LA COMUNICAZIONE. Note Recensioni & Notizie. Pubblicazione dell Istituto Superiore. delle Comunicazioni e delle Tecnologie dell Informazione

Transcript

1 LA COMUNICAZIONE Note Recensioni & Notizie Pubblicazione dell Istituto Superiore delle Comunicazioni e delle Tecnologie dell Informazione NUMERO SPECIALE SICUREZZA ICT Ministero dello SviluppoEconomico Dipartimento per lecomunicazioni Istituto Superiore delle Comunicazioni e delle Tecnologie dell Informazione Numero Unico - Anno 2013 Volume LIX

2 Ministero dello Sviluppo Economico - Dipartimento per le Comunicazioni - Istituto Superiore delle Comunicazioni e delle Tecnologie dell Informazione Viale America, Roma SOMMARIO LA COMUNICAZIONE Note Recensioni & Notizie Pubblicazione dell Istituto Superiore delle Comunicazioni e delle Tecnologie dell Informazione Numero Unico Anno 2013 Vol. LIX Redazione: redazione.iscom@mise.gov.it tel fax Direttore: Progetto grafico e coordinamento: Impaginazione: Rita Forsi Roberto Piraino Federico Filipponi Corrado Pisano Rita Forsi (Direttore dell Istituto Superiore delle Comunicazioni e delle Tecnologie dell Informazione) 5 INTRODUZIONE Giorgio Maria Tosi Beleffi (Ministero dello Sviluppo Economico) Anna La Rosa (Selex ES; Centro Alti Studi per la Difesa, CeMiSS) Raoul Chiesa (Security Brokers Scpa) Marco Donfrancesco (Selex ES) Roberto De Sortis (Bl4ckSwan Srl) Alfonso Montagnese (Centro Alti Studi per la Difesa, CeMiSS) 7 L OSSERV ATORIO PER LA SICUREZZA NAZIONALE ED IL RUOLO DEL GRUPPO DI LAV ORO CYBER WORLD (THE NATIONAL SECURITY OBSERVATORY AND THE ROLE OF THE CYBER WORLD WORKING GROUP) Alessio Coletta, Igor Nai Fovino, Andrea Carcano, Michele Guglielmi (Global Cyber Security Centre) 13 UN A NALISI MULTIDIMENSIONALE DI STATI CRITICI PER RILEV ARE INTRUSIONI NEI SISTEMI SCA DA (STATE EVOLUTION ANALYSIS FOR DETECTING ATTACKS IN SCADA SYSTEMS) Emilio Turani (Stonesoft, società del Gruppo McAfee) 25 ISP CONTRO A ET: PROTEGGERSI DALLE TECNICHE A V ANZATE DI EV ASIONE PER UN NUOV O CONCETTO DI NETWORK SECURITY (ISP VERSUS AET: PROTECTION AGAINST ADVANCED EVASION TECHNIQUES FOR A NEW CONCEPT OF NETWORK SECURITY) La comunicazione - Edizione speciale «Sicurezza ICT» 1

3 SOMMARIO Fabio Bisogni, Simona Cavallini (Fondazione FORMIT) 35 EBUSINESS COMPETENCE INDEX: UNA METODOLOGIA PER LA DIAGNOSI DELLA MATURITÀ TECNOLOGICA DELLE PMI E UN OPPORTUNITÀ PER SENSIBILIZZA- RE LE IMPRESE V ERSO LA SICUREZZA (EBUSINESS COMPETENCE INDEX: A METHODOLOGY TO ASSESS THE SME S TECHNOLOGY MATURITY AND AN OPPORTUNITY TO INCREASE COMPANIES AWARENESS TOWARDS SECU- RITY ISSUES) Marco Ivaldi (Mediaservice) 43 LA CERTIFICAZIONE DELLA SICUREZZA ICT CON OSSTMM (ICT SECURITY CERTIFICATION WITH OSSTMM) Vincenzo Fioriti Andrea Arbore (Fondazione Ugo Bordoni) 51 LA PROTEZIONE TOPOLOGICA DAL MALWARE DI PROSSIMA GENERAZIONE (TOPOLOGICAL PROTECTION FROM THE NEXT GENERATION MALWARE) Giancarlo Butti (Banco Popolare) 61 PROTEZIONE DEI DATI PERSONALI: AGGIORNAMENTI NORMATIV I. LE CONSEGUENZE SUGLI ADEMPIMENTI FORMALI E SUI SISTEMI INFORMATIV I (PROTECTING PERSONAL DATA: LATEST REGULATORY UPDATES. THE FALL-OUT ON FORMAL PROCEDURES AND IT SYSTEMS) E. Casalicchio (Università di Roma Tor Vergata ) M. Caselli, A. Coletta, I. Nai Fovino, A. Rigoni (Global Cyber Security Center) 81 STABILITÀ, SICUREZZA E RESILIENZA DEL DNS E LORO IMPATTO SUL CONTROLLO DELLE INFRASTRUTTURE CRITICHE (DOMAIN NAME SYSTEM HEALTH) Igor Nai Fovino (Global Cyber Security Center) 101 V ALUTAZIONE DELLA SICUREZZA DELLE INFRASTRUTTURE CRITICHE, DEFINIZIONI E METODOLOGIA (SECURITY ASSESSMENT OF CRITICAL INFRASTRUCTURES, DEFINITIONS METHODOLOGY) Fabio Di Resta (Studio Legale Di Resta) 113 LA FIRMA ELETTRONICA A V ANZATA: IL V ALORE LEGALE, LA SICUREZZA E GLI A MBITI A PPLICATIV I (ADVANCED ELECTRONIC SIGNATURE: LEGAL EFFECTIVENESS, SECURITY AND SCOPE) 2 La Comunicazione - Edizione speciale «Sicurezza ICT»

4 Fabrizio Cirilli (PDCA Srl, partner di Security Brokers SCpA) 123 LA CERTIFICAZIONE DEI SISTEMI E DEGLI A UDITOR PER LA SICUREZZA DELLE INFORMAZIONI (INFORMATION SECURITY MANAGEMENT SYSTEMS AND AUDITORS CERTIFICATION) SOMMARIO Andrea Draghetti (Over Security) 129 SIMULAZIONE DI UN PENETRATION TEST (PENETRATION TESTING SIMULATION) Gastone Nencini (Trend Micro Italy, Trend Micro Southern Europe) 135 TRENDS IN TARGETED A TTACKS (ATTACCHI MIRATI: ANALISI E TENDENZE) Eva Chen (Trend Micro Corp.) 147 UNA NUOV A FRONTIERA (PER LA SICUREZZA): LA SICUREZZA E LA SUA EV OLUZIONE PER SUPPORTARE LA V IRTUALIZZAZIONE E IL CLOUD COMPUTING (A BRAVE NEW (SECURITY) WORLD: HOW SECURITY IS CHANGING TO SUPPORT VIRTUALIZATION AND CLOUD COMPUTING) La comunicazione - Edizione speciale «Sicurezza ICT» 3

5 4 La comunicazione - Edizione speciale «Sicurezza ICT»

6 INTRODUZIONE LA COMUNICAZIONE Note Recensioni & Notizie Edizione Speciale «Sicurezza ICT» INTRODUZIONE DEL DIRETTORE GENERALE DELL ISTITUTO SUPERIORE DELLE COMUNICAZIONI E DELLE TECNOLOGIE DELL INFORMAZIONE Ottobre 2013 è il mese della sicurezza informatica (EUROPEAN CYBER SECURITY MONTH). Lo ha indicato ENISA, l Agenzia Europea per la Sicurezza delle Reti e dell Informazione, che opera a sostegno della Commissione Europea. L iniziativa si prefigge la finalità di accrescere, con iniziative ad hoc, concentrate in questo mese, la consapevolezza in un ambito, quello della sicurezza informatica, che sta diventando sempre più cruciale specialmente se rapportato ai processi di sviluppo di ogni Paese. Lo sviluppo delle reti di comunicazione elettronica, ma più in generale delle infrastrutture critiche informatizzate, impone la massima attenzione sulla loro resilienza affinché la capacità di resistere agli eventuali attacchi costituisca un efficace strumento nel mantenere la fiducia nei servizi e nelle prestazioni che devono essere garantiti. È proprio la fiducia, infatti, insieme alla sicurezza uno dei principali pillar dell Agenda Digitale Europea, poi ripreso dall Agenda Digitale Italiana. Verso questo obiettivo, sia le Pubbliche Amministrazioni che le imprese private dovranno indirizzare un impegno sempre crescente nell analisi e nella cura delle proprie reti, pur nella consapevolezza che il momento storico può presentare oggettive difficoltà nel perseguire l accelerazione che servirebbe. L impegno dovrà tuttavia essere reso visibile per consentire il dialogo con gli altri Paesi su basi di linguaggi ed iniziative comuni. La crescita culturale dei cittadini non potrà prescindere da apposite iniziative di formazione sul tema della sicurezza informatica. Con un forte impegno comune, auspicabile quale risultato dell aumento di consapevolezza dei rischi presenti in un mondo sempre più informatizzato, ma anche delle ineguagliabili potenzialità di sviluppo e crescita che il nuovo panorama offre, si riuscirà certamente a valorizzare e difendere adeguatamente il patrimonio, le risorse, le idee e le iniziative che rappresentano il vero asset strategico del nostro Paese. Dott.ssa Rita Forsi (Direttore Generale Istituto Superiore delle Comunicazioni e delle Tecnologie dell'informazione) Speciale Sicurezza ICT 5

7 6 Speciale Sicureza ICT

8 Giorgio Maria Tosi Beleffi 1 Ministero dello Sviluppo Economico Anna La Rosa 2, 4 Selex ES, Roma Centro Alti Studi per la Difesa, CeMiSS, Roma Raoul Chiesa 3 Security Brokers Scpa, Milano Marco Donfrancesco 2 Selex ES, Roma Roberto De Sortis 5 Bl4ckSwan Srl, Milano Alfonso Montagnese 6 Centro Alti Studi per la Difesa, CeMiSS, Roma L OSSERVATORIO PER LA SICUREZZA NAZIONALE ED IL RUOLO DEL GRUPPO DI LAVORO CYBER WORLD (THE NATIONAL SECURITY OBSERVATORY AND THE ROLE OF THE CYBER WORLD WORKING GROUP) Sommario Dall utilizzo delle nuove tecnologie - sempre più diffuse e caratterizzate da una forte integrazione tra informatica e telecomunicazioni e, più in generale, dalla crescente sovrapposizione tra mondo cinetico e cyber, possono derivare implicazioni negative per la sicurezza nazionale e conseguenze svantaggiose per gli interessi strategici dello Stato. Al tempo stesso, l impiego di tali risorse offre significative opportunità per il sistema-paese per conseguire obiettivi di rilevanza strategica nel medio e lungo periodo. Occorre tenere a mente che si tratta di sistemi socio-tecnici, in cui il fattore culturale gioca un ruolo importante e delicato che evolve e si adatta di pari passo con i progressi tecnologici. Lo studio del mondo cyber, le riflessioni sull impiego delle tecnologie, così come quelle riguardanti il Diritto, la Sociologia e l Economia, deve essere considerato uno strumento per un continuo progresso e, allo stesso tempo, di conoscenza dell Altro cibernetico. È dunque la conoscenza approfondita, completa e integrata, la prima arma per la Sicurezza Nazionale. Il Gruppo di Lavoro Cyber World dell Osservatorio per la Sicurezza Nazionale Italiano (OSN) è stato costituito proprio per svolgere un attività di studio e ricerca che integri il metodo socio antropologico con quello del Diritto ed analizzi i nuovi sistemi tecnologici, senza trascurare l approfondimento attraverso le categorie dell Economia e l indagine geopolitica. Abstract The use of new technologies, increasingly widespread and characterized by a strong integration between information technology and telecommunications, and, more generally, by the increasing overlap between kinetic and cyber world, can cause negative implications for national security and detrimental consequences for a state s strategic interests. The use of these technological resources offers, at the same time, significant opportunities for the State so as to achieve its strategic objectives. It is fundamental to bear in mind that these are "socio-technical" systems, where the cultural factor plays an important and delicate role which evolves and adapts at the same rate of technological advances. Studying the "cyber world" and reflecting on the use of technologies, as well as law, sociology and economics, must be seen as a tool for continuous progress and for the knowledge of the "Other cybernetic". Therefore, a complete and integrated knowledge is the first weapon for the protection of national security. The Working Group "Cyber World" of the Osservatorio per la Sicurezza Nazionale OSN (Italian Observatory for National Security - ONS) was established precisely to carry out studies and research activities able to integrate the social and anthropological approach with that of law, an approach which could analyse the new technological systems without leaving behind economic and geopolitical investigations. 1 Ministero dello Sviluppo Economico, via Molise 2, Rome, 00187, Italy, Tel: , giorgio.tosibeleffi@mise.gov.it 2 Selex ES, via Tiburtina Roma, Tel: ,Fax: , marco.donfrancesco@selex-es.com 3 Security Brokers Scpa, Via G. Frua, Milano, Italy, Tel: , rc@security-brokers.com 4 Centro Alti Studi per la Difesa, CeMiSS, piazza della Rovere Roma, Tel: +39, osn.cemiss@casd.difesa.it 5 Bl4ckSwan Srl, Via Morigi 11, Milano, Tel: , Fax: , roberto.desortis@bl4ckswan.com 6 Centro Alti Studi per la Difesa, CeMiSS, Roma, alfonso.montagnese@carabinieri.it Speciale Sicurezza ICT 7

9 G. M. Tosi Beleffi, A. La Rosa, R. Chiesa, M. Donfrancesco, R. De Sortis, A. Montagnese 1. Introduzione Il Centro Alti Studi per la Difesa (CASD) è l'organismo di studio di più alto livello nel campo della formazione dirigenziale e degli studi di sicurezza e di difesa. Organicamente risulta ordinato in una Presidenza, che si avvale di uno Stato Maggiore per il supporto generale ed il coordinamento delle attività di interesse comune delle tre componenti autonome: l'istituto Alti Studi per la Difesa (IASD), l'istituto Superiore di Stato Maggiore Interforze (ISSMI) e il Centro Militare di Studi Strategici (CeMiSS). In questo contesto l Osservatorio per la Sicurezza Nazionale (OSN), progetto di ricerca promosso dal (CeMiSS) in collaborazione con Selex Sistemi Integrati, si pone in una prospettiva di condivisione rappresentando un tavolo dove attori provenienti dal settore pubblico e da quello privato affrontano i temi della sicurezza nazionale secondo una molteplicità di dimensioni ed una pluralità di discipline. La sicurezza, nella sua più ampia accezione del termine, viene infatti percepita, giorno dopo giorno, sempre più come un fattore di rilevanza strategica. Un elemento cardine a sigillo della coesione sociale sia a livello Nazionale che Internazionale. In un contesto di tale portata diviene centrale una corretta informazione/formazione che approfondisca, in modo semplice e diretto, i temi in questione facilitando la comprensione e diffondendo una cultura comune sia nel settore pubblico che in quello privato. Creare una cultura della sicurezza, insieme a strumenti per il suo mantenimento e con un metodo di lavoro partecipato, teso a valorizzare la multidisciplinarietà e la cross-fertilization delle competenze, rappresenta un valore imprescindibile nello scenario globalizzato dei nostri tempi. 2. Il Gruppo di Lavoro Cyber World La complessità del terreno di studio impone un metodo integrato e interdisciplinare che assuma due distinti attributi: una relativa indipendenza da un approccio settoriale e dai metri di misura di una singola disciplina o ambito, ed una osservazione olistica del campo. Fig.1 Suddivisione dell Osservatorio per la Sicurezza Nazionale con particolare riferimento al Gruppo di Lavoro Cyber World. Per tali motivi, il gruppo di lavoro è stato suddiviso in aree di ricerca all interno delle quali oggi vengono studiati gli aspetti Giuridici, Normativi ed Umanitari; Terminologici e Tecnologici; Socio- Antropologici, Geopolitici Economici e Finanziari. La suddivisione in gruppi ha permesso fin da subito di individuare, in modo preciso e puntuale, i temi chiavi dello studio e della ricerca. Si ricordano, ad esempio, gli aspetti del diritto Internazionale senza tralasciare le tematiche del diritto comparato, del ruolo rivestito dagli organismi internazionali quali la NATO e la UE. Non meno importanti risultano le attività relative alla definizione di un glossario condiviso, alla predisposizione di indagini differenziate sulle politiche nazionali e sulle strategie inerenti la sicurezza cibernetica, unitamente ad una lista di buone pratiche da seguire, riferite a casi di studio mirati. La definizione di un Security Cost Model, l identificazione degli asset aziendali come possibile target, l analisi dell economia degli attacchi nel suo complesso, rappresentano temi importanti nell attuale scenario dominato da continui turbamenti dei mercati. Una analisi a 360, inoltre, non può non considerare l importanza ed il ruolo dei Social Media, definendone il funzionamento ed il possibile utilizzo attivo nelle dinamiche di massa (orientamento delle menti). Inizialmente partito con l adesione di 15 Enti (Maggio 2011), il GdL Cyber World dell OSN vede a Ottobre 2013, con un trend positivo di sviluppo e accrescimento, la partecipazione di 43 organizzazioni suddivise tra istituzioni pubbliche, università ed aziende. Un bacino potenziale di 82 partecipanti tra 8 Speciale Sicurezza ICT

10 L OSSERVATORIO PER LA SICUREZZA NAZIONALE ED IL RUOLO DEL GRUPPO DI LAVORO CYBER WORLD (THE NATIONAL SECURITY OBSERVATORY AND THE ROLE OF THE CYBER WORLD WORKING GROUP) Fig.2 Tematiche toccate dal GdL CyberWorld (sinistra); alcuni screen-shot delle attività del gruppo (destra). avvocati, ingegneri, sociologi, analisti, professori e personale militare di tutti i livelli e competenze. Non viene tralasciato l aspetto sociale con la presenza di due gruppi su linkedin e facebook cui afferiscono rispettivamente 161 e 253 partecipanti. Al momento il GdL ha organizzato 15 incontri interni, 4 conferenze, pubblicato 2 articoli ed 1 libro, edito da Hoepli, sugli aspetti cyber. Inoltre dal 2012 il gruppo cura gli aspetti di natura cibernetica all interno delle esercitazioni di sicurezza nazionale CPX (esercitazioni per posti di comando) nell ambito del corso di Cooperazione Civile e Militare organizzato dall ISSMI-CASD. 3. Esperienze apprese e prospettive future, focus sul social Nonostante sia trascorso già un decennio dalla loro prima comparsa sulla rete internet, i Social Media sono in continua e rapida evoluzione. Comprenderne le dinamiche di utilizzo ed i meccanismi di funzionamento diviene conditio sine qua non per poterne misurare l impatto attuale e a lungo termine sulla sicurezza nazionale. Negli ultimi anni sono nate e si sono consolidate in questo senso numerose partnership tra apparati di intelligence occidentali e aziende private per lo studio e l analisi dei Social Media per finalità di sicurezza nazionale 1. La In-Q-Tel 2, società di venture capital della Central Intelligence Agency (CIA), ha finanziato di recente, ad esempio, la Visible Technologies 3, una azienda produttrice di software specializzata nelle attività di monitoraggio dei Social Media. Per comprendere le effettive potenzialità dei Social Media come strumento previsionale e coglierne la flessibilità di utilizzo, può essere utile menzionare tre progetti, adottati con successo in differenti campi: la Hewlett Packard, mediante il suo gruppo di ricerca e sviluppo HP Labs164, è riuscita a prevedere accuratamente gli incassi al box office dei film appena usciti nelle sale cinematografiche negli USA, utilizzando dei sofisticati algoritmi per analizzare e processare dati, precedentemente estrapolati da Twitter 4 ; la Division of Information & Intelligent Systems della National Science Foundation 5, a settembre 2011 ha stanziato delle risorse finanziarie per promuovere una ricerca, denominata RAPID Eathquake Damage Assessment from Social Media, finalizzata a valutare in tempo reale, o comunque in tempi ridottissimi, l entità dei danni derivanti dai terremoti sfruttando i dati rilevabili dai Social Media 6 ; alcuni ricercatori della School of Informatics and Computing dell Indiana University e della School of Computer Science dell University of Manchester hanno effettuato una ricerca volta a verificare se, e con quale accuratezza, Twitter può essere utilizzato per fare previsioni. Con particolare riferimento agli apparati preposti 1 M. Papic, S. Noonas,(2011), Social Markoff J., (2011), Government cit Markoff J., (2011), Government cit. Speciale Sicurezza ICT 9

11 G. M. Tosi Beleffi, A. La Rosa, R. Chiesa, M. Donfrancesco, R. De Sortis, A. Montagnese alla sicurezza nazionale, l utilizzo dei Social Media, eventualmente progettati e/o modificati per lo specifico settore, oltre a fornire un contributo significativo nel campo dell analisi previsionale e del contrasto alle minacce emergenti (organizzazioni terroristiche, gruppi eversivi, criminalità organizzata, crackers, movimenti di rivolta,, etc.), rappresenta un importante opportunità per completare l evoluzione organizzativa e funzionale del comparto, che si sta gradualmente muovendo dal principio del «need-to-know» a quello del «need-to-share». Tale trasformazione prevede che le informazioni debbano essere rese disponibili non solo a chi ne ha l effettiva necessità, ma anche a chi ne potrebbe avere potenzialmente bisogno. E chiaro che tale tipo di evoluzione organizzativo-funzionale deve essere accompagnata da una corretta analisi dei rischi e dalla conseguente adozione di misure di sicurezza idonee ad evitare che informazioni sensibili fuoriescano dalla sfera di conoscenza degli apparati preposti alla sicurezza nazionale. Con specifico riferimento alle Forze Armate ed agli apparati d intelligence, i Social Media, se adeguatamente impiegati, possono divenire uno strumento di comunicazione e di information sharing molto efficace, soprattutto in contesti operativi caratterizzati dalla presenza di differenti organismi dello stesso Stato e/o di contingenti di differenti Stati, dove sono richiesti rapidissimi meccanismi di coordinamento e condivisione informativa. In tale ottica, il Col. Mayfield, Capo dell Ufficio Piani (G3) del Quartier Generale dello US Army in Europa (USAREUR), ha sostenuto che: a proactive and innovative Social Media strategy using social networking, blogs, and Twitter-like capabilities can aid commanders in ensuring all concerned entities in the theater of operations are sharing the necessary information to work toward a common goal. Venerdì 18 Novembre 2011, alle 2:02 del mattino, la rivista Wired, pubblica un articolo on line dal titolo H(ackers)2O: Attack on City Water Station Destroys Pump 7. La notizia riporta che non meglio precisati hackers, introdottisi remotamente nei sistemi di controllo di una centrale idrica della città di Springfield, hanno distrutto una pompa dell acqua. L attacco è stato scoperto l 8 novembre, quando un dipendente ha notato problemi nei sistemi SCADA 8. La continua accensione e il continuo spegnimento del sistema hanno prodotto il malfunzionamento nella pompa, portandola al fuori servizio. In accordo con il rapporto denominato Public Water District Cyber Intrusion, rilasciato il 10 Novembre dallo STIC 9, ci sono evidenze che attacker potrebbero aver avuto accesso al sistema già ad inizio settembre. Questa notizia, nel giro di poche ore, ha fatto il giro del mondo con interventi da parte delle maggiori testate tra cui ABC@CBN, Reuters, Yahoo.com, Daily Northwestern, France Press, Toronto Star, Guardian, CNN, Washington Post. Il 30 Novembre, sempre la rivista Wired, esce con il titolo Exclusive: Comedy of Errors Led to False Water-Pump Hack Report. In particolare, sono trascorsi 16 giorni da quando il personale della Curran-Gardner Township Public Water District - su indicazione del tecnico del computer chiamato a controllare i sistemi SCADA - si accorge di una anomalia nei log della rete, a quando il CERT- ICS emette il bollettino di cessato pericolo in quanto il fatto non sussiste. Ed in questi 16 giorni le voci si rincorrono, così come le interviste a membri del congresso, CEOs di industrie del settore e sedicenti esperti di Cyber Security. Il grande risalto dato alla notizia nelle fasi iniziali sembra suggerire la necessità di evidenziare, nei confronti dell opinione pubblica, come dopo il caso Stuxnet anche gli Stati Uniti e le sue infrastrutture critiche possano essere soggetti a rischio. In realtà, questa tendenza, ad enfatizzare gli attacchi SCADA, sembra corroborata anche dalle affermazioni di Michael Welch (appartenente alla Cyber Division dell FBI) che durante la Flemings Cyber Security SCADA Supervisory Control and Data Acquisition System 9 Lo Statewide Terrorism & Intelligence Center (STIC) ha sede in Springfield, Illinois, ed è il Centro delle Operazioni aperto 24h al giorno 7 giorni su 7 della Polizia di Stato dell Illinois e dello Stato dell Illinois. E formato da analisti dell Intelligence, specialisti nelle Operations provenienti dalle Agenzie di Law Enforcement Federali, dello Stato e Locali. La missione è quella di fornire continuamente informazioni ai partner pubblico private attraverso lo Stato dell Illinois, per aumentare la sicurezza pubblica, facilitare la comunicazione tra le agenzie e fornire supporto nella lotta contro le attività criminali e contro il terrorismo. 10 Speciale Sicurezza ICT

12 L OSSERVATORIO PER LA SICUREZZA NAZIONALE ED IL RUOLO DEL GRUPPO DI LAVORO CYBER WORLD (THE NATIONAL SECURITY OBSERVATORY AND THE ROLE OF THE CYBER WORLD WORKING GROUP) Conference di Londra e recepite da Information Age, ha evidenziato come recentemente altre 3 città americane (non chiaramente identificate) siano state oggetto di violazione di sistemi SCADA. Quanto sopra descritto rappresenta un caso di studio emblematico in un territorio sufficientemente nuovo: la pubblica gestione di un incidente informatico, dal punto di vista dei media e del PR o Public Relations. Il sensazionalismo che a volte caratterizza la divulgazione di queste informazioni è, per chi scrive, sintomo di una sempre maggiore necessità di giustificare allocazione di extra budget per il comparto Cyber Security, soprattutto in un quadro macro economico congiunturale in cui vengono richiesti tagli al comparto difesa. La sicurezza informatica rappresenta un settore in forte crescita, sia per quanto riguarda gli investimenti che per le strutture. Ne è un esempio la divisione Cyber Security dell FBI che programma di raddoppiare l organico nei prossimi 12 / 18 mesi, ma anche la recente nota ufficiale del governo inglese che evidenzia la realizzazione di un joint cyber center in grado di portare in essere azioni sia di difesa che di attacco con un finanziamento dichiarato di 800M$. 4. Conclusioni Le nuove regole d ingaggio richieste per affrontare i rischi e le opportunità che nascono dal mondo cyber necessitano di approcci multidisciplinari integrati e tempi di risposta molto veloci. Contrariamente a quanto può apparire da una lettura superficiale, l approccio per gestire correttamente queste tematiche richiede la contemporanea presenza di competenze tecniche, legali e socio economiche. Gli eventi che nascono nel mondo virtuale hanno sempre effetti nel mondo reale che difficilmente possono essere previsti con sistemi previsionali meccanicistici. L opportunità unica di creare un luogo di incontro e di scambio multidisciplinare e multisettoriale consente quindi la possibilità di estendere l ambito di analisi alle metodologie analitiche, per fornire una lettura multidimensionale delle problematiche oggetto d indagine. La sicurezza dello spazio cibernetico ha inoltre oggi raggiunto una connotazione strategica assolutamente comparabile con quella della protezione dello spazio fisico, tanto da rappresentare una delle maggiori preoccupazioni e fonti di investimento da parte dei principali attori mondiali. La trasposizione dei concetti tra mondo cyber e mondo reale (cinetico) richiede un attenta riflessione: alcuni concetti, tra cui per esempio quello di guerra, che apparentemente può sembrare comune, hanno declinazioni completamente diverse se affrontati nel mondo reale e nel mondo virtuale (basti solo pensare alla chiara identificazione di chi sta attaccando e da dove, ovverosia la c.d. attribuzione della fonte ). Inoltre, gli eventi generati nel mondo virtuale - e quindi basati sulle informazioni (disponibilità o indisponibilità, vere o false) - oggi condizionano drammaticamente la sfera fisica del mondo politico e sociale, (si pensi ad esempio ai movimenti della Primavera Araba o delle manifestazioni anti governative in Iran) e la sfera economica (si pensi all incidenza che alcune informazioni hanno sull andamento dei titoli di mercato e le relative conseguenze a livello di paese). Questa dipendenza e amplificazione degli effetti reali da quelli informativi richiede una sempre più attenta riflessione sulla qualità delle informazioni e sulle metodologie e sui limiti di controllo necessari per identificare e reprimere i comportamenti ritenuti antisociali o lesivi degli interessi nazionali. Questo tema, legato alla militarizzazione dello spazio cyber e alle tematiche di controllo e limitazione della libertà di informazione, dovrà sempre essere affrontato tenendo presente il rispetto delle libertà democratiche e del concetto di privacy che caratterizzano la nostra società democratica. Tali riflessioni dovranno essere inoltre estese a quei processi e a quelle attività di partnership che sempre più spesso caratterizzano le collaborazioni operative tra ambienti civili e militari soprattutto nel campo della ricerca e sviluppo di soluzioni tecnologicamente avanzate. Speciale Sicurezza ICT 11

13 G. M. Tosi Beleffi, A. La Rosa, R. Chiesa, M. Donfrancesco, R. De Sortis, A. Montagnese Ringraziamenti Gli autori intendono ringraziare tutti gli appartenenti al gruppo di lavoro Cyber World costituito all interno del progetto di ricerca OSN. 12 Speciale Sicurezza ICT

14 A. Coletta, I. Nai Fovino, A. Carcano, M. Guglielmi Global Cyber Security Center (GSEC) UN ANALISI MULTIDIMENSIONALE DI STATI CRITICI PER RILEVARE INTRUSIONI NEI SISTEMI SCADA (STATe evolution ANALySIS for DeTeCTINg ATTACkS IN SCADA SySTeMS) Sommario Una tendenza relativamente nuova nelle Infrastrutture Critiche (es., centrali elettriche, centrali nucleari, rete di distribuzione, ecc.) è la migrazione di massa dal classico modello di sistemi isolati, ad un modello di sistema-di-sistemi in cui le infrastrutture stanno intensificando le interconnessioni basate su tecnologie ICT. Il cuore ICT di questi impianti industriali è conosciuto come Supervisory Control And Data Acquisition Systems (SCADA). Le contromisure di sicurezza ICT tradizionali (es., firewall classici, anti-virus e IDS) non riescono a fornire una protezione completa per questi sistemi, in quanto le loro esigenze sono diverse da quelle dei sistemi ICT tradizionali. Questo articolo presenta un approccio innovativo per il rilevamento delle intrusioni di rete in sistemi SCADA basato sul concetto di analisi di stati critici e di prossimità da questi stati. Il framework teorico presentato è supportato da test effettuati con un prototipo di Intrusion Detection System (IDS) che implementa l approccio proposto. Abstract Modern industrial systems (e.g., power plants, water plants, chemical installations, etc.) make increasing use of ICT technologies. In the last years, those systems started to use public networks (i.e., the Internet) for system-to-system interconnections. The core of these industrial installations is traditionally a SCADA (SystemControl And Data Acquisition) system. The characteristics of SCADA communication protocols and architectures are quite different from classical ICT devices, protocols and systems. For this reason, at the moment, traditional ICT security technologies are not able to effectively protect industrial systems in an adequate way against ad-hoc SCADA-tailored attacks. In this work we propose a novel approach to Intrusion Detection for SCADA systems based on the idea of Critical State Analysis. The presented theoretical framework is supported by tests made using an Intrusion Detection System (IDS) prototype implementing the proposed approach. 1. Introduzione Negli ultimi anni l uso di Information and Communication Technology (di seguito ICT) nei sistemi industriali è aumentato enormemente, con un impatto drammatico sulla loro sicurezza. In questo lavoro l attenzione è rivolta alla sicurezza dei sistemi SCADA (Supervisory Control and Data Acquisition). I sistemi SCADA sono ampiamente usati negli impianti industriali per il controllo e manutenzione dei sensori e degli attuatori. I componenti di base che caratterizzano un sistema SCADA sono: (a) Master Terminal Units (MTU) che presentano i dati agli operatori, raccolgono i dati dalla rete di campo e trasmettono i segnali di controllo; (b) Remote Terminal Unit (RTU), che inviano segnali di controllo ai dispositivi elettronici, acquisiscono dati da questi dispositivi, ricevono i comandi dagli MTU e trasmettono i dati alle MTU. La maggior parte delle vulnerabilità SCADA è legata ai protocolli di comunicazione utilizzate per lo scambio di comandi e dati tra i dispositivi master e slave. Le tecnologie di sicurezza ICT tradizionali non sono in grado (come dimostrato in [1]) di proteggere in modo efficace i sistemi industriali da attacchi ideati su misura dei sistemi SCADA. In questo lavoro viene presentato un nuovo approccio per rilevare attacchi ICT ai sistemi SCADA basato sul concetto di Analisi di Stati Critici. Le seguenti osservazioni sono alla base di questo approccio: 1) date le conseguenze di possibili incidenti, i sistemi industriali sono soggetti a processi di analisi della sicurezza, e quindi i possibili stati critici sono ben documentati. Inoltre, gli stati Speciale Sicurezza ICT 13

15 A. Coletta, I. Nai Fovino, A. Carcano, M. Guglielmi critici possono essere considerati, per minimi sottosistemi, di numero finito e conosciuti a priori; 2) un attaccante che vuole danneggiare un sistema industriale deve interferire con lo stato dell installazione, ad esempio forzando una transizione del sistema da uno stato sicuro ad uno stato critico; 3) monitorando l evoluzione degli stati di una centrale, e tracciando se il processo industriale sta entrando in un sistema critico, è possibile rilevare tutte quelle tipologie di attacco (conosciuti o sconosciuti) che tentano di portare il sistema in uno stato critico usando una catena di comandi leciti; 4) nelle architetture SCADA, il principale vettore di attacchi informatici è il flusso di comandi di rete. Dal momento che il sistema IDS proposto tiene traccia della sequenza di pacchetti che porta il sistema in uno stato critico, salvando i dettagli dei pacchetti su un database remoto e usando la metrica di distanza per far partire il log della tale sequenza, è possibile discriminare tra gli stati critici dovuti ad attacchi informatici e quelli dovuti a malfunzionamenti o attacchi fisici. Questo approccio è stato introdotto per sopperire all incapacità delle tecniche IDS tradizionali di rilevare le particolari tipologie di attacchi su SCADA basati su catene di comandi legittimi. 2. Lavori correlati Quello dell Intrusion Detection è un campo di ricerca ben definito. Nel caso dei sistemi SCADA, tuttavia, solo di recente sono stati rilasciati una serie di regole ad hoc e di moduli di pre-processing [2] in grado di rilevare alcuni tipi di attacchi ai protocolli SCADA. Con queste regole un sistema di Network Intrusion Detection (NIDS) è in grado di identificare solo gli attacchi basati su un singolo pacchetto di rete; tuttavia gli attacchi SCADA raramente sfruttano un singolo pacchetto ([1], [7], [8], [9]); di conseguenza è necessario un meccanismo di correlazione dell attacco. gross et al. [3] hanno proposto un meccanismo collaborativo di intrusion detection ( selecticast ) che utilizza un server centralizzato per l'invio di informazioni proveniente da sensori ID riguardanti attività provenienti da indirizzi IP sospetti. Questo approccio è utile per fornire un quadro più ampio degli eventi sospetti che accadono nel sistema monitorato. Tuttavia, non fornisce alcun tipo di tecnica specifica per identificare azioni malevoli complesse e di alto livello. Ning et al. [6] hanno proposto un modello volto a individuare le relazioni di causa fra gli alert sulla base dei pre-requisiti e le conseguenze. L approccio proposto da Cuppens e Miege in [5] adotta pre- e post-condizioni; purtroppo, questa tecnica può generare regole di correlazione spurie, aumentando il rumore del sistema IDS di alerting. Per quanto riguarda le soluzioni di sicurezza per ambienti industriali e sistemi SCADA, Nai et al. hanno presentato un primo IDS embrionale per protocolli SCADA [10] in cui è stato introdotto il concetto di state-based analysis. Il presente lavoro estende quest ultimo concetto, presentando un framework teorico e applicativo completo, introducendo il concetto di previsione del livello di criticità degli stati del sistema. L idea di individuare gli attacchi analizzando se il sistema sta entrando in uno stato critico ha alcune analogie con quanto è stato fatto nel campo di ricerca di Fault-Detection and Diagnosis. Più in dettaglio, l approccio più simile è la model-based fault detection, che si avvale delle cosiddette limit-value based supervisory functions, per monitorare le variabili misurabili in cerca di valori non validi o, nel caso di funzioni di protezione automatica, per l attivazione di opportune azioni di risposta per proteggere il processo (per i dettagli si veda [12], [13], [14]). Questi approcci non possono essere adottati per discriminare tra cyber-attacchi e guasti accidentali, e non forniscono una metrica di prossimità dagli stati critici che sia facilmente calcolabile, che è il principale contributo di questo lavoro. La situational awareness è un altro campo di ricerca che ha una certa somiglianza con il nostro approccio. La situational awareness è un componente chiave in ambienti critici ed è trattata da un gran numero di lavori accademici. Per una bibliografia su questo argomento si rimanda a [15]. generalmente l inconveniente principale degli approcci di situational awareness risiede nella quantità enorme di dati da elaborare e nella mancanza di tecniche efficaci per la successiva valutazione di eventi che potrebbero essere fonte di minaccia. Un lavoro significativo in questo settore è [16]. 3. Analisi degli stati L approccio proposto in questo lavoro si basa sul monitoraggio dell evoluzione degli stati del sistema. 14 Speciale Sicurezza ICT

16 UN ANALISI MULTIDIMeNSIoNALe DI STATI CRITICI PeR RILevARe INTRUSIoNI NeI SISTeMI SCADA (STATe evolution ANALySIS for DeTeCTINg ATTACkS IN SCADA SySTeMS) Da un punto di vista operativo, gli elementi seguenti sono necessari per monitorare e analizzare l evoluzione di un sistema: Un linguaggio di rappresentazione per descrivere in modo formale il sistema in esame. Un linguaggio degli stati del sistema, per descrivere in modo formale gli stati critici associate al sistema in esame. Un monitor dell evoluzione degli stati, per seguire l'evoluzione del sistema. Un rilevatore di stati critici, per verificare se lo stato del sistema evolve verso uno stato definito critico. Una metrica di distanza da stati critici per calcolare quanto uno stato del sistema sia vicino agli stati critici. 3.1 Descrizione del sistema e rappresentazione degli stati critici Per la rappresentazione formale degli stati del sistema industriale abbiamo specificamente definito un nuovo linguaggio formale chiamato Industrial State Modeling Language (ISML). Questo linguaggio supporta i sistemi SCADA che utilizzano il protocollo MoDBUS, ma può essere facilmente esteso ad altri protocolli industriali. In ISML una regola ha la forma condition action. Condition è una formula booleana composta dalla congiunzione di predicati che descrivono quali valori possono essere assunti dai diversi componenti critici connessi ai Programmable Logic Controllers (PLC). Più in dettaglio, ISML è definito in notazione standard BNf come segue: comp rappresenta un register; in MoDBUS: DI=Discrete Input (1-bit Ro register), Co=Coil(1- bit RW register), IR=Input Register(16-bit Ro register) e HR=Holding Register (16-bit RW register). Lo stato del sistema viene definito dai valori dei componenti del sistema. Il linguaggio ISML viene utilizzato (a) per fornire una descrizione dettagliata del sistema da monitorare, la quale verrà utilizzata per generare il sistema virtuale utilizzato dall IDS, e (b) per descrivere una classe particolare di stati del sistema chiamato stati critici che corrispondono a situazioni pericolose o indesiderate. Per ogni stato critico è possibile specificare il livello di rischio. Il valore 1 corrisponde a uno stato basso rischio critico (ad esempio il sistema è in esecuzione ma non in modo ottimale). Il valore 5 corrisponde a un stato critico pericoloso per il sistema. Esempio 1: Si consideri un sistema composto da una turbina e da un sensore di temperatura, entrambi connessi a due PLC. I PLC sono identificati dal loro indirizzo IP e dalla porta. PLC[ :502] è connesso ad una turbina con un holding register che permette di regolare la velocità di rotazione, mentre PLC[ :502] è connesso ad un sensore di temperatura e il suo valore è memorizzato in un input register. Il sistema è in uno stato critico (con livello di rischio 4) se la temperatura è maggiore di 99 C e la turbina gira a meno di 1000 giri al minuto. Questo stato critico può essere formalizzato in ISML come segue: L IDS lancia un avvertimento se la formula critica è soddisfatta. 3.2 Monitoring dell evoluzione del sistema Uno State Evolution Monitor (SeM) è un componente software che tiene traccia dell evoluzione dello stato del sistema. Nell approccio presentato, la descrizione formale del sistema, definita tramite il linguaggio ISML, viene usata per creare un immagine software virtuale del sottosistema monitorato. ogni elemento è rappresentato in memoria. In questo modo viene creata una mappa in memoria dei PLC e dei Master. L immagine virtuale contenuta in SeM è popolata ed aggiornata usando il traffico di controllo scambiato tra i dispositivi master e slave. In altre parole, assumendo che il traffico che va dal master allo slave contiene una compatta rappresentazione dell evoluzione del sistema, usando lo sniffing del traffico è possibile mantenere nella memoria di SeM una riproduzione dello stato del sistema reale. Inoltre, per garantire una stretta sincronizzazione tra Speciale Sicurezza ICT 15

17 A. Coletta, I. Nai Fovino, A. Carcano, M. Guglielmi il sistema virtuale e quello reale, SeM contiene un emulatore di master per eseguire direttamente query sui PLC del sistema; per limitare la sua interferenza con il sistema, è possibile definire un tempo di invecchiamento per ogni register e coil presenti nel sistema virtuale, oltre il quale l emulatore master può eseguire una query diretta al PLC. L accesso alla memoria per aggiornare il sistema virtuale potrebbe essere potenzialmente costoso. Nel prototipo realizzato tutti i componenti virtuali sono indicizzati utilizzando una tabella di hash per fornire accesso diretto a ogni elemento. 3.3 Rilevamento degli stati critici ogni possibile stato del sistema è descritto dai valori che i componenti del sistema possono assumere. Un certo stato di un sistema di n componenti può essere rappresentato da un vettore s R n. L esempio 1 può essere rappresentato con uno stato s R 2, dove il valore della velocità della turbina è mappato su s 1, mentre il valore del sensore di temperatura su s 2. L insieme di stati critici CS R n è l insieme degli stati che soddisfano le condizioni critiche descritte nella Sezione 3.1. Sia s(t) lo stato del sistema al tempo t. Possiamo dire che il sistema in esame è in uno stato critico se s(t) CS. Stabilire se un certo stato s è critico significa verificare se s verifica una qualche formula critica in CS. Dato uno stato s e una formula critica φ, verificare se s soddisfa φ corrisponde a valutare la formula φ usando i valori rappresentati da s. La complessità computazionale per valutare φ è lineare rispetto al numero dei predicati che compaiono nella formula. Anche se la valutazione di una formula può essere effettuata facilmente con una semplice visita del suo albero di sintassi, abbiamo usato una rappresentazione in memoria della formula basata su vincoli di intervallo, come descritto nella Sezione 4. La valutazione delle formule critiche usando questa rappresentazione ha la stessa complessità della visita dell albero di sintassi, ma tale rappresentazione presenta dei vantaggi per calcolare la misura di prossimità dagli stati critici. Dal punto di vista operazionale, il Critical State Analyzer controlla se lo stato contenuto in SeM corrisponde ad almeno uno degli stati critici specificati. In tal caso solleva un allarme, memorizzando i dettagli sui pacchetti che hanno causato il sistema critico. In questo modo è possibile discriminare tra gli attacchi informatici e i fallimenti o attacchi fisici. È importante notare che gli allarmi sono sollevati dall occorrenza di uno stato critico, e non da un particolare schema di attacco. La descrizione di uno stato critico agisce come un aggregatore di schemi di attacchi, raggruppando nella descrizione di un singolo stato critico tutti quei tipi di attacchi (conosciuti o sconosciuti) che possono condurre il sistema in quel particolare stato critico. Usando questo approccio è possibile rilevare gli attacchi cosiddetti zero-day (cioè non ancora scoperti) che portano il sistema in stati critici conosciuti. 4. Metrica multidimensionale per Stati Critici In questa sezione presentiamo un modo di predire se il sistema sta andando verso uno stato critico. Il metodo si basa sulla nozione di distanza dagli stati critici. Tracciando i cambiamenti della distanza del sistema corrente dagli stati critici è possibile predirne la criticalità. Il sistema virtuale descritto nella sezione precedente è usato per tracciare lo stato corrente del sistema, e la distanza dagli stati critici è calcolata usando i valori del sistema virtuale. 4.1 Distanza stato-stato La nozione di distanza è parametrica rispetto alla metrica sullo spazio degli stati di sistema. Sia d:r n R n R + una qualunque metrica su R n. In altre parole, sia d una qualunque nozione di distanza tra due stati del sistema. In questo lavoro due distanze sono particolarmente interessanti: La distanza d 1 è anche detta in letteratura distanza di Manhattan. La distanza d v conta il numero dei componenti di sistema che hanno valore diverso nei due stati. Nell esempio 1, d 1 calcola quanto l attuale velocità della turbina e temperatura sono vicine ai valori critici. Sia s=(999,100) uno stato critico (cioè lo stato in cui la velocità della turbina è di 999 giri al minuto e la temperatura è 100 C). Siano u =(999, 30) e v = (999, 50) due stati. I valori della distanza d 1 (u,s)=70 e d 1 (v,s)=50 indicano che lo stato v è più vicino allo stato critico s di quanto lo sia lo stato u, cioè secondo la distanza d 1 lo stato u è più sicuro di v. D altra parte, i valori d v (u,s)=1 e d v (v,s)=1 indica- 16 Speciale Sicurezza ICT

18 UN ANALISI MULTIDIMeNSIoNALe DI STATI CRITICI PeR RILevARe INTRUSIoNI NeI SISTeMI SCADA (STATe evolution ANALySIS for DeTeCTINg ATTACkS IN SCADA SySTeMS) no che u e v distano dallo stato critico s allo stesso modo. Infatti, sia nello stato u che in v solo un componente di sistema (il sensore di temperatura) ha un valore differente dallo stato s. La scelta effettiva della distanza d 1 o d v dipende dalla nozione di criticalità che si vuole catturare. Quando si è interessati soltanto al numero di componenti che si avvicinano ai valori critici, allora la distanza d v è più appropriata. Quando invece si è interessati proprio ai valori che si avvicinano a quelli critici, allora la distanza d 1 è più appropriata. 4.2 Distanza stato-stati critici Data una qualsiasi distanza su R n (ad esempio le distanze d 1 e d v definite in precedenza), la nozione di distanza tra uno stato e un insieme di stati può essere definita come: Come definito in letteratura standard, dato un insieme di numeri reali A R, l espressione inf A denota il massimo dei minoranti (greatest lower bound) di A, cioè infa=max{x R y A.x y}. Inoltre, inf t S d(s,t)=inf {d(s,t) t s} per ogni s. La definizione di d(s,s) ricalca il senso comune di distanza tra un punto ed un insieme di punti. La nozione di distanza tra uno stato del sistema e l insieme degli stati critici sarà indicata con d(s, CS). È fondamentale sottolineare che questa distanza è completamente parametrica rispetto alla metrica scelta su R n. 4.3 Valutazione della distanza Il calcolo della distanza d(s, CS) definita in precedenza non segue direttamente dalla sua definizione. Per un implementazione efficiente è necessario usare la forma matematica dell insieme di stati critici. Il linguaggio delle condizioni critiche implica che, per ogni formula delle regole, i valori critici di ogni componente appartengono ad intervalli (limitati o illimitati) di numeri reali. Questa informazione è usata per calcolare la distanza in modo efficiente. Un vincolo C=I 1,,I n è una sequenza di n intervalli su R, dove n è il numero di componenti del sistema. Un vincolo indica gli intervalli di valori critici per ogni componente di sistema. Uno stato s è critico rispetto ad un vincolo C se per ogni i =1,, n, il valore dell i-esimo componente s i I i. ogni formula critica φ può essere rappresentata da uno o più vincoli. Un insieme di vincoli {C 1,,C k } è equivalente ad una formula φ se per ogni stato s che soddisfa φ esiste almeno un vincolo C j tale che s è critico rispetto a C j. Considerando l esempio 1, sia φ=plc[ : 502].HR[1] 50 una formula critica. Non è possibile trovare un vincolo equivalente a φ. Tuttavia, siano C 1 =[-,49], [-, + ] e C 2 = [51, + ], [-, + ] due vincoli. L insieme di vincoli {C 1,C 2 } è equivalente a φ, infatti ogni stato che soddisfa φ soddisfa anche {C 1,C 2 }, e viceversa. La nozione di insieme di vincoli equivalenti è la base per implementare un opportuna rappresentazione di memoria delle formule critiche. Nella fase di inizializzazione dell IDS ogni formula viene convertita nel suo insieme di vincoli equivalenti. Considerando l esempio 1, sia: una formula critica. Tramite il parsing della formula φ è possibile creare gli intervalli critici di ogni componente di sistema che compare nella formula. In questo caso, l insieme di vincoli equivalenti a φ è costituito da un solo vincolo C=[3, 50], [30,+ ]. Sia {C 1,,C k } l insieme di vincoli equivalenti ad una formula φ. valgono le seguenti uguaglianze: La distanza d(s,cs)=min φ d(s,φ) può essere calcolata usando le equazioni (1) e (2), implementate con due cicli annidati, uno sui vincoli creati nella fase di inizializzazione, l altro sugli intervalli che compaiono in ogni vincolo. La complessità è lineare nel numero di predicati che compaiono nelle formule critiche. L equazione (2) è parametrica rispetto all effettiva distanza usata. Precisamente, la funzione d(s i,i i ) nella parte destra dell equazione può essere sostituita sia con d i che con d v. Le definizioni seguenti permettono di implementare facilmente l algoritmo di calcolo delle distanze: Speciale Sicurezza ICT 17

19 A. Coletta, I. Nai Fovino, A. Carcano, M. Guglielmi In questa sezione sono descritti alcuni test su un nostro prototipo che implementa l approccio che abbiamo descritto. I test sono stati effettuati nel laboratorio Testbed for Industrial Networking Security del Joint Research Centre. Questo laboratorio è stato creato grazie ad una attività di ricerca di collaborazione tra il Dipartimento di Ricerca di enel SpA e il Joint Research Centre della Commissione europea. Il laboratorio contiene un ambiente protetto in cui un complesso dispositivo elettromeccanico costituito da tubi, valvole, sensori, pompe, ecc. viene utilizzato per emulare fisicamente i diversi stati di una centrale elettrica reale. Nei nostri test abbiamo usato il protocollo Modbus su TCP e PLC della famiglia ABB AC800. La figura 1 mostra uno schema del dispositivo elettromeccanico fisico utilizzato per le simulazioni, mentre una descrizione dettagliata dell ambiente sperimentale può essere trovata in [8]. 5.1 Scenario Boiling Water Reactor dove inf I e sup I sono rispettivamente l estremo inferiore e superiore dell intervallo I. Riassumendo, per calcolare la distanza d(s,cs) tra uno stato del sistema e l insieme di stati critici, usando la distanza di Manhattan d 1 e la distanza discreta d v, è sufficiente calcolare l insieme di vincoli equivalenti di ciascuna formula durante la fase di inizializzazione. Durante l evoluzione del sistema, la criticalità dello stato corrente e la prossimità dagli stati critici possono essere calcolati implementando le equazioni (1) e (2). La scelta effettiva delle due metriche d 1 e d v dipende dalla nozione di distanza scelta. 5. Esperimenti e risultati Lo scenario del Boiling Water Reactor (BWR) in figura 2 mostra un reattore nucleare usato per generare energia elettrica. Il BWR in figura è volutamente semplificato. Il serbatoio a pressione del reattore contiene gli elementi di combustibile e le barre di controllo assorbiti in acqua leggera. gli elementi di combustibile riscaldano l acqua per produrre vapore. Il vapore raggiunge la turbina principale attraverso la linea di vapore e lo fa ruotare. Il vapore utilizzato è pilotato verso il condensatore dove viene condensato in acqua. L acqua risultante viene pompata nuovamente nel serbatoio del reattore. I PLC sono programmati con la seguente logica: PLC 1 : controlla il sensore di temperatura dell acqua nel serbatoio e la velocità di Pump 2. Questi valori vengono memorizzati nei registri IR 1 e HR 1. PLC 1 aumenta la velocità della Pump 2, se la temperatura è troppo elevata, al fine di aumentare il flusso di acqua fredda e per ridurre la temperatura del serbatoio. PLC 2 : controlla il sensore di pressione collegato alla IR 2 e la valvola di controllo V OUT collegata a HR 2, che contiene un valore che rappresenta l apertura della valvola (0 chiusa aperto). Quando la pressione è troppo elevata, PLC 2 apre la valvola V OUT per espellere il vapore e per ridurre la pressio- Figura 1: Schema dell'ambiente di simulazione nel nostro laboratorio. Figura 2: Schema del Boiling Water Reactor. 18 Speciale Sicurezza ICT

20 UN ANALISI MULTIDIMeNSIoNALe DI STATI CRITICI PeR RILevARe INTRUSIoNI NeI SISTeMI SCADA (STATe evolution ANALySIS for DeTeCTINg ATTACkS IN SCADA SySTeMS) ne interna. PLC 3 : controlla il sensore di temperatura del condensatore collegato al IR 3 e la velocità di Pump 1 collegata a HR 3. Come PLC 1, quando la temperatura del condensatore è troppo alta, PLC 3 aumenta la velocità della pompa in modo da aumentare il flusso di acqua fredda e per condensare il vapore. La descrizione formale del sistema tramite ISML è un insieme di predicati che specificano lo stato del sistema, ad esempio: dove i valori nella parte destra degli assegnamenti sono i valori iniziali del sistema, e che sono automaticamente sincronizzati con il sistema reale grazie all emulatore master. Di seguito è mostrato un insieme di regole critiche di esempio che rappresentato possibili stati critici per lo scenario BWR. Il significato delle regole è il seguente: (R1) Se la temperatura è maggiore di 120 C e la velocità di Pump 2 è minore di 40 rpm, allora il sistema è in uno stato critico perché la temperatura dell acqua è alta ma la velocità della pompa non è sufficiente a ridurre la temperatura del serbatoio. (R2) Se la pressione è maggiore di 80 bar e la valvolare è aperta meno del 50%, allora il sistema è in uno stato critico perché la pressione è alta, ma la valvola non è sufficientemente aperta per espellere il vapore e ridurre la pressione interna. (R3) Se la temperatura è maggiore di 100 C e Pump 1 è minore di 60 rpm, allora il sistema è in uno stato critico perché la temperatura del vapore è alta, ma la velocità della pompa non è sufficiente a ridurre la temperatura del condensatore. esempio di distanza: Si consideri la regola (R1) e si assuma che PLC[1].IR[1] sia mappato su s 1 e PLC[1].HR[1] su s 2. L insieme di vincoli equivalenti alla formula critica contenuta nella regola (R1) è l insieme {C 1 =[120,+ ],[-,40]}. Sia s 1 =(100,45) lo stato corrente. La distanza tra s e la formula (R1) è calcolata nel modo seguente: In questo esempio l insieme di vincoli equivalenti a (R1) contiene un solo vincolo. Se l insieme è più di un vincolo, lo stesso calcolo deve essere ripetuto per ciascun vincolo e il valore finale della distanza è il minimo tra i valori calcolati. 5.2 Analisi dell accuratezza Uno dei parametri più importanti da prendere in considerazione quando si valuta un IDS è l accuratezza, cioè in quale misura sia in grado di identificare correttamente una condizione (nel nostro caso la presenza di uno stato critico). Nella letteratura scientifica di Intrusion Detection, l accuratezza viene comunemente misurata in termini di falsi positivi e falsi negativi, cioè si considera rispettivamente il numero di falsi allarmi sollevati e il numero di attacchi che non vengono identificati. Per misurare l accuratezza degli IDS, abbiamo messo a punto il seguente esperimento: un data set è stato creato attraverso la raccolta di traffico di rete nel nostro laboratorio ICS per quindici giorni. Il data set è costituito da traffico SCADA standard che riflette le tipiche attività industriali, più del traffico random generato simulando attacchi che mirano a stati critici. L approccio proposto è inteso come una funzione aggiuntiva da aggiungere a IDS esistenti, per fare in modo di individuare una particolare classe di attacchi contro i sistemi SCADA. Per questo motivo, abbiamo valutato la sua accuratezza rispetto alla tipologia di attacchi composti da sequenze di comandi SCADA leciti. vale la pena notare che la congestione del traffico di rete influisce sulla precisione delle IDS. Come sottolineato in precedenza, in caso di un alta congestione della rete l immagine del sistema virtuale potrebbe essere leggermente diversa dal sistema attuale, a causa della perdita di pacchetti. Quando ciò accade, le regole di stati critici vengono valutate usando valori di stato che non sono pienamente coerenti con quelli dello stato reale, con conseguenti falsi positivi o falsi negativi. Per catturare questo aspetto abbiamo immesso nel traffico di rete, Speciale Sicurezza ICT 19