Cyberwarfare e danni ai cittadini (di Stefano Mele)
Short Description
Cyberwarfare e danni ai cittadini...
Description
2
Cyberwarfare e danni ai cittadini
Stefano Mele
[ settembre 2010 ]
3
Sommario
1.0 Introduzione ..............................................................................................................................
5
2.0 Un conflitto virtuale con danni reali ..........................................................................................
9
3.0 Dati ed elementi statistici della minaccia ..................................................................................
14
4.0 Conclusioni ................................................................................................................................
16
Note biografiche ...............................................................................................................................
18
4
1.0 Introduzione
Per analizzare i danni reali che un’ipotetica cyber-war o dei singoli atti di cyberwarfare potrebbero causare sui cittadini di una nazione soggetta ad un attacco, è fondamentale partire da alcune “riflessioni” utili a comprenderne appieno il fenomeno e i relativi risvolti pratici. La prima di queste è certamente legata alla difficoltà di individuare il confine, peraltro nel cyber-spazio realmente molto sottile, tra comuni criminali informatici e i c.d. “cyber-warriors”, intendendo con questo termine quei soggetti con elevate skills tecniche pagati da uno Stato per commettere azioni di cyberwarfare. Questo perché, fondamentalmente, un’azione di cyberwarfare è spesso del tutto identica – tecnicamente parlando – a quella che potrebbe porre in essere sulla Rete un comune criminale: cambiano infatti solo gli scopi (a volte nemmeno i bersagli) e il committente. La classica quadri-partizione delle azioni illecite nel mondo informatico, riportata di seguito, è pertanto, nei fatti, solo meramente teorica.
Attori statali
Spionaggio industriale
Cyberwarfare
Sicurezza nazionale
Benessere economico Crimini informatici
Cyber-terrorismo
Attori non-statali
Tra l’altro, com’è ormai noto, non è inusuale che anche i Governi “peschino” proprio nel mondo dei criminali informatici – più o meno organizzati – per portare a termine una singola operazione di cyberwarfare, ovvero per rinforzare i propri “ranghi” di attacco. Questo è vero in special modo nei casi in cui il soggetto da “reclutare” sia capace non solo di usare gli strumenti (tools) rintracciabili in Rete, quanto soprattutto di crearne di propri ad hoc per ogni specifica penetrazione/manomissione dei sistemi di sicurezza del bersaglio e di individuare nuovi bug (i c.d. zeroday1) nei software maggiormente utilizzati tanto dai Governi quanto dagli utenti, al fine di evitare che i sistemi di difesa abbiano già nei loro database la “signature” dell’attacco e, di conseguenza, l’azione venga agevolmente scoperta. Inoltre, occorre considerare che alcune tipologie di azioni illecite, magari anche solo quelle meno “delicate” per il Governo, possono essere date direttamente in “appalto” a specifiche società private o gruppi criminali, finanche stranieri e senza alcuna connessione geopolitica con gli avvenimenti che porteranno alla cyber-war, prevedendo, come ulteriore elemento di sicurezza, l’utilizzazione di intermediari sia per l’aggancio della società o del gruppo criminale che per la trattativa, in modo da rendere ancora più semplice e immediata la smentita pubblica in caso d’identificazione dell’attacco elettronico (prassi ormai comune e consolidata). Da queste prime riflessioni discende che, oltre alla ben nota e agevole possibilità di restare completamente anonimi in un conflitto che per le sue caratteristiche si combatte a volte nell’arco di poche decine di minuti, il problema dell’attribuzione della responsabilità dell’attacco nasce non solo da elementi tecnico-strutturali della Rete, quant’anche dalla materiale impossibilità di dare non solo un “volto” all’autore, ma anche un’attendibile collocazione geografica certa e precisa dell’attaccante2. E’ utile inoltre evidenziare, seppure come mero accenno, che nella stragrande maggioranza dei casi le penetrazioni e ancor più le manomissioni dei sistemi elettronici critici per la sicurezza nazionale siano avvenute e avverranno sempre nella più completa segretezza3. Semmai, del successo dell’operazione di attacco e della manomissione dei sistemi elettronici lo Stato bersaglio 1
C’è da rimarcare però come, in un recente studio sul fenomeno e sulla rilevanza che i c.d. zeroday hanno realmente nell’ecosistema dei computer crimes, soltanto una minima e quasi irrilevante parte degli attacchi è portata a termine sfruttando questo genere di falle, laddove, invece, la maggior parte delle violazioni dei sistemi informatici vengono attualmente effettuate attraverso l’utilizzo di bug ben conosciuti e non corretti con le opportune patch. Per approfondire, si veda DANCHO DANCHEV, “Seven myths about zero day vulnerabilities debunked”, su http://www.zdnet.com/blog/security/seven-myths-about-zero-day-vulnerabilitiesdebunked/7026?tag=mantle_skin%3Bcontent 2 Il Generale Michael Hayden, ex direttore dell’NSA, durante un intervento alla conferenza Black Hat, ha affermato che è in fase di discussione e valutazione presso il Governo americano una soluzione al problema dell’attribuzione in caso di atti di cyber-warfare, fondata sull’evitare di ricercare un “volto” preciso (statale o non-statale) ad uno o più attacchi informatici portati contro l’America, considerando le nazioni direttamente responsabili per le attività dannose provenienti dal proprio “cyber-spazio”. 3 Il Wall Street Journal, però, nell’aprile del 2009 ha svelato che spie cinesi e russe hanno già da tempo violato i sistemi elettronici delle reti elettriche nazionali degli Stati Uniti (le c.d. electricity grid), installando al loro interno programmi azionabili da Internet capaci di disattivarle e/o distruggerle in pochi minuti. L’articolo può essere consultato qui: http://online.wsj.com/article/SB123914805204099085.html
6
se ne potrà accorgere solo nel caso dello scoppio reale di una cyber-war o comunque nel momento in cui venga attuato un atto di cyberwarfare e, dunque, dovranno essere utilizzate le “cyber-weapons” precedentemente predisposte dall’avversario. Un ulteriore elemento di riflessione deve essere portato in quest’analisi dalla considerazione che l’anello più debole della sicurezza dei sistemi elettronici è sempre stato – e per lungo tempo ancora sarà – l’uomo. E questo sia sotto un profilo prettamente intenzionale o “doloso”, che meramente “colposo”. Infatti, per quanto un sistema possa essere (realmente?) “blindato” da qualsiasi attacco esterno, è ben possibile – se non altamente probabile – che dipendenti infedeli possano manomettere dall’interno le reti e i sistemi protetti, installando “malware” e/o modificando i “settaggi” (le regole) di sicurezza, agevolando così l’accesso dall’esterno. Infondo la storia dello spionaggio è piena di traditori4 e doppiogiochisti; non è plausibile, pertanto, aprioristicamente ipotizzare che proprio nel settore della sicurezza informatica non ce ne possano essere 5. Diversa, ma non meno pericolosa, è anche l’ipotesi puramente casuale in cui la scarsa attenzione del personale interno o la sua inadeguata cultura della sicurezza, ovvero l’assunto (errato) che una rete, ritenuta “inviolabile” dall’esterno, possa comunque essere configurata al suo interno in maniera più fruibile ed “elastica” possibile, può portare ad una compromissione completa dei sistemi di sicurezza. E’ quanto, ad esempio, è avvenuto nel 2008, quando in un pendrive usb è stato copiato un documento infettato da un malware proveniente dalla rete non riservata (NIPRNET) del DoD americano e, una volta inserito il pendrive e aperto il file infetto in un computer collegato alla rete riservata (SIPRNET), il software malevolo si è propagato in maniera incontrollabile, infettando in poche ore centinaia di terminali in Afghanistan, Iraq, Qatar e ovviamente nel Centro di Comando americano6. 4
Per esempio, basti pensare che l’agente dell’FBI Robert Philip Hanssen, in 22 anni di tradimento (dal 1979 al 2001) e di spionaggio a favore del Governo russo, è riuscito a fotocopiare e a vendere poche centinaia di pagine di documenti riservati, rischiando in prima persona e scontando attualmente l’ergastolo con 23 ore al giorno di isolamento. Attraverso la rete Internet e la digitalizzazione dei documenti, invece, viene meno non solo il rischio di essere personalmente scoperti durante l’atto criminoso, quanto, soprattutto, è possibile sottrarre svariate migliaia di pagine di documenti riservati in un colpo solo e con estrema facilità. Emblematica è, di recente, la vicenda Wikileaks sull’Afganistan, nella quale sono stati resi pubblici oltre 92.000 documenti confidenziali, e quella del giovane analista dell’intelligence americana, il soldato di prima classe Bradley Manning, accusato di aver reso pubblico, sempre attraverso il portale Wikileaks, un filmato che documenta un’azione militare dell’esercito USA in Iraq e di averlo trasmesso a una terza parte non governativa. 5 Le vicende segnalate nella precedente nota hanno costretto il DARPA (Defense Advanced Research Projects Agency) a sviluppare nell’arco di un mese un programma, denominato CINDER (Cyber Insider Threat), attraverso il quale provare ad arginare la fuga di informazioni riservate da parte degli interni al settore della Difesa americana monitorandone costantemente la ricerca, l’indicizzazione e la copia elettronica. Maggiori informazioni su questo interessantissimo progetto possono essere ricavate dal sito https://www.fbo.gov/index?s=opportunity&mode=form&id=cf11e81b7b06330fd249804f4c247606&tab=core&tabmo de=list& 6 Vicenda proprio di recente pubblicamente ammessa dal vice ministro della Difesa statunitense William Lynn III a seguito della pubblicazione su Foreign Affairs di un suo saggio dal titolo “Defending a New Domain: The Pentagon's
7
Un recentissimo studio del DHS 7, inoltre, ha posto l’accento su come i sistemi informatici dello USCERT (United States Computer Emergency Readiness Team), deputati a coadiuvare l’NCSD (National Cyber Security Division) nella sua missione di essere il punto focale in materia di cybersecurity sia a livello pubblico che privato, soffrano di numerose e pericolose vulnerabilità legate soprattutto al problema della cattiva cultura della sicurezza informatica da parte dei propri dipendenti. Lo US-CERT infatti, tra le altre cose, monitora i segnali di alert che 'Einstein', l'intrusion detection system (IDS) che si occupa di sorvegliare le reti non-militari del governo americano (i c.d. sistemi “.gov”), invia in caso di tentativi d’intrusione non autorizzati. Questo sistema di IDS, inoltre, è deputato anche a lanciare su tutta la rete sottoposta al suo controllo degli avvisi in merito agli aggiornamenti del software installato sui vari computer che compongono il suo “dominio”, in modo che un eventuale problema di sicurezza (bug) possa essere immediatamente conosciuto da tutti gli utenti della rete interna e le relative patch possano essere installate con una certa celerità. Questo metodo però, a quanto pare, si è dimostrato assolutamente fallimentare. Lasciare all’utente l’onere di aggiornare la propria macchina, infatti, ha comportato che, ad una scansione effettuata con lo scanner di vulnerabilità Nessus, siano venute fuori ben 1.085 istanze di 202 bug marcati come “rischio massimo” facilmente sfruttabili da un malintenzionato. In chiusura, occorre fare alcune minime riflessioni anche sulla reale probabilità dello scoppio di una cyber-war. Anche solo per quanto analizzato fin’ora, è logico desumere che una guerra elettronica sia molto più probabile e forse conveniente di quanto si possa attualmente prevedere. Una cyber-war, infatti, mette in condizioni anche i più piccoli Stati, normalmente incapaci di competere sia militarmente che economicamente con le altre potenze internazionali, di colpire i sistemi critici di un qualsiasi bersaglio statale grazie ad un eccellente rapporto “costi-benefici”. Infatti, sfruttando competenze tecniche e know-how che nel 90% dei casi sono rintracciabili a costo zero direttamente in Rete, nonché approfittando delle attuali scarse capacità/possibilità di difesa su questo “campo di battaglia” da parte di tutti quei Paesi (America in testa) eccessivamente dipendenti dai sistemi tecnologici, è possibile portare agevolmente una guerra in ogni parte del mondo, con pochi costi ed altissime probabilità di risultato. C’è da mettere in evidenza, tra l’altro, che i Paesi scarsamente informatizzati, anche solo per questa loro caratteristica, traggono al contempo una rilevante forza e un’insuperabile strategia difensiva dal possibile contrattacco informatico da parte dei Paesi ad alta “digitalizzazione”, facendo scaturire in questi una forma di “auto-deterrenza generalizzata” all’impiego di una vera e propria cyber-war e/o all’utilizzo di atti di cyberwarfare.
Cyberstrategy”, reperibile su http://www.foreignaffairs.com/articles/66552/william-j-lynn-iii/defending-a-newdomain 7 Si veda, DEPARTMENT OF HOMELAND SECURITY (DHS) – OFFICE OF INSPECTOR GENERAL, “DHS Needs to Improve the Security Posture of Its Cybersecurity Program Systems”, reperibile su http://www.dhs.gov/xoig/assets/mgmtrpts/OIG_10111_Aug10.pdf
8
2.0 Un conflitto virtuale con danni reali
Quanto detto fin qui, deve portare (con urgenza) a prendere in seria considerazione non solo gli aspetti generali di una cyber-war e le sue relative strategie di attacco, difesa e mitigazione dei danni, quanto più di tutto ad individuare con precisione quelli che potrebbero essere i bersagli primari sul Nostro territorio nazionale raggiungibili attraverso la rete Internet 8, anche per il sol caso di singole azioni di cyberwarfare. Per quanto attiene ai soli obiettivi che possono causare la perdita di vite umane, devono essere segnalati i:
- sistemi elettronici aeroportuali e di controllo del traffico e dello spazio aereo civile e/o militare, attraverso i quali, seppure allo stato delle attuali procedure di sicurezza non pare essere possibile causare eventuali collisioni tra velivoli ovvero problemi durante le fasi di atterraggio9, risulta invece più che verosimile la possibilità di disabilitare da remoto i sistemi di controllo dello spazio
8
Per uno sguardo generico sulle vulnerabilità relative ai sistemi di gestione e controllo delle infrastrutture critiche, si veda IDAHO NATIONAL LABORATORY, “NSTB Assessments Summary Report: Common Industrial Control System Cyber Security Weaknesses”, in http://www.fas.org/sgp/eprint/nstb.pdf, maggio 2010 e JASON STAMP, JOHN DILLINGER , WILLIAM YOUNG E JENNIFER DEPOY, “Common vulnerabilities in critical infrastructure control systems”, in http://www.sandia.gov/ccss/documents/031172C.pdf, novembre 2003. 9 La collisione tra due velivoli in fase di atterraggio risulta altamente improbabile, almeno a seguito di un atto di cyberwarfare da parte di uno Stato straniero, in quanto sono previsti dei controlli incrociati tra il pilota dell’aereo e la torre di controllo che, finché non ha “a vista” il velivolo, comunica con il pilota attraverso i dati riportati dai radar (posizione, velocità, ecc.). La torre di controllo “indirizza” l’aereo dal momento dell’aggancio del segnale di “presenza” nel proprio spazio aereo e fino a quando non atterra, indicandogli velocità, punti di virata, altezza a cui scendere o salire, ecc.. Ogni comando dato al pilota, viene inoltre immediatamente confermato. Ciò vuol dire, che se anche i segnali del radar venissero falsificati, il che è ovviamente plausibile, il pilota potrebbe sempre smentire i comandi ricevuti a seconda di ciò che vede durante la fase di atterraggio sia sulla pista, che dalla strumentazione. Per di più, lungo la pista esistono un gran numero di sensori che indicano la presenza e la posizione di un aereo.
9
aereo10 e permettere, ad esempio, un bombardamento a tappeto del territorio da parte di aerei ostili senza che alcun allarme venga innescato 11.
- sistemi elettronici di comando degli aeromobili civili e militari, la compromissione dei quali può determinare problemi durante le fasi di atterraggio e decollo del velivolo 12, nonché, come purtroppo ha dimostrato la vicenda dell’Air France 447 nel giugno 2009 13, la sua caduta durante il volo. Pur non trattandosi, almeno per quanto è dato sapere, di un vero e proprio attentato, questa tragica vicenda ha comunque dimostrato come l’attuale metodologia di volo (fly-by-wire), in caso di problemi al computer di bordo, comprometta irrimediabilmente la sicurezza del volo e dei passeggeri al suo interno, lasciando scarsissime possibilità di intervento al pilota.
- sistemi elettronici delle Società che progettano e sviluppano l’hardware e i software utilizzati negli aeroporti, nel controllo del traffico aereo e nella costruzione dei velivoli, sia in ambito civile che militare. In questo caso l’obiettivo è quello di manomettere “a monte” ciò che
10
Per approfondire la situazione americana, molto interessante risulta essere l’analisi del documento dell’U.S. DEPARTMENT OF TRANSPORTATION dal titolo “Review of web applications security and intrusion detection in air traffic control systems”, reperibile su http://www.oig.dot.gov/sites/dot/files/pdfdocs/ATC_Web_Report.pdf, in cui vengono effettuate cinque raccomandazioni di sicurezza per la Federal Aviation Administration da applicare ai sistemi di controllo e gestione del traffico aereo, al fine di evitare che questi sistemi informatici possano continuare ad essere vulnerabili ai cyber-attack. In realtà, come si può evincere anche da questo documento ufficiale (http://www.oig.dot.gov/sites/dot/files/Response%20Letter%20to%20Reps%20Mica%20Petri%20ATC%20Web%20Se cuirty%20Follow-up%2008-05-10.pdf), delle cinque raccomandazioni solo quattro sono state realmente attuate, lasciando ancora “aperta” e incompiuta quella relativa all’adozione dei sistemi di intrusion detection. 11 Questo è quanto successe ai computer dei sistemi di difesa aerea siriani quando, nel settembre del 2007, inspiegabilmente non segnalarono l’arrivo sul territorio nazionale di velivoli israeliani di tipo Eagles e Falcons (quindi non aerei c.d. “stealth”) pronti al bombardamento di un sito nucleare. 12 Intorno alla fine di agosto, il giornale spagnolo El Pais ha riportato la notizia che le autorità inquirenti che stanno investigando sul disastro aereo di Madrid del 2008 hanno scoperto che uno dei computer del sistema di monitoraggio dei problemi tecnici sui velivoli era infettato da un malware. Si suppone, quindi, che una possibile concausa di quella tragedia, in cui sono morte 154 persone, possa essere proprio il mancato allarme di malfunzionamento tecnico dovuto all’infezione del server di controllo. Secondo El Pais, un rapporto interno della compagnia aerea ha rivelato che quel computer, situato presso la sede della compagnia aerea a Palma di Maiorca, avrebbe dovuto individuare ben tre problemi tecnici dell’aereo che, se fossero stati correttamente gestiti dal server, non ne avrebbero consentito il decollo. Il trojan, pertanto, pur non avendo causato direttamente l’incidente, potrebbe aver contribuito a far decollare un aereo che non avrebbe mai dovuto lasciare il suolo. La relazione finale su questa vicenda però - con maggiori dettagli - sarà resa pubblica soltanto nel mese di dicembre. Al momento, per maggiori dettagli, si veda: http://www.elpais.com/articulo/espana/ordenador/Spanair/anotaba/fallos/aviones/tenia/virus/elpepiesp/20100820 elpepinac_11/Tes 13 Informazioni particolareggiate sulla vicenda, soprattutto in merito a ciò che è avvenuto sul velivolo prima della sua caduta, possono essere rinvenute sul sito: http://wikileaks.org/wiki/Category:Air_France
10
successivamente viene utilizzato in ambienti critici14. Le vicende legate al furto dei progetti dell’F3515 americano possono essere d’esempio per questa tipologia di atti. E’ inoltre possibile, anche se non certamente semplice, che un Governo ostile non si limiti solo a copiare informazioni riservate, svolgendo in questo modo un lavoro di mero spionaggio elettronico, ma si preoccupi di prelevare i progetti, di farli analizzare dai suoi specialisti, di introdurre nelle milioni di linee di codice che sono alla base del software di gestione dell’aereo una piccola backdoor – difficile quindi da individuare nel “mare” d’informazioni presenti – che ne permetta il controllo completo da remoto, reinserire nei sistemi precedentemente violati il progetto così manomesso, aspettare la sua produzione su vasta scala e il suo impiego per farlo poi precipitare ovvero, se si tratta di un aereo militare, per fargli sparare, ad esempio, un missile con coordinate differenti da quella previste.
- sistemi elettronici di difesa nazionale, attraverso i quali lanciare un attacco “non voluto” (anche un semplice missile a lungo raggio) verso il territorio di una specifica nazione.
- sistemi completamente automatizzati di gestione delle metropolitane, i quali non prevedono un conduttore a bordo e sono dotati del sistema a guida automatica “VAL”. Comprometterne la sicurezza può voler dire far collidere due mezzi, provare a farne deragliare uno, ovvero farlo proseguire oltre il “capolinea”, con conseguenti probabili perdite di vite umane.
- sistemi di approvvigionamento e controllo idrico, la compromissione dei quali può non solo lasciare senz’acqua ampie zone del territorio (e anche per lunghi periodi), quanto soprattutto non rilevare o falsare la presenza di impurità o di sostanze altamente tossiche per la salute dei cittadini.
- sistemi elettronici ospedalieri, che possono vedere compromessi e/o peggio ancora “solo” manomessi i loro sistemi elettronici di gestione delle cartelle cliniche dei pazienti.
14
Infatti la maggior parte della componentistica elettronica attualmente utilizzata in tutti i computer e telefonini oggi in commercio è prodotta in Cina, primo Paese insieme alla Russia per pericolosità in ambito di cyberwarfare. Non a caso, da alcuni mesi, l’India ha deciso di bandire per ragioni di sicurezza l’utilizzo di componentistica elettronica proveniente dalla Cina, in particolar modo quella prodotta dalle due maggiori società presenti sul territorio, Huawei Technologies e ZTE. http://india.foreignpolicyblogs.com/2010/05/18/india-restricts-chinese-telecom-firms-citing-security-concerns/ 15 Per avere alcuni accenni sulla vicenda, si veda “Computer Spies Breach Fighter-Jet Project” su http://online.wsj.com/article/NA_WSJ_PUB:SB124027491029837401.html
11
- sistemi elettronici per la gestione delle emergenze (come il 118 e i Vigili del fuoco), i quali potrebbero ritardare o non effettuare del tutto un intervento particolarmente urgente per la salvaguardia della salute e/o della vita di uno o più cittadini.
- sistemi di gestione delle centrali elettriche, la manomissione dei quali potrebbe comportare il verificarsi della maggior parte delle minacce fin qui analizzate e, pertanto, deve rappresentare la priorità assoluta in materia di difesa sul Nostro territorio. Basti pensare che senza l’elettricità niente più funziona: computer, bancomat, treni, aerei, ospedali, servizi di comunicazione telefonica, sistemi di approvvigionamento, ecc., con una conseguente (e molto probabile) reazione civile e popolare, dalla quale discenderebbe inoltre un’ingestibile perdita di immagine e di fiducia nei confronti del Governo. Tra l’altro, in caso di un attacco serio e mirato, non di un semplice e temporaneo malfunzionamento, i sistemi di continuità energetica ben poco possono fare per sopperire a compromissioni e danneggiamenti riparabili in non meno di 24 ore, causando anzi un black-out a cascata nel tentativo di tamponare la perdita parziale di tensione elettrica.
Occorre segnalare, per completezza, anche due casi in cui, seppure di primo acchito parrebbe esserci la possibilità di mettere in pericolo in maniera diretta delle vite umane, per due ragioni differenti questo non può/potrebbe essere fatto. Queste due ipotesi riguardano i:
- sistemi elettronici ferroviari, che, seppure al momento d’ingresso del treno nella barriera di arrivo delle stazioni di Roma e Milano prendono “in consegna” la locomotiva e ne gestiscono in maniera elettronica velocità, tempi di arrivo, coincidenze con altri treni ed eventuali fermate, prevedono in ogni caso una procedura che non esclude mai né il conduttore del treno e neppure l’operatore presente nel centro di comando della stazione. Essi hanno infatti il dovere reciproco e incrociato di controllo sull’operazione svolta in maniera elettronica dai due computer (quello del treno e quello della centrale operativa), potendo in qualsiasi momento intervenire manualmente e disattivare la gestione automatizzata.
- sistemi finanziari e bancari, i quali, analogamente a quanto analizzato in materia di manomissione di impianti elettrici nazionali, nonostante non possano causare la perdita diretta di vite umane, sono deputati alla gestione di un asset così critico per lo Stato che, in ogni caso,
12
devono essere presi in diretta considerazione. Il collasso economico e finanziario di un’intera nazione, infatti, può portare facilmente a sommosse popolari ad alto rischio di perdita di vite umane. In questo particolare caso, però, la maggior parte dei Paesi stranieri potrebbero essere restii nel compiere un atto di cyberwarfare realmente devastante, in considerazione del fatto che, un collasso finanziario di una singola nazione, spesso si ripercuote su molte altre. Per questo motivo, Paesi normalmente considerati come “minacce” in materia di cyberwarfare – Cina e Russia in testa a tutti – attualmente non trovano conveniente un massiccio attacco elettronico a queste tipologie di sistemi, essendo ormai economicamente e finanziariamente strettamente “interconnessi” al mondo occidentale. Un diverso ragionamento, però, deve essere fatto per quelle economie particolarmente chiuse e indipendenti, come quella della Corea del Nord, che, invece, potrebbero trovare molto conveniente un attacco ai sistemi finanziari occidentali, non potendo, tra l’altro, subire “di ritorno” danni economico-finanziari altrettanto rilevanti. In quest’ottica, comunque, la forte pressione e la rilevanza che allo stato attuale proprio la Cina ha su quella parte di mondo porta ad una discreta tranquillità in merito a questa particolare minaccia, tanto da farla avvertire come altamente improbabile.
13
3.0 Dati ed elementi statistici della minaccia
Allo stato attuale, riuscire a rintracciare dati ed elementi statistici certi a supporto delle tesi fin’ora esposte è un’attività certamente complessa e di difficile attuazione. Questo per un duplice motivo: il primo legato alla scarsezza – almeno pubblicamente – di dati relativi ad atti di cyberwarfare e/o di vera e propria cyber-war; il secondo, invece, strettamente collegato a quanto detto nella parte introduttiva di questo lavoro in merito alla semplicità con cui è possibile mascherare la vera provenienza di un atto/attacco informatico diretto ai computer di un altro Stato. Ad ogni modo, un buon punto di partenza può essere rintracciato nel documento “Significant Cyber Incidents Since 2006”16, redatto e mantenuto aggiornato dal Center for Strategic and International Studies, all’interno del quale vengono raccolti ed elencati gli attacchi portati a segno ai sistemi informatici e alle reti dei Governi, della Difesa e delle maggiori società hi-tech, nonché i crimini economici con perdite maggiori ad un milione di dollari. Anche l’analisi superficiale del contenuto dell’elenco può mettere in luce come, nel ristretto arco temporale di un triennio (20062009), gli attacchi di questo genere siano ben 44, il 30% dei quali compiuti nel solo anno 2009 17. Ulteriori riflessioni possono derivare dai dati forniti dallo U.S. Strategic Command che, attraverso la U.S.-China Economic and Security Review Commission 18, ha evidenziato come in tutto il 2008 i sistemi del solo Department of Defense americano abbiano registrato ben 54.640 attacchi informatici, laddove, nella sola prima metà del 2009, gli attacchi siano stati già 43.78519, prospettando una chiusura dell’anno con un valore complessivo di crescita dei cyber-incidents pari a circa il 60% in più rispetto al 2008. Crescita confermata anche dai pochi accenni statistici presenti nell’ultimo Quadrennial Defense Review20, in cui si afferma che negli ultimi due anni gli attacchi informatici nel settore militare sono stati in media oltre 5.000 al giorno, nonché dalle parole del Gen. Keith Alexander – attuale Comandante dello U.S. Cyber Command – il quale, durante 16
Il documento, il cui ultimo aggiornamento risale purtroppo solo al 29 gennaio 2010, può essere consultato al seguente indirizzo: http://csis.org/files/publication/100120_CyberEventsSince2006.pdf 17 Per ulteriori elementi, si veda anche la mia analisi, “Le esigenze americane in materia di cyber-terrorismo e cyberwarfare. Analisi strategica delle contromisure”, marzo 2010, reperibile su http://www.intuslegere.it/doc/cyber_warfare_s_mele.pdf 18 U.S.-CHINA ECONOMIC AND SECURITY REVIEW COMMISSION, “2009 Report To Congress of the U.S.-China Economic And Security Review Commission”, novembre 2009. 19 Nel 2000, invece, gli incidenti informatici segnalati sono stati soltanto 1.415. Si deve necessariamente tener presente, però, che questo sconcertante incremento è in parte dovuto anche alle accresciute capacità del Governo americano di individuare i c.d. cyber-threats e alla crescente attenzione sul tema da parte dell’opinione pubblica mondiale. 20 Consultabile integralmente su http://www.defense.gov/qdr/images/QDR_as_of_12Feb10_1000.pdf
14
l’audizione di conferma della sua nomina di fronte al Senato nell’aprile 2010, ha affermato che la solidità dei sistemi del Department of Defense viene testata da malintenzionati “centinaia di migliaia di volte al giorno21”. Di certo le parole del Gen. Alexander si riferiscono alle c.d. attività di probing dei sistemi informatici e non a veri e propri attacchi, ma il dato, qualora fosse confermato e supportato da dati certi, risulterebbe certamente rilevante.
I dati americani, certamente considerevoli, sembrano perdere però un po’ della loro consistenza se paragonati alle recenti dichiarazioni di un rappresentante dello State Protection Special Service dell’Azerbaigian, il quale, durante un workshop internazionale sul tema “Comprehensive Approach to Cyber Security”, ha rilevato che i sistemi informatici delle infrastrutture critiche azerbaigiane sono bersaglio di circa 3.500 attacchi al giorno, provenienti per la quasi totalità da sistemi cinesi e americani, nonché per un 15% da sistemi armeni22. Così come certamente significativi sono i 3.060 computer compromessi giornalmente sul territorio australiano23, oppure i 6.039 cyber-incidents registrati e confermati dal CERT-India nell’anno 200924 o invece le 1.942 intrusioni osservate fino ad agosto 2009 dal Governo malese 25.
21
Per leggere l’intera audizione, si veda U.S. SENATE - COMMITTEE ON ARMED SERVICES, “Nominations Of Vadm James A. Winnefeld, Jr., Usn, To Be Admiral And Commander, U.S. Northern Command/Commander, North American Aerospace Defense Command; And Ltg Keith B. Alexander, Usa, To Be General And Director, National Security Agency/Chief, Central Security Service/Commander, U.S. Cyber Command”, reperibile su http://armedservices.senate.gov/Transcripts/2010/04%20April/10-32%20-%204-15-10.pdf 22 Questo almeno è quanto riporta l’articolo “3,500 external penetrations fixed in state segment of Azerbaijani internet per day”, consultabile su http://abc.az/eng/news/47804.html 23 Cfr. DUNCAN ANDERSON, “Cyber Security and Critical Infrastructure Protection: An Australian Perspective”, INTERNATIONAL TELECOMMUNICATION UNION REGIONAL CYBERSECURITY FORUM FOR ASIA-PACIFIC, settembre 2009, reperibile su http://www.itu.int/ITU-D/cyb/events/2009/hyderabad/docs/anderson-cybersecurity-australia-sept-09.pdf 24 Cfr. GULSHAN RAI, “Cyber Security & Role of CERT-In”, INTERNATIONAL TELECOMMUNICATION UNION REGIONAL CYBERSECURITY FORUM FOR ASIA-PACIFIC, settembre 2009, reperibile su http://www.itu.int/ITU-D/cyb/events/2009/hyderabad/docs/rairole-of-cert-in-sept-09.pdf 25 Cfr. MOHD SHAMIR HASHIM, “Malaysia’s National Cyber Security Policy. Towards an Integrated Approach for Cyber Security and Critical Information Infrastructure Protection (CIIP)”, INTERNATIONAL TELECOMMUNICATION UNION REGIONAL CYBERSECURITY FORUM FOR ASIA-PACIFIC, settembre 2009, reperibile su http://www.itu.int/ITUD/cyb/events/2009/hyderabad/docs/hashim-national-policy-malaysia-sept-09.pdf
15
4.0 Conclusioni
Prim’ancora di poter parlare di un conflitto conducibile su quel nuovo campo di battaglia rappresentato dalla rete Internet e già denominato il “quinto elemento” 26 (dopo mare, terra, aria e spazio), ci troviamo già oggi a dover “combattere” una guerra di parole sul significato del termine cyber-war. Ma cos’è una cyber-war? Quando possiamo affermare di trovarci dinanzi ad una guerra elettronica? Quali devono essere le sue regole di ingaggio e quali i metodi per verificare che le risposte siano commisurate alle offese? A chi si può imputare la responsabilità di un attacco e con quale grado di certezza? Di fronte ai pericoli derivanti da una minaccia che, per quanto fin’ora analizzato, non può certamente considerarsi “sovrastimata”, queste non possono e non devono essere considerate solo domande accademiche. Dare una risposta convincente a queste domande non è nell’obiettivo di questa ricerca, che mira più che altro a mettere in evidenza e sviluppare un dibattito sulla reale pericolosità per le vite umane anche solo di un isolato atto di cyberwarfare, se ben pianificato, e/o di un’ipotetica cyberwar. Domande che comunque, all’alba della creazione di uno specifico Cyber Command27 da parte del Dipartimento della Difesa americano, ancora non hanno trovato una risposta certa, costantemente rimbalzate in questa guerra di parole tra chi è convinto che il mondo occidentale – con l’America in testa – si trovi da un po’ di tempo a questa parte nel bel mezzo di una vera e propria cyber-war e la stia perdendo, e chi, pur rilevando le continue e crescenti attività criminali perpetrate attraverso la rete Internet, sostiene che l’etichetta “cyber-war” sia stata creata per meri scopi economici da parte delle centinaia di società satelliti al mondo della Difesa americano, pronte a fomentare la paura di una realtà nuova e difficilmente comprensibile ai non addetti ai lavori per ricevere i miliardi di dollari di consulenze stanziati per far fronte a questa nuova minaccia. Tuttavia, ciò che sembra mancare a questo dibattito, che pare essere ormai infinito, è una concreta consapevolezza di quale sia la reale natura della minaccia proveniente dalla rete Internet. Il termine cyber-war è sicuramente legittimo, ma solo nel caso in cui con esso si vadano a definire quegli attacchi effettuati da personale militare utilizzando come strumento dei computer o dei sistemi elettronici ad essi comparabili, che abbiano come obiettivo i computer, le reti di computer 26
Per un’analisi approfondita, si veda RAND CORPORATION, “Cyberdeterrence and Cyberwar”, in http://www.rand.org/pubs/monographs/2009/RAND_MG877.pdf , 2009. 27 Lo “U.S. Cyber Command Fact Sheet” è consultabile qui: http://www.defense.gov/home/features/2010/0410_cybersec/docs/CYberFactSheet%20UPDATED%20replaces%20M ay%2021%20Fact%20Sheet.pdf
16
o i sistemi elettronici ad essi comparabili degli avversari e come intento quello di causare dei danni nel mondo reale. Quest’ultimo punto è quello essenziale: per parlare di cyber-war è necessario che le azioni portate a termine utilizzando strumenti informatici abbiano dei risvolti dannosi anche nel mondo reale, quindi “offline”. E’ questa la ragione per cui, per la maggioranza dei casi fin’ora passati all’onore della cronaca, è certamente più opportuno parlare di azioni di cyberwarfare, ovvero di atti aventi come obiettivo la violazione non autorizzata da parte di, per conto di, oppure in sostegno a, un Governo nel computer di un altro Paese, nella sua rete o in qualsiasi altra attività interessata da un sistema informatico, al fine di aggiungere, modificare o falsificare i dati, ovvero causare l’interruzione o il danneggiamento, anche temporaneo, di uno o più computer, di uno o più dispositivi di rete, ovvero di qualsiasi altro oggetto controllato da un sistema informatico 28. Ebbene, se tutto ciò è corretto, a questo punto dovrebbe risultare particolarmente difficile poter catalogare questo genere di minaccia come “sovrastimata”, attesa la possibilità (se non la probabilità) che dei danni non solo si verifichino, ma che possano mettere direttamente in serio pericolo anche la vita dei cittadini, come evidenziato in questa ricerca.
28
Questa definizione non contempla al suo interno il concetto di “spionaggio elettronico”, che è attività per molti versi completamente differente, almeno a livello teorico e di obiettivi, da quella di cyberwarfare.
17
Note biografiche
Stefano Mele – Avvocato specializzato in Diritto delle Tecnologie Informatiche, Privacy, Sicurezza ed Intelligence. Dottore di ricerca presso l’Università degli Studi di Foggia. Vive e lavora a Milano dove svolge attività di consulenza per grandi aziende, anche multinazionali, sulle problematiche legali inerenti la Privacy e la protezione dei dati personali, Internet e i computer crimes. Per questi specifici settori ha redatto numerose pubblicazioni e approfondimenti per volumi, riviste e siti specializzati. E’ altresì esperto di sicurezza, cyber-terrorismo e cyberwarfare. E’ senior researcher del Dipartimento di Studi d’Intelligence Strategica e Sicurezza della Link Campus University di Roma, nonché docente del loro “Master in Studi d’Intelligence e Sicurezza Nazionale” per i moduli relativi al cyber-terrorismo ed al cyberwarfare. E’ socio fondatore e vice presidente del Centro Studi Informatica Giuridica di Foggia (CSIGFoggia) e Sector Director “Intelligence e spionaggio elettronico” dell’Istituto Italiano per la Privacy.
L’Autore ringrazia Davide Cardilli [ http://www.theogre.org ] per la copertina & layout.
18
19
View more...
Comments