Fu nella primavera del 2007, quando la Russia avviò il primo cyber attacco contro l’Estonia, che il mondo intero entrò ufficialmente nell’era del conflitto cibernetico, il cosiddetto “cyberwarfare“. È in corso da tempo, infatti, una nuova forma di guerra nella quale non importa quanti siano i contendenti, ciò che conta è la loro potenza di fuoco informatica e la capacità di nascondersi dietro un’efficace cortina di anonimato. Una guerra in cui è possibile causare ingenti danni al nemico pur disponendo di fondi limitati e dove spesso, oltre all’origine degli attacchi, vengono occultati anche i reali obiettivi.

Una guerra fatta di battaglie combattute con mouse e tastiera, dando luogo ad un conflitto invisibile nel mondo reale ma dagli effetti potenzialmente devastanti. Questo accade nel cosiddetto “cyberspace“, una dimensione immateriale dove viaggiano le comunicazioni fra computer e dove le persone reali interagiscono per mezzo delle tecnologie informatiche. Negli ambienti della difesa il cyberspace viene già definito come “il quinto dominio della guerra” dopo terra, mare, aria e spazio.

Il termine cyberwarfare viene spesso erroneamente sovrapposto ai concetti di cybercrime e cyber terrorismo. Sebbene gli strumenti e le tecniche adottate spesso coincidano, nella guerra cibernetica le tecnologie informatiche e di comunicazione vengono utilizzate come vere e proprie armi per neutralizzare le difese del nemico, cioè i sistemi di comando, controllo e comunicazione, ma anche gli armamenti stessi. Sistema di guida e puntamento, sistemi missilistici, droni, radar, scudi spaziali, telecomunicazioni, tutto ormai ha un indirizzo IP e comunica via rete esponendosi a rischi di attacco informatico.

Il Cyber Spionaggio

Un ruolo da protagonista nel cyberwarfare lo svolge il cyber spionaggio, perché in questo nuovo tipo di guerra è fondamentale ottenere più informazioni possibili sul nemico, sui suoi armamenti e sui suoi sistemi di difesa, per poi sfruttarle a proprio vantaggio. In questo campo la superpotenza più attiva è certamente la Cina che ha preso di mira diverse volte obiettivi sensibili negli USA con attacchi tenaci, persistenti e ben strutturati che le hanno consentito di ottenere informazioni classificate e segreti militari di cruciale importanza. Tanto da spingere gli esperti a coniare il termine di Advanced Persistent Threat (APT) per indicare proprio questa tipologia di minaccia cibernetica. Alcuni esempi di APT sono costituiti dalle operazioni Moonlight Maze, Titan Rain, Shady RAT, Joint Strike Fighter, Aurora, Night Dragon, RSA, Lockheed Martin, Gmail e le CA Comodo, Diginotar e KPN, per citare solo i casi più rilevanti.

I Contendenti

Lo scenario globale oggi vede impegnate da una parte l’asse USA, UK e Israele, dall’altra le superpotenze eurasiatiche dell’Organizzazione di Shanghai per la Cooperazione (SCO) con Cina e Russia in prima linea. Mentre la Cina assale sistematicamente gli acerrimi nemici statunitensi, la coalizione anglosionista concentra i propri sforzi nei reiterati tentativi di penalizzare il programma nucleare dell’Iran con i worm Conficker, Stuxnet, Stars e Duqu.

Non mancano però attacchi incrociati che coinvolgono altre nazioni come, ad esempio, Russia, India, Pakistan, Giappone, Egitto e Arabia Saudita e non è semplice accertare quali attacchi vengano lanciati realmente dai governi e quali siano invece rappresaglie di gruppi di cyber criminali nazionalisti. Un caso recente è rappresentato dalle scaramucce digitali fra Palestina e Israele.

Gli effetti sugli armamenti convenzionali

Il primo esempio eclatante degli effetti che il cyber spionaggio può avere sugli armamenti veri e propri si è avuto con l’episodio dell’intercettazione del drone statunitense RQ 170 Sentinel, avvenuto sul suolo iraniano molto probabilmente con la complicità degli alleati Cina e Russia. E ancor più probabilmente grazie ai segreti militari e industriali sottratti alla casa produttrice del drone, la Lockheed Martin più volte colpita da intrusioni informatiche. Da notare che il Sentinel catturato rappresenta la punta di diamante dell’aviazione USA, un gioiello di tecnologia che non è stato concesso nemmeno all’amico Israele e di cui è stata a lungo negata l’esistenza. Successivamente, sotto Natale, l’Iran è riuscito a neutralizzare un satellite spia della CIA.

Botnet e Worm

Altro ruolo da protagonista nel cyberwarfare lo ricoprono le botnet e i worm. Le botnet, forse il più antico, resiliente ed efficace esempio di cloud computing, comprendono diversi milioni di computer, sia aziendali che casalinghi, sparsi in tutto il mondo e pronti, ad un solo comando, a diventare una vera e propria arma bellica con cui neutralizzare le reti del nemico o creare fenomeni diversivi per coprire altri obiettivi strategici. I worm sono ormai caratterizzati da tale complessità, raffinatezza ed efficacia da indurre a pensare che solo un governo nazionale può permettersi di investire in diverse vulnerabilità “0-day” e in segreti industriali molto costosi e difficili da reperire.

Le infrastrutture critiche nazionali

Fin qui il cyberwarfare potrebbe sembrare un videogame in cui sono impegnati i governi nazionali ma che non riguarda la popolazione. Grave errore! In realtà il pericolo più grosso lo corre proprio la gente comune. Da tempo, infatti, tutte le infrastrutture critiche nazionali, in particolare nei paesi occidentali, sono strettamente legate a strumenti informatici e reti di comunicazione: rete elettrica, rete idrica, gasdotti, oleodotti, reti fognarie, rete telefonica residenziale e mobile, rete ferroviaria, aeroporti, sistemi di controllo del traffico aereo, sistemi di automazione industriale degli impianti nucleari, chimici, petroliferi e via dicendo. Tutto ormai è collegato in rete e controllato mediante sistemi informatici.

Prova ne sia che la rete elettrica degli Stati Uniti è stata già violata nel 2009 e non si conoscono ancora del tutto i possibili effetti a lungo termine. Non solo, ora gli stessi Stati Uniti dichiarano apertamente che la rete elettrica USA è vulnerabile ad attacchi cibernetici, ma il rischio è elevatissimo per tutte le nazioni ad alto tasso di penetrazione dell’informatica nei sistemi di automazione industriale. Nel suo rapporto congiunto con il Dipartimento dell’Energia statunitense del giugno 2010, la North-American Electric Reliability Corporation (NERC) ha dichiarato che “un attacco informatico coordinato al sistema di alimentazione USA potrebbe portare a irreparabili danni di lungo termine a componenti chiave del sistema, portando perdite di energia a grosse fette di popolazione per periodi estesi”.

I possibili effetti disastrosi sulla popolazione

Immaginate diversi mesi di assenza dell’energia elettrica in uno scenario dove tutto funziona grazie a questa preziosa fonte di alimentazione. Tutti i servizi primari verrebbero arrestati in brevissimo tempo: luce, acqua, gas, telecomunicazioni, ma anche ospedali, strutture di assistenza e primo soccorso o sistemi industriali, economici e finanziari (pensate a tutti gli sportelli bancomat fuori uso, per esempio!). Oltre al panico e all’isteria generale, non è difficile prevedere la perdita di un enorme numero di vite umane, a partire dai soggetti più vulnerabili come malati, anziani e bambini.

Oggi nessuna nazione è in grado di proteggere efficacemente le proprie infrastrutture critiche da un attacco informatico, né è possibile prevedere danni collaterali, conseguenze sistemiche ed effetti finali sulla popolazione. I sistemi di automazione industriale sono antiquati, spesso basati su sistemi operativi vecchi e poco aggiornabili, la documentazione tecnica è pressoché inesistente e anche solo valutare vulnerabilità e rischi costituisce un procedimento lungo e molto costoso. Lo stato di crisi dei paesi occidentali non aiuta e il budget per rilevare e sistemare i problemi di sicurezza degli impianti viene concesso solo in caso di minaccia immediata e senza alcuna pianificazione.

La miopia cronica del settore industriale

Secondo uno studio di McAfee, in 14 paesi (fra i quali l’Italia) l’85% delle grandi imprese industriali ha registrato accessi non autorizzati alla propria rete e, in occasione della diffusione di Stuxnet, solo il 35% delle infrastrutture critiche è stato verificato sulla presenza del worm e ben il 40% degli impianti controllati è risultato infetto! Lo scenario è descritto in maniera più approfondita in un articolo di Infosec Island di cui raccomando di leggere attentamente anche i relativi commenti.

Nel settore industriale, infatti, è ancora opinione diffusa che la sicurezza consista nell’indossare elmetti protettivi e calzature antinfortunistiche, oppure fare una corretta manutenzione meccanica degli impianti. Ad aggravare la situazione, negli ultimi anni, è stata la proliferazione di interfacce web, sistemi di accesso remoto e software di analisi collegati ai sistemi SCADA e PLC per fornire al borioso management degli splendidi report grafici sull’andamento della produzione, introducendo contestualmente un numero elevatissimo di vulnerabilità informatiche nell’intero sistema.

La Cyber Defense USA

Ogni superpotenza mondiale ha da tempo istituito un dipartimento di cyber difesa nazionale, ma in generale la strada da fare è ancora lunga e si susseguono febbrilmente summit e trattati multinazionali con l’obiettivo di migliorare le strategie e le misure difensive. Gli Stati Uniti si sono addirittura dotati di un “Internet Kill Switch” in grado di separare, su richiesta del Presidente, la rete Internet USA dal resto del mondo. Personalmente sono abbastanza scettico sulla possibilità di utilizzare uno strumento così drastico, vista la forte dipendenza degli USA dalla rete Internet in campo economico, finanziario e militare; un’operazione del genere potrebbe abbattere in un solo colpo oltre il 70% dell’economia mondiale, pertanto avrebbe senso solo in uno scenario di conflitto globale.

La Cyber Defense NATO

Con l’obiettivo di contrastare le alleanze dello SCO, nel corso del North Atlantic Council di Lisbona 2010 la NATO ha dichiarato di voler rielaborare la sua Cyber Defense Policy con l’obiettivo di migliorare le proprie capacità di prevenire e rilevare i cyber attacchi, nonché difendersi e ripristinare le proprie infrastrutture tecnologiche in caso di danneggiamento. In tal senso operano i diversi enti di sicurezza appositamente istituiti, come NCDMA, NC3A, NCIRCTC, ESCD e il nuovo centro di eccellenza per addestramento, ricerca e sviluppo costituito dal Cooperative Cyber Defense di Tallin in Estonia.

I preparativi dell’Europa

L’Europa al momento è poco più di uno spettatore che lentamente cerca di mettersi al passo e, per quanto riguarda i paesi del patto atlantico, di fare la propria parte sotto il cappello della NATO. Nel corso del Forum Europeo degli Stati Membri (EFMS) sono stati promossi scambi e discussioni sulle misure di sicurezza e resilienza da adottare sulle infrastrutture di telecomunicazione, prevedendo apposite valutazioni ed esercitazioni. In occasione del vertice UE-USA di novembre 2010 è stato inoltre creato un gruppo di lavoro  congiunto sulla sicurezza e la criminalità informatica. Nel contesto europeo le autorità di riferimento sono l’ENISA, con l’incarico di regolare lo scambio di informazioni e linee guida di sicurezza fra gli stati membri, e l’EDA che ha l’obiettivo di sviluppare le capacità di cyber defense e di migliorare le attuali architetture tecnologiche anche con il supporto del settore privato.

La situazione (disastrosa) dell’Italia

In Italia dal 2009 la Polizia Postale gestisce infatti il Centro Nazionale Anticrimine Informatico per la Protezione delle Infrastrutture Critiche (CNAIPIC), il cui compito è la prevenzione e la repressione dei crimini informatici, di matrice comune, organizzata o terroristica, che hanno per obiettivo le infrastrutture informatizzate di natura critica e di rilevanza nazionale. Non è per niente rassicurante la facilità con cui il CNAIPIC e Vitrociset (società che gestisce reti e sistemi del CNAIPIC stesso, della Difesa, delle forze di polizia e di controllo del traffico aereo) siano stati più volte attaccati con successo da parte del gruppo di hacker “Anonymous”. Nel contesto del cyberwarfare, insomma, l’Italia cerca disperatamente di avere una parte da coprotagonista pur senza essere all’altezza delle altre nazioni attivamente impegnate nel cyberspazio.

Parola d’ordine: investire sulla difesa

Da tutto questo si evince che gli sforzi di USA, NATO e UE sono quasi esclusivamente indirizzati al miglioramento delle infrastrutture e delle misure di sicurezza per potenziare la cyber difesa, a differenza della Cina che, non avendo particolari segreti industriali e militari da difendere, non ha nulla da perdere nell’attaccare con tenacia e costanza il mondo occidentale alla ricerca di preziose informazioni. Nel frattempo Israele se la prende un po’ con tutti, sollecitando gli Stati Uniti a supportare incondizionatamente le proprie azioni.

Armi convenzionali contro i cyber attacchi?

Preoccupano però le recenti dichiarazioni del Pentagono che avverte che gli Stati Uniti, se giustificati, sono pronti a rispondere ad eventuali cyber attacchi con armi convenzionali come farebbero in seguito a qualsiasi altro tipo di attacco al loro paese. Quel “se giustificati” consente diverse interpretazioni, purtroppo assolutamente soggettive. Una delle principali caratteristiche dei moderni cyber attacchi è proprio l’estrema difficoltà di attribuzione degli stessi ad uno specifico attaccante in termini assoluti. Ergo, nel cyberspazio non si può mai essere sicuri al 100% che l’attacco sia stato effettivamente originato da una specifica nazione, né che questo si sia svolto con l’intervento del governo di quella nazione. Potenzialmente, dietro una botnet di 10 milioni di computer potrebbe nascondersi un singolo attivista in alcun modo collegato al governo del proprio paese.

Possibili attacchi “false flag” nel cyberspazio

In aggiunta, considerando la cronica predisposizione dell’asse anglosionista all’auto-attentato, anche il cyberspazio potrebbe diventare teatro di episodi eclatanti da sfruttare come pretesto per indurre l’opinione pubblica ad approvare invasioni, guerre o altre esportazioni di democrazia. E a giudicare da ciò che si può leggere sul web, l’ipotesi non è poi così remota.

Lettura consigliata

Per meglio comprendere l’argomento, vi invito a leggere il libro di Richard A. Clarke e Robert K. Knake dal titolo “Cyber War: The Next Threat to National Security and What to Do About It“.

Ettore Guarnaccia