Il worm Stuxnet ha cambiato radicalmente il settore della sicurezza e l'approccio dei governi e delle aziende al tema. Comparso lo scorso giugno, il misterioso worm aveva un obiettivo che, nel corso di indagini sempre più sofisticate, è diventato chiaro: sabotare le centrali nucleari iraniane (Stuxnet, il virus che colpisce le centrali atomiche - Stuxnet, il virus nucleare rinasce dalle sue ceneri). Sono molti i paesi sospettati di averlo creato, ma alla fine - probabilmente - non sapremo mai da chi è stato creato. I più papabili rimangono gli Stati Uniti e Israele.
Secondo Sean McGurk, direttore del centro per la Cybersicurezza degli Stati Uniti, Stuxnet non ha precedenti e impone cambiamenti concreti al modo in cui gli Stati e le aziende proteggono le proprie reti. Secondo Dean Turner, direttore della divisione Global Intelligence Network di Symantec, Stuxnet ha infettato circa 44 mila computer in tutto il mondo, il 60% dei quali in Iran. I computer statunitensi colpiti sono stati circa 1600.
Turner non esclude che attacchi sofisticati come quello portato da Stuxnet possano ripetersi, e anche se l'industria è preparata, non si può mai dire quanto sia elevata la sicurezza di un sistema fino a quando non è messa alla prova.
Stuxnet rimane comunque un grandissimo pericolo, perché potrebbe essere modificato per attaccare altre industrie. D'altronde l'interconnessione tra le reti e l'uso di sistemi SCADA (in particolare quelli prodotti da Siemens) non fa altro che aumentare i pericoli.
Le macchine SCADA sono sistemi di controllo industriale che gestiscono e monitorano infrastrutture o processi. Queste soluzioni, connesse alle reti, possono essere soggette a sabotaggi e sottrazione di proprietà intellettuale. Stuxnet, sfruttando falle in Windows e in questi sistemi, si è propagato rapidamente proprio questo modo.
Stuxnet '2010
Michael Assante, capo dell'organizzazione non-profit National Board of Information Security Examiners, ha chiesto al Senato degli Stati Uniti di lavorare in fretta per migliorare le regole sulla cybersicurezza. Il tema dovrebbe essere affrontato nel corso del 2011.
Secondo Assante i sistemi di controllo dovrebbero essere isolati dalle altre reti, in modo da essere meno soggetti a interferenze terze. "Non possiamo ignorare a lungo le note carenze del sistema e accettarne semplicemente i limiti. Dobbiamo ammettere che le nostre attuali strategie di sicurezza sono troppo sconnesse e spesso, in modo non intenzionale, lavorano contro i nostri sforzi per affrontare le sfide della cyber sicurezza".
Intanto Symantec ha pubblicato ciò che ha scoperto sul worm. "Ora possiamo confermare che Stuxnet richiede che il sistema di controllo industriale abbia un frequency converter drive (convertitore di frequenza) di almeno uno di due specifici produttori, uno con sede in Finlandia (Vacon Oyj) e uno in Iran (Fararo paya)".
Un frequency converter drive può cambiare la frequenza di un output, la quale a sua volta controlla la velocità di un motore. Maggiore è la frequenza, più alta è la velocità del motore. Symantec ha scoperto che Stuxnet richiede convertitori di frequenza che operano tra 807 e 1210 Hz per entrare in azione. Tali frequenze sono usate solo in un limitato numero di applicazioni. Secondo Symantec una di queste riguarda i sistemi per l'arricchimento dell'uranio.
"Stuxnet cambia le frequenze di output e così la velocità dei motori per brevi intervalli nel corso di mesi. Interferendo con la velocità dei motori sabota la normale operazione dei processi di controllo industriali", scrive Symantec, aggiungendo che queste modifiche possono portare a problemi gravi, come errori nell'arricchimento dell'uranio (e tutto ciò ne consegue).