Perchè SYNC 2000 Garantisce la Massima Sicurezza nella Power Grid?

Introduzione

E’ comune utilizzare porte USB per facilitare il trasferimento dei dati tra sistemi di controllo industriali di rilevanza critica. Ciò può introdurre considerevoli rischi nella power grid. L'obiettivo di questo articolo è di evidenziare il rischio di attacchi informatici attraverso le porte USB.

Background

Il North American Electric Reliability Corporation (NERC) è un ente per la regolamentazione internazionale e la certificazione dell'affidabilità e della sicurezza della Power Grid in North America. Uno dei programmi che NERC ha creato è dedicato al Critical Infrastructure Protection (CIP), che è diventato lo standard de facto per la sicurezza di molte utility in tutto il mondo. In particolare include una guida che copre la sicurezza dei perimetri elettronici e la protezione delle risorse informatiche. Lo standard equivalente in Europa è il programma europeo per la protezione delle infrastrutture critiche (EPCIP). Secondo le linee guida NERC CIP, l'uso delle porte USB è fortemente sconsigliato perché non sono protette da "accesso non autorizzato". E’ vulnerabile verso il collegamento a modem, cavi di rete che collegano reti o inserimenti di pen drive USB infette. 

Esiste la protezione informatica per le porte USB, tuttavia, spesso è proibitiva e non è efficace al 100%. Non c'è alcun requisito essenziale per l'utilizzo di una USB al posto di altre interfacce standard e più sicure come Ethernet e porte seriali. 

Alcuni dei metodi più comuni per proteggere le porte USB sono: 

• Disabilitare (tramite software) le porte fisiche 

• Protezione fisica della porta come una piastra di copertura o un nastro antimanomissione

• Ostruzione della porta fisica utilizzando serrature rimovibili 

Queste misure sono esempi di metodi di difesa, tuttavia le linee guida CIP riconoscono che questi approcci di controllo possono essere facilmente aggirati. Inoltre non è raro per un dipendente autorizzato di compromettere inavvertitamente un dispositivo semplicemente collegando uno smartphone infetto per caricare la batteria. Le unità flash USB pongono due importanti sfide alla cybersecurity delle infrastrutture critiche:  facilità di furto dei dati a causa delle dimensioni ridotte e della trasportabilità e compromissione del sistema tramite infezioni di virus informatici, malware e spyware. Anche se apparentemente innocuo, il dispositivo periferico portatile supportato da USB può innescare un massiccio attacco informatico, anche quando il dispositivo il sistema informatico è, in teoria, isolato e protetto con firewall e altri dispositivi di sicurezza. Secondo uno studio i file di dati copiati su USB rappresentano un rischio significativo di perdita. Lo studio ha rivelato che i dati aziendali su unità flash includono: record dei clienti (25%); piani aziendali (15%); dati dei dipendenti (13%); proprietà intellettuale (6%) e codice sorgente (6%). Il sondaggio ha anche indicato che il 40% delle aziende negano il trasferimento di dati aziendali sui dispositivi portatili. 

Che cosa potrebbe significare un attacco Power Grid americano

Lloyd's Emerging Risk Reports è un riferimento di settore noto e rispettabile per la quantificazione rischi nei settori strategici. In un loro rapporto, "Business Blackout" [5], è uno studio considerevole dell'ipotetico impatto di un cyberattacco che provochi un blackout generalizzato, immergendo 15 stati nell'oscurità e lasciando senza corrente 93 milioni di persone. 

Nello scenario, un malware (il trojan 'Erebos') infetta il controllo della generazione di elettricità. Il malware non viene rilevato finché non rilascia il suo carico utile che tenta di assumere il controllo dei generatori. Identifica 50 generatori e li spinge al sovraccarico. Ciò destabilizza temporaneamente la rete regionale degli Stati Uniti nord-orientali e causa interruzioni prolungate. Mentre l'alimentazione viene ripristinata in alcune aree, altre parti della regione rimangono senza elettricità per settimane. Gli impatti includono danni diretti a beni e infrastrutture, calo dei ricavi. L'impatto sull'economia degli Stati Uniti è stimato a $ 243 miliardi, con un aumento di oltre $ 1 T nello scenario più catastrofico.

Minacce alla cybersecurity - Esempi irl

La possibilità di infezione da malware tramite USB è stata documentata in uno studio del 2011 di Microsoft [6] dopo aver analizzato i dati di oltre 600 milioni di sistemi in tutto il mondo nel primo semestre. Lo studio ha rilevato che il 26% di tutte le infezioni era dovuto alle unità flash USB che sfruttano la funzionalità AutoRun in Microsoft Windows. Gli USB sono diventati un metodo comune la condivisione locale tra dispositivi, ma sono anche una fonte comune di point of failure del sistema.

Struxnet Worm

L'esempio classico di come una porta USB può essere utilizzata per diffondere un attacco informatico è ben documentato da Struxnet worm che mirava specificamente ai sistemi SCADA. E’ stato responsabile di causare significativi danni all'impianto nucleare di Natanz, distruggendo un quinto delle centrifughe nucleari. Struxnet è stato introdotto in un ambiente di grandi dimensioni tramite un'infezione USB. Quindi ha infettato tutti i dispositivi che eseguono il sistema operativo Microsoft Windows ed è rimasto inattivo. Utilizzando un certificato digitale, il worm ha eluso i sistemi di scansione. Dopo la propagazione attraverso reti compromesse, ha tentato di accedere a Internet per scaricare una versione più aggiornata di se stesso. Inizialmente, Struxnet monitora le operazioni del sistema di destinazione e lo utilizza per prendere il controllo. Nel caso dell’impianto nucleare iraniano, ha modificato il sistema di controllo e ha generato comandi imprevisti al PLC, mentre restituiva un ciclo di operazioni normali. Secondo un documento presentato alla 37a Conferenza annuale di la IEEE Industrial Electronics Society, il design e l'architettura di Stuxnet non sono specifici del dominio e potrebbero essere adattati per l'attacco, acquisizione dati (SCADA) e per sistemi simili a PLC. Secondo i dati di dominio pubblico e le informazioni di Symantec, più paesi sono stati presi di mira da Struxnet.  Secondo i documenti presentati di recente nell'ottobre 2017 nel 4 ° controllo industriale annuale Cyber ​​Security Europe, le porte USB sono e continuano a rimanere la fonte numero uno di Malware.

BadUSB

Una chiavetta USB, oltre allo spazio su disco, include il firmware. Questo firmware tuttavia può essere incorporato con un eseguibile di codici che non possono essere verificati da applicazioni di sicurezza. Questo difetto nelle USB permette al firmware di apportare modifiche, nascondere il malware in modo che diventi quasi impossibile da rilevare. Il difetto è ancora più dannoso poichè la formattazione di un dispositivo USB non elimina il codice dannoso. 

Conclusione

Per tutte le entità critiche per le infrastrutture energetiche, Kalkitech suggerisce fortemente che i dispositivi siano protetti contro la vulnerabilità di agenti maligni come quelli illustrati sopra. L’eliminazione di ogni porta USB è consigliata e raccomandata nell'interesse dell’affidabilità e della sicurezza. Kalkitech offre una linea di prodotti e servizi che assicurano il gap di comunicazione dei dati tra dispositivi legacy e dispositivi smart in campo di alimentazione elettrica e sistemi head-end, in modo trasparente attraverso più fornitori. Trasformando e accelerando l'accessibilità ai dati in tempo reale e l’analisi, queste soluzioni aiutano a migliorare l'affidabilità del sistema e l'efficienza operativa dei sistemi SCADA legacy.

 

Articolo tradotto e riadattato da: https://www.kalkitech.com/wp-content/files/usb-risks.pdf