Quando si parla delle potenziali
vulnerabilità dei sistemi di controllo industriale (ICS) si pensa ai pericoli che vengono dall'integrazione tra i mondi IT e OT. Ma non è necessario andare così lontano per immaginare nuovi scenari di attacco ad alcuni tipi di impianti. Una ricerca
Trend Micro si è concentrata molto più semplicemente su un tipo di dispositivi molto diffuso e che pochi collegherebbero a minacce concrete: le unità di telecontrollo wireless a radiofrequenza, o remote controller.
I
remote controller industriali sono in sintesi telecomandi "rugged" che permettono di controllare da remoto il funzionamento di macchinari di vario genere e anche di grandi dimensioni, dalle scavatrici negli impianti minerari alle gru nei cantieri edili. Sono composti da
due unità separate: un trasmettitore, che viene usato da un operatore umano, e un ricevitore, collegato ai comandi del macchinario.
Il funzionamento dei remote controller industriali è in principio semplice. L'operatore esegue un comando sulla unità trasmittente, di norma premendo uno o più pulsanti. Questa combinazione di comandi
corrisponde a una sequenza di impulsi in radiofrequenza, che vengono trasmessi all'unità ricevente. Quest'ultima decodifica gli impulsi ricevuti ed esegue i comandi richiesti per il macchinario. La semplicità del funzionamento permette, secondo lo studio Trend Micro, vari tipi di attacchi.
In sintesi, i ricercatori Trend Micro hanno verificato che non è difficile per un ipotetico criminale approfondire il funzionamento di un particolare modello di controller wireless, in particolare
identificare in dettaglio la codifica dei comandi in segnali radio. Complice il fatto che nessun controller adotta forme particolari di protezione delle trasmissioni wireless, come ad esempio la cifratura, è possibile intercettare quelle di un controller e portare
vari tipi di attacchi. Trend Micro ne ha identificati quattro.
Replay attack - Un attaccante intercetta i comandi di un remote controller e si costruisce man mano una sua libreria di sequenze RF corrispondenti a determinate azioni. A questo punto
può usarle quando vuole, simulando di essere il controller lecito perché i sistemi di identificazione e accoppiamento tra unità trasmittente e ricevente sono poco sicuri.
Command injection - È una specie di
attacco "man in the middle" che sfrutta le stesse debolezze del precedente. L'attaccante intercetta con un PC i comandi dell'unità trasmittente nel momento in cui sono emessi, li modifica secondo i suoi obiettivi e li passa all'unità ricevente.
E-Stop abuse - La maggior parte dei remote controller wireless ha un
pulsante di emergenza che blocca del tutto il macchinario a cui è collegato. Un attaccante può simulare la pressione di quel pulsante inviando il relativo comando RF, continuando a bloccare il macchinario in una sorta di attacco Denial of Service nel mondo fisico.
Malicious re-pairing - Molti remote controller industriali prevedono una funzione di
pairing multiplo, ossia è possibile controllare più unità riceventi con una sola unità trasmittente oppure, all'opposto, connettere più unità trasmittenti allo stesso ricevente. Il problema è che questo pairing multiplo avviene inviando codici via radiofrequenza, quindi è possibile inserirsi nella operazione di accoppiamento e "clonare" una unità trasmiettente, prendendo di fatto il controllo della ricevente.
Questo scenario generale è aggravato dal fatto che i produttori di telecomandi wireless industriali stanno offrendo sempre più sistemi per "aprire" i loro prodotti verso l'esterno. Ad esempio alcuni remote controller possono
connettersi a reti CANopen, Profibus o Modbus, acquisendo così lo stesso rischio di essere "contattati" dall'esterno che ha un qualsiasi dispositivo industriale connesso.
Inoltre alcuni controller si possono collegare a un PC via USB, per essere riconfigurati. In teoria è possibile compromettere tale PC per
riprogrammare il remote controller wireless a proprio vantaggio, senza che l'utente se ne accorga.
Sui temi della sicurezza ICS, ImpresaCity e Check Point Software Technologies hanno organizzato un webinar ad hoc, che prevede anche una demo live delle soluzioni di sicurezza progettate per il mondo industriale. Il webinar si tiene il prossimo 12 febbraio alle ore 11.