Sergey Ulasen è il responsabile della sezione “Anti-Virus Kernel” di VirusBlokAda, una piccola società informatica della Bielorussia specializzata in sicurezza informatica. Lo scorso 17 giugno Ulasen era al lavoro nel suo ufficio di Minsk quando ricevette una strana email da un cliente in Iran: il suo computer continuava a riavviarsi e non c’era verso di fermarlo. L’esperto di sicurezza si mise al lavoro e insieme a un collega identificò un virus informatico, ancora sconosciuto, che aveva infettato la copia di Windows del cliente iraniano. La storia la racconta Michael Joseph Gross in un lungo articolo su Vanity Fair dove si ipotizza che il virus fosse alla base di un atto di guerra vero e proprio, seppur virtuale, contro il programma nucleare di Teheran.
Il virus impostore
Il virus sfruttava una falla “zero day”, come dicono gli esperti di informatica: una vulnerabilità del sistema operativo di Microsoft non ancora nota. La scoperta di un simile malfunzionamento, che mette potenzialmente in pericolo la sicurezza di milioni di computer, viene affrontata con grande attenzione dalle società che producono antivirus e dalla stessa Microsoft, che cerca sempre di correre ai ripari il più rapidamente possibile.
Il virus scoperto da Ulasen era particolare, perché utilizzava un modo per propagarsi prima sconosciuto. Metti una penna USB contenente il virus in un portatile e il virus si intrufola clandestinamente, caricando due file: un rootkit dropper (che consente al virus di fare ciò che vuole sul computer, come spiega un hacker: «”Root” significa che tu sei Dio») e un sistema per diffondere del codice malevolo così criptato da essere, per Ulasen, indecifrabile.
Ben congegnato, il virus era riuscito a nascondersi nel computer del cliente di Ulasen usando una firma digitale affidabile e diventando così difficilmente rintracciabile. Semplificando: ogni programma utilizza una firma digitale, un segno di riconoscimento, per provare la propria affidabilità al sistema operativo. A volte chi programma i virus usa firme fasulle per trarre in inganno i sistemi di sicurezza, ma per la prima volta un programma malevolo usava una firma digitale autentica ottenuta in qualche modo da Realtek, una delle più grandi società produttrici di componenti per computer.
Non avendo idea dello scopo del virus, il 5 luglio Ulasen inviò la segnalazione a un amico in Germania, che gli diede poi una mano a preparare un breve resoconto da inviare al Microsoft Security Response Center. Il giorno seguente la società confermò di aver ricevuto la segnalazione e di essere al lavoro per risolvere il problema, così il 12 luglio Ulasen decise di condividere la propria scoperta su un forum di esperti di sicurezza informatica. In un paio di giorni, un informatico tedesco riuscì a scoprire che l’obiettivo finale del virus erano i controllori logici programmabili (PLC), i computer utilizzati nell’industria per gestire i processi negli impianti industriali, sia di produzione che di controllo.
Il 15 luglio Microsoft pubblicò una prima serie di soluzioni per risolvere il problema su Windows e rendere inoffensiva l’azione del virus. Al momento della pubblicazione della soluzione, il virus aveva però già infettato almeno 15mila computer, con picchi notevoli in Asia, specialmente in India e Indonesia, e con volumi anomali soprattutto in Iran. Il programma malevolo venne battezzato per praticità “Stuxnet”, l’anagramma di alcune lettere contenute nel suo codice.
Il problema non era, però, del tutto risolto. Il giorno prima che Microsoft rilasciasse i propri consigli, gli autori del virus cambiarono la firma digitale di Realtek, ormai scoperta, con un nuovo certificato sempre autentico di un’altra società. Questo diede al sistema una settimana in più per diffondersi, prima che la nuova firma rubata venisse identificata e ritirata dalla circolazione. I programmatori del virus questa volta non reagirono, evitando di aggiornare per una terza volta il loro programma malevolo, cosa che consentì a Microsoft e alle altre società che si occupano di sicurezza informatica di arginare la diffusione del virus.
Arriva Kaspersky
Microsoft era arrivata a risolvere il problema anche grazie alla collaborazione di Kaspersky Lab, una società russa specializzata nella produzione di antivirus fondata da Eugene Kaspersky nel 1997. Nato nel 1965 a Novorossijsk, il principale porto russo sul Mar Nero, Kaspersky si è laureato in Crittografia, Telecomunicazioni e Scienze Informatiche a Mosca, in un istituto sostenuto dal ministero della Difesa e dal KGB nel 1987. È appassionato di automobili, guida una Ferrari e sponsorizza un team di Formula 1, ed è un fan dell’attore Jackie Chan, tanto da averlo scelto come testimonial della propria società.
Insieme ai propri colleghi, Kaspersky rimase sorpreso dalle informazioni fornite da Microsoft su Stuxnet. Il virus non era come tutti gli altri e apriva un nuovo capitolo nella lotta contro i programmi malevoli, un capitolo molto redditizio per le società che come quella di Kaspersky lavorano per contrastare i virus, all’occorrenza in modo strumentale per lucrare sulle preoccupazioni di chi usa i computer e teme di perdere dati e informazioni preziosi.
La storia è intrigante, ma mi proietta nella mente alcune scene.
1) Meltdown del nocciolo, alla mattina si ricupera il computer che fungeva da supervisore ancora acceso col messaggio “Il computer è stato riavviato in seguito ad aggiornamenti importanti”.
2) Chi mette una chiavetta USB in un computer che controlla un impianto? Colui che poco prima ha scaricato con emule 8 giga di film e adesso se li deve portare a casa.
3) Questo programma ha eseguito un’operazione non valida e sarà terminato.
4) Credevo che Ahmadinejad avesse proibito le chiavette USB in quanto il loro uso potrebbe ricordare comportamenti indecorosi.
ottimo articolo, ben articolato e senza grosse puttanate tipo “hai scaricato i film da emule”.
ciò che mi lascia molto sorpreso è come facessero i programmatori a conoscere esattamente il modello ed il codice dell’apparecchiatura utilizzata; è facilmente comprensibile che un plc prodotto in milioni di pezzi nel mondo sia facilmente aggirabile, ed anche su qui ho delle idee a riguardo, ma conoscerne esattamente codice eseguito e modello, mi lascia stupefatto.
di norma, quando si vuole evitare una copia/accesso facile facile del proprio prodotto, si costruisce un plc dedicato, ovvero si progetta una scheda con relativo sw ex novo. anche perché la sicurezza di questi prodotti industriali, è pari allo zero assoluto. mezzora, ed il sw, con tutte le protezioni installate, è già bello che salvato su un altro pc.
da qui porta la mia idea che, almeno una persona, sia stata in grado di fornire di che tipo di sistema si stia parlando, così da far si da concentrare il lavoro sull’obiettivo corretto e non disperdersi a creare un virus che possa accedere a dieci sistemi differenti.
un’altra cosa che andrebbe sottolineata è che ormai, anche il più protetto dei sistemi, non è scollegato, direttamente o indirettamente, da internet.
un plc ha bisogno di aggiornamenti, di correzioni al sw, dello scarico di informazioni da leggersi in un terzo tempo..tutto ciò, in maniera diretta o indiretta, va a finire su di un computer che è collegato alla rete..anche in tre, quattro passaggi, ma alla fine ci arriva e questo sta alla base di stuxnet.
Ottimo articolo, davvero molto bello, dovreste farne di più in questo stile. :)
stavolta il virus, o meglio l’azione del mossad, ha danneggiato una centrifuga, ma con lo stesso metodo e la stessa facilita’ nn potrebbe un altro malware far saltare una centrale funzionante? una bella bomba atomica gia’ sul posto?
nn sono del tutto sicuro che il governo israeliano di adesso nn lo farebbe…anzi
Mi unisco al coro di complimenti. Gran bell’articolo.
Ottimo pezzo, thanks!
E viva stuxnet :-)
davvero un bel resoconto, complimenti.
la morale di questa storia è una sola. scoccia quasi dirlo: windows è un sistema morto; non lo metterei a controllare lo scarico del mio cesso, figuriamoci a controllare uno stabilimento nucleare. quarant’anni fa (ben prima che windows fosse nella testa di bill gates) due signori hanno scritto come devono essere fatti i sistemi operativi: pare che a redmond abbiano comprato il libro e fatto il contrario.