Non c’è pace per i droni. prima attaccati da un virus, poi addirittura dirottati. Se ne parla da alcuni anni del GPS Spoofing;  quello che fino a pochi mesi fa era poco più che teoria, oggi entra non solo nella realtà, ma addirittura nella guerra di nervi (per ora) tra Iran e Stati Uniti.

La vicenda ha inizio il 4 dicembre, quando fonti iraniane dichiarano che le autorità della Repubblica Islamica sono entrate in possesso di un modello di drone RQ-170 Sentinel. In un primo momento sembrava che il velivolo senza pilota fosse precipitato a causa di un’avaria; ma successivamente è emersa una versione più intrigante: il drone sarebbe stato “convinto” ad atterrare in territorio iraniano tramite un “sabotaggio” del sistema GPS.

In che modo? Tramite GPS Spoofing, ovvero la capacità di ingannare i ricevitori di un dispositivo,sabotando il sistema di navigazione (inducendo false informazioni), facendo credere ad un mezzo a guida GPS (in questo caso un drone militare da ricognizione) di trovarsi in una posizione diversa da quella effettiva. Con questa tecnica gli iraniani potrebbero essere stati in grado di convincere l’UAV americano di trovarsi alla propria base, e di atterrare docilmente. Un altro tipo di attacco, come il jamming o un attacco armato avrebbe sicuramente danneggiare il drone, vanificando l’obiettivo di catturalo integro a scopo di ricerca.

Bruce Schneier parlò di GPS Spoofing sul suo blog quasi quattro anni fa, nel frattempo le tecniche si saranno sicuramente raffinate, e chi ha mezzi,risorse e motivazioni a disposizione probabilmente è riuscito a perfezionare una tecnica efficace.

Per i più curiosi fornisco un link dove trovare uno documento realizzato da studiosi svizzeri e americani che spiega i fondamenti del GPS Spoofing.

Segnala presso:

Nelle ultime settimane abbiamo assistito al riacutizzarsi della crisi detonata nel 2008 (o forse nel 2007 per essere più precisi) che si avvia verso il suo culmine. Sebbene l’attuale fase della crisi abbia avuto come elemento scatenante la situazione catastrofica dell’economia USA e la crisi del debito americano ed europeo, con un ruolo di co-protagonista delle fantomatiche agenzie di rating, il fenomeno più evidente e spettacolare di questa fase è il crollo delle borse mondiali.

Come disse qualcuno tempo fa, esistono armi invisibile per guerre che non fanno rumore. Talvolte le armi invisibili della finanza,dell’informatica e della propaganda si sommano ad azioni militari vere e proprie, come attentati o guerre. Quando questo avviene, quando la guerra psicologica, la guerra irregolare, la dimensione finanziaria e il ciberspazio si incontrano, ci troviamo di fronte al conflitto multidimensionale.

Attacco Mediatico (e Giudiziario)
L’attacco mediatico teso a screditare una personalità (o un’organizzazione) è un classico. Negli ultimi tempi lo scandalo montato ad arte e amplificato dai media, si avvale sempre di più dell’elemento giudiziario. Recentemente sul palcoscenico internazionale abbiamo assistito al caso Strauss-Kahn (scandalo franco/americano), e al caso Murdoch in Inghilterra.

Attacco terroristico
Gli attacchi terroristici possono avere chiavi di lettura diverse da quelle direttamente riconoscibili e facilmente deducibili, chiavi di lettura banali (che alla fine diventano la narrazione dei media mainstream) che raramente forniscono elementi per decodificare realmente lo scopo dell’atto terroristico. In realtà il terrorismo non ha solo a che fare con estremismo e fanatismo (anzi, quasi mai se non nella forma degli spesso inconsapevoli “esecutori materiali”), ma è un’arma, un elemento tattico che gioca la sua efficacia non solo sul piano militare, ma anche e soprattutto sul piano psicologico e simbolico.

Attacco finanziario
Molti ignorano l’esistenza di uomini e organizzazioni più potenti di capi di Stato (semplicemente finanziano la campagne di questo o quel candidato). E’ un fatto noto che nel 1992 l’attacco finanziario portato da George Soros e dal suo Quantum Fund portò sull’orlo della catastrofe la sterlina e la lira. L’attacco finanziario può essere giocato anche da attori istituzionali (come banche centrali), e può anche avere la forma di guerra valutaria. Durante la seconda guerra mondiale i tedeschi tentarono di mettere in crisi l’economia inglese con l’immissione massiccia di sterline (Operazione Bernhard)

Attacco informatico
Ci sono singolari analogie tra gli attacchi finanziari e gli attacchi informatici. Un attacco DDoS, così come un attacco della speculazione finanziaria, è anonimo e se portato avanti con intelligenza (quindi non è il caso di Anonymous) e contro i nodi vitali di una nazione, può contribuire alla diffusione del panico. E’ strano che esistano agenzie di polizia che hanno lo scopo di difendere le infrastrutture strategiche, ma non esista un’analoga agenzia che abbia lo scopo di difendere lo Stato dalla speculazione finanziaria…

Terrore Grigio (o Project Mayhem?)
Nel suo libro “Spetsnaz”, l’ex ufficiale sovietico Viktor Suvorov descrive un piano,una modalità operativa escogitata dal GRU (servizio di intelligence militare sovietico) finalizzata a portare a segno contro il nemico una serie di attacchi non convenzionali, di atti dannosi ma  non riconducibili ad una esplicita volontà bellica da parte dei veri autori (la cui identità reale rimane celata). Per “terrore grigio” si intende una serie di incidenti (per esempio un deposito di carburante che va a fuoco), improvvise esplosioni di violenza  nelle periferie, atti di sabotaggio e terrorismo, azioni il cui scopo è quello di creare sconcerto, panico, incertezza; contestualmente viene avviata una campagna diffamatoria verso una personalità politica, un partito, un sindacato con l’obiettivo di minare la capacità critica dell’opinione pubblica.

Questa fase di “terrore grigio” sarebbe stata la fase di preludio della terza guerra mondiale, scenario che per fortuna non si è mai verificato; ma le tattiche pensate dagli esperti di sabotaggio sovietici sembrerebbero essere le tattiche più diffuse ed efficaci utilizzate oggi da organizzazioni internazionali più o meno occulte in questa delicata fase della globalizzazione.

Segnala presso:

Bruce Sterling nel suo libro “Giro di vite contro gli hacker”, racconta che il 15 gennaio 1990 gli Stati Uniti furono vittima di un clamoroso blackout del sistema telefonico che  coinvolse 60000 utenti. La causa di quel DoS non fu un attacco, ma un aggiornamento software, aggiornamento che però introdusse un bug, facendo collassare il sistema.

Contrariamente a quanto comunemente creduto, il Denial of Service (DoS) non è un attacco informatico, ma una condizione (la condizione di “negazione del servizio”) che può avere origini disparate (errore di programmazione, errore di configurazione, guasto hardware). Il DoS può essere sfruttato, ma può anche anche essere indotto: in questo caso si può parlare propriamente di attacco DoS.

Come tutti gli attacchi informatici, l’attacco DoS deve essere pianificato. La raccolta di informazioni sull’obiettivo e la conoscenza delle tecniche idonee, unitamente alle circostantze tattiche, alle finalità strategiche e alle risorse a disposizione determinano il tipo di attacco da portare contro il target prestabilito e determinano la riuscita dell’azione.

Se restringiamo la gamma di attacchi DoS che possono essere portati attraverso Internet, possiamo identificare tre categorie principali. In questo articolo presento alcune tecniche che seppur superate e non più funzionanti, sono di fatto archetipi che si possono ritrovare anche negli attacchi DoS attuali, e possono indicare la via che conduce alla scoperta di nuove tecniche che funzioneranno in futuro.

Attacchi basati sulle vulnerabilità
Questi attacchi si basano su bug di applicazioni e/o sistemi operativi. Alcuni anni fa erano celebri il  Ping of Death e il Teardrop, che sfruttavano in modo diverso errori di implementazione del protocollo Ip, per essere più precisi sulle dimensioni di pacchetti ICMP Echo, e sulla ricomposizione di pacchetti Ip frammentati.

Esaurimento di risorse
Altra categoria di attacchi DoS è quello dell’esaurimenti di risorse. Nel caso di Syn Flooding, l’attacco viene portato sfruttando il meccanismo di handshake del protocollo Tcp che si svolge in tre fasi; una connessione Tcp viene stabilità al termine dell’ultima fase della negoziazione. Il Syn Flooding invia richieste di connessione (con il flag SYN attivato) da più host (spoofing), senza mai portarle a termine. Questo fa si che l’host sotto attacco continui a riservare risorse dove parcheggiare le richieste di connessione incomplete. Una volte esaurite le risorse disponibili, il server smette di rispondere e le ulteriori richieste (anche di utenti legittimi), vengonoo rifiutate.

Esaurimento di banda
Si tratta forse dell’attacco più rozzo da portare, l’obiettivo è saturare la banda dell’host “nemico”. In questo campo l’attacco più diffuso è probabilmente il Ping Flooding: basta inviare continuamentr pacchetti ping corposi per tentare di occupare tutta la banda dell’avversario. Chiaramente vince chi ha più “potenza di fuoco”.

Amplificatori
Se i Ping Flooding, ovvero gli attacchi ad esaurimento di banda sono abbastanza grezzi e necessitano di una potenza di fuoco superiore all’avversario per poter aver successo, esistono varianti più sofisticate che consentono di “floodare” connessioni di portata assai maggiore di quella a disposizione dell’attacker. Sto parlando dei DRDoS (Distribuited Reflected Denial of Service). Questi attacchi asimmetrici sfruttano “amplificatori” e tecniche di spoofing per sommergere la vittima di traffico sorverchiante in grado di saturare la banda.

Smurf
Il più celebre di questo tipo di attacchi è noto come Smurf. Il cugino meno noto, l’attacco Fraggle, al posto del protocollo ICMP è basato sull’UDP, ma si tratta sostanzialmente delle stessa cosa. Il funzionamento è il seguente: il pirata invia pacchetti ICMP verso un amplificatore; ma questi pacchetti sono spoofati ed hanno come indirizzo sorgente (al quale l’amplificatore risponde) l’indirizzo Ip della vittima. Un amplificatore è qualsiasi cosa escogitabile che funga da fattore di moltiplicazione. Nel caso dell’attacco Smurf si tratta di router che restituiscono risposte ad un’interrogazione broadcast: per ogni singolo pacchetto dati (spoofato con l’indirizzo della vittima), l’amplificatore risponde con una quantità di pacchetti pari al numero degli host collegati a quella rete (broadcast). Quindi inviando un pacchetto all’indirizzo di broadcast dell’amplificatore, la vittima riceverà decine o centinaia di pacchetti di risposta.

DDoS
Il Distribuited Denila of Service è probabilmente il tipo di attacco più noto e quello più impiegato nelle attuali cyberwarfare, dall’attacco all’Estonia alle recenti peripezie di Anonymous Group.
Questo tipo di attacco si basa banalmente sulla quantità: più la botnet (rete di droni controllati dal botmaster) è vasta, più alte sono le probabilità che l’attacco abbia successo.

Finalità degli attacchi DoS
A cosa servono gli attacchi DoS? Nella maggior parte dei casi servono semplicemente per portare un disagio a qualcuno, o come forma di protesta (hacktivism). In alcuni casi l’attacco DoS può essere accompagnato da richieste di denaro, veri e propri ricatti in stile mafioso: finchè la vittima non paga, l’atatcco continua e il servizio rimane inaccessibile.
Infine gli attacchi DoS possono far parte di una strategia articolata, sabotaggio di particolari servizi come elemento di un’operazione più vasta. Nel celebre attacco di natale, Kevin Mitnick sfrutto un attacco di Syn Flooding per mettere fuori gioco un host che il Condor stesso stava “impersonando” tramite blind spoofing.

Segnala presso:

Sempre di più i media principali e la politica internazionale non solo sono costretti ad occuparsi di questi temi, ma ne sono profondamente influenzati se non addirittura condizionati. Basti pensare alla vicenda Wikileaks, alle varie operazioni di Anonymous Group, ma anche all’intricata storia del worm Stuxnet con le implicazioni sul programma nucleare iraniano.

Veniamo al punto: cos’è la cyberwarfare? Esistono alcuni termini, alcune parole chiave che posso aiutare a rendere più chiara la fumosa idea di guerra cibernatica. Eccovene alcuni:

Cyberwarfare:  per cyberwarfare o guerra cibernetica, si intendono tutte le attività che mirano a seconda delle situazioni a difendere o ad attaccare le infrastrutture informatiche proprie o del nemico. In questo tipo di conflitto possono essere coinvolte sia le forze militari regolari, sia gruppi privati (attivisti, terroristi, criminali).

C4I: Command, Control, Communications, Computers and Intelligence. Questi sono i cinque elementi chiave della guerra cibernetica, ovvero il condizionamento attraverso information operations dei mezzi di comunicazione e dei sistemi computerizzati del nemico al fine di influenzarne il processo decisionale (comando e controllo).

C&C: Comando e Controllo: il cuore decisionale di un apparato strategico. Di C&C si può parlare anche in relazione ad una botnet dove il botmaster comanda i droni attraverso particolari centri di comando.  Inutile sottolineare che l’efficienza di una botnet è data anche dalla solidità delle proprie linee di comunicazione.

DDoS:  Distribuited Denial of Service è lo strumento principale per mettere offline un sito. L’attacco viene portato a segno tramite l’utilizzo di botnet. Anonymous Group ha reso popolare una modalità alternativa di botnet: la rete di computer attaccanti, a differenza di una botnet convenzionale, è formata da droni volontari, riuniti in uno spazio denominato “hive” e controllati da un software di nome LOIC.

Information Operation: un’azione di information warfare, tesa a distruggere, alterare, corrompere il processo decisionale del nemico, e al contempo difendere le proprie strutture decisionali dalle information operations nemiche.

PSYOP: Psychological Operation è una caso particolare di di information operation dove l’obiettivo è quello di influenzare l’opinione pubblica per indurla a condizionare il processo decisionale (di un governo, o di un gruppo di potere potere). Se la guerra psicologica (ovvero la propaganda) non è certo un’invenzione recente, gli ultimi ritrovati dell’infosfera hanno dato alla guerra psicologica nuova vita, in particolar modo tramite le emittenti satellitari e i social network.

Segnala presso:

L’operazione di rappresaglia che il fantomatico Anonymous Group ha scatenato per vendicare la persecuzione giudiziaria di Julian Assange, portavoce di Wikileaks, ha ridato nuova linfa ad una forma di protesta che sembrava appartenere ormai al passato: il netstrike.

In realtà Operation Payback (questo il nome dell’azione) si è manifestata attraverso alcuni attacchi DDoS diretti verso i siti di Mastercard e Visa. La caratteristica interessante di questi attacchi è stata però la natura della botnet utilizzata da questi attacchi.

Questa botnet, invece di essere formata da PC infetti appartenenti ad ignari utenti, è invece costituita da volontari, che mettono a disposizione il proprio computer a un botmaster (o più botmaster), il quale punta e colpisce l’obiettivo con la potenza di fuoco data dalla somma dei cicli di clock e delle connessioni di tutti questi volontari.

Il luogo virtuale dove questi zombie di riuniscono è denominato “l’alveare” (hive). Il software utilizzato in questi attacchi è prevalentemente una versione di LOIC, software scritto in C# modificata con l’aggiunta di un client IRC, necessario per collegare il drone all’unità C&C (Comando e Controllo).

Se il principio è abbastanza originale, l’utilizzo di server IRC per il coordinamento dell’operazione sembra essere in controtendenza rispetto agli ultimi sviluppi delle botnet usate da cracker e cybercriminali.

Infatti secondo uno studio realizzato dal Team Cymru Security, le unità C&C basate su web sono cinque più numerose di quelle basate su IRC. Attualmente i metodi più diffusi per gestire le botnet sono i seguenti:

• Web server:  a far preferire questo tipo di C&C è probabilmente la flessibilità e la capacità di attraversare i firewall senza problemi.

• Instant Message: può andar bene qualsiasi tipo di IM (da MSN a Skype), ma preferibilmente per botnet di piccole dimensioni. Si può scatenare un attacco con un semplice messaggino.

• IRC: il metodo classico, le prime botnet sono nate con IRC e probabilmente i primi botmaster si sono fatti le ossa con qualche epica IRC-war. Operation Payback utilizza questo metodo.

• Twitter (e altri social): flessibili da programmare con le semplici API messe a disposizione, scalabili, più resistenti ad eventuali rappresaglie rivali rispetto a server IRC.

Questi sono i metodi più utilizzati per gestire una botnet. In pratica va bene qualsiasi mezzo che dia la possibilità di contattare simultaneamente diversi destinatari e di “istruirli” su cosa colpire e in che modo.

Segnala presso:

Mentre il mondo è distratto dalle peripezie di Wikileaks e del suo istrionico fondatore, la vicenda del worm Stuxnet si arricchisce di un nuovo episodio, ovvero la tragica  morte dello scienziato iraniano, il professor Majid Shahriari.

Ricordo brevemente che Stuxnet è un worm che lo scorso settembre ha raggiunto la ribalta mondiale per la sua presunta missione di colpire le centralii nucleari iraniane, e per i misteri legati alla sua genesi, che secondo alcuni potrebbe essere fatta risalire ad uno Stato, una potenza mondiale, o un servizio segreto.

La tragica notizia degli ultimi giorni è invece che in Iran due scienziati sono rimasti vittima di due distinti attentati dinamitardi. In un caso lo scienziato, appunto Majid Shahriari, ha perso la vita nell’esplosione della propria automobile. Il secondo attentato ha portato al grave ferimento di un altro scienziato che si occupa del programma nucleare iraniano. La Stampa riporta la notizia in questo modo:

“Uno dei «cervelli» della ricerca atomica iraniana è stato ucciso oggi da un’esplosione nella sua auto a Teheran e un altro scienziato è rimasto ferito in simili circostanze. Per i due attentati le autorità hanno subito puntato il dito contro la Cia e il Mossad”

Ma che c’entra questo evento con il worm Stuxnet? Sembrerebbe che il professore ucciso fosse anche il principale esperto di questa minaccia cibernatica, incaricato di coordinare gli sforzi per circoscrivere e neutralizzare la minaccia digitale contro le infrastrutture nucleari della potenza persiana. A metterci su questa pista è nientemeno che Debka, presunto organo ufficioso dell’organizzazione terroristica sionista denominata “Mossad”:

Prof. Majid Shahriari, who died when his car was attacked in North Tehran Monday, Nov. 29, headed the team Iran established for combating the Stuxnet virus rampaging through its nuclear and military networks. His wife was injured. The scientist’s death deals a major blow to Iran’s herculean efforts to purge its nuclear and military control systems of the destructive worm since it went on the offensive six months ago

Conseguenza di questi eventi è la costituzione da parte del governo iraniano di un’unità speciale finalizzata alla protezione degli scienziati e delle loro famiglie:

A special unit for providing nuclear scientists, their homes and families with the same level of security as heads of the regime is being set up jointly by Iran’s Intelligence Ministry (MOIS), Revolutionary Guards and Al Qods Brigades, debkafile’s intelligence sources report

Insomma, mentre la folla con occhi da fanciullo osserva i fuochi artificiali di Assange, la guerra senza limiti continua senza esclusione di colpi.

Segnala presso:

L’eco della vicenda nel worm Stuxnet, che per un istante ha attirato l’attenzione dei media internazionali, si è già spenta da alcuni giorni, essendo la notizia ormai vecchia e superata, tritata e digerita dal meccanismo infernale che è la fabbrica di notizie da dare in pasto all’opinione pubblica mondiale. C’è però un aspetto che voglio approfondire, ovvero il rapporto tra cyberwarfare e politica.

Ho già espresso i miei dubbi sulle origini governative del worm. Considerando che oltre all’Iran sono state colpite pesantemente dal worm nazioni come India e addirittura Cina, mi sembra improbabile che USA o Israele lancino un worm alla cieca per colpire la centrale iraniana.

Il fatto che Stuxnet non sia frutto di un governo, non significa però che i governi (o servizi di sicurezza di qualche Stato) non possano utilizzare la vicenda Stuxnet per fini politici o di propaganda, Per esempio, l’Iran non ha esitato ad esaltare i potenti mezzi della Repubblica Islamica:

“L’intelligence iraniana è in grado di battere il virus informatico che secondo alcuni esperti sarebbe stato sviluppato per infettare i computer utilizzati nei programmi nucleari iraniani: lo ha affermato il Ministro competente per i servizi segreti, Heidar Moslehi, le cui dichiarazioni sono state riportate dalla televisione di Stato iraniana. Moslehi ha anche reso noto che le autorità hanno arrestato un numero imprecisato di “spie nucleari”.

In risposta a questa notizia di chiara impronta propagandistica, i simpatici amici di Debka (sito che secondo alcuni sarebbe un’emanazione del Mossad), tentano di rendere torbide le acque, o meglio i rapporti tra Iran e Russia, pubblicando questa nota disinformativa:

“Debkafile’s Western sources report that the hundreds of Russian scientists, engineers and technicians employed in Iran were responsible for installing the Siemens     control systems in Iran’s nuclear complex and other facilities which proved most vulnerable to the cyber attack. They were the only foreigners with access to these heavily guarded plants. At Bushehr, for instance, the Russian personnel enjoyed full access to all its systems. “

Non c’è bisogno di precisare che nessuna delle due “notizie” ha avuto ulteriori commenti o sviluppi.

Se i governi non fanno uso di worm e virus per sabotare i nemici, hanno invece sempre utilizzato la disinformazione e la propaganda per influenzare l’opinione pubbica (nazionale o internazionale), e non credo che la situazione cambierà molto a breve.

Forse con Stuxnet siamo effettivamente entrati in una nuova fase della cyberwarfare, ma non è affatto detto che siano i governi gli attori principali di questo nuovo scenario.

Segnala presso:

Non so se vi è saltato all’occhio un articolo comparso nel sito de La Stampa il 30 Settembre. Ve lo linko perchè merita un commento, per una volta i giornalisti non hanno detto tante “panzanate”.

Negli USA nasce l’esercito che combatte la cyberguerra

Come avete potutto notare dando una scorsa all’articolo gli Stati Uniti sono piuttosto preoccupati per la guerra informatica, così tanto da spendere 120 milioni di dollari per tenere in piedi una task force di tutto rispetto. Volevo portare alla vostra attenzione alcune frasi che, a dispetto di altre volte, sono corrette e degne di essere commentate:

Per farlo, occorre trasparenza, ma anche alla trasparenza, per il militare, c’è un limite: “Quello che non possiamo fare è dire: ecco una specifica minaccia da cui ci stiamo difendendo ed ecco come. Perché se lo facessimo l’avversario avrebbe modo di lavorare intorno ad essa in soli tre giorni.”

Da questa frase si evince che la task force è formata da gente preparata non da i soliti Rambo sparatutto che a volte sono più immaginari che reali.
Penso che qualcuno di voi stia pensando: “E’ una cosa normale, perchè stupirsi?” Mi stupisco perchè a volte online si leggono delle cretinate incredibili dette anche da cosidetti “esperti”.

I veterani della cyberguerra non vogliono essere confusi con un plotone di geek, e si considerano soldati a tutti gli effetti. Solamente un militare potrebbe capire se qualcuno si è insinuato nella rete per modificare coordinate e obiettivi, ha spiegato l’ex colonnello dell’aviazione Dusty Rhoads, uno dei reclutatori del primo gruppo di cybersoldati.

Questa frase dell’articolo mi è sembrata veramente particolare. Non si definiscono geek, ma soldati, hackersoldati potremmo dire noi. Quello che mi chiedo io è: cosa può venir fuori mischiando un hacker e un soldato? Se mi viene in mente ci faccio un libro

Ora basta! Non parlo più e vi lascio alla lettura dell’articolo (che ho trovato molto interessante) se avete altri commenti da fare noi di PH siamo sempre qui.

Segnala presso:

Chi c’è dietro al worm Stuxnet? L’obiettivo di questo famigerato malware è quello di attacare gli impianti nucleari iraniani (come sembrerebbero confermare alcune notizie), o si tratta di una nuova sofisticata incarnazione  del classico worm prodotto da una gang di cybercriminali?

Non si sa, forse non si saprà mai. Quello che pare certo è che non si tratta dell’opera di uno o più dilettanti. Non si tratta insomma di mettere in crisi Twitter con un XSS, qui la situazione è più complessa.

Un worm anomalo

La storia inizia in Luglio, quando un ricercatore bielorusso identifica presso clienti iraniani la presenza di Stuxnet. Symantec non solo conferma l’esistenza del worm, ma si accorge che una versione semplificata del worm era già stata isolata un anno prima.

Fin qui niente di nuovo. Sembrerebbe la solita storia di un worm che sfruttando uno zero-day si propaga e organizza una botnet. Ma questa volta la storia è divera. A far suonare il campanello d’allarme è la scoperta che Stuxnet ha una predilezione per i sistemi di controllo industriale (SCADA), utilizzati dai sistemi informatici che controllano le infrastrutture critiche, come centrali elettriche, reti di distribuzione, centrali nucleari.

A rendere ancora più inquietante la situazione è l’analisi della distribuzione del worm. Se in genere queste infezioni si propagano più o meno in tutto il mondo, questo worm pare prediliga alcune nazioni orientali, tra cui India e Indonesia, e in paticolare l’Iran.

A questo punto sorgere un sospetto: non è che Stuxnet è stato creato da qualcuno, non particolarmente amico dell’Iran e del suo programma nucleare?

Stuxnet

Effettivamente pare che Stuxnet sia un malware con una marcia in più. Quali sono i punti di forza di questo womr?

• Per la prima volta un worm utilizza come vettore di infezione 4 zero-day. Si tratta sicuramente di un dato notevole; la ricerca di questo genere di vulnerabilità, e lo sviluppo dei codici per sfruttarle richiede una abilità tecnica non comune.

• Non solo tenta di esfiltrare codici e progetti dai computer infettati, ma tenta di accedere e di replicarsi nei PLC (Programmable Logic Controller), computer specializzati nella gestione di processi industriali.

• Utilizza due certificati legittimi firmati da noti produttori di hardware. Il worm risulta così essere firmato come software certificato (e quindi sicuro). I certificati potrebbero essere stati sottratti ai legittimi proprietari tramite un’intrusione informatica o fisica.

Questi elementi evidenziano il fatto che si tratti di un’operazione complessa, articolata, portata avanti con estrema professionalità.

Guerra Senza Limiti

Il 26 Settembre Al-Jazeera pubblica la notizia bomba: “Iran Attacked by Computer Worm”. Qualche ora dopo è l’agenzia iraniana Irna a confermare la massiccia diffusione del worm in Iran, confermando anche la presenza del worm in computer privati utilizzati da tecnici del reattore nucleare di Busherh, ma è la stessa agenzia a precisare anche che nessun sistema critico ha subito danni, tantomeno il reattore nucleare.

Quindi Stuxnet è stato creato dal governo di una nazione ostile all’Iran? Non è detto. Da alcuni anni siamo entrati in una nuova fase della Storia, una fase in cui il monopolio della guerra non appartiene più agli Stati. Siamo nell’epoca della guerra asimmetrica, una guerra senza limiti, combattuta non solo tra nazioni, ma anche tra gruppi di potere, piccoli o grandi, frammenti di apparati in contrasto con altri frammenti dello stesso apparato. Gruppi privati, fondi speculativi, poteri occulti. Gruppi che utilizzano armi convenzionali, ma anche tecniche di guerra irregolare, come le information operations e la psychological warfare.

Forse non sapremo mai la verità su Stuxnet. Ma è molto probabile che incidenti simili saranno sempre più frequenti, come è altrettanto probabile che eventi simili siano già accaduti.

Segnala presso:

L’eruzione di un impronunciabile vulcano islandese paralizza l’Europa: la mostruosa potenza tecnologica dell’uomo moderno risulta azzerata. Per non parlare della marea nera che avanza inesorabilmente verso le coste americane, come il nulla che avanzava verso il “Regno di Fantàsia” in un celebre romanzo di Michael Ende.

Da questo clima d’angoscia e precarietà il mondo della rete non è immune. A mettere il dito nella piaga, dipingendo scenari allarmanti è Richard Clark, consulente degli ultimi presidenti degli Stati Uniti e noto come “lo zar dell’antiterrorismo”:

“Una «Pearl Harbor elettronica» che in meno di 15 minuti porterebbe morte e distruzione in tutto il paese. Questo il rischio concreto a cui sarebbero esposti gli Stati Uniti in caso di cyber attacco terroristico su larga scala, stante l’incapacità del sistema informatico di far fronte alla minaccia. La prima rete a crollare sarebbe quella del Pentagono, seguita subito dopo dagli altri provider. Si scatenerebbero poi delle esplosioni nelle maggiori raffinerie di Philadelphia e Houston e il malfunzionamento degli impianti chimici porterebbe al rilascio di gas letali come il cloro. Paralizzato pure il traffico aereo come pure quello delle metropolitane di New York, Washington e Los Angeles, con numerose collisioni in volo e scontri fra treni, mentre più di 150 città resterebbero senza elettricità. Risultato: decine di migliaia di cittadini morti in un attacco paragonabile alla devastazione di una bomba nucleare e il tutto in nemmeno 15 minuti e senza che un singolo terrorista o soldato metta piede sul suolo americano.”

http://www.corriere.it/esteri/10_maggio_08/cyber-war-simona-marchetti_95c5a0a4-5aab-11df-903e-00144f02aabe.shtml

Nel frattempo si registra una nuova tendenza nel mondo delle reti di computer zombi (botnet) al servizio di organizzazioni criminali e terroristiche. Questa nuova tendenza è quella della creazione di botnet non più solo basate su PC domestici, ma formate da server. Questi ultimi sono un po’ più difficili da infettare (ma neanche tanto), e offrono maggiori risorse rispetto ai computer da casa e da ufficio:

“Servers are harder to compromise than desktop PCs, which can potentially be compromised as easily as tricking a user into opening a maliciously constructed email or visiting a dodgy website. However once compromised servers offer more horsepower and, typically, fatter pipes for throwing out spurious traffic.”

http://www.theregister.co.uk/2010/05/12/zombie_server_ddos/

Londra, che insieme a New Yorl e Tokyo è la capitale della finanza mondiale ha scelto il nuovo premier: si chiama Cameron, come il regista di “Titanic”. E mentre il transatlantico affonda gli avventurieri di quel gran casinò che è il mercato azionario globale giocano ad armi impari contro intelligenze artificiali; sofisticatissimi ed esoterici algoritmi muovono spietati bot finanziari.Un gioco virtuale, fatto di automatismi e condotto con armi silenziose. Guerre che non fanno rumore ma che lasciano sul campo delle vittime, intere nazioni che crollano in questa notte buia della civiltà, illuminata solo dal sinistro bagliore di una banca che va in fiamme.

Il mondo sembra essere piombato in un’età oscura. L’imponente apparato tecnologico scientifico e industriale sembra impotente di fronte agli eventi; sembra che lo schianto fatale sia prossimo, inevitabile e definitivo. Ma noi siamo fortunati, abbiamo il social network, Twitter e Facebook: filmeremo la fine del mondo e la metteremo su Youtube.

Segnala presso: