Stuxnet

Visto che l’ IT e’ il mio lavoro, mi e’ stato chiesto di parlare di Stuxnet, che viene definito il “primo virus militare della storia”, dal quale sono partite speculazioni su speculazioni circa il fatto che sia un’arma israeliana, piuttosto che americana, puttosto che altro. Vorrei dire due cose specifiche, giusto per chiarire che molta dietrologia e’ priva di senso.

L’idea che sia “il primo virus concepito per un attacco militare” e’ del tutto idiota. Non perche’ non sia possibile infettare macchine per uso militare, ma per la ragione che non e’ il primo, ovvero non c’e’ modo di stabilire che sia il primo. Nelle decine di migliaia di virus conosciuti, esistono peculiarita’ che di solito vengono attribuite alla sociopatia del programmatore e quindi non sono ritenute necessariamente un sintomo della volonta’ di attaccare un sistema industriale, ma non e’ necessariamente cosi’ certa tale mancanza di volonta’. Semplicemente, non sempre si sa quale specifico sistema si intendesse attaccare. Prendiamo per esempio uno di quei virus che si attivano in una data specifica.

Per esempio, oggi in Russia una grossa telco locale ha svolto una dimostrazione agli azionisti, onde ottenere il via libera su un nuovo servizio. Questa data non e’, ovviamente, nota ai piu’: chi lo sa, in fondo, che l’ 1 di ottobre in Russia ci sia una riunione di un consiglio di amministrazione di una delle diverse telco locali?

Cosi’, un virus che agisca l’ 1 di ottobre puo’ chiamarsi, che so io, “Bali”, perche’ il primo di ottobre di qualche anni fa a Bali un attentato terroristico ha ucciso 19 persone. Esistono virus come Chernobyl che si attivano nell’anniversario dell’incidente nucleare, e cosi’ via.
La scelta della data passera’ per megalomania o psicopatia di chi ha sviluppato il virus, ma in realta’ lo scopo potrebbe essere quello di diffondersi nella speranza di infettare precisi computer e far fallire una precisa demo.(1) Come quella che sta avvenendo in Russia, per dire.

Cosi’, e’ realmente difficile stabilire se un virus sia, o meno, concepito come attacco militare o economico: ci sara’ sempre la possibilita’ di steganografare l’obiettivo reale del virus. O conosciamo qualsiasi grande trattativa industriale in corso nel tal giorno, oppure non possiamo essere certi che un virus non sia nato per colpire proprio quella trattativa industriale.

Diciamo che Stuxnet e’ il primo virus che non tenta di nascondere piu’ di tanto il fatto di essere concepito per colpire infrastrutture. Ma la domanda e’: gli altri virus, invece, organizzano picnic? Non abbiamo gia’ migliaia di virus che hanno mietuto danni nell’industria?

Vorrei quindi fare una disamina di quanto si dice a livello speculativo, ed elencare i contro di tutte le teorie della cospirazione che sono nate attorno a questo virus.

Il virus e’ un attacco all’ Iran. E’ stato ordito da Israele per colpire le centrali iraniane. L’obiezione che porto e’ che la nazione piu’ danneggiata e’ stata la Germania, perche’ il virus colpisce sistemi Siemens, e l’azienda tedesca rischia di perdere numerose commesse in Cina. Non sono noti, invece, i danni che avrebbe fatto in Iran. Basandosi sui fatti, si direbbe sia un virus concepito per colpire Siemens ed i suoi sistemi PLC, piuttosto che l’ Iran. Che colpisca i PLC di Siemens e’ un fatto, che sia nato per colpire l’ Iran e’ solo un’ipotesi.
L’iran e’ la nazione piu’ colpita. Ni. E’ la nazione piu’ infettata, ma non la piu’ colpita. Ma e’ anche la nazione ove non esiste praticamente alcun copyright nel diritto, ovvero dove l’utente comune non ha supporto ufficiale per alcun software, che e’ regolarmente piratato, ed e’ uso NON comprare dalle case ne’ il software ne’ i contratti di manutenzione. Inoltre, il primo focolaio e’ stato rilevato in Bielorussia e non in Iran. Anche in Bielorussia le abitudini degli utenti non sono molto diverse, riguardo all’autenticita’ (e quindi al supporto) del software. Sembra vi sia una correlazione piu’ alta tra focolai e pirateria del software, rispetto alla correlazione tra focolai e nemici di Israele: oggi e’ stata colpita anche la Cina, per dire, e il virus si sta diffondendo anche in India, che di israele e’ fervente partner commerciale.
Essere la nazione piu’ infettata non implica di essere la piu’ colpita. Un virus che si attiva solo quando si usa uno specifico software puo’ diffondersi sul 100% dei computer, ma sino a quando non ha trovato il PLC di Siemens non fara’ danni. Infezione non significa danno, quindi non necessariamente significa obiettivo dell’attacco.
Il virus richiede la conoscenza dei sistemi, quindi e’ un’opera di spionaggio. Sarebbe stato vero anni fa. Ma oggi il lavoratore e’ precario, e il tecnico che lavora sui PLC e’ un povero indiano sfruttato e sottopagato, con un turnover altissimo. Come scrive Pahlaniuk in “Fight Club”, non devi fare il cazzone con noi, perche’ noi ti laviamo i calzini. Se cominciate a fare turnover tra i dipendenti, perche’ “nessuno e’ indispensabile”, di segreti industriali ne usciranno e a iosa, senza chiamare gli 007. Del resto, le caratteristiche del PLC di Siemens sono pubbliche. Se domani mi licenziassero in maniera brutale, per dire, potrei fare lo stesso sui sistemi di diverse telco. Attribuire ai servizi segreti delle fughe di notizie che escono dalle aziende insieme ai precari licenziati e al turnover dei dipendenti e’ assurdo. Nessuna azienda puo’ permettersi di sostituire il 70% del personale in 5 anni e poi dire che se l’informazione esce e’ colpa di un servizio segreto. Non siate ridicoli. Guarda caso, poi, il virus esplode in Bielorussia, Iran, Cina e India, mete predilette di predazione di ingegneri informatici a basso costo e outsourcing.
Il software e’ molto complesso. Quasi tutti i worm e i rootkit lo sono. Il software, si dice, e’ scritto in parte in C e in parte in C++. Dunque? Il virus usa, per passare agli antivirus, delle chiavi industriali uscite da due aziende taiwanesi, dunque e’ stato necessario rubarle. Taiwan. Ancora, cioe’, outsourcing area. Continuate pure a licenziare gente, a spremerla come schiavi, a farla lavorare 16 ore al giorno, a cambiare il 90% del personale ogni 10 anni, e poi accusate pure la SPECTRE se dall’azienda escono chiavi crittografiche e segreti industriali. Io stesso ho le chiavi RSA con le quali potrei fare phishing e simulare diversi siti web di alcune telco. Le ho sul mio portatile personale. Appena cambio progetto, se non le cancello, potrei scriverci un virus e simulare il sito web di una telco. Quindi?
Sviluppare un software cosi’ complesso richiede le risorse di una nazione. Palle. Si sviluppano opensource anche piu’ complessi, completamente gratis, o quasi.

Il software contiene citazioni del libro di Ester, dunque e’ israeliano. Certo, come no. A parte che sono migliaia i virus (Armageddon, per dirne uno) che contengono citazioni bibliche, di solito i servizi segreti non sono usi firmare gli attacchi. Un cartello “e’ stato il mio vicino di casa” non e’ esattamente un indizio di colpevolezza… contro il vicino di casa.
La mia personale idea e’ che non ci siano tutte queste prove del fatto che Stuxnet sia un attacco degli israeliani o degli americani all’ Iran. Sembra piuttosto un attacco alla Siemens, nei fatti.
Perche’ i fatti sono che l’entita’ che ha subito piu’ danni e’ Siemens, non il programma nucleare iraniano.

Devo fare dietrologia? Va bene, ma allora mi sforzo di essere logico:
Si tratta di un attacco industriale condotto contro Siemens per sabotarne la credibilita’ in Cina. Cosa che e’ effettivamente successa, e Siemens rischia di perdere diverse commesse col governo cinese.
Si tratta di un attacco che ha sfruttato la vulnerabilita’ dei mercati ove e’ piu’ diffusa ed impunita la pirateria, nei quali il virus si propaga meglio. Non e’ possibile per Microsoft aggiornare automaticamente la massa enorme di windows piratati in Iran, Bielorussia, Cina, India. E probabilmente nemmeno per Symantec.
L’allarme per il “primo uso militare di un virus”, tesi mai dimostrata, sembra zittire le polemiche nate dopo le ultime leggi di Obama riguardanti il controllo di Internet. Le aziende hanno paura degli impatti economici, e guarda caso gli si sbandiera il pericolo di essere attaccate dalla SPECTRE con un virus. Come se i virus non esistessero da prima, e come se prima non avessero mai colpito apparati industriali.
Qualcuno voleva sabotare Siemens in Cina, e ha scritto un virus ad hoc per i sistemi di Siemens.

Fatti a favore della teoria:
Le chiavi “rubate” usate per i virus vengono da due aziende che a loro volta sono concorrenti di Siemens in piu’ di un settore.
Le due aziende hanno le risorse e le competenze che servono a sviluppare un virus.
Siemens e’ stata colpita duramente in un settore chiave.
Il governo cinese intende rinegoziare i contratti con Siemens.
L’allarme in occidente:
L’amministrazione americana vuole zittire le critiche dell’industria al proprio programma di spionaggio telematico dei cittadini.
Le aziende del settore IT possono far notare che il virus si diffonda prima e meglio nei posti ove la pirateria e’ piu’ diffusa.
Non e’ il primo virus a fare danni nel settore industriale o a colpire/infettare specifici sistemi.
E’ normalmente ignota la reale intenzione di chi scrive un virus, quindi non si puo’ realmente dire con certezza che Stuxnet sia il primo virus nato a questo scopo: sicuramente e’ quello che dissimula meno tale scopo.
Che e’ ancora una teoria del complotto, quindi va presa per quel che e’, ma almeno ha una logica chiara e non si basa su affermazioni ipotetiche e sbroccotroniche. Se proprio volete complottare, almeno fatelo bene.

Uriel Fanelli 1.10.2010

(1) Ogni volta che c’e’ questo tipo di “demo” ci viene imposto di non fare modifiche alle macchine di produzione, ogni cambio e’ sospeso e gli accessi sono tracciati.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *