di Carola Frediani – Guerre di Rete
Quando si dice lunedì nero. Lunedì 8 febbraio Bob Gualtieri, sceriffo di Oldsmar, piccola cittadina di 13mila anime della contea di Pinellas, Florida, a 15 miglia da Tampa, ha l’ingrato compito, da dietro un leggio e un microfono, di gestire una conferenza stampa (VIDEO) cui assistono media nazionali e internazionali. Un evento a dir poco insolito, che ha portato in città anche l’Fbi e i Secret services. In piedi accanto a lui, con aria dimessa e un po’ spaesata, anche il sindaco e il city manager. Pochi giri di parole, lo sceriffo va subito al dunque.
Cosa è successo
“Venerdì 5 febbraio c’è stata un’intrusione illegale nei sistemi informatici dell’impianto di trattamento dell’acqua di Oldsmar”, esordisce. Si tratta di un impianto che rifornisce di acqua i residenti della cittadina, dopo un trattamento con sostanze chimiche per renderla potabile. Questo genere di impianti – continua Gualtieri – fanno parte delle infrastrutture critiche del Paese e possono diventare un target per chi voglia colpire la sicurezza pubblica. Dopo questa premessa poco rassicurante, lo sceriffo prosegue fornendo i dettagli di quanto accaduto.
L’intrusione e la modifica dei parametri
Alle 8 del mattino di venerdì 5 febbraio un dipendente della struttura di trattamento dell’acqua ha notato che qualcuno aveva avuto accesso da remoto ai sistemi informatici che stava monitorando, sistemi che controllano le sostanze chimiche e altre operazioni dell’impianto. L’accesso era avvenuto attraverso un software di assistenza da remoto usato alcune volte dal suo stesso capo per svolgere delle attività, per cui a un primo momento il dipendente non ci ha prestato attenzione. Ma quando l’evento si è ripetuto di nuovo nel pomeriggio, l’uomo ha notato che chi era collegato, muovendo il mouse proprio davanti ai suoi occhi, stava in realtà aumentando la quantità di soda caustica nell’acqua, “un importante e potenzialmente pericoloso incremento”, ha specificato lo sceriffo. Per la precisione: da 100 parti per milione a 11.100 parti per milione. Un incremento che se avesse raggiunto la popolazione “avrebbe potuto provocare seri malesseri o fatalità”, scrive Ars technica.
L’operatore ha subito ripristinato i valori modificati da colui che ormai era evidentemente un pericoloso intruso e lanciato l’allarme. Poche ore dopo partiva un’indagine di Fbi e Secret Services. Lo sceriffo ha precisato che comunque nell’impianto erano presenti dei meccanismi di controllo, delle ridondanze che avrebbero individuato l’eventuale incremento nell’acqua anche qualora l’operatore non se ne ne fosse accorto in tempo reale.
Un attacco che ha sfruttato gravi vulnerabilità
Questa storia dalla contea di Pinellas ha fatto il giro del mondo, perché quel tipo di intrusione, in quel tipo di infrastruttura critica, con quelle possibili conseguenze (un aumento importante di una sostanza usata per regolare il ph ma che, superate certe soglie, diventa pericolosa), è l’incubo di molti esperti di cybersicurezza. Va subito detto però, alla luce di quanto emerso nelle ore successive, che l’attacco appare assai meno sofisticato di quanto si possa pensare. Una precisazione forse poco tranquillizzante ma importante.
Il problema è che la possibilità di intrusione sembra sia stata servita su un piatto di argento.
Come ha infatti spiegato un avviso sulla sicurezza emesso dallo Stato del Massachusetts sul caso specifico e le misure da adottare, “soggetti non identificati hanno avuto accesso ai controlli SCADA (sistemi informatici utilizzati per il controllo e il monitoraggio di processi industriali e sistemi infrastrutturali, ndr) dell’impianto di trattamento dell’acqua attraverso un software per l’accesso da remoto, TeamViewer, che era installato su uno dei diversi computer usati dal personale dell’impianto per condurre controlli sullo stato del sistema e rispondere ad allarmi o altre questioni che possono emergere”.
L’avviso prosegue spiegando che tutti i computer usati dal personale erano connessi ai sistemi SCADA e usavano Windows 7. E che “tutti i computer condividevano la stessa password per l’accesso da remoto e apparentemente erano connessi direttamente a Internet senza alcun tipo di firewall”.
Ipotesi di un insider
Cosa vuol dire tutto ciò? Che la struttura aveva pratiche di sicurezza che lasciavano alquanto a desiderare (assenza di firewall, stessa password, uso di un sistema operativo per cui Microsoft non fornisce più aggiornamenti di sicurezza, ecc). E che in questo scenario non è da scartare la possibilità che si tratti di un ex dipendente, come ipotizzato ad esempio da Christopher Krebs, ex capo della CISA, l’agenzia federale per la sicurezza delle infrastrutture critiche e la cybersicurezza. Altri hanno pensato a un atto di “vandalismo”, ovvero il gesto inconsulto di qualcuno che sia riuscito ad ottenere un accesso.
Un problema annoso, specie per tante piccole infrastrutture locali
In realtà, come ha notato su Twitter la giornalista Kim Zetter, non sorprende che queste infrastrutture siano accessibili online, è anzi una questione annosa (vedi questa sua storia del 2012). E, come nota Brian Hogan del SANS Institute, molte organizzazioni usano soluzioni di accesso da remoto per permettere a staff e fornitori di lavorare da lontano, un fenomeno per altro incrementato dalla pandemia. Per questo, aggiunge, è tempo di rivedere le varie soluzioni per assicurarsi che siano configurate correttamente e che abbiano l’autenticazione multifattore.
Secondo vari osservatori, quello che fino ad oggi ha tenuto protette alcune di queste infrastrutture così esposte è il fatto che attaccanti di basso livello farebbero comunque fatica a districarsi nella complessità di quei sistemi interni. D’altro canto, attaccanti di alto livello (Stati) sanno fin troppo bene il rischio cui andrebbero incontro in operazioni di questo tipo (un’azione del genere, diversamente da campagne di spionaggio, e al di là del suo esito effettivo, potrebbe essere considerata un atto di terrorismo). Il che però non li esclude del tutto dallo scenario.
Per saperne di più
Guerre di Rete – una newsletter di notizie cyber
a cura di Carola Frediani
N.96 – 14 febbraio 2021