Conferenza CSE

ICS Security – Breve storia dell’ICS e degli aspetti di Cyber Security

LEGO Star Wars repairing a PLC SIEMENS S7 1200
691

Tratto dal blog BipCyberSec. – Primo di una serie

 

Negli ultimi anni, in particolare dopo la scoperta negli anni 2010 della campagna relativa a Stuxnet [1] o Night Dragon [2] è aumentata l’attenzione sulla sicurezza dei sistemi industriali (Industrial Control System – ICS o Industrial Automation Control System o IACS). Recenti campagne come BlackEnergy [3] e nuove scoperte come il recentissimo malware TRITON [4] rendono sempre più attuale la questione della sicurezza in ambito ICS che – tramite i processi di trasformazione digitale (più nota ai riflettori come Digital Trasformation), l’Industria 4.0 (Industry 4.0), l’Internet of Things (IoT) e l’Industrial Internet of Things (IIoT) – è diventata sempre più una problematica di sicurezza informatica o di “Cyber Security”. La sfida è di difendere in maniera efficace sistemi – spesso critici – dove un attacco sferrato dall’altro capo del mondo può avere un impatto fisico reale. Non a caso in questi contesti ci si riferisce a problematiche di Cyber-Physical Security.

Iniziamo una serie di articoli che forniscano una panoramica di alto livello sulla sicurezza ICS, cominciando da una breve introduzione storica per comprendere al meglio il contesto.

Cos’è l’Industrial Control System (ICS)

Il termine Industrial Control System (ICS) e quello più specifico Industrial Automation and Control Systems (IACS) viene definito nella ISA-99/IEC 62443 e in particolare nella ISA-62443.01.01 dove viene definito come

“l’insieme delle persone, dell’hardware e del software che può riguardare o influenzare la safety [n.d.t.: termine che in italiano traduciamo sempre come sicurezza], security [n.d.t.: sicurezza nel significato comunemente utilizzato], e l’affidabilità di un processo industriale.”

È lecito considerare sinonimi ICS e IACS e sinonimo, anche se più inclusivo, il termine Operational Technology (OT), che include anche le varie tecnologie che si interfacciano con il processo durante la sua operatività. Uno degli utilizzi più comuni, per definizione, è quello di utilizzare l’OT per distinguere l’ambito industriale da quello Information Technology (IT).

Ulteriore definizione particolarmente recente e considerata spesso una buzzword è l’acronimo IIoT – Industrial Internet of Things.

Ulteriori termini “ombrello”, ma utilizzati erroneamente come sinonimi di ICS e IACS, sono SCADA (Supervisory Control And Data Acquisition) e DCS (Distributed Control System), che invece descrivono dei componenti ben specifici. Quindi, scollegandosi da termini squisitamente commerciali, utilizzeremo il termine “ICS” per relazionarci a questo mondo.

Breve storia dell’ICS e degli aspetti di Cyber Security

Un breve e utile excursus della storia dell’automazione industriale è stato descritto dal Prof. De Luca [5] del Dipartimento di Ingegneria Informatica, automatica e Gestionale (DIAG) dell’Università Sapienza di Roma. Integrando tale excursus con ulteriori fonti tra cui il paper SANS [6] è possibile ottenere una efficace linea temporale che riassume i punti salienti dell’ICS e come questa si lega con gli aspetti di Sicurezza Informatica. Conoscere gli elementi storici è utile per comprendere il motivo per cui la sensibilità ad argomenti di sicurezza informatica e di Cyber Security sono relativamente recenti.

1700-1900 Prima rivoluzione industriale e produzione meccanica tramite macchine a vapore

Nasce l’idea di dispositivi automatici per ottenere del feedback con lo scopo di controllare processi. La tecnologia prevede pertanto il controllo da parte di entità come il vento (e.g. mulini a vento) o vapore (e.g. il motore di Watt) e viene teorizzato il servomotore.

1900-1970 Seconda rivoluzione industriale e produzione legata all’elettricità

Agli inizi del 1900 sono utilizzati i relè per controllare da remoto gli oggetti. Viene inoltre compreso il concetto di “feedback negativo”.

Negli anni 50 nascono i primi controllori automatici industriali sotto-forma di controllori logico-sequenziali. I processi erano controllati da elementi come interruttori, bobine, temporizzatori, che implementavano controlli logici legati tra loro in delle reti; tali sistemi sono utilizzati anche in maniera distribuita negli impianti. Questi sistemi avevano determinate peculiarità nonostante fossero più efficienti delle tecniche precedenti. Erano lenti nell’acquisizione, nell’elaborazione e poco flessibili. Infatti una qualsiasi modifica alla logica comportava una modifica del circuito elettrico. Il controllo è legato alla sua fisicità, come anche gli aspetti di sicurezza.

Negli anni 60, sulla scia dell’evoluzione dell’elettronica e dei semiconduttori, i controllori sono di conseguenza aggiornati. In quanto basati sui transistor aumentano le loro performance e compattezza, risolvendo il problema della lentezza. Permane però la scarsa flessibilità.  Gli aspetti di sicurezza non cambiano, al netto di problematiche legate ad eventuali interferenze. Verso la fine degli anni 60, e più precisamente nel 1968 viene progettato il primo Controllore Programmabile la cui caratteristica principale è rappresentata dalla sua flessibilità. Nel 1968 il primo Controllore – il Modicon (MOdular DIgital CONtroller) – viene implementato.

1970-2000 Terza rivoluzione industriale e automazione legata all’informatica

Negli anni 70 e precisamente nel 1971 viene coniato il nome del PLC (Programmable Logic Controller) per descrivere il Bulletin 1774 di Allen-Bradely. La grande flessibilità viene affiancata nel 1973 dalla possibilità di comunicazione tra i diversi PLC; nasce così il protocollo Modbus. Successivamente nel 1976 viene introdotto il concetto di Input/Output remoto.

Negli anni 80, l’evoluzione dell’informatica si incontra coi PLC e nel 1986 i PLC vengono interconnessi ai PC. E’ in questi stessi anni che – secondo quanto contenuto nel “Farewall Dossier” [9] – un software contenente un Cavallo di Troia verrebbe inserito in un software SCADA. Quel software, utilizzato per la gestione del gasdotto transiberiano sembra abbia provocato nel 1982 una esplosione di 3 kilotoni, senza causare morti [8]. Realtà o meno, è un primo esempio di un attacco informatico a questo tipo di sistemi.

Negli anni 90 si assiste alla proliferazione e standardizzazione dei diversi protocolli di comunicazione e dei linguaggi di programmazione. Nascono i protocolli Fieldbus. Di particolare importanza è il 1992 quando Ethernet e la suite di protocolli TCP/IP cominciano a fornire connettività ai PLC. Dale data è di estrema importanza. L’utilizzo degli stessi protocolli – anche se solo ad alcuni livelli – rende tecnicamente possibile la convergenza dell’OT con l’OT. A livello di sicurezza e di rischio, da questo punto si rende necessario un primo cambio di paradigma nella concezione canonica della sicurezza ICS: le minacce infatti possono ora provenire dalla rete, o comunque quelle minacce che impattano i sistemi IT possono potenzialmente impattare anche quelli OT. Si pensi ad esempio ad un agente di minaccia che prenda il controllo di un PC utilizzato come Engineering Workstation dove sono presenti i software per programmare i PLC o altri sistemi ICS.

Nel 2000 si verificano diversi incidenti su sistemi industriali che sfruttano componenti elettronici o informatici. Nel Queensland, in Australia e precisamente nella Contea di Maroochy, l’ex-dipendente di una società di fornitura di impianti SCADA per la gestione dei liquami controllabili via radio causa il versamento di 800.000 litri di liquami in parchi pubblici e sulla costa. Questa persona, dopo aver concluso il rapporto teso con la società di fornitura, aveva fatto richiesta di assunzione presso la pubblica amministrazione locale. Non riuscendo ad essere assunto decide di pianificare la sua vendetta. Utilizzando le conoscenze dei sistemi che probabilmente aveva collaborato ad installare e apposite apparecchiature radio, invia dei comandi per procurare lo sversamento. Nello stesso anno è stato segnalato sui giornali un incidente in aprile ai danni di Gazprom.

2000-attuale Quarta rivoluzione industriale e automazione legata alla rete

In questi anni la convergenza tecnologica tra sistemi industriali e informatici e i relativi aspetti di sicurezza diventa tale da far nascere il termine Cyber-Physical Security. I PLC sfruttano appieno la flessibilità offerta dalla tecnologia tipicamente IT e nel 2003 i PLC cominciano a includere al loro interno dei web server. Questo aspetto – a livello di sicurezza – comporta l’apertura a tutte quelle vulnerabilità delle applicazioni Web e relativi rischi.

Altro effetto dell’interconnessione è la lista di incidenti in cui i sistemi IT connessi all’OT propagano la minaccia. Il 2003, anno noto al personale IT per la diffusione di diversi virus/worm sulla rete, ha comportato diversi problemi anche nell’ambito industriale:

  • La centrale nucleare David-Besse è infettata dal noto virus Slammer nonostante fosse protetta da firewall. Il virus è infatti portato da un PC di un fornitore connesso via modem che – di fatto – bypassa il firewall perimetrale.
  • A causa del virus viene sovraccaricata la rete ATM utilizzata da alcuni sistemi SCADA che – divenuta sovraccarica a causa di un virus – rende di fatto non disponibili i sistemi SCADA.
  • L’U.S. Railway Company è costretta a bloccare il sistema ferroviario per diverse ore a causa dell’infezione del virus Blaster.
  • Il Virus Nachi / Welchia comporta il rallentamento di una società chimica Francese.

Diversi incidenti documentati si sono susseguiti negli anni successivi impattando su diverse tipologie di industrie come Automotive, Chimica, Manifatturiera, Food & Beverage, Metallica, Mineraria, Petrolifera, Farmaceutica, Energetica, Cartaria, Trasporti.

Gli incidenti coinvolgono tutto il mondo: US, LATAM, EMEA e alcuni episodi – seppur con pochissime informazioni rilasciate – avvengono anche in Italia [7].

La vera svolta nella sensibilizzazione degli aspetti di sicurezza si ha negli anni 2010, quando vengono portati all’attenzione del grande pubblico attacchi mirati ai sistemi ICS riconducibili ad attori sponsorizzati da alcuni stati (state-sponsored). Si faccia riferimento a Stuxnet, un worm capace di alterare il normale funzionamento delle centrifughe di arricchimento dell’uranio, attacco attribuito al Governo Americano in opposizione all’Iran, o a Night Dragon, che aveva come obiettivo organizzazioni del settore Oil & Gas in tutto il mondo.

Conclusioni

In questo scenario la necessità di digitalizzazione dei contesti industriali e la loro interconnessione – pensiamo al fenomeno IIoT – si scontra con lo schema di protezione attuale, basato principalmente sulla segregazione e l’isolamento, non sempre possibile in un sistema interconnesso. Allo stesso modo i cicli di aggiornamento sono rapidissimi nel mondo IT – settimane se non giorni – mentre i cicli possono durare anni nel mondo OT.

Cambiano anche le priorità della sicurezza stessa: lato IT si ci si focalizza sulla confidenzialità del dato, mentre nell’OT si è soliti focalizzarsi sulla Safety e sulla Disponibilità.

È quindi necessario un nuovo paradigma di protezione dove le lezioni apprese nella sicurezza IT sono integrate nei paradigmi OT.

 Autore: Simone Onofri per BipCyberSec.

Note:

[1] https://ics-cert.us-cert.gov/advisories/ICSA-10-272-01

[2] https://ics-cert.us-cert.gov/advisories/ICSA-11-041-01A

[3] https://ics-cert.us-cert.gov/alerts/ICS-ALERT-14-281-01B

[4] https://ics-cert.us-cert.gov/MAR-17-352-01-HatMan%E2%80%94Safety-System-Targeted-Malware

[5] http://www.diag.uniroma1.it/~deluca/

[6] https://ics.sans.org/media/An-Abbreviated-History-of-Automation-and-ICS-Cybersecurity.pdf

[7] http://www.risidata.com/Database/Detail/Server_Out_of_Memory

[8] http://www.nytimes.com/2004/02/02/opinion/the-farewell-dossier.html

[9] https://www.cia.gov/library/center-for-the-study-of-intelligence/csi-publications/csi-studies/studies/96unclass/farewell.htm

 

Lascia una risposta

L'indirizzo email non verrà pubblicato.