Perché i vecchi virus nelle centrali elettriche devono farci paura

Tra tutte le cose che non vorremmo mai vedere infettate da un malware, gli impianti nucleari sono probabilmente tra i primi della lista.

Eppure, questa settimana, alcuni dei sistemi informatici di un impianto di energia nucleare in Germania sarebbero stati infettati da due ben noti vecchi virus chiamati W32.Ramnit e Conficker, scoperti per la prima volta nel 2010 e nel 2008, rispettivamente. I computer infettati controllavano "software di visualizzazione dati associati con gli strumenti per muovere le barre di combustibile nucleare" ed erano isolati da internet, stando a Reuters.

I due virus hanno effettivamente infettato i computer, ma non hanno potuto fare danni particolari perché i virus non potevano entrare in contatto con i loro creatori via internet, e i computer non avevano controllo su nessun processo critico. In altre parole, non è stata una situazione da vero panico. Ma, se da un lato non dovremmo agitarci più del dovuto—cose del genere accadono in continuazione—in questo caso ci sono buone ragioni per preoccuparsi del fatto che infrastrutture importanti vengano infettate da virus antichi.

"Se un sistema, o una rete, è vulnerabile a virus storici, allora è sicuramente vulnerabile ad attacchi mirati," ha detto a Motherboard Chris Sistrunk, un consulente di sistemi di controllo industriali per l'azienda di sicurezza Mandiant.

L'infezione alla centrale nucleare che dista 120 km da Monaco, per ripetere le parole di un altro esperto di hacking di infrastrutture, è stata solo una "coincidenza" e non un attacco mirato. In questo caso, sembra che i virus siano stati trasmessi da chiavette USB infettate. Ma, se i sistemi di una centrale nucleare o qualsiasi altra infrastruttura critica sono così deboli da essere colpiti da virus a caso, sono potenzialmente attaccabili anche da chi ha intenzioni più sofisticate e potenzialmente dannose, come nel caso del recente blackout della centrale in Ucraina.

Questo perché i sistemi del genere, stando alle parole di Michael Toecker, un ingegnere di sistemi di controllo e consulente, sono come "un paziente con un sistema immunitario compromesso."

"Le infrastrutture critiche vengono ancora colpite da queste cose perché i virus antichi trovano una casa accogliente nei sistemi vecchi, privi di controlli e di aggiornamenti," ha detto Toecker a Motherboard.

Il motivo per cui questi pazienti sono così sensibili ai virus come W32.Ramnit e Conficker è che usano sistemi che non vengono aggiornati da almeno dieci anni. E la cosa va bene solo finché gli operatori dell'impianto li mantengono isolati e, presumendo che siano poco sicuri, riservano particolare attenzione alle parti più importanti della rete.

"Se c'è un paziente con un sistema immunitario compromesso, i dottori non gli permettono di interagire con i visitatori," ha aggiunto Toecker. "Le aziende che operano con infrastrutture critiche devono riconoscere quando si ritrovano con un sistema vulnerabile, e obbligarsi a una buona igiene."

Nell'era post Stuxnet, questa cosa potrebbe essere tutto ciò che impedisce a certi hacker di fare danni seri con le loro tastiere e i loro malware.