Information Security n° 15 novembre 201220

GLOB

AL CYB

ER SEC

URITY CE

NTER

21MARIA LUISA PAPAGNI

La Cina ci ascolta...?

23IGOR NAI FOVINO

Perché è così difficile proteggere gli impianti industriali dal malware?

26MARIA LUISA PAPAGNI

Shamoon, un altro figlio di Stuxnet?

29ALESSIO COLETTA

NFC o la rivoluzione dei sistemi di pagamento

Information Security n° 15 novembre 2012 21

GLOBAL CYBER SECURITY CENTER

Fantapolitica? Forse ... Ma gli esperti di sicurezza degli Stati Uniti avver-tono: la Cina è in ascolto 24 ore al giorno ed ha conquistato gran partedel mercato delle telecomunicazioni in tutto il mondo, con lo scopo disottrarre segreti militari e industriali ai paesi occidentali!Non sono solo voci. Le accuse sono state messe nero su bianco in un

documento della U.S. China Economic and Review Commission, la commis-sione del Congresso degli Stati Uniti responsabile per il monitoraggio ed il con-trollo della sicurezza nazionale e delle tematiche commerciali tra gli Stati Uniti ela Repubblica Popolare Cinese.Queste accuse sono stati ribadite di recente da Michael Maloof, ex esperto disicurezza del Pentagono: “Il governo cinese ha accesso diffuso a circa l’80 percento delle comunicazioni del mondo, con la possibilità di intraprendere spio-naggio industriale ed anche sabotaggio elettronico delle infrastrutture critiche ne-gli Stati Uniti e in altri paesi industrializzati”.In particolare, il governo cinese sta ottenendo questo accesso attraverso duesocietà cinesi, Huawei Technologies Co. Ltd. e ZTE Corporation, due dei prin-cipali fornitori globali di apparecchiature per le telecomunicazioni e la telefoniamobile. Huawei è il secondo più grande produttore di router, switch e apparecchidi telecomunicazioni dopo Ericsson. ZTE è il quinto.Ma l’ipotesi del governo degli Stati Uniti non è stata suffragata da prove. L’U.S.House Intelligence Committee ha investigato per 18 mesi sulle società Huaweie ZTE e nessuna prova ha potuto confermare che sono state coinvolte in atti-

La Cina ci ascolta...?

Gli esperti di sicurezza americani mettono in guardia contro lo statoasiatico che sarebbe in ascolto 24 ore su 24 e, mentre conquista granparte del mercato delle telecomunicazioni in tutto il mondo, mira asotrarre segreti militari e industriali ai paesi occidentali.

Maria Luisa PapagniAlmavivA/GCSEC

vità di spionaggio o che i dispositivi fabbricati e vendutisono stati usati per lo spionaggio.Quel che è certo è che Huawei ha sviluppato sistemi moltosofisticati per l’analisi dei dati che transitano sulle loro retie dispositivi. Ma non vi è alcuna prova che essi siano uti-lizzati come cyber-weapons al servizio del governo cinese.Tuttavia, la mancanza di prove non ha scoraggiato i legi-slatori dall’emettere un severo avvertimento alle societàstatunitensi, chiedendo di prestare particolare attenzione aibusiness vendors.Mike Rogers e Dutch Ruppersberger , Presidente e mem-bro del House Intelligence Committee, hanno pubblicato unrapporto che incoraggia le imprese degli Stati Uniti a pren-dere in considerazione i rischi a lungo termine derivanti dal-l’utilizzo come fornitori delle aziende cinesi produttrici di in-frastrutture di telecomunicazioni e raccomandaespressamente di escludere componenti prodotti da Hua-wei o ZTE dalle gare pubbliche per il Governo.In particolare, “il rapporto prevede cinque raccomandazioni:1. I contractors e fornitori del Governo U.S.A., in particolare

quelli che lavorano su sistemi sensibili, dovrebbero esclu-dere qualsiasi attrezzatura e componente prodotti daHuawei o ZTE. Inoltre, la commissione per gli investi-menti esteri negli Stati Uniti (CFIUS) deve bloccare ac-quisizioni o fusioni che coinvolgono Huawei e ZTE acausa della minaccia agli interessi della sicurezza nazio-nale statunitense.

2. I network provider ed i system developer degli Stati Unitisono vivamente incoraggiati a cercare altri fornitori per iloro progetti.

3. Le commissioni di competenza del Congresso e le agen-zie degli Stati Uniti dovrebbero esaminare pratiche com-merciali sleali cinesi nel settore delle telecomunicazioni.Particolare attenzione dovrebbe essere rivolta anche alsostegno finanziario cinese alle aziende americane più

importanti.4. Le aziende cinesi dovrebbero rapidamente aumentare la

trasparenza e l’apertura. Huawei, in particolare, deve di-ventare più trasparente e più attenta agli obblighi giuri-dici statunitensi.

5. Le Commissioni di competenza del Congresso dovreb-bero prendere in considerazione un eventuale strumentonormativo per meglio affrontare il rischio rappresentatodalle società di telecomunicazioni legate a Governi o co-munque non trasparenti; questo specialmente per le in-frastrutture critiche, inclusi i sistemi di information-sharingtra aziende private. Inoltre, bisognerebbe dare più forzaal CFIUS nel processo per la conclusione di accordi diacquisto.”

Le accuse mosse da più parti contro queste aziende cinesipoco trasparenti nel loro business sembra aver portato adaltre conseguenze.Ad esempio, Cisco ha deciso di interrompere il rapportod’affari con ZTE. Sembra che questa decisione del gigantedel networking sia una conseguenza abbastanza diretta delcomportamento della Casa Bianca in risposta ai potenzialecyber - spionaggio.Come riportato da Reuters, Cisco ha concluso la sua col-laborazione dopo un’indagine interna avviata in seguito avoci riguardanti la vendita non autorizzata di materiale in-formatico degli Stati Uniti alla più grande azienda di tele-comunicazioni dell’Iran.Aziende cinesi avrebbero anche inviato altri prodotti adalta tecnologia made in USA, compresi switch Cisco, aduna società del consorzio che controlla la società di tele-comunicazioni. Queste operazioni hanno consentito delleindagini dettagliate terminate con accuse penali effettuatedal FBI.Huawei e ZTE hanno ovviamente reagito negando catego-ricamente le accuse, affermando che il governo cinese

non ha mai fatto loro alcun tipo di ri-chiesta e che obbediscono alle leggidegli Stati Uniti.Ma sembra che Huawei sia pronta afare un ulteriore passo per riconqui-stare la fiducia dei consumatori: JohnLord, capo della divisione australiana,ha affermato che Huawei è pronta adimostrare la falsità delle accuse sulsuo conto, fornendo il pieno accessoal codice sorgente del suo software.Naturalmente il software rimarrà “pro-prietario”. Infatti, l’idea è valutare la si-curezza dei dispositivi con una speci-fica procedura, utilizzata unicamenteda personale autorizzato.Nel frattempo, la “guerra fredda” dellacomunicazione globale continua!

22

GLOB

AL CYB

ER SEC

URITY CE

NTER

Information Security n° 15 novembre 2012

Igor Nai FovinoResearch Manager GCSEC – Global Cyber Security Center

A seguito di una crescente spirale di attacchi informatici molte aziende egoverni hanno iniziato ad investire grossi budget nella sicurezza dei loroimpianti industriali, ma, a quanto pare, i risultati, in termini di aumento dellivello di protezione, non hanno avuto i risultati sperati.

Perché è così difficileproteggere gli impianti

industriali dal malware?

C’era una volta ... Era il 1949, quando Von Neumann teorizzò i così detti ‘Self-Re-producing Automata’, ovvero la possibilità di sviluppare piccoliprogrammi in grado di replicarsi e di controllare altri programmicon una struttura simile.

Anche se questa caratteristica nel corso degli ultimi 60 anni è stata utilizzata perrealizzare una quantità enorme di applicazioni, la prima cosa che viene in mentea partire da questa sommaria descrizione è la sua implementazione più dannosa:malware.Dieci anni dopo, nel 1959, Robert Morris, Doublas McIlroy e Victor Vysottskycrearono un gioco per computer, CoreWar, basato sulla teoria di Von Newmann,in cui i programmi per computer combattevano tra loro per “conquistare” le ri-sorse del computer stesso... e non è un caso che il figlio di Robert Morris creònel 1972 quello che è considerato il primo virus del computer, Creeper, ingrado di infettare IBM 360 su Arpanet. Per eliminarlo, fu creato un virus chia-mato Reaper che cercava e distruggeva Creeper. Reaper può, a ragione, essereconsiderate l’antesignano dei primi antivirus.Da quel momento in poi, il mondo informatico ha visto una evoluzione senza finedi malware e antivirus. Brain, Jerusalem, Michelangelo, Melissa, Code-Red,Slammer, sono solo alcuni dei milioni di malware sviluppati e diffusi ogni anno.Anche gli antivirus si sono evoluti con l’evoluzione del malware, così che, dai piùtradizionali approcci “signature based” si è passati rapidamente a sistemi eu-

GLOBAL CYBER SECURITY CENTER

23Information Security n° 15 novembre 2012

ristici sempre più complessi, incorporanti tecniche di emu-lazione in tempo reale.Mentre da un lato non è possibile affermare che i moderniantivirus sono in grado di rilevare ogni tipo di malware(specialmente quelli comunemente definiti “zero-day vi-rus”), dall’altro il corretto uso di questi software garantiscein genere un elevato livello di protezione ai sistemi ICT di co-mune utilizzo.Purtroppo la stessa affermazione non trova conferma se siprendono in considerazione ambienti e sistemi che, per ca-ratteristiche e peculiarità, si discostano enormemente daquelli che sono i normali e tradizionali sistemi informatici.Negli ultimi anni in particolare, (e più precisamente dallaprima comparsa di Stuxnet) la sicurezza dei sistemi indu-striali critici, la loro vulnerabilità ed i rischi a cui sono espo-sti, sono stati oggetto di numerose discussion nell’ambitodella comunità scientifica ed ingegneristica. A seguito di una

crescente spirale di attacchi informatici (di cui Duqu, Sha-moon, Flame sono solo alcuni degli ultimi episodi), molteaziende e governi hanno iniziato ad investire grossi budgetnella sicurezza dei loro impianti industriali, ma, a quantopare, i risultati, in termini di aumento del livello di protezione,non hanno avuto i risultati sperati.La domanda risulta quindi evidente: perché è così difficileproteggere gli impianti industriali da malwares e da attac-chi informatici più in generale?La risposta è piuttosto complessa e coinvolge tutti i livelli or-ganizzativi di una società proprietaria di un impianto indu-striale.Uno dei motivi principali è l’obsolescenza: normalmente, isistemi industriali sono progettati per funzionare per de-cenni. Non è raro trovare sistemi operativi e software di con-trollo molto vecchi. Questa è, ovviamente, una situazionedovuta principalmente alla necessità di mantenere la com-

Quello che sembra difficilmente risolvibile oggi è il problemarelativo ai malware progettati ad hoc per penetrare i sistemiindustriali sfruttando le peculiarità dei loro protocolli di basso

livello e le vulnerabilità specifiche dei loro devices

Information Security n° 15 novembre 2012

GLOB

AL CYB

ER SEC

URITY CE

NTER

24

Information Security n° 15 novembre 2012 25

patibilità con i protocolli ed i dispositivi utilizzati nell’im-pianto. In molte situazioni, la sostituzione di un sistema ob-soleto implicherebbe un enorme investimento per moder-nizzare non solo quel sistema, ma anche tutti i device daquesto controllato. Ciò implica che quei sistemi potrebbero essere soggetti avulnerabilità che, nel mondo dell’ICT tradizionale sono stateoramai debellate da molti anniIl patching è un altro dei motivi per cui è difficile per pro-teggere i sistemi industriali. Quando viene scoperta unanuova vulnerabilità, le società di software rilasciano dellepatch per risolvere il problema. Purtroppo, salvo poche ec-cezioni, l’applicazione di queste patch è piuttosto inva-siva. Nel migliore dei casi, è necessario un reboot del si-stema, mentre, nel caso peggiore, la patch installata puòinterferire con il preesistente software di controllo dell’im-pianto industriale. Per questo motivo, la velocità di appli-cazione delle patch in ambito industriale è abbastanzalenta, aumentando così la dimensione della finestra tem-porale nella quale il sistema stesso rimane vulnerabile.I requisiti di risposta in real time e la bassa potenza di cal-colo sono altri due motivi per i quali la presenza di antivirus,soprattutto ai livelli più bassi di un impianto industriale è la-bile. Gli antivirus sono concepiti per l’utilizzo nei tipici am-bienti di lavoro come gli uffici ed il loro impatto sulle pre-stazioni dei sistemi di controllo è spesso non trascurabile.Tutto ciò spiega come sia complicato proteggere i sistemiindustriali dalle comuni minacce ICT. Tuttavia, questi pro-blemi possono essere facilmente risolti adottando strategieadeguate e revisionando la governance della cyber secu-rity dell’impianto industriale. In quest’ultimo anno, GCSECè stata molto attiva in questo campo e nei prossimi mesipubblicheremo una serie di best pratices e guidelines perla sicurezza dei sistemi industriali.Ma per quanto riguarda il malware come Stuxnet?Quello che sembra difficilmente risolvibile oggi è il pro-blema relativo ai malware progettati ad hoc per penetrarei sistemi industriali sfruttando le peculiarità dei loro proto-colli di basso livello e le vulnerabilità specifiche dei loro de-vices.Purtroppo il rilevamento di malware come Stuxnet da partedegli antivirus tradizionali non è banale. Le comuni tecnicheadottate dagli antivirus in genere cercano di individuare icomportamenti dannosi (utilizzando firme o modelli euri-stici); in altre parole gli antivirus sono dotati di modelli checercano di descrivere il comportamento di un attaccante ene ricercano le occorenze nel sistema che devono proteg-gere.In un ambiente estremamente complesso ed atipico comequello di un sistema industriale un approccio simile non fun-ziona. Ogni impianto è leggermente diverso dagli altri, ognisistema implementa processi leggermente diversi (a causadell’uso di attuatori e sensori differenti, ecc). Il risultato è che

ci sono innumerevoli diversi approcci che un malware (o unattaccante) può adottare per danneggiare un impianto.L’idea di utilizzare firme o euristiche per individuare com-portamenti sospetti è, da questo punto di vista, irrealizza-bile, visto che queste tecniche sono utilizzate per fornire unmodello di un comportamento di ciò che non si conosce(l’attaccante). Negli anni sessanta gli ingegneri hanno spe-rimentato lo stesso tipo di frustrazione quando cercavanodi garantire la safety dei sistemi critici: come sarebbe statopossibile fornire un modello di tutti i possibili incidenti cheavrebbero potuto verificarsi in un impianto per verificare laloro robustezza e sicurezza? Per rispondere a questa domanda, furono sviluppate tec-niche di Fault Analysis, mirate a studiare l’effetto di un gua-sto di un componente partendo dall’analisi del sistema daproteggere. Questa credo sia la chiave per la protezione deimoderni impianti industriali dalle minacce informatiche evo-lute: la vera conoscenza di come funziona il sistema, i pro-cessi industriali che vengono eseguiti nello stabilimento,l’identificazione degli stati critici indesiderati (cioè quali statidi un sistema possono portarlo ad uno stato instabile).Finché le soluzioni di cyber security non saranno in gradodi tener conto di tutto ciò, finché non saranno profonda-mente integrate nei processi industriali eseguiti dall’im-pianto ed in grado di comprendere e monitorare il com-portamento dell’impianto, sarà difficile garantire laprotezione completa dei sistemi industriali.Software di sicurezza in grado di comprendere i processi in-dustriali, di predire il comportamento del sistema chestanno proteggendo e, sulla base di questa conoscenza,identificare se il sistema sta andando verso uno stato cri-tico: questa è la sfida della prossima generazione di antivi-rus nel contesto industriale.

GLOBAL CYBER SECURITY CENTER

Information Security n° 15 novembre 201226

GLOB

AL CYB

ER SEC

URITY CE

NTER

Un nuovo episodio si aggiunge alla lunga scia di cyber-attacchi alle in-frastrutture critiche in Medio Oriente: il protagonista è un nuovo tipodi malware, Shamoon (detto anche “W32.Disttrack” o “W32.Era-seMBR”).Shamoon riporta la mente ai drammatici avvenimenti che hanno in-

teressato le infrastrutture critiche negli ultimi anni. Il primo episodio ha riguardatoStuxnet, il worm che due anni fa ha dimostrato le vulnerabilità dei sistemiSCADA. La sua complessità era insolita per un virus, poiché richiedeva una pro-fonda conoscenza dei processi industriali. Dopo Stuxnet è arrivato Duqu, checercava di raccogliere informazioni utili per attaccare sistemi di controllo indu-striale. Il suo scopo era infatti quello di “spiare” più che di prendere il controllodi un sistema o di danneggiarlo. Quest’anno è stata la volta di Flame e di Gauss,che condividevano parte del codice utilizzato e della struttura. Tutti questi at-tacchi hanno un comune denominatore: la loro complessità, tale da far capireche gli attacchi potevano essere stati progettati solo da un gruppo di esperti conampie risorse. Ed il Medio Oriente è sempre stato l’epicentro del contagio.Per questo, quando si è recentemente saputo che la compagnia petrolifera na-zionale dell’Arabia Saudita, Saudi Aramco, è stata colpita da un virus, il primopensiero è andato ai suoi predecessori. L’ipotesi nasce anche da alcune righedi codice trovate nelle cartelle in cui il malware si nasconde, che contengono leparole “Shamoon” (da qui il nome del virus) e “ArabianGulf”.Shamoon però, a differenza di Flame, Stuxnet e Duqu, non cerca di nascondere

Shamoon, un altro figlio

di Stuxnet?

Un nuovo malware riporta alla mente i drammatici avvenimenti che hannointeressato le infrastrutture critiche negli ultimi anni. Questo virus, a

differenza dei suoi predecessori, non cerca di nascondere la suapresenza. L’articolo ne illustra le caratteristiche e le funzionalità distruttive.

Maria Luisa PapagniAlmavivA/GCSEC – Global Cyber Security Center

Information Security n° 15 novembre 2012 27

la sua presenza: dopo aver completato i suoi task, per nonlasciare tracce, sovrascrive e cancella i file ed il Master BootRecord-(MBR), il settore del disco rigido che contiene la se-quenza di comandi e le istruzioni necessarie per l’avvio delsistema operativo, eliminando la tabella delle partizioni deldisco rigido installato sulle macchine infette.È raro trovare questo tipo di malware in attacchi mirati, per-ché dopo l’ attacco, la macchina è praticamente inutilizza-bile. I ricercatori di Seculert hanno scoperto che Shamoonè in realtà basato su due fasi di attacco: 1. L’attaccante prende il controllo di un dispositivo interno

che è direttamente collegato a Internet. Da qui vengonopoi infettati altri computer interni (anche non collegati di-rettamente a Internet).

2. Dopo che le macchine sono state infettate, gli attaccantirubano tutte le informazioni di cui hanno bisogno e suc-cessivamente viene avviato il “processo di pulizia”, checancella tutte le prove del furto di dati. Una volta fattoquesto, il Trojan invia al suo server di controllo un reportcon i dati rubati utilizzando la macchina inizialmente in-fettata.

In ogni caso, le macchine infette non sono più in grado diripristinare i dati: Shamoon è programmato per impedireche i dati distrutti possano essere recuperati dal disco rigidocancellato. In effetti, il malware sovrascrive i dati con unapiccola parte di una immagine JPEG presa da Internet e uti-lizza un driver di sistema per l’accesso di basso livello al di-sco rigido per ripulire il boot dei sistemi Windows.Secondo Kaspersky Lab, è interessante il fatto che il driverin questione sia firmato digitalmente con una chiave privataappartenente ad una società denominata EldoS Corpora-tion. Kaspersky ha dichiarato che il certificato digitale di El-doS era stato rubato o contraffatto per creare Shamoon, ilche implica un certo livello di abilità dei suoi autori.La reazione di Eugene Mayevski, Chief Technology Officerdi EldoS è stata immediata e nel suo blog si è scagliatocontro le dichiarazioni di Kaspersky: “Alcuni hacker nonidentificati hanno realizzato un malware che cancella i dischidelle vittime. Per far ciò hanno usato il nostro driver, pro-babilmente rubato da un software dei nostri clienti [...] Il mal-

ware è stato scoperto da diverse società di sicurezza. Solodue di loro, McAfee e Symantec, hanno correttamenteidentificato il driver come rubato da software legittimo. Ka-spersky Labs e altri cosiddetti esperti di sicurezza di altreaziende hanno concluso che gli hacker sono riusciti a ri-creare il driver e a firmarlo utilizzando una chiave privata dicrittografia rubata di EldoS Corporation; questo può con-fondere le persone ed indirizza l’analisi degli sviluppatori inuna direzione sbagliata”.In realtà, anche i ricercatori di Symantec e McAfee hannocercato di analizzare il malware. L’analisi di Symantec de-scrive le diverse componenti di Shamoon:1. Dropper: il componente principale ed origine dell’infe-

zione. Lancia una serie di altri moduli, tra cui il wiper e lecomponenti che creano il report. Crea il task per auto-eseguirsi ed un servizio, denominato “TrkSvr”, per av-viarsi ad ogni avvio di Windows.

2. Wiper: questo modulo è responsabile della funzionalitàdistruttiva del malware. Infatti è la componente desi-gnata a sostituire un driver esistente con un altro checonsente di leggere e scrivere i settori del disco. Inoltre,la componente wiper esegue una serie di comandi perraccogliere i nomi dei file che verranno sovrascritti e so-vrascrive il MBR del computer (che dunque non riusciràpiù ad avviarsi) utilizzando un’immagine JPEG di unabandiera degli Stati Uniti in fiamme.

3. Reporter: questo modulo ha la responsabilità di comu-nicare le informazioni all’attaccante. L’informazione èstrutturata come una richiesta HTTP GET e contiene datispecifici, quali l’indirizzo IP del computer infetto ed un nu-mero che indica quanti file sono stati sovrascritti.

Lo studio ha evidenziato che il boot-record del wiper, il dri-ver che consente alle applicazioni di leggere e scrivere neisettori del disco rigido, è usato per sovrascrivere l’MBR delcomputer, ma può essere utilizzato anche per scopi legit-timi!Comunque, i ricercatori di Symantec spiegano che datempo un malware non adottava la cancellazione di file per-sonali come tecnica di attacco. “Dieci anni fa eravamo abi-tuati a vedere minacce puramente distruttive come questa”,

GLOBAL CYBER SECURITY CENTER

dice Liam O’Murchu, ricercatore di Symantec, “E’ difficilerecuperare il disco [...] Servono professionisti IT con espe-rienza di servizi di recovery, che potrebbero sostituire ilMaster Boot Record o collegare il disco rigido ad un altrocomputer per accedere a quello danneggiato”.In ogni caso, da una nuova analisi del malware è emersoche gli autori sembrano essere solo “talentuosi dilettanti”.Il ricercatore di Kaspersky Lab Dmitry Tarakanov ha ana-lizzato attentamente il codice di Shamoon: l’analisi mostraun gran numero di errori banali, per esempio nel punto delcodice dove l’autore intendeva creare un path con la fun-zione “sprintf” ma invece di utilizzare la corretta stringa diformato “%s%s%d.%s”, ha utilizzato “%S%S%d.%s” conla “S” maiuscola. Questo causa un errore nella funzione“sprintf”, che impedisce la creazione di un path completo.La mancanza di un path completo significa che nessun fileviene eliminato. Così, il malware Shamoon non ha alcunapossibilità di eseguire altri programmi. Inoltre, “il fatto di averutilizzato una foto di una bandiera degli Stati Uniti data allefiamme dimostra che probabilmente la creazione del mal-ware ha uno scopo politico. Volevano che il malware fossetrovato”. Il ricercatore ha poi concluso: “Abbiamo altri indiziche ci fanno credere che gli autori del malware Shamoonnon siano programmatori di alto profilo e la natura dei loroerrori confermano l’idea che siano dei dilettanti, seppurabili”.Quindi, Shamoon sembra essere meno sofisticato di Flame,Stuxnet o Duqu. La modalità di diffusione e la presenza di

errori evidenti nel codice sorgente suggerisce che si trattadi un lavoro amatoriale, di organizzazioni non governativee con mezzi limitati, probabilmente di gruppi isolati di atti-visti che hanno come obiettivo vandalismo e rappresaglia.Ma la natura rudimentale di questo malware non ha osta-colato la sua efficacia, dal momento che è ancora in gradodi eludere i sistemi anti-virus e causare ingenti danni e per-dite di dati alle vittime. Saudi Aramco, la prima vittima diShamoon, ha annunciato che circa 30 mila sistemi infettisono stati ripristinati il 25 agosto, macchine appartenentialla rete interna ma sganciate dai sistemi dedicati all’estra-zione e alla raffinazione del petrolio greggio. Almeno tre diversi gruppi di hacker hanno rivendicato la re-sponsabilità dell’attacco a Saudi Aramco, tra cui un gruppoprima sconosciuto chiamato “Cutting Sword of Justice”.Con un post su di un bulletin board, il gruppo ha rivendicatola propria responsabilità ed ha dichiarato che Saudi Aramcoè stata presa di mira per il sostegno del governo saudita alle“misure oppressive” in Oriente e per i “crimini e le atrocitàche si svolgono in vari paesi del mondo, soprattutto neipaesi limitrofi come Siria, Bahrein, Yemen, Libano ed Egitto”.La compagnia petrolifera ha dichiarato di non essere statal’unica vittima di questo tipo di intrusioni, e prevede la pos-sibilità che in futuro qualcuno tornerà a colpire, o almeno aprovarci. Infatti, sembra che Shamoon sia stato coinvoltoin un attacco simile a RasGas, un’impresa di gas naturaleche opera in Qatar, ma la notizia deve ancora essere con-fermata.

GLOB

AL CYB

ER SEC

URITY CE

NTER

Alessio ColettaGCSEC

Il settore ICT, gli operatori di telefonia mobile e gli istituti bancari guardanoalla tecnologia NFC come ad una possibile rivoluzione nei sistemi dipagamento e, nel futuro, svilupperanno soluzioni e opportunità perdispositivi NFC che potranno sostituire contanti e carte di credito

NFC o la rivoluzione dei sistemi di pagamento

Il mondo ICT tende sempre a promuovere fortemente qualche nuova tecnolo-gia: in questo momento è la volta del Near Field Communication (NFC), checonsente a smartphone e simili di scambiarsi dei dati in modalità wireless. A differenza di altre soluzioni wireless (come Wi-Fi e Bluetooth), NFC permettedi comunicare solo nel raggio di pochi centimetri. In altre parole, due disposi-

tivi abilitati NFC possono comunicare solo se quasi si toccano l’un l’altro. Però la definizione di NFC non aiuta a capire perché il settore ne è così entu-siasta.La vera svolta consiste nel modo in cui i dispositivi con NFC possono essere uti-lizzati. Le modalità di funzionamento sono tre. In primo luogo, i dispositivi NFC possono comunicare e scambiarsi informazioniin una rete peer-to-peer. Questo significa che due smartphone possono scam-biarsi foto, video, contatti, ecc semplicemente toccandosi, senza utilizzare al-cuna infrastruttura di rete. Molto utile, ma è una funzionalità già disponibile, adesempio con il bluetooth.La seconda modalità di funzionamento fa agire un dispositivo NFC come un let-tore di altri dispositivi NFC e RFID (Radio Frequency IDentification). La maggiorparte dei tag RFID passivi sono piccole etichette adesive (senza batteria) con-tenenti informazioni relative agli oggetti a cui sono attaccate. Possono essereutilizzati in varie applicazioni che vanno dalla logistica alla sicurezza, alla demo-tica, e così via. Inoltre, un lettore NFC può interagire con le carte di pagamentocontactless, cioè normali smart card dotate di una piccola antenna che con-

GLOBAL CYBER SECURITY CENTER

29Information Security n° 15 novembre 2012

Information Security n° 15 novembre 201230

GLOB

AL CYB

ER SEC

URITY CE

NTER

sentono di effettuare un pagamento senza inserire né stri-sciare la carta. Anche in questo caso nulla di veramentenuovo.La terza modalità di funzionamento è sicuramente la più in-teressante per l’industria delle TIC e per gli istituti bancari.Questa modalità permette ad uno smartphone (o un di-spositivo analogo) di comportarsi come un tag RFID o, cosaancora più interessante, come una carta contactless. Ciò significa che la tecnologia NFC può fare da ponte tragli smartphone ed il pagamento contactless. I telefoni cel-lulari sono probabilmente l’unico gadget elettronico che tuttisi portano sempre dietro e molte aziende hanno intravistouna grande opportunità di business nell’utilizzo dello smar-tphone al posto del denaro contante. Allo stesso modo, idispositivi NFC possono essere utilizzati per il trasportopubblico o qualsiasi tipo di programma di fidelizzazione.La diffusione del pagamento NFC è fortemente legata alladiffusione dei dispositivi abilitati alla tecnologia NFC. Alcunivendors sono già riusciti a vendere diversi milioni di smar-

tphone NFC. Samsung e altre aziende sembrano essere di-sposte a spingere la tecnologia NFC, con il pieno supportoa Google Android e sistemi operativi Microsoft WindowsPhone. Mentre il nuovo smartphone di Apple, che dovrebberappresentare una grossa percentuale di cellulari venduti neiprossimi mesi, non supporta alcuna funzionalità NFC. Levere ragioni alla base di questa decisione non sono chiaree sono oggetto di diverse ipotesi e speculazioni.Tuttavia, i pagamenti NFC non richiedono necessariamentedispositivi abilitati con NFC per funzionare. Infatti, esistonoalcune schede SIM e schede microSD con chip NFC inte-grato e antenna. Queste soluzioni dovrebbero estendere lefunzionalità di pagamento contactless anche ai telefoniche non sono dotati di NFC. Tuttavia, non si sa quanto que-ste soluzioni possano avere successo, quindi la diffusionedei dispositivi NFC è ancora essenziale per gli ecosistemibasati su NFC.In Italia, Vodafone ha lanciato Smart Pass NFC, un sistemadi pagamento contactless utilizzabile nei negozi dotati di ter-

Information Security n° 15 novembre 2012 31

minali MasterCard PayPass basato su smartphone abilitaticon NFC.Allo stesso modo, Poste Italiane ha recentemente annun-ciato un nuovo sistema di pagamento contactless che in-tegra la tecnologia NFC con la SIM PosteMobile. Le solu-zioni combina i servizi di telefonia mobile del gruppo PosteItaliane con i servizi bancari BancoPosta dello stessogruppo. Da dicembre, i clienti saranno in grado di pagarenegli uffici postali tutti i servizi postali fino ad un importo di25 euro, senza necessità di inserire il pin. In seguito, Telecom, Vodafone, Wind, Tre Italia (H3G) ePosteMobile hanno annunciato una piattaforma comuneper le micro-transazioni destinata alle banche, ai trasportipubblici e ad altri fornitori di servizi. Siamo in attesa dei det-tagli.La corsa allo sviluppo di soluzioni di pagamento basate suNFC non si svolge solo in Italia. Google ha lanciato GoogleWallet, un sistema di pagamento che sfrutta la tecnologiaNFC degli smartphone e che può essere associato ad unacarta di debito o credito emessa negli USA. Il servizio non è una novità per i clienti degli Stati Uniti, maa partire dal mese di agosto 2012 Google Wallet può es-sere utilizzato in qualsiasi negozio dotato di MasterCardPayPass. In altre parole, qualsiasi smartphone NFC asso-ciato ad un account Google Wallet può comportarsi comeuna carta contactless MasterCard.È assai probabile che i pagamenti contactless basati suNFC per micro-transazioni si diffonderanno ampiamente neiprossimi mesi. Una domanda legittima è quanto queste so-luzioni siano sicure e la risposta non è semplice.Per fortuna, non è necessario inventarsi da zero soluzionisicure per pagamenti NFC, perché la maggior parte dellecomunicazioni si basa su protocolli cifrati già utilizzati nellenormali ‘smart card’. Questi protocolli per ora si sono di-mostrati sufficientemente sicuri. Tuttavia, vi sono alcuni nuovi aspetti che portano una certapreoccupazione.In primo luogo, i sistemi ‘tap & pay” non richiedono PIN,quindi sono meno sicuri. Tuttavia, l’inserimento del PINpuò essere evitato solo per piccole transazioni, a volte incombinazione con un tetto massimo giornaliero. Così, le or-ganizzazioni criminali dovrebbero ‘sfruttare’ molte transa-

zioni di molti clienti, che è scomodo o impraticabile.In secondo luogo, la comunicazione NFC funziona a solipochi centimetri di distanza. Questa distanza limitata rendedifficile effettuare attacchi side-channel, intercettazioni e lo‘sniffing’ di informazioni. Alcune tecniche di attacco sono ingrado di estendere la distanza di funzionamento del di-spositivo NFC utilizzando un paio di smartphone che co-municano attraverso un’altra rete. Tuttavia, queste tecnichesono abbastanza impraticabili, soprattutto perché un at-taccante ha bisogno di stare fisicamente molto vicino allavittima, talmente vicino da instillare sospetti.Dal punto di vista tecnico, è importante focalizzare il co-siddetto elemento sicuro, cioè il software che gestisce i pro-tocolli cifrati e l’archiviazione delle chiavi utilizzate nei pa-gamenti. Fino ad ora, l’elemento sicuro è sempre statoinserito all’interno del chip della smart card. Una smart card viene prodotta in ambienti molto sicuri edaffidabili ed utilizza applicazioni conosciute solo in quegliambienti. Però, alcune soluzioni per smartphone NFC si ba-sano su applicazioni scaricate e che rendono possibile si-mulare il comportamento di una carta di pagamento. Que-sto può aumentare il livello di rischio perché i sistemioperativi degli smartphone sono generalmente consideratinon sicuri, per questioni sia giuridiche che tecniche (anchea causa della presenza di virus). Assicurare lo stesso livellodi sicurezza delle smart card per le applicazioni in esecu-zione nei sistemi operativi degli smartphone potrebbe es-sere una sfida per i sistemi come Google Wallet. Invece, le soluzioni basate su SIM fornita dagli operatorimobili hanno minori problemi di sicurezza, poiché le SIMsono prodotte in ambiente sicuro, così come le carte di pa-gamento.Il settore ICT, gli operatori di telefonia mobile e gli istituti ban-cari guardano alla tecnologia NFC come ad una possibilerivoluzione nei sistemi di pagamento e, nel futuro, svilup-peranno soluzioni e opportunità per dispositivi NFC che po-tranno sostituire contanti e carte di pagamento. Le variabili sono ancora diverse, come la diffusione effettivadi dispositivi NFC ed i problemi di sicurezza. L’unica pos-sibilità per gli esperti di sicurezza è aspettare che il mercatocresca e tenere gli occhi aperti sulle soluzioni proposte eadottate.

Dal punto di vista tecnico, è importante focalizzare il cosiddettoelemento sicuro, cioè il software che gestisce i protocolli cifrati e

l’archiviazione delle chiavi utilizzate nei pagamenti. Fino ad ora, l’elemento sicuro è sempre stato inserito all’interno

del chip della smart card

GLOBAL CYBER SECURITY CENTER