Vivere nell’era digitale significa che la maggior parte delle cose che usiamo vengano azionate e/o controllate dai computer. Ciò spazia dalle applicazioni nelle telecomunicazioni alle automobili, dalle fabbriche e centrali elettriche ai porti e alle navi. Non dovrebbe sorprendere che questo valga anche per le ferrovie e i treni.
Al Chaos Communication Congress di Amburgo, il 28 dicembre, i ricercatori sulla sicurezza Sergey Gordeychik, Alexander Timorin e Gleb Gritsai, a nome del team SCADA StrangeLove hanno presentato il loro studio sui sistemi informatici utilizzati dalle ferrovie. Un rapido esame di questo settore mostra che nell’industria ferroviaria siano impiegati moltissimo i sistemi informatici, più di quanto ci si potrebbe aspettare.
Essi includono: sistemi informatici sui treni; sistemi di controllo del traffico; interblocco e segnaletica basata sul computer nelle stazioni e nei passaggi a livelli; sistemi di misurazione a distanza; sistemi di informazioni e intrattenimento per il passeggero e altre voci ordinarie comprese postazioni di lavoro d’ufficio multiuso e infrastrutture di rete.
Inoltre, tutta questa baraonda è ancora più complicata perché ogni paese e compagnia ferroviaria possiede i propri standard e applica le proprie infrastrutture informatiche. Allo stesso tempo, i sistemi ferroviari in questione sono spesso interconnessi per consentire ai treni di passare da un paese all’altro senza attrito.
http://twitter.com/kaspersky/status/601876502058262528/photo/1
Eurostar, un treno ad alta velocità che connette Bruxelles, Londra e Parigi, è un buon esempio di come le cose siano davvero complesse. I sistemi di segnaletica, controllo e protezione includono sistemi belgi, francesi e britannici con cui il treno deve essere compatibile.
Alcuni di essi non possono proprio essere definiti invulnerabili, anche da una persona che abbia la tendenza a usare questa parola di frequente. Per esempio, la moderna versione del sistema di automazione nei treni Siemens (che sono manovrati non solo dalla Deutsche Bahn, ma anche da compagnie che operano in Spagna, Russia, Cina and Giappone) si basa su dispositivi di controllo Siemens WinAC RTX. In sostanza questi sono computer x86 con il sistema operativo Windows e un tempo avevano un ruolo da protagonisti nella cybersaga di Stuxnet.
Before #Stuxnet, there was little thought about proactively securing industrial facilities https://t.co/2r3pXlbf7Z pic.twitter.com/vvj9ChCHAb
— Kaspersky (@kaspersky) November 18, 2014
Le vulnerabilità possono essere trovate anche nello Smistamento Computerizzato, che è un sistema piuttosto complesso responsabile del controllo degli interruttori ferroviari. Per esempio, i moderni certificati di omologazione per il nuovo equipaggiamento usato nel processore di sicurezza della flessibilità nel sistema della metropolitana di Londra includono certi strani requisiti come Windows XP o anche “Windows NT4 service pack 6 e superiori.”
Un altro problema per la sicurezza dei sistemi informatici di interblocco è che il potente software viene spesso azionato da personale incompetente, per cui l’autenticazione sicura è fuori discussione. È già abbastanza grave vedere sul PC di qualche ufficio un banale post-it giallo con scritti username e password. Ma che ne pensate di questo post sul computer che, se violato, può lanciare un oggetto pesante centinaia di tonnellate che si muove alla velocità di 100 km/h contro un altro oggetto abbastanza grande che si muove alla stessa velocità nella direzione opposta?
The wrong way to use passwords https://t.co/dQgoRrLQx8 Are you doing it wrong? pic.twitter.com/k9IYb4fJb8
— Kaspersky (@kaspersky) December 1, 2015
Tuttavia, un altro problema riguarda l’ambito della comunicazione dell’infrastruttura ferroviaria. Per esempio, i treni in movimento comunicano con il sistema di controllo ferroviario tramite la rete GSM-R, che in sostanza è un GSM con tutte le sue specificità come clonazione della SIM, interferenza, aggiornamenti del software via etere, comandi via SMS (con il codice PIN predefinito 1234) e così via.
Credenziali predefinite, o anche a codifica fissa, si trovano qua e là nelle reti ferroviarie. E, ovviamente, tutto è interconnesso e frequentemente connesso a Internet. Il problema è che, come lo ha sottolineato uno dei ricercatori di SCADA StrangeLove, “Quando ti connetti a Internet, anche Internet si connette a te”. Questo significa che si possono trovare applicazioni di rete installate a bordo di treni con motori di ricerca specifici dell’Internet delle cose come Shodan.
More connected, less secure: how we probed #IoT for vulnerabilities https://t.co/f4Y6iXLG8U #internetofthings pic.twitter.com/ZwFbvGGW6G
— Kaspersky (@kaspersky) November 5, 2015
Lo studio presentato al Chaos Communication Congress non è né una tecnica di violazione pronta all’uso, né una lista completa di vulnerabilità in alcuni sistemi informatici ferroviari particolari. Ma mostra cosa cercherebbero i probabili malfattori se decidessero di fare qualcosa di male con i treni, cosa troverebbero e di cosa trarrebbero vantaggio persino dopo una superficiale analisi dell’infrastruttura ferroviaria digitale.
So #malware attacks against critical infrastructure are inevitable. What’s next? https://t.co/O8VqC30PiO
— Eugene Kaspersky (@e_kaspersky) September 24, 2014
Come qualsiasi altro esempio di infrastruttura critica, le compagnie ferroviarie dovrebbero applicare misure di sicurezza informatica in maniera più scrupolosa. Come ha detto Eugene Kaspersky, “Credo sia giunto il tempo di costruire infrastrutture e sistemi industriali sicuri e bisogna farlo ora.”