Con la corsa all'implementazione di sistemi di fornitura elettrica sempre più intelligenti in ogni parte del mondo, la protezione diventa un fattore di primaria importanza. Nonostante esistano pochi standard in materia di sicurezza delle smart grid, molte aziende di pubblica utilità hanno dato il via all'implementazione di sistemi IT per raccogliere e analizzare i dati, di infrastrutture di comunicazione per distribuirli e di contatori o sistemi di monitoraggio dello stato della grid per produrre dati raw. La sicurezza è stata un problema negli ultimi anni e ad oggi c'è ancora molto lavoro da fare, soprattutto per proteggere i cosiddetti "end point", ovvero dispositivi come i contatori e i sensori di rete.
Le minacce
Le principali minacce contro la smart grid si suddividono in due grandi categorie. La prima è costituita delle minacce individuali. In questo caso, l'hacker manipola i dati della smart grid a proprio favore, magari per ridurre l'importo della bolletta o per nascondere attività illegali associate alla produzione di sostanze stupefacenti. Con una minaccia individuale non si intende interrompere la gestione della rete elettrica per altri, ma piuttosto favorire la posizione di un singolo individuo o un gruppo. La seconda categoria, rappresentata dalle minacce societarie, include attività volte a compromettere il funzionamento della rete elettrica, come ad esempio un attacco all'azienda di pubblica utilità (una lettura dei consumi energetici nettamente inferiore al consumo effettivo sull'intera rete potrebbe causare un dissesto finanziario) o alla società in generale (ad esempio in caso di attacco terroristico dove la rete elettrica viene messa fuori servizio e i clienti rimangono senza corrente). Senza elettricità si verificherebbe una perdita economica e produttiva; inoltre, negli ambienti esposti a temperature estreme la vita umana verrebbe messa realmente in pericolo.
Il punto debole
Un hacker valuta in genere l'intera rete per determinare il miglior punto da dove attaccare, ovvero il luogo in cui è possibile ottenere il risultato desiderato con il minore investimento e con il minor rischio possibile. Torniamo ora al modello "da utility a end point" relativo ad entrambi gli scenari di minaccia per vedere come un hacker può raggiungere gli obiettivi che si è prefissato.
• Minaccia individuale - Nel caso volesse ridurre la bolletta dell'elettricità, l'hacker potrebbe infiltrarsi nella sala di comando e modificare i dati registrati dal suo contatore. Potrebbe anche intercettare le comunicazioni relative ai dati sul consumo inoltrate all'utility oppure alterare il firmware sul suo contatore affinché questo registri un consumo inferiore.
• Minaccia societaria - Nel caso di un terrorista che intende interrompere il flusso di elettricità limitandolo a un numero minimo di utenti, l'hacker potrebbe infiltrarsi nella sala di comando e disconnettere in remoto un determinato numero di contatori oppure interrompere la fornitura elettrica in alcune sottostazioni. L'hacker potrebbe anche impartire istruzioni al bus di comunicazione in modo che questo invii comandi in tal senso, nonché assumere il controllo dei contatori e programmarli per l'attivazione dei loro relè di disconnessione remota o gestire i sensori affinché questi inoltrino dati falsi all'utility, inducendo l'azienda a credere che sia necessario disconnettere alcuni segmenti di rete.
Con il modello "utility-end point", entrambi i tipi di minaccia possono essere messi in atto contro le principali porzioni della rete (sala di comando, rete di comunicazione ed end point). Se da un lato una maggiore sicurezza potrebbe offrire una serie di vantaggi in tutti e tre i segmenti, dall'altro è necessario eseguire un processo pratico per identificare e risolvere i punti deboli. Questo è quello che faranno gli hacker nostri avversari: individuare il punto di accesso più facile per raggiungere l'obiettivo, ovvero il punto debole nella smart grid.
Consideriamo ora i tre principali segmenti della rete dal punto di vista di un hacker. Con un attacco ben riuscito alla sala di comando, l'hacker assumerebbe il pieno controllo sulla grid. Tuttavia, si tratta di un attacco ad alto rischio. Le sale di comando sono in genere ben protette, spesso sottoposte a un buon controllo degli accessi e a procedure di autenticazione simultanea. Inoltre, nascondere l'attacco sarebbe estremamente difficile: se l'hacker non viene intercettato dal personale della sala di comando, egli verrà comunque ripreso dalle telecamere di sicurezza. Per contrastare un attacco all'interno della sala di comando, molte utility implementano una serie di procedure al fine di evitare che una persona possa apportare modifiche in grado di compromettere il funzionamento della rete elettrica. Ogni azione deve essere autorizzata da più persone: ciò significa che l'hacker dovrebbe servirsi di più complici all'interno dell'azienda. A cosa punta quindi l'hacker? Al canale di comunicazione. Oggi la sicurezza delle smart grid è incentrata principalmente sul canale di comunicazione e la maggior parte dei sistemi implementati utilizza potenti tecnologie di crittografia per proteggere i dati e i comandi in transito tra gli end point e i centri di comando dell'utility. Per un attacco ben riuscito del canale di comunicazione è necessario scoprire la codifica segreta o le chiavi di autenticazione. Se sono affidabili, i protocolli di comunicazione pubblici non condividono le chiavi segrete. Di conseguenza un hacker deve individuare le chiavi segrete dall'utility/dall'end point oppure forzare lo schema di crittografia/autenticazione del canale. La prima opzione non è un vero e proprio attacco al canale, ma piuttosto un attacco agli altri componenti principali della rete. Allo stesso modo, un attacco forzato come da seconda opzione non porta necessariamente a dei risultati. Gli algoritmi di crittografia comuni come l'Aes-128 sono computazionalmente inattuabili nell'ottica di un attacco forzato: ciò significa che ci vorrebbero anni (o decenni) per individuare tramite computer super veloci i dati delle chiavi segrete. A questo punto agli hacker non resta che passare agli end point della smart grid, ovvero ai contatori o ai sensori dello stato della rete. Questi dispositivi richiamano l'attenzione dell'hacker poiché non sono ben sorvegliati, sono sparsi in più punti lungo il perimetro dell'edificio o sono collegati a cavi di trasmissione remota. Rientrano in questa categoria anche i concentratori di dati, in quanto spesso non sono protetti. Con questo livello di vulnerabilità, l'hacker ha la possibilità di mettere a punto e provare diversi attacchi. Benché gli end point siano sotto tensione, difficili da raggiungere (ad esempio su una linea di trasmissione aerea) e potenzialmente pericolosi, gli hacker possono prendere delle precauzioni per evitare lesioni personali. Gli end point come i contatori sembrano apparentemente più accessibili per gli hacker. Ma come viene sferrato un attacco agli end point?
L’attacco al contatore
Quanto descritto di seguito si riferisce a qualsiasi end point nella smart grid con funzionalità di comunicazione, anche se nello specifico verranno presi in considerazione solo i contatori. In caso di minacce individuali, l'hacker farebbe meglio ad attaccare direttamente il contatore con l'obiettivo di modificare il meccanismo di rilevamento della corrente per far sembrare che venga consumata in minore quantità oppure alterare l'utilizzo di corrente tramite un processo di reverse-engineer a livello software. L'attacco societario potrebbe iniziare in modo simile, con l'hacker che studia il contatore per capire come funziona. L'obiettivo però è di livello superiore: l'hacker intende infatti estrarre le chiavi crittografiche, eseguire il reversing del protocollo di comunicazione e riprogrammare il contatore. In caso di attacco ripetibile, potrebbe riprogrammare una serie di contatori in modo che registrino consumi inferiori oppure scollegarli contemporaneamente a una determinata ora/data. Di fronte a tali minacce, cosa si può fare per proteggere gli end point della smart grid? La tecnologia di protezione integrata specifica per ambiti quali le transazioni finanziarie e le applicazioni governative è un'ottima soluzione per contrastare gli attacchi che colpiscono i singoli contatori. Questa tecnologia integra uno strumento in grado di fermare sia gli attacchi fisici che mirano al controllo o all'ispezione di un sistema integrato sia gli attacchi logici condotti per analizzare la memoria, le applicazioni o i protocolli in esecuzione su un sistema integrato.
I prodotti integrati con meccanismi di rilevamento degli attacchi fisici rilevano quando un sistema viene compromesso. Questi prodotti utilizzano sensori fisici quali interruttori case open, interruttori ciechi, rilevatori di movimento e sensori ambientali per individuare gli attacchi. Quando viene rilevata una minaccia, il contatore può ad esempio provare a mettersi in contatto con l'utility oppure cancellare le chiavi crittografiche segrete (sarebbe meglio cancellare queste chiavi piuttosto che esporle agli attacchi di un hacker). Esistono anche tecniche logiche per evitare gli attacchi ai contatori. Le memorie su chip possono essere bloccate e codificate in modo che un hacker abbia difficoltà a leggere il software o ad eseguirne il reversing. Anche i boot loader possono bloccare il dispositivo al momento della produzione per evitare che l'hacker non possa caricare sul contatore una versione non autorizzata del software. Le tecniche per la protezione dei contatori possono anche mitigare un'eventuale minaccia societaria. In caso di estrazione di una chiave del contatore, i contatori con chiavi di crittografia univoche impediscono che l'hacker scopra la chiave successiva. Considerando la complessità nell'estrarre una singola chiave segreta (con le protezioni fisiche e logiche appena menzionate), è sempre più difficile che la minaccia societaria contro un numero elevato di contatori vada a buon fine.
L’attacco alla supply chain
Per ridurre il rischio associato alle minacce societarie contro i contatori e la smart grid è possibile implementare alcune tecnologie di protezione integrata. Occorre tuttavia concentrare l'attenzione sull'intero ciclo di vita e non solo sugli attacchi ai contatori. L'ambiente di produzione è uno dei luoghi più rischiosi per la proprietà intellettuale, che si consideri la tradizionale minaccia di furto dal sito di produzione off-shore o il fatto che la produzione on-shore (oppure on-site) sia gestita da tecnici sottopagati soggetti al social engineering. In questo ambiente l'IP può essere rubato per uno studio di ingegneria inversa. Ma non solo: è anche possibile implementare a livello dei prodotti un IP nuovo e pericoloso. Un hacker potrebbe eseguire il reversing del software del contatore e installare un virus per attivare la disconnessione remota, interrompere la comunicazione del contatore, cancellare la sua memoria interna a una determinata data/ora e sostituire l'IP nel flusso di produzione. L'effetto sarebbe devastante e si estenderebbe a milioni di utenti, con conseguente interruzione della fornitura di elettricità. Per risolvere la situazione, i contatori dovrebbero essere ripristinati singolarmente o sostituiti. Ciò richiederebbe settimane o mesi, nonché costi elevatissimi.
I sistemi di protezione integrata possono ridurre le minacce tramite funzionalità quali i boot loader, le memorie protette e la gestione del ciclo di vita. È possibile utilizzare un boot loader protetto per caricare solo le versioni crittografate del software del contatore; il progettista del contatore o il fornitore del software può inviare l'applicazione crittografata al sito di produzione, mentre il boot loader nel microcontrollore di sistema può decodificare e memorizzare l'applicazione. Le memorie protette (interne o esterne) possono anche memorizzare il codice dell'applicazione in forma crittografata, rendendo impossibile la lettura dei contenuti applicativi, la copia o il reversing. Le funzionalità sicure del ciclo di vita possono essere utilizzate per convalidare la supply chain. I produttori di apparecchiature al silicio possono bloccare i dispositivi in modo che solo un cliente possa sbloccarli e installare il codice. I produttori Oem di contatori possono invece bloccare il contatore in modo che solo l'utility preposta possa sbloccarlo e utilizzarlo. Con l'aumento del livello di sicurezza della supply chain, si riduce la minaccia di attacchi societari ai contatori.
L’importanza della protezione
Non esiste una soluzione di sicurezza perfetta per la smart grid. La sicurezza perfetta implica tempi lunghi ed elevati costi di sviluppo. È tuttavia possibile sfruttare alcune tecniche e tecnologie mutuate dal settore delle transazioni finanziarie e delle applicazioni governative per garantire un livello superiore di sicurezza fisica e logica negli end point integrati della smart grid. Le minacce, gli attacchi e i metodi per ridurre i rischi presentati in questo documento non offrono un'analisi completa delle lacune a livello di sicurezza presenti nella smart grid. Con questo articolo si intende infatti sottolineare l'importanza di proteggere gli end point come i contatori nel caso di minacce alla smart grid. Proteggendo i contatori e altri end point tramite meccanismi sicuri a più livelli, gli hacker dovranno concentrare i loro sforzi altrove.