Il lato oscuro dell’Accesso Remoto ai sistemi ICS/SCADA

Probabilmente anche tu avrei sperimentato la comodità di connettersi ai sistemi industriali comodamente seduto nella poltrona di casa tua.

Qualcuno può pensare che utilizzare software come TeamViewer, Microsoft RDP o addirittura connettersi alla pagina Web di gestione del sistema SCADA tramite browser Internet sia una pratica corretta e sicura.

Forse però non sanno che i rischi legati all’accesso remoto sono stati responsabili dell’80% di tutte le violazioni ai sistemi IT.

Cos’è l’accesso remoto?

L’accesso remoto è l’insieme dell’hardware e del software che permette di accedere a computer o reti fisicamente lontani tra loro.

I casi in cui si usa l’accesso remoto

Ci sono casi in cui l’accesso remoto è molto comodo, altri in cui è necessario:

  • Supporto su dispositivi forniti dal produttore
  • Supporto su software presente nei sistemi
  • Modifiche urgenti ai parametri di funzionamento dell’impianto
  • Supervisione del cliente finale

Il supporto continuo del fornitore è necessario nella verifica in tempo reale del corretto funzionamento di componenti e software.
Si rivela invece molto utile nell’aggiornamento del software e per eseguire modifiche minori alle configurazioni.

Come si interagisce con i sistemi?

Prima di tornare a leggere e capire i problemi e i rischi dell’accesso remoto, è bene conoscere i modi con i quali i sistemi IT e OT vengono configurati.

Ci sono diversi modi con il quale si può interagire con i dispositivi della catena ICS (SCADA, SIS, PLC, RTU ecc.):

  • Interfaccia Web degli apparati (tramite browser)
  • Applicazione (Desktop o Mobile)
  • Riga di Comando (SSH, Telnet, ecc)

Il manutentore o il team di supporto utilizza questi strumenti per interagire con i sistemi macchina per apportare le modifiche del caso, sia essere per risolvere problemi, sia per la normale iterazione con i sistemi come la modifica della velocità di un motore, l’apertura o chiusura di una valvola e così via.

Quali sono i rischi?

Grazie ai sistemi di accesso remoto, un impianto può essere raggiunto attraverso una varietà di dispositivi (PC, notebook, smartphone ecc.), inclusi molti al di fuori del controllo dell’organizzazione.
L’ambiente remoto in cui vengono utilizzati questi dispositivi può comportare dei rischi.

Ad esempio:

  • mancanza di controlli di sicurezza fisica creando un rischio di perdita o furto del dispositivo
  • intercettazione mentre le informazioni viaggiano su Internet pubblico
  • accesso non autorizzato a sistemi o dati
  • monitoraggio e manipolazione dei dati se qualcuno accede al dispositivo

Accesso diretto con l’Inoltro di Porta

I dispositivi ICS sono quasi sempre connessi ad un Router/Firewall che ne permette o nega l’accesso ad Internet. Queste sistemi possono quindi aprire connessioni verso Internet, ma non viceversa a meno che non si facciano configurazioni ulteriori.

Con la configurazione di un Port Forwarding (Inoltro di Porta) è possibile esporre un servizio del dispositivo – come la sua pagine web di configurazione – direttamente in Internet.

Perché non esporre i servizi?

Configurare il Port Forwarding è una pessima idea!

Tali vulnerabilità possono essere facilmente rilevate tramite motori di ricerca specializzati come Shodan.io (possiamo chiamarlo il Google degli hacker) o tramite scansioni dei servizi attivi.

Molti protocolli – come Microsoft RDP – hanno delle vulnerabilità note, altri invece vengono attaccati con sistemi Brute Force (Forza Bruta).
Spesso, i servizi esposti mantengono le password predefinite o non necessitano di alcuna autenticazione.
In altri casi la vulnerabilità è data dal mezzo di interazione con l’apparecchio: la configurazione tramite interfaccia Web è molto più comoda della vecchia Riga di Comando, ma porta con sé tutte le vulnerabilità dei browser.

I dispositivi attaccati non sempre danneggiato direttamente il sistema a cui sono collegati.
Spesso vengono installate su di loro dei botnet, utilizzati per attacchi DDoS (Distributed Denial Of Service) su larga scala come Mirai.

Conviene usare TeamViewer o sistemi simili?

Anche in questo caso si potrebbe incorrere in problemi di sicurezza molto seri!

TeamViewer è uno strumento molto allettante agli occhi di un malintenzionato, che una volta ottenuto l’accesso ha la possibilità di amministrare l’intero PC o sistema.

Questo infatti è un software da utilizzare solo su richiesta di un team di supporto e non lasciandolo sempre attivo, ricordandosi di aggiornare sempre all’ultima versione disponibile.

Le soluzioni per un accesso remoto sicuro

Come si può controllare gli impianti ICS/SCADA a distanza? Come si può dare o ricevere supporto su impianti da remoto?

Firewall Industriali

E’ importante scegliere Firewall di nuova generazione e di tipo Industriale, che siano in grado di riconoscere protocolli come Modbus, Profibus, 104 ecc. Quindi utilizzare le funzionalità UTM (come IPS, ATP, ecc.) per proteggere le eventuali vulnerabilità dei sistemi.

Client VPN di tipo Enterprise

Utilizzare software Vpn Client in grado di assicurare una cifratura robusta della connessione. Solo quando la Vpn è abilitata a questo punto sarà possibile utilizzare i software di telecontrollo come TeamViewer in modalità LAN.

Software Vpn Client di tipo Enterprise posso garantire che i PC dai cui ci si connette siano privi di Malware e Vulnerabilità che potrebbero essere trasportate nell’impianto di destinazione.

Autenticazione a più fattori

In aggiunta, per evitare gli accessi non autorizzati, si possono utilizzare sistemi di autenticazione doppia, affidando la sicurezza a più di una semplice password.

Sicuramente avrai utilizzato token, app o codici inviati via sms, per accedere al sito della banca. Sarebbe auspicabile utilizzare queste modalità per accedere ai sistemi produttivi.

Qualcuno sicuramente dirà che “il token è una rottura!”, ma accettereste oggi di accedere al conto bancario inserendo semplicemente l’utente e la password? Meglio un passaggio aggiuntivo piuttosto che vedere il proprio conto a zero!

Limitare l’accesso ai sistemi necessari

E’ molto importante fornire credenziali diverse alle diverse persone che si connettono ai sistemi, e fondamentale è assegnare i privilegi corretti in base alla risorse che realmente hanno bisogno di consultare.

Conclusioni

Scegliere oggi di non permettere di accedere da remoto ai sistemi Industriali è anacronistico ed economicamente poco conveniente. Scegliere di farlo con le dovute considerazione e seguendo le semplici indicazioni in descritte in questo articolo potrebbe essere economicamente ancora più conveniente!

Read More