenza.
Allora chi è stato: gli israeliani, gli Stati Uniti, la Germania o la Russia? Una qualche combinazione dei suddetti? Non lo sapremo mai. Dato lo scopo dell'operazione, è già abbastanza incredibile che si possa capire quel che già abbiamo colto sul conto di Stuxnet. Molti dei precedenti atti di cyber-guerra hanno avuto luogo nell'ombra. Stuxnet è la prima seria cyber-arma vista in azione da civili. E questa è proprio la ragione per cui abbiamo assistito, negli scorsi mesi, alla nascita di un gruppo d'investigazione open-source, composto da esperti in differenti discipline da ogni parte del mondo. Gli entusiasti di tecnologia continueranno a spingere e a testare Stuxnet, nel tentativo di capire come abbia funzionato, e soprattutto per comprendere come certi sistemi possano essere protetti da simili attacchi. E questo ci porta in estrema analisi ad affermare che fondamentalmente la cyber-guerra non è diversa dalla guerra tradizionale. Le innovazioni possono essere copiate, e esiste sempre la possibilità che i nemici possano usarle a proprio vantaggio. (Seconda puntata. Fine)
Tratto da The Weekly Standard
Traduzione di Edoardo Ferrazzani