igiene informatica

Cyber Security: intercapedini d’aria (Air Gapping)

By Federico Bianchini

Hackerare un computer isolato da internet è, intuitivamente, più difficile che farlo con uno connesso.

Per questo, quando un sistema necessita di sicurezza aggiuntiva (sistemi di controllo industriali, banche dati sensibili -militari e non-, o network di elaborazione dei pagamenti delle carte di credito), solitamente si procede con l’Air Gapping, cioè la disconnessione da internet, o da qualsiasi altro sistema collegato ad esso.

Un vero Air Gap pretenderebbe un isolamento fisico da internet e che solo i supporti fisici, come i flash drive, permettano la comunicazione tra il sistema isolato e l’esterno, lasciando un’intercapedine d’aria fra il sistema e il mondo esterno. Nella realtà dei fatti, questo processo risulta spesso molto laborioso e relativamente molto dispendioso in termini di tempo. Di conseguenza, alcuni detentori di sistemi che necessitano isolamento preferiscono utilizzare protezioni firewall ad hoc mantenendo una connessione ad internet. Un firewall può essere una soluzione sufficiente se ben programmato e aggiornato, ma un hacker risoluto (e ben finanziato) potrebbe comunque trovare un modo per bypassarlo (solitamente utilizzando una backdoor dei programmatori con un codice di autenticazione fittizio, o scovando uno 0-day).

Interporre aria a protezione di infrastrutture critiche può sembrare sciocco ad un neofita della cyber security, ma nulla dà tenuta stagna ad un sistema, paradossalmente, più dell’aria stessa.

Questo avviene, però, almeno in teoria, poiché, ragionando fuori dagli schemi e applicando un po’ di ingenuità old style alle abilità di un hacker, l’Air Gap puro è stato a sua volta superato più volte.

Famoso fu il caso di Stuxnet che, nel 2010, riuscì ad inserirsi nei sistemi Siemens che regolavano le centrifughe dell’impianto di arricchimento a Natanz, Iran, sabotandone le operazioni. Per accedere al sistema Stuxnet aveva bisogno di essere inserito nel sistema isolato dell’impianto, tramite un supporto fisico. Per farlo utilizzò la legge dei grandi numeri. Stuxnet infettò milioni di dispositivi in tutto il mondo, propagandosi per internet e networks, annidandosi in stampanti, flash drives e computer, rimanendo latente, riproducendosi esponenzialmente. Era programmato per attivarsi solo nel momento in cui avesse infettato il bersaglio desiderato, il che capitò, probabilmente, quando uno dei tecnici dell’impianto utilizzò una chiavetta USB infetta sul posto di lavoro. Uno dei malware più complessi della storia, quindi, si è affidato alla statistica e al tempo per colpire il proprio bersaglio inespugnabile.

Un altro esempio interessante è quello di Agent.btz che nel 2008 divenne il worm responsabile della più grande effrazione del network militare statunitense. E come riuscì questo malware ad entrare nei server più protetti del mondo? Semplicemente con una chiavetta USB. Questa volta, però, gli hackers si affidarono non solo alla statistica, ma anche alla curiosità e alla ingenuità umana. Agent.btz si avvalse di una tecnica chiamata candy dropping: flash drives infetti vennero sparsi in prossimità di basi americane in Medio Oriente ed uno di questi venne trovato per terra in un parcheggio da un soldato che, incuriosito, collegò al proprio computer di lavoro il supporto per verificarne il contenuto. Agent.btz infettò immediatamente il sistema, cominciando a replicarsi e ad infettare l’intera cyber struttura statunitense, inviando dati, sfruttando le backdoors del sistema, ad un indirizzo esterno sconosciuto. La CIA, impiegò circa 14 mesi per disinfettare il sistema. Disinfezione forse non completa, data la presenza di dozzine di differenti varianti del worm.

Come nella più classica corsa alla supremazia tecnologica militare della storia, quella tra arma ed armatura, una volta rilevata una vulnerabilità in un sistema difensivo questo viene migliorato. Se gli inglesi usano i longbow per penetrare le corazze della cavalleria francese ad Anzicourt, i francesi utilizzeranno armature temprate forgiate dai mastri armaioli italiani per negare questo vantaggio al nemico. Allo stesso modo, se gli hackers utilizzano la vulnerabilità delle porte USB, queste verranno eliminate, se i firewall non si dimostrano sicuri, gli accessi al web chiusi.

La storia insegna però anche che, sul lungo periodo, nessuna corazza è invincibile e che alla fine l’arma prevarrà sempre. Crogiolarsi nell’invulnerabilità delle proprie armature non farà altro che aumentare lo shock di scoprirsi nudi di nuovo di fronte ad una roncola, una balestra, una colubrina, un razzo a carica cava. Così pure costruire fortezze informatiche inaccessibili ed inviolabili non deve condurre ad un sentimento di sicurezza.

Recentemente, infatti, è stato dimostrato che i sistemi a tenuta stagna possono essere attaccati tramite le onde radio. Dei ricercatori Israeliani sono riusciti a generare onde radio dalla scheda video di un computer infettato e ricevere le password di accesso con un ricevitore FM di un telefono cellulare. Non c’è da stupirsi che l’NSA, apparentemente già da tempo, stia usando sistemi simili.

La continua vigilanza e l’inventiva degli armaioli informatici per ora ha concesso a chi ha voluto, o potuto, avvalersene dei mezzi per proteggersi dagli attacchi, ma è innegabile che la velocità dell’evoluzione delle minacce rende impossibile una protezione continua.

Le fortezze Air Gap non sono le uniche che si dovrebbero preoccupare dell’insufficienza della tecnologia ai fini della cyber security. Ogni singolo possessore di una macchina che si interfaccia con il web dovrebbe avere cura di questo aspetto, imparare delle regole basilari di igiene informatica, sia per proteggere se stessi sia per non prestare i propri mezzi a chi intende nuocere ad altri. L’informazione dell’utenza sulla questione cyber security è la migliore strategia per combattere gli attacchi informatici, e, l’esperienza insegna che la strategia è la migliore soluzione per compensare delle carenze tecnologiche.

Federico Bianchini

Foto: Stuxnet è di Cuaderno de informatica