02 ott 2010

21st century war toy.

Symantec ha rilasciato in questi giorni un bel documento di analisi sul funzionamento del virus Stuxnet. Il documento di 48 pagine è corposo, ma fornisce un'idea abbastanza precisa del livello di sofisticazione a cui possono arrivare i virus moderni. La differenza rispetto a roba del secolo scorso come lo Yankee Doodle è notevole. (Il documento lo trovate qua).
Ultimamente l'analisi di questo virus ha attirato moltissimo interesse. Infatti chi lo ha scritto ha potuto accedere ad una serie di certificati leggimi di produttori hardware, con cui riesce ad ingannare il sistema operativo e ad installarsi, oltre a questo chi lo ha scritto, conosceva in anticipo alcune debolezze non documentate dei sistemi operativi microsoft.
Delle conoscenze non esattamente alla portata del primo hacker da strada.
Oltre a questo il virus sembra essere ingegnerizzato per attaccare i server che controllano gli impianti industriali, in particolare aggredisce i PC con installati ad alcuni PLC della Siemens.
oltre a questo il virus è in circolazione, dalle versioni più rozze fino all'attuale da circa due anni. Chiaramente dietro c'e' stato uno sviluppo che ha richiesto del tempo, piuttosto che qualche fine settimana di qualche oscuro cracker.
Tutto fa pensare che dietro questo ci sia un'organizzazione molto tempo, ottime menti e notevoli risorse, sia finanziarie sia di intelligence. Insomma non una azienda o una corporation ma uno stato sovrano.
A questo si aggiunga il fatto che, secondo le statistiche della Symantec, il 67 % degli host infettati si trova in Iran e questa storia di colpo inizia ad avere dei contorni molto più definiti.
Se questa fosse una spy story, probabilmente inizierebbe a Tel Aviv almeno due anni fa.
Partirebbe come primo atto da una riunione di analisti Israeliani , molto preoccupati della volontà iraniana di salire a livello di prima potenza mediorientale.
Il ragionamento di quegli analisti potrebbe essere che l'Iran ha sicuramente è sicuramente una grande potenza energetica e demografica della zona, ma dipende fortemente dalle tecnologie del primo mondo: Software, elettronica, macchinari tutto arriva da fuori e ha bisogno del supporto degli stati esteri per poter continuare a funzionare.
Ora questa storia per poter andare avanti ha necessità di un altro evento. Una fuga di notizie, magari qualcuno che ha scoperto che una grossa fornitura di valvole, necessaria per il funzionamento dell'oleodotto che s'inabissa sotto il Mar Caspio, sarebbe stata fabbricata in Germania e avrebbe avuto un tipo particolare di PLC della Siemens.

Qua la trama diventa ancora più ipotetica ma l'autore ha la possibilità di far entrare in gioco alcuni personaggi più interessanti. Per esempio un ipotetico team di Tel Aviv composto da ricercatori o hacker informatici o entrambe le cose. Un team messo insieme da qualche mese, una di quelle cose che si devono fare perché: "La cyberguerra è la guerra del XXI secolo", ma che effettivamente dalla costituzione non ha fatto niente di utile se con redigere advisory e raccogliere le vulnerabilità emerse.
A questo punto serve una figura di primo spicco, magari un generale ambizioso passato da poco da ruoli operativi in Tsahal ai servizi informativi dell'esercito, l'Aman .
Supponiamo che questa persona si presenti al nostro team e gli chieda di elaborare un'arma in grado di mettere ko o creare gravi danni alle esportazioni di greggio Iraniane. Questi forse gli eventi che fanno allo sviluppo e al rilascio di quel virus.
Qua finisce la storia che possiamo ipotizzare.
E ci sarebbe da capire come abbiano fatto, per esempio, ad infettare nei primi mesi, solo i computer iraniani. Ci sono nuove tecniche di cyber unzione? Sono stati usati degli agenti infiltrati che chiavetta dopo chiavetta hanno infettato più computer possibili?
Qua siamo veramente nel campo delle supposizioni.

Non so se le cose siano effettivamente andate così e se quest'estate un oleodotto Iraniano abbia avuto gravi problemi. Se fosse avvenuto, probabilmente nessuna notizia sarebbe trapelata all'estero, magari tra qualche anno, ne potremo sapere qualche cosa di più.
Credo però che, l'infiltrazione nelle infrastrutture dell'avversario per mezzo di virus informatici, che mentre fino a ieri poteva essere una vaga possibilità a metà tra il teorico e il fantascientifico, adesso stia per diventare qualche cosa di decisamente più concreto .
Detto tra noi, la teoria delle nuove cyberarmi mi ha sempre lasciato perplesso. Però lo ammetto, dopo tutto questo, sto pensando a ricredermi.

Premetto, volevo chiamare questo post "Kuang grade mark eleven", come il virus militare cinese immaginato da Gibson nel suo Neuromante(1984), ma poi ho scoperto che questo pregevole blogger, mi aveva già anticipato con l'idea.