Torna alle news
7 giugno 2016

Sicurezza web scada

L’attacco “Man In the Browser”

MItB (Man In the Browser) è un attacco insidioso rivolto ai browser Internet, capace di violare anche l’autenticazione forte a due fattori.

L’attacco viene effettuato infettando il browser (API Hooking) o molto più facilmente i suoi plug-in. Grazie a questa iniezione di codice l’attaccante è in grado di intercettare il contenuto della conversazione tra il browser e il web server e di alterarlo a piacimento, prima che venga criptato. È un attacco simile al Man-in-the-Middle, e a nulla vale la trasmissione sicura dei dati (https).

L’infezione può arrivare attraverso diversi canali (ad esempio email malevole o di phishing, vulnerabilità della rete, etc.) che installano un Trojan Horse, cioè il codice malevolo che monitorizza di nascosto le attività svolte sul browser.

Nel caso di una transazione finanziaria, ad esempio di un bonifico, l’attaccante può intercettare l’ordine di pagamento, alterarne l’importo e dirottarlo su diverso conto corrente e successivamente alterare la risposta ricevuta dal server della banca, mostrando così al client l’importo e il beneficiario originali. In questa maniera l’utente non si accorge immediatamente di essere stato derubato. I dati vengono alterati prima di essere presentati o inviati.

Il controllo di autenticazione forte si basa su qualcosa che l’utente conosce (user e password) e qualcosa che solo l’utente possiede (il dispositivo OTP che genera password usa e getta): con le credenziali il sistema autentica l’utente e con il codice emesso dall’OTP si assicura dell’identità. Il web server riconosce così l’utente e da quel momento scambia dati basandosi su un rapporto di fiducia. Ma ovviamente entrambe le parti non possono accorgersi se i dati sono stati alterati.

Quali effetti su un sistema web scada?
Ovviamente un sistema SCADA non tratta transazioni finanziarie, cui è principalmente rivolto l’attacco MIBT, ma le stesse tecniche potrebbero essere utilizzate per attaccare sistemi web scada che controllano strutture di pubblica utilità o critiche. Un attacco al sistema web scada potrebbe comportare:

  • Furto di credenziali (per autenticazione a un solo passo)
  • Esecuzione di comandi indesiderati
  • Presentazione alterata di stati e misure
  • Mascheramento di allarmi
  • Furto di informazioni di produzione e di ricetta

Quali rimedi?
Purtroppo i software anti virus hanno poche possibilità di intercettare questo tipo di Trojan Horse, in quanto i dati vengono alterati a livello di presentazione e non ci sono indicazioni di manipolazione.

Un rimedio possibile è quello di eseguire il browser su distribuzioni Live di Linux o di Windows, ospitate ad esempio su di una chiavetta di memoria o su un CD/DVD. Sono installazioni pulite e nel caso di cd/dvd non alterabili. Ovviamente queste installazioni richiedono il boot della macchina virtuale o fisica che li ospita.

È inoltre raccomandato l'utilizzo di browser senza supporto ai plug-in, in quanto le estensioni sono più facilmente attaccabili da MItB. Microsoft Edge e Google Chrome (dalla versione 42) hanno terminato il supporto ai plug-in e possono mitigare meglio i pericoli di infezione.

X Vision web scada di Crickets
X Vision web scada è stato progettato ponendo la sicurezza al primo posto.
La sua particolare architettura - basata su tecnologie standard W3C (Html5, SVG, Java script) - non richiede browser con supporto per i plug-in e non dipende dal sistema operativo. Per questo X Vision web client può essere eseguito anche sui browser più sicuri quali i nuovi MS Edge e Google Chrome, capaci di mitigare meglio i pericoli MItB del web.


Per ulteriori informazioni contattare il supporto tecnico di Crickets Automation.