Liscio come l’oil & gas. Ma solo per i terroristi

terrorismo

Del resto perché mai dovrebbe capitare proprio a noi? Lotta al terrorismo, gestionali, reti aziendali e “buchi” di sistema che potrebbero finire nel mirino

Mitomani e imbecilli che strombazzano sui social network la loro simpatia o passione per la nuova Jihad sono facili da catturarsi. I cretini 2.0 abbondano e periodicamente le loro performance su Facebook e Twitter si concludono con perquisizioni e arresti la cui esecuzione tranquillizza la gente e diffonde un delicatissimo senso di imperturbabile serenità. Il terrorismo, purtroppo, è un’altra cosa. E così pure la lotta per contrastarlo e le cautele da adottare per evitare il peggio. Non riuscendo a sedare la mia paura con la somministrazione di “buone nuove” che quotidianamente segnalano qualche pirla assicurato alla giustizia dopo aver “postato” qualche insulsa farneticazione, continuo a temere vulnerabilità che potrebbero finire nel mirino di qualche organizzazione criminale. Qualche mese fa, ad Amsterdam nel congresso dei Black Hat, due ricercatori hanno sottolineato la vulnerabilità nei sistemi di Enterprise Resource Planning (ERP) utilizzati dalle reti aziendali delle aziende del comparto “oil & gas”, i cui impianti potrebbero essere bersaglio di azioni di sabotaggio con alterazioni significative della pressione delle condutture o con l’occultamento di perdite nei circuiti. Pericolosi “buchi” nelle architetture di sistemi, applicazioni e prodotti (SAP, per l’appunto) del settore industriale possono compromettere la gestione e la supervisione dei processi di produzione e di distribuzione di petrolio e gas. Se i banditi conoscono a menadito la situazione, l’universo del business non sembra aver ben compreso quel che potrebbe accadere.

A richiamare l’attenzione su un problema impossibile da trascurare sono stati Alexander Polyakov e Mathieu Geli, supertecnici dell’azienda californiana ERPscan, che hanno esordito dicendo che «quella cui stiamo per dar vita non è una conferenza abituale, nemmeno per noi». E sono stati di parola. Con un pacato «vogliamo dimostrare che non sono possibili solo gli attacchi sullo stile di Stuxnet mandati a segno con una banale pendrive USB» hanno aperto le danze. L’attacco, cui hanno fatto riferimento nel corso dell’evento, non richiede un contatto fisico con le apparecchiature da aggredire virtualmente, ma si accontenta di un accesso alla rete informatica dell’organizzazione vittima o anche semplicemente di una connessione a Internet sufficiente per raggiungere i sistemi di interesse. La chiave – pronta a essere girata – per spalancare il portone di fortezze immaginate come inviolabili è proprio SAP (ambiente caratterizzato da una enorme vastità di soluzioni disegnate specificamente e spesso concatenate tra loro per governare l’integrità operazionale e la catena logistica) installato quasi nell’80% delle realtà del segmento degli idrocarburi.

Le conseguenze dell’attacco ipotizzato sono ad ampio spettro: sabotaggio o spegnimento dell’impianto, danneggiamento delle apparecchiature, interruzione dei servizi, interruzione o blocco totale della produzione, alterazione della qualità del prodotto, mancata rilevazione delle fuoriuscite, illecite intercettazioni di flussi e sottrazione di petrolio, violazioni della conformità del processo produttivo rispetto le norme vigenti, incidenti con conseguenze anche mortali per le maestranze. Tutto comincia con una serie di bug di programmazione e di configurazione nei processi di Manufacturing Integration and Intelligence. La dissertazione di Polyakov e Geli continua impietosa, tenendo il pubblico incollato alle poltrone quasi sedesse in una sala cinematografica in cui viene proiettato un film horror. Le loro oltre 90 slide si susseguono come una lenta mitragliata. Alla fine i consigli, alcuni fin troppo scontati. Anche Alexander e Matieu sperano di richiamare l’attenzione dei più distratti, di indirizzare la platea verso un diverso approccio alla sicurezza, di redimere gli impenitenti assertori del “tutto va bene”. Nonostante la gravità delle argomentate problematiche, sono stati davvero pochi quelli che hanno ripreso quell’intervento. La regola “perché mai dovrebbe capitare proprio a noi” resta inossidabile.

Leggi anche:  Kaspersky Security for Microsoft Office 365 adesso protegge OneDrive