Lo dico spesso, ormai da anni: l’antivirus è morto.
Un’affermazione del genere può sembrare subito un po’ strana, specie se espressa da chi è sempre stato un promotore e sostenitore, fin dagli albori, di tutto ciò che riguardava virus e antivirus nei tardi anni ottanta e all’inizio dei novanta. Ad ogni modo, se scavate un po’ più a fondo nell’argomento antivirus (RIP) e consultate alcune fonti autorevoli nel campo (ormai passato a miglior vita), l’affermazione diventerà immediatamente piuttosto logica. Innanzitutto, “gli antivirus” si sono trasformati in soluzioni di protezione “contro ogni cosa”; in secondo luogo, i virus – proprio perché esemplari particolari di un programma maligno – si sono estinti. O quasi. Ed è proprio la parola “quasi”, così apparentemente innocua, che causa ancora problemi alla cybersecurity ai giorni nostri – al backend dell’anno 2022! Ed è sempre la parola “quasi” alla base del nostro blog post di oggi…
Parliamo di virus. Quei pochi che sono ancora presenti nella lista rossa: dove si trovano di questi tempi e che cosa stanno per fare? …
Ci risulta che tendano a risiedere in… uno dei sottocampi più conservatori dell’automazione industriale: quello della tecnologia operativa (la cosiddetta OT, da non confondersi con IT). OT significa ” insieme di hardware e software che rileva e causa un cambiamento attraverso il monitoraggio diretto e / o il controllo delle attrezzature industriali, infrastrutture, processi ed eventi (- Wikipedia)”. In sostanza, OT si riferisce a un ambiente di sistemi di controllo industriale (ICS) – a volte anche chiamata “IT nelle aree senza moquette”. OT: sistemi di controllo specializzati in industrie, centrali elettriche, trasporti, settori delle utilities, nonché estrazione e lavorazione in altre industrie pesanti. Quindi “sì”: infrastrutture. “Sì”: infrastrutture spesso critiche. E ancora “sì”: all’interno di infrastrutture industriali critiche possiamo trovare proprio quei virus che credevamo morti ma che, in realtà, sono ancora vivi e vegeti. Circa il 3% dei cyber-incidenti che coinvolgono computer OT in questi ultimi giorni sono causati da questo tipo di malware.
Il motivo?
In realtà la risposta l’abbiamo già data sopra: l’OT – o, meglio, la sua applicazione nell’industria – è molto conservatrice. Se dovessimo trovare un campo che crede fermamente nel vecchio assioma “se non è rotto, non aggiustarlo!”, questo è proprio il campo dell’OT. L’aspetto più importante nell’OT è la stabilità, non i fronzoli. Nuove versioni, upgrade… anche i semplici aggiornamenti (software, ad esempio) vengono visti con scetticismo, se non scherno o addirittura paura! Comunque, la tecnologia operativa nei sistemi di controllo industriale è caratterizzata, di solito, da vecchi computer scricchiolanti con… Windows 2000 (!), oltre ad una serie di altri software antiquati zeppi di vulnerabilità (vi sono anche dei buchi giganteschi nelle policy di sicurezza e una marea di altri terribili incubi per chi si occupa dell’IT). Ritornando velocemente alla nostra definizione di “aree senza moquette”: il kit IT in questi ambienti (parliamo, quindi, di uffici e non di reparti produttivi o altri impianti) è stato da tempo vaccinato contro tutti i tipi di virus ed è costantemente aggiornato, sottoposto ai corretti upgrade e revisioni, oltre ad essere completamente protetto grazie a moderne soluzioni di cybersecurity. Al contrario, in aree diverse, troviamo tutto l’opposto: ecco perché i virus riescono a sopravvivere e proliferare.
Date un’occhiata alla Top 10 dei programmi malevoli più diffusi appartenenti alla “vecchia scuola” che si possono trovare nei computer ICS nel 2022:
Quindi, cosa significa quello che vediamo nel grafico?
Innanzitutto, lasciatemi dire che la percentuale sopra indicata si riferisce a una fase “dormiente” di questi virus “vecchia maniera”. Ma nel momento in cui riescono a uscire dai confini di un singolo sistema infetto e diffondersi nell’intera rete possono causare un’epidemia locale piuttosto seria. E invece di un trattamento completo, si fa ricorso al buon vecchio backup. Inoltre, l’infezione può coinvolgere non solo i computer ICS ma anche controllori a logica programmabile (PLC). Per esempio, ben prima dell’avvento di Blaster (un virus proof-of-concept in grado di infettare il firmware di un PLC), il loader Sality era già presente (beh, quasi: non nel firmware ma sotto forma di uno script nei file HTML dell’interfaccia web).
Quindi, ancora “sì”: Sality può combinare un vero e proprio disastro nei processi di produzione automatizzati. E non è tutto. Può creare un guaio nella memoria grazie a un driver malevolo, e anche infettare i file delle applicazioni e della memoria, causando una potenziale avaria totale in un sistema di controllo industriale entro pochi giorni. E in caso di un’infezione attiva, l’intera rete può crollare, in quanto Sality utilizza dal 2008 la comunicazione peer-to-peer per aggiornare la lista dei centri di controllo attivi. I produttori di ICS difficilmente avrebbero scritto i codici se avessero avuto in mente un ambiente di lavoro così potenzialmente aggressivo.
In secondo luogo: 0,14% al mese. Lo so che non sembra significare granché… ma questa percentuale indica migliaia di esempi di infrastrutture critiche nel mondo. E tutto ciò è un vero peccato: pensate solo come questo tipo di rischi potrebbe essere evitato in modo semplice e completo, con l’ausilio di metodi basilari.
Terzo: dato che la cybersicurezza delle industrie è spesso un colabrodo, non ci meravigliamo di leggere notizie relative ad attacchi a questo tipo di aziende da altri tipi di malware – in particolare ransomware (per esempio: Snake vs Honda).
È chiaro perché i team OT siano così conservatori: la cosa più importante per loro è che i processi industriali sui cui vigilano non vengano interrotti. Pertanto, aggiornamenti, upgrading e nuove tecnologie potrebbero creare interruzioni. Ma cosa dovremmo dire, invece, al riguardo degli stop dovuti ad attacchi di virus “vecchia maniera”, che hanno avuto successo solo perché non si è aggiornati? Appunto, è proprio questo il dilemma dei team OT. Di solito optano per non stare a passo con i tempi ed è questa la ragione dei numeri del grafico.
Ma sapete una cosa? Tale dilemma può diventare un mero ricordo del passato con la nostra “pillola”…
In un mondo ideale, sarebbe necessario essere in grado di innovare, aggiornare ed effettuare gli upgrade dei i kit OT senza incorrere in alcun rischio per la continuità dei processi industriali. L’anno scorso abbiamo brevettato un sistema che assicura proprio questo…
Ecco come funziona brevemente: prima di implementare qualcosa di nuovo nei processi che DEVONO continuare a funzionare, potete testarli con una simulazione del mondo reale, un supporto speciale che emula le funzioni industriali critiche.
Il modello è costituito da una configurazione della rete OT, che gira sullo stesso tipo di dispositivi utilizzati nel processo industriale (computer, PLC, sensori, attrezzature per la comunicazione, vari kit IoT) e li fa interagire tra loro per replicare la produzione o un altro processo industriale. Nel terminale di ingresso del modello si trova un campione del software testato, che inizia ad essere monitorato da una sandbox che registra tutte le sue azioni, osserva le risposte dei nodi della rete, le modifiche delle loro performance, l’accessibilità delle connessioni e molte altre caratteristiche. I dati così raccolti permettono di costruire un modello che descrive i rischi di un nuovo software e che, a sua volta, permette di prendere delle decisioni consapevoli, come quella di introdurre o meno il nuovo software e ciò di cui ha bisogno l’OT per chiudere tutte le vulnerabilità scoperte.
Aspettate, perché ora si fa ancora più interessante…
Nel terminale di ingresso potete letteralmente testare qualsiasi cosa, non solo nuovi software e aggiornamenti da implementare. Per esempio, potete testare la resilienza contro programmi malevoli che aggirano i mezzi di protezione esterna e penetrano in una rete industriale protetta.
Questo tipo di tecnologia può avere un potenziale enorme nel campo assicurativo. Le compagnie di assicurazione sarebbero in grado di giudicare al meglio i cyber-rischi, calcolando i premi in maniera ancor più accurata, mentre l’assicurato non si troverebbe a pagare più del dovuto senza una buona ragione. Inoltre, i produttori di attrezzature industriali sarebbero in grado di utilizzare i test di collaudo per la certificazione di software e hardware di sviluppatori terzi. Sviluppando ulteriormente tale concetto, questo tipo di schema si adatterebbe anche a centri di accreditamento specifici per l’industria. Vi sono poi enormi potenziali per la ricerca nelle istituzioni educative!
Ma per il momento ritorniamo al nostro sito produttivo…
Va da sé che le emulazioni non possono riprodurre la gamma completa dei processi nelle reti OT con un’accuratezza del 100%. Tuttavia, basandoci sul modello che abbiamo costruito grazie alla nostra vasta esperienza, possiamo già sapere dove poterci aspettare delle “sorprese” nel momento in cui installiamo un nuovo software. Soprattutto, possiamo controllare in modo affidabile la situazione anche con altri metodi – ad esempio con il nostro sistema di allerta rapido MLAD (di cui ho già scritto in dettaglio qui), che può individuare problemi in sezioni particolari di un’operazione industriale basata su correlazioni dirette e anche indirette. Con ciò, milioni – se non miliardi – di dollari di perdite a causa di questo tipo di incidenti potrebbero essere evitate.
Quindi cosa blocca i team OT dall’adottare questo nostro modello di collaudo?
Beh, forse finora – visto che sono così conservatori – non cercano attivamente soluzioni come la nostra in quanto non la considerano necessaria (!). Faremo del nostro meglio per promuovere la nostra tecnologia per salvare i milioni delle industrie naturalmente, ma nel frattempo vorrei aggiungere questo: il nostro modello di collaudo, sebbene complesso, si ripagherebbe da solo molto velocemente se venisse adottato da una grande organizzazione / infrastruttura industriale. E non si tratta di un abbonamento o qualcosa di simile: si acquista una volta ma salva la situazione (minimizzando rischi operativi, di legge e anche di reputazione) per anni senza investimenti extra. Ah, e c’è un’altra cosa che salvaguarderò: i nervi del team OT… o la loro salute mentale.