Approccio collaborativo per l’eliminazione di falle nella sicurezza informatica
Dopo il successo dell’hackathon organizzato dal Cyber-Defence Campus di armasuisse Scienza e Tecnologia in collaborazione con il Ciber Battaglione 42, è stata esa pubblica la scoperta di lacune di sicurezza finora sconosciute nei sistemi di controllo industriale (ICS). L‘hackathon, svoltosi a settembre 2022 ha riunito esperti dai settori della ricerca, dell’industria e dell’pubblica amministrazione, è servito da piattaforma per la collaborazione nella ricerca di potenziali rischi per la sicurezza.
27.02.2023 | Michiel Lüchinger, Settore sicurezza informatica e Data Science, Settore di competenza Scienza e Tecnologia
Il ciberspazio è sempre più importante e l‘hackathon permetter di acquisire e migliorare le conoscenze nel settore della sicurezza informatica. Questa cooperazione tra diversi attori contribuisce in maniera determinante ad aumentare la sicurezza informatica in Svizzera.
Dal 19 al 23 settembre 2022 ha avuto luogo a Thun un hackathon con partner dell’industria, del mondo accademico e dell’pubblica amministrazione. L’hackathon del Cyberi-Defence (CYD) Campus si è focalizzato su attacchi e difesa dei sistemi di controllo industriale e delle tecnologie operative (OT). Tali sistemi sono d’importanza fondamentale tra l’altro per l’approvvigionamento energetico e idrico della Svizzera e vengono sempre più collegati in rete con i sistemi IT, cosa che a sua volta li rende maggiormente vulnerabili allo spionaggio e al sabotaggio. Per ulteriori dettagli sullo svolgimento e sull'obiettivo dell'hackathon, vedere il seguente articolo: amministrazioneIl CYD Campus organizza un hackathon sui sistemi di controllo industriale.
Il Krinflab
L’hackathon di CYD Campus ha messo a disposizione due diversi laboratori, con i quali i partecipanti hanno potuto imparare a conoscere diversi vettori d’attacco e simulare attacchi a sistemi di controllo industriale. Uno dei laboratori era il Krinflab dell'Università di scienze applicate e arti di Lucerna (HSLU). Questo laboratorio simula una sottostazione di una ditta fornitrice di energia svizzera. I vettori di attacco più comuni sono la connessione alla rete informatica aziendale e accessi alla manutenzione remota non protetti efficacemente.
Vettore d‘attacco
I vettori di attacco (superficie di attacco) descrivono la modalità con cui un intruso non autorizzato, ad esempio un hacker, ottiene l’accesso a un computer o a un server di rete allo scopo di farne uso indebito per i propri scopi e installare eventualmente virus o altro malware.
Dopo un più attento esame del Krinflab i partecipanti all'hackathon hanno scoperto tre vulnerabilità di sicurezza significative e sconosciute in uno dei dispositivi. Tale scoperta avrebbe potuto avere ripercussioni dirette per la sicurezza delle infrastrutture critiche della Svizzera, perché nelle sottostazioni elettriche sono impiegati dispositivi identici. Per ragioni di sicurezza non entriamo nei dettagli tecnici delle vulnerabilità. Ciononostante questa scoperta offre l’opportunità di gettare uno sguardo dietro le quinte della ricerca sulle vulnerabilità. Più avanti nell'articolo scoprirete come sono state risolte le falle di sicurezza.
Eureka – è stata trovata una vulnerabilità!
A differenza di Archimede, che correndo per la città esclamava «Eureka!» dopo aver scoperto il principio di Archimede, l’individuazione di una lacuna nella sicurezza viene gestita in modo più discreto. La pubblicazione di informazioni relative a una vulnerabilità avviene rispettando una procedura sistematica. Ciò permette di chiudere le lacune nella sicurezza nel modo più efficiente possibile senza che le informazioni finiscano in cattive mani.
Tipi di divulgazione
Il primo passo per identificare le vulnerabilità è la preparazione della documentazione interna. Dopo aver documentato le vulnerabilità, coloro che le hanno individuate possono scegliere tra una «divulgazione coordinata delle vulnerabilità» (Coordinated Vulnerability Disclosure) e una «divulgazione totale delle vulnerabilità» (Full Vulnerability Disclosure). In caso di divulgazione coordinata, la vulnerabilità viene dapprima comunicata al produttore e pubblicata solamente dopo aver concordato una scadenza comune per la risolvere il problema. La divulgazione totale, invece, comporta la pubblicazione di tutte le vulnerabilità senza accordo con il produttore. Al fine di impedire che le informazioni divengano pubbliche, i produttori possono anche optare per la divulgazione privata. Ciò accade normalmente se la vulnerabilità è stata scoperta dal produttore stesso.
Trasmissione di informazioni
Nel caso dell’hackathon del CYD Campus, le vulnerabilità di un dispositivo di controllo industriale sono state comunicate direttamente al produttore dopo la documentazione nell’ambito di una pubblicazione coordinata. Una volta preso contatto con il produttore, si è reso necessario trovare un mezzo sicuro per la trasmissione dei dettagli. In questo caso è stata utilizzata un’e-mail criptata, in quanto l’invio di un’e-mail non criptata potrebbe, in presenza di lacune nella sicurezza e, comportare rischi inutili. Il produttore del dispositivo interessato ha reagito con professionalità ed efficienza alla segnalazione, sviluppando immediatamente, dopo aver ricevuto i dettagli, un aggiornamento per chiudere le falle nella sicurezza. Infine, il procedimento è stato nuovamente coordinato con il team dell’hackaton di CYD Campus.
Trasferimento di conoscenze
Da ultimo è stato chiesto al produttore di far assegnare le vulnerabilità riscontrate a un numero univoco per vulnerabilità note (Common Vulnerabilities and Exposure, abbreviato in numero CVE). Il sistema internazionale di designazione CVE assegna numeri univoci alle vulnerabilità conosciute per evitare designazioni diverse di vulnerabilità identiche e per facilitare lo scambio di informazioni tra diversi database. Questi numeri vengono assegnati solamente da una determinata autorità di numerazione CVE (CVE Numbering Authorities, sigla: CNA). In Svizzera, questa funzione di controllo e numerazione è svolta dal Centro nazionale di sicurezza informatica (NCSC). Il produttore ha collaborato con l'NCSC per assegnare un numero CVE univoco a ciascuna delle tre vulnerabilità identificate:
• CVE-2022-4778
• CVE-2022-4779
• CVE-2022-4780
L‘aggiornamento va installato
Nonostante l’esemplare reazione del produttore, che ha sviluppato un aggiornamento e ha divulgato le vulnerabilità, sussiste ancora un rischio residuo che queste vulnerabilità possano essere sfruttate. Sebbene il produttore abbia prontamente messo a disposizione un aggiornamento, gli operatori delle infrastrutture critiche potrebbero non poterlo installare tempestivamente, a causa delle risorse limitate (tempo e personale) o per paura del rischio di un guasto parziale del sistema. Per questo motivo, gli operatori soppeseranno la probabilità che una vulnerabilità sia usata per un attacco rispetto al rischio e alle risorse aggiuntive necessarie per l'installazione dell’aggiornamento. Contrariamente alla raccomandazione generalmente di installare periodicamente dagli aggiornamenti del software, la prassi dimostra che spesso ciò non avviene. Per questo è fondamentale tenersi aggiornati con gli ultimi aggiornamenti di sicurezza per garantire la sicurezza informatica.
Vantaggi della collaborazione
L’hackathon del CYD Campus non aveva tuttavia solamente l’obiettivo di trovare le vulnerabilità negli ICS, ma ha incentrato anche l‘attenzione alla messa in rete di esperti e giovani talenti informatici provenienti dall'industria, dal mondo accademico e dalla pubblica amministrazione. Il vantaggio della collaborazione nell'anticipare le minacce informatiche non è solo una caratteristica fondamentale del CYD Campus, ma anche uno strumento necessario per restare aggiornati in un ambiente di lavoro in continua evoluzione. L'hackathon del Campus CYD sull'ICS è quindi considerato un progetto di punta per la futura collaborazione tra imprese, università e governo per la sicurezza informatica in Svizzera.