Volevo riproporre qua la famosa guida scritta da Infernet X Security Team. Erano l'anno 2007 quando Stefano "murdercode" Novelli, di Infernet X Security Team, ha scritto la guida per newbie che si approcciano all'informatica avanzata "The Black Book of Infernet". E' quindi ormai abbastanza datata, anche se spiega in modo comprensibile e basilare i più comuni attacchi ad una rete e ad un sistema informatico, accenni di criptografia e anonimato, anche se molte delle tecniche indicate non sono più valide, come alcune Backdoor, Ping of Death e WinNuke.

Questo è il sommario della guida:

Come potete notare, più che per imparare ad eseguire degli attacchi potrebbe essere utile per capire il funzionamento base di alcuni protocolli di comunicazione e di certe tecniche ancora oggi valide, anche se adattate. Questo è un estratto:

Avevo intenzione di scrivere una guida più avanzata e più aggiornata, con le dovute rivisitazioni, ma spiegando sempre il funzionamento dei protocolli e delle strutture/piattaforme di telecomunicazione alla base di ogni tecnica/attacco. Appena avrò tempo inizierò la stesura, nel frattempo, se iniziate da zero, potete scaricare da qua The Black Book of Internet. Non è più esistente nemmeno il dominio infernet-x.it .

SCARICA CLICCANDO QUI

In molti avranno sentito parlare di Stuxnet o Industroyer. Questi non sono altro che malware studiati e creati appositamente per colpire i sistemi di monitoraggio e controllo industriale, ovvero i sistemi SCADA, e metterli fuori uso. Un sistema SCADA (Supervisory Control and Data Acquisition) è un'architettura centralizzata che prende vita da Hardware, Software adibiti al monitoraggio di tutti i processi automatizzati e non, e Network. E' un tipo di ICS (industrial Control System). L'Hardware è composto da:

- RTU (Remote Terminal Unit), dispositivi non programmabili, che eseguono solo operazioni in logica Booleana

- PLC (Programmable Logic Controller) che sono dispositivi programmabili per l'acquisizione dati delle macchine dello stabilimento. - HMI (Human-Machine Interface), ovvero uno schermo sul quale l'operatore umano può leggere tutti i dati raccolti dai precedenti devices ed analizzati.

Il Software si interfaccia tra RTU, PLC e Mainframe centralizzato.

In sostanza, un software SCADA è adibito a 2 obiettivi, tramite 2 tipi diversi:

- CMMS (Computerised Maintenance Management System): il monitoraggio del sistema industriale, che permette l'utilizzo da remoto delle macchine che controlla;

- CM (Corrective Maintenance) aiutato dal CMMS: acquisizione dati, per valutare la funzionalità corretta dei vari apparati e/o identificare e localizzare eventuali guasti e malfunzionamenti.

Tramite la Network, è possibile gestire in remoto macchinari, processi, leggere statistiche e analisi dati ed intervenire per riparare alcuni guasti, ma anche ricevere attacchi, in caso di vulnerabilità presenti nel sistema. E' dunque tramite la Network che vengono sfruttate insicurezze nel Software, per mettere fuori uso anche l'Hardware.

ANALISI DELLE VULNERABILITA' IN UN SISTEMA SCADA

In generale, ci sono delle differenze sostanziali tra la sicurezza IT e OT [Operational Technology]. Nell'IT si utilizzano protocolli ormai standardizzati e sicuri per le comunicazioni, come il TCP/IP, mentre nei sistemi industriali vengono adottati i protocolli riferiti alla casa produttrice dei dispositivi [es. PLC], le strutture di rete sono molto più scarne e il Software è strettamente legato all'Hardware. Non è possibile, ad esempio, aggiornare il software di un PLC senza adeguare anche l'hardware, quindi ci si trova in presenza di architetture obsolete. Il controllo di una HMI è poi esposto a una moltitudine di attacchi, come Man in the Middle, attacchi Replay (o Playback) o multi-threats, come il Malware Proxy.

Vulnerabilità Hardware:

buffer overflow a causa della scarsità in memoria e capacità di elaborazione delle RTU.

Vulnerabilità Software:

intercettazione ed interruzione o modifica dei dati tramite malware (Virus, Worm, Trojan, etc.); exploit che sfruttano le insicurezze del Sistema Operativo (RTOS se è in tempo reale, maggiormente attaccabile) e nel Firewall; Denial of Service; sfruttamento insicurezze nelle modalità di autenticazione nei protocolli più datati e meno sofisticati, backdoors negli account Admin e hardcoded nella gestione delle credenziali; attacchi brute force con buona probabilità di esito positivo per l'attaccante (assenza timeout di password), Advanced Persistent Threats (APTs), ovvero attacchi multifase che perdurano per molto tempo nascosti nel sistema.

Vulnerabilità nei collegamenti delle comunicazioni:

MitM (Man in the Middle), Eavesdropping, Hijacking, etc., ovvero intercettazioni di informazioni, conversazioni, dati sensibili o in qualche modo importanti per assicurarsi l'accesso al sistema. Communication Systems network outage, ovvero interruzione della rete elettrica per ottenere del tempo per lanciare l'attacco.

Vulnerabilità delle autorizzazioni/Attacchi umani:

Insider Threats (Internal Employee incidents), Data/Information Leakage è possibile che un dipendente o una persona che per qualche motivo si trovi a lavorare in quell'impianto cerchi di entrare in possesso di dati sensibili o informazioni importanti per garantirsi dei privilegi nel sistema dello stabilimento.

Ogni componente del sistema SCADA presenta potenziali vulnerabilità sfruttabili, che è possibile riassumere in questo modo:

• Files Eseguibili | Buffer overflow

• Webserver | Path/Directory trasversal

• Webapp | Cross-site scripting

• HMI | Sql injection

• Active X | Port attack

• Porte specifiche (TCP e UDP) | Privilege Escalation

• Librerie .DLL | Overwrite information

Metasploit fornisce dei moduli per ottenere un elenco di exploit (ca. una 70ina) che riguardano componenti SCADA (una 30ina), con dettagli importanti, quali il CVE (Common Vulnerability Enumeration).

Dal CVE, secondo lo standard NIST, è possibile stilare delle scale di gravità della minaccia, conseguenze ed elementi coinvolti, riassumendo così il costo di ogni exploit. Gli attacchi più gravi, con score di 10 punti sono:

• Hardcoded credential

• Sql Injection

• Multi-Vulnerability

• Privilege Escalation

• Overwrite Information

Le conseguenze, con score 0.7:

• Esecuzione di codice arbitrario

• Service change configuration

• Denial of Service

• Overwrite Information

• Accesso a informazioni

Gli elementi più facilmente coinvolti, con uno score di 10 sono:

• Hardware (RTU, PLC, Sensori)

• Modbus

• HMI

E con uno score 8:

• File .EXE/Active X

• Webserver e Webapp

• Gateway Server

• Porte TCP/UDP

Utilizzando Shodan, il grande motore di ricerca dove sono presenti tutti i dispositivi di una rete connessa a internet, è possibile utilizzare dei filtri di ricerca, in particolare utilizzando l'API per CVE si ottiene questa query:

https://www.shodan.io/search?query=NomeSW/Numero versione-o-CVE

Ed in particolare:

screenshot.label: “ics / SCADA”

otterremo una lista di HMI, molte delle quali a cui si può accedere senza autenticazione, con programmi di Desktop remoto come VNC Viewer ed altri, causando anche gravi danni al sistema. Si tratta perlopiù di interfacce software che governano valvole termoidrauliche, relé elettrici, ma anche attivazione/disattivazione allarmi e controllo totale dei sistemi. Potrebbero essere lanciati attacchi contro i sistemi d'amministrazione, contro gli attuatori, contro i sensori, contro le interfacce o contro i database.

PREVENZIONE DEGLI ATTACCHI E MITIGAZIONE DELLE MINACCE

Abbiamo visto che è possibile, in molti casi senza troppi sforzi, penetrare all'interno di un sistema di monitoraggio e controllo industriale, con conseguenze anche di cruciale importanza. E' quindi indispensabile mettere in atto delle politiche di Risk Management, volte a limitare il numero e la gravità delle minacce.

Alcune di queste possono essere:

• Controlli sulle modalità di autenticazione (ma soprattutto abilitare un'autenticazione!)

• Corretta gestione delle credenziali d'accesso

• Chiara assegnazione e suddivisione di compiti e diritti al personale

• Inaccessibilità ad account con privilegi speciali

• Controlli sui punti deboli di un sistema operativo e dispositivi di sicurezza, quali: Firewall, IDS/IPS, Watchdog, storage di password, etc.

• Sviluppo di applicazioni sicure tramite attuazione del Secure Coding
  

Esistono poi progetti di sicurezza di gestione degli impianti basati su Machine Learning e reti neurali, hidden Markov models, etc. E' anche doveroso citare il progetto Conpot, ovvero un honeypot interattivo lato server per Industrial Control Systems, installabile via Docker da: https://github.com/mushorg/conpot

e SCADA Intrusion Detection System Test Framework, per sviluppare un ambiente di test controllabile per penetration test in real-time e monitoraggio del comportamento dell'IDS.

A livello di normative che garantiscono la sicurezza relativa agli stabilimenti industriali esistono alcuni standard. I più diffusi sono:

• ISA/IEC 62443 Standard per la cybersecurity di reti industriali

• NIST 800-82 Guida ai sistemi di controllo industriale

• ISO 27000 Sistemi di gestione della sicurezza delle informazioni

• IEEE P1711 Standard protocollo crittografico per la sicurezza di comunicazioni seriali tra sottostazioni (di energia elettrica)

• ANSI/ISA 99 Sicurezza dei sistemi di automazione e di controllo industriali

• AGA 12 Part 1 Protezione crittografica delle comunicazioni SCADA

Ero iscritta su ResearchGate da svariati mesi, quando, nelle ultime settimane, ho pubblicato alcune mie ricerche, condotte per mio conto, sulla patogenesi del Nuovo Coronavirus, oltre ad un progetto di Cybersecurity, in cui mostravo alcuni dei rischi presenti in rete e spiegavo come evitarli. Un giorno, eseguo il login in ResearchGate come di consueto, e mi appare questo messaggio

Invio subito una email per chiedere spiegazioni, alla quale rispondono dicendo che in pratica il progetto sulla Cybersecurity non era ammesso. Spiego dunque che non avevo pubblicato, in ogni caso, niente di illecito, che avrebbero quindi potuto provvedere a rimuovere quel singolo contenuto, se non ammesso dal loro Regolamento, e a mandarmi un avvertimento, invece che eliminare il mio accounto con tutto il contenuto in esso presente, come è stato fatto. Creo nuovamente un account, con gli stessi dati, dove ripubblico tutto il progetto sul Coronavirus, senza i contenuti di Cybersecurity; invio anche una email nella quale ringrazio per avermi attivato questo secondo account. Resta online per 5 giorni, dopodiché, provando a fare il login, all'improvviso mi ritrovo il messaggio di "Account Locked". Ho notato che anche questa volta, mi hanno bloccando l'account proprio quando ho iniziato a ricevere commenti positivi e raccomandazioni da parte di Ricercatori di tutto il mondo. Invio nuovamente un'email per chiedere spiegazioni, ma mi viene detto, come potete vedere dall'immagine sottostante nella slidwshow, che [testuali parole] hanno cambiato idea, rispettando la volontà originaria di bannarmi per sempre. A questo punto rispondo che non possono bannarmi dopo giorni, senza che avessi fatto niente, solo perché HANNO CAMBIATO IDEA. Che dovrebbe essere un sito importante, punto di riferimento per tutti i ricercatori, ma non supportano la ricerca indipendente, casomai la contrastano. Ripeto, non avevo più caricato nulla che riguardasse i pericoli informatici, ma proprio niente riguardo l'informatica. Esclusivamente le ricerche su un ipotetico, possibile trattamento farmacologico contro il Covid-19. Siamo dunque sicuri che il problema sia stato proprio il progetto di Cybersecurity, e non la divulgazione che è possibile trovare un rimedio contro il Nuovo Coronavirus, dato che erano le uniche ricerche pubblicate? Ho scritto nuovamente al supporto, ma ho ricevuto soltanto un messaggio automatico, senza alcuna ulteriore spiegazione. Mi sono rivolta ad uno dei miei consulenti legali, che ha dichiarato di avere tutte le ragioni per chiedere la riattivazione del mio account, con la ripubblicazione dei contenuti. La cosa che appare strana è che il mio account ed i contenuti sono rimasti online per molto tempo, ma quando molti Ricercatori hanno espresso pareri positivi e concordi nella possibilità di realizzare un farmaco in base a ciò che avevo scritto, è stato eliminato tutto, con motivazioni dalla legittimità alquanto traballante.

Per chi interessa, le ricerche sono pubbliche anche su Academia.edu e sono queste: https://unipmn.academia.edu/KiraSmith