I recenti attacchi hacker contro Colonial Pipeline, SolarWinds Corps e tutti quelli subiti da aziende ed organizzazioni ma non denunciati per evitare ulteriori ripercussioni economiche e di immagine dimostrano come sia possibile sconvolgere la vita normale di milioni di cittadini attraverso una guerra invisibile, apparentemente meno cruenta ma dagli effetti devastanti. Inoltre, la progressiva riduzione delle capacità di tutela della segretezza a causa dell’avanzare dei social media e dell’estensione della sorveglianza “intelligente” aumenta sempre di più la capacità delle nuove tecnologie di provocare shock improvvisi ed incidere nelle relazioni internazionali.
GUERRA, CRIMINE E TERRORISMO CYBER
Come evidenziato dalle Agenzie di intelligence, la cyber warfare (guerra informatica), il cyber crime (crimine informatico) ed il cyber terrorism (terrorismo informatico) condividono una base tecnologica, strumenti, logistica e metodi operativi comuni. Possono anche condividere le stesse reti social e perfino avere obiettivi simili.
Le differenze tra queste tre categorie di attività informatiche sono spesso impercettibili anche per gli esperti che le devono analizzare e le forze di sicurezza che le devono contrastare. Agli hackers, ormai arruolati alla stregua di “guerrieri cibernetici”, il crimine informatico può offrire la base tecnica (strumenti software e supporto logistico) e il terrorismo informatico la base sociale (reti personali e motivazione) con cui eseguire attacchi alle reti informatiche di infrastrutture, aziende o nazioni.
Pertanto, alle fonti dei cyber attacchi si può più facilmente attribuirne un’origine ed una motivazione criminale o terroristica, più difficilmente una statale… un assunto di base che ha comportato l’instaurazione del più esclusivo, inaccessibile e potente ecosistema cibernetico globale, il cosiddetto “Cyber Club” del quale fanno parte soltanto USA, CINA, Israele e Russia. Tuttavia, anche altri Stati quali Iran, UAE, Corea del Nord, Pakistan, Kazakistan, Sudan, utilizzano in maniera sempre più aggressiva il loro cyber power ed i non-State actors (gli attori non statali), apertamente o segretamente, per eseguire attacchi informatici plausibly deniable (plausibilmente negabili).
Grazie anche all’intelligenza artificiale, nemmeno con le più avanzate capacità di intelligence e raccolta di dati e informazioni è possibile attribuire (identificare positivamente) con ragionevole certezza le origini e le motivazioni di un attacco cibernetico portato a termine da una efficace organizzazione hacker.
Nel cyberspazio, dove il conflitto è raramente palese e le minacce di ritorsione troppo spesso sono risultate vuote, sia per carenze di reputazione che per l’incapacità di inviare “segnali” credibili ai soggetti coinvolti, la deterrenza convenzionale intesa nella sua forma tradizionale di meccanismo di dissuasione dei potenziali avversari si è spesso dimostrata inadatta ed insufficiente.
Questo significa che gli Stati hanno interesse a mantenere o tollerare organizzazioni proxy che potrebbero essere implicate in questo tipo di attività e in altre forme di attacco, come il distributed denial of service (DDoS), che può essere condotto anche da hacker che non dispongono di tecnologie altamente sofisticate.
Che gli attacchi distributed denial of service possono creare ingenti danni nonostante la loro facilità di realizzazione è stato dimostrato tantissime volte sin dagli anni ’80. Gli attacchi di denial-of-service sono generalmente più difficili da attribuire rispetto agli attacchi di network-exploitation, cioè quelle operazioni di hacking che puntano a carpire dati e informazioni dagli obiettivi che vengono attaccati con tool in grado di aggirare dispositivi di sicurezza informatica come i firewall e infiltrarsi all’interno di server, computer e dispositivi IoT connessi alla Rete così da sfruttare le falle del sistema e intercettare chiamate e messaggi.
Sebbene il furto di dati rappresenti una minaccia diretta alla sicurezza nazionale (alla ricerca ed al business privato), questo tipo di attacchi sono anche la base per una delle più pericolose minacce cyber, l’inserimento inosservato di “logic bombs” (bombe logiche) occultate. Questi file nascosti o pacchetti software sono di minime dimensioni e, poiché rimangono silenti e non hanno bisogno di comunicare, sono estremamente difficili da individuare.
Una volta innescate, le bombe logiche possono essere estremamente distruttive: nel 2008, per esempio, una logic bomb piazzata da un impiegato infedele nella rete del gigante statunitense dei mutui Fannie Mae avrebbe spazzato via tutti i 4.000 server se fosse stata innescata. Un ex segretario dell’Air Force degli Stati Uniti e consigliere senior del presidente Ronald Reagan ha ammesso che nel 1982 la CIA ha utilizzato una logic bomb per distruggere un gasdotto sovietico. Attraverso una backdoor malignamente incorporata nei suoi sistemi di controllo Siemens, programmata per reimpostare le velocità delle pompe e le impostazioni delle valvole per produrre pressioni ben più alte di quelle sostenibili dai giunti e le saldature del gasdotto, si mandò in tilt l’intero sistema di gestione. Il risultato fu una devastante esplosione paragonabile a quella di un ordigno nucleare, che provocò un enorme incendio visibile dallo spazio. Meno sofisticati, ma più visibili, sono gli attacchi di denial-of-service e web defacement intrapresi da non-State actors che molte volte però agiscono presumibilmente con il tacito supporto statale.
Ad esempio, la celebre azienda italiana Hacking Team, una società di software che nel corso degli anni ha realizzato non solo un sistema di sorveglianza remota ma furono tra i primi ad utilizzare anche una serie di strumenti, i cosiddetti “trojan”, che permettono di controllare a distanza ogni dispositivo. Il loro RCS, ovvero Remote Control System, una componente della suite Galileo usata per la sorveglianza e fiore all’occhiello dei prodotti venduti a servizi segreti e forze dell’ordine di paesi di tutto il mondo, utilizzava più di 500 computer in hosting in diverse località del mondo ed ogni cliente poteva disporre come opzione un subset di queste 500 macchine secondo necessità
GLI ATTACCHI DI SFRUTTAMENTO DELLE RETI
Certo, alcune forme di attacco sono più facili da attribuire di altre, in particolare lo sfruttamento delle reti informatiche (di solito lo spionaggio informatico e il furto di dati sensibili), poiché i dati devono essere “esfiltrati” (cioè, devono essere trasferiti dalla fonte all’hacker che li vuole utilizzare), e pertanto tali attacchi hanno maggiori possibilità di essere tracciabili.
Ma gli attacchi di sfruttamento delle reti informatiche possono richiedere notevoli risorse, e molti analisti sono convinti che gli attacchi più sofisticati possano essere intrapresi solo da attori statali. Ci sono, tuttavia, indicazioni che anche attacchi di spionaggio molto complessi, che richiedono centinaia di ore di programmazione e con un chiaro obiettivo politico, vengono eseguiti da attori non statali, anche se progettati a beneficio di uno Stato. Per esempio, un noto esperto informatico statunitense sostiene che il worm Stuxnet, che ha infettato i computer di almeno 11 paesi ed era apparentemente mirato al programma nucleare iraniano, è stato creato con un processo modulare, cioè programmato a “stadi” da squadre diverse che probabilmente non avevano idea di quale fosse il vero obiettivo finale del progetto. Questa è una caratteristica che ha anche fatto sospettare il coinvolgimento nel programma Stuxnet di organizzazioni ed hacker provenienti da ambienti del crimine informatico.
Le operazioni cyber di oggi si sono ulteriormente evolute, sono totalmente remote con un livello di sofisticazione inimmaginabile fino a qualche anno fa, ed il loro tasso di attribuzione è praticamente trascurabile.
COSA FANNO GLI STATI CYBER
Gli Stati tecnologicamente dominanti usano le loro capacità di cyber warfare come deterrente mediante politiche di “coercizione digitale” ed utilizzano tattiche di hacking in qualunque competizione economica, geopolitica e militare.
Il potere cibernetico di una nazione si esplicita in tre dimensioni: il coordinamento degli aspetti operativi e politici attraverso le strutture governative, la coerenza della politica attraverso alleanze internazionali e quadri giuridici, la cooperazione degli attori informatici non statali. La natura del cyberspazio è tale che la maggior parte delle capacità informatiche di uno Stato democratico occidentale si trova al di fuori del controllo diretto del governo, e cioè nelle aziende e nella società civile.
E L’ITALIA?
Per creare una capacità nazionale integrata il settore non statale deve essere indotto, motivato ed incentivato a cooperare con il governo. Un approccio strategico “cibernetico nazionale” alla politica di sicurezza – l’applicazione congiunta e integrata degli sforzi statali (le istituzioni, le Agenzie di sicurezza, l’ACN ed il governo) e non statali (le imprese e la società civile) per raggiungere obiettivi comuni – potrebbe aiutare l’Italia a recuperare quel gap culturale cibernetico recentemente diagnosticato anche dal ministro dell’innovazione tecnologica e la transizione digitale Vittorio Colao, secondo il quale il 95% delle infrastrutture dati della Pubblica amministrazione è privo dei requisiti minimi di sicurezza e affidabilità necessari per fornire servizi e gestire dati.
Con parole di forte preoccupazione anche Franco Gabrielli, sottosegretario alla Presidenza del Consiglio con delega ai Servizi segreti, ha illustrato uno scenario molto cupo del contesto in cui si inseriscono la nuova agenzia e la strategia nazionale sulla cybersecurity, durante l’audizione davanti alle Commissioni Affari costituzionali e Trasporti, dove è intervenuto come autorità delegata per la sicurezza della Repubblica.
L’Italia è stata particolarmente lenta nel comprendere l’importanza delle capacità nazionali integrate nel cyber power. I Paesi del “Cyber Club” ma anche altri Stati competitor hanno capacità informatiche non statali altamente efficaci e visibili, che interagiscono con i loro governi. Capire come questi elementi non statali sono indotti a sostenere o portare avanti la politica cyber del governo è importante almeno quanto fare un assessment sulle proprie capacità interne. Capacità che si devono perfettamente adattare ai paradigmi della guerra del XXI secolo: la cyber warfare, che è asimmetrica, non ortodossa e a zero attribuzione.
Oramai è chiaro a tutti che nel cyberspazio ciò che è vero per la sicurezza dell’attacco si applica alla sicurezza della difesa e come Stato, se si vuole avere un minimo di capacità e sicurezza cibernetica, è necessario essere in grado di accettare un certo livello di opacità (ai limiti della criminalità) informatica, dove attacco e difesa sono le due facce della stessa moneta.
Per la situazione in cui si trova l’Italia, la dimensione principale per garantire sicurezza all’interno del perimetro di difesa cibernetica è strettamente collegata alla capacità che avranno le istituzioni di coinvolgere i settori economico, industriale, della ricerca privata, della formazione ed i singoli cittadini.
Urge implementare una “cyber education” rivolta a tutta la cittadinanza, fornire conoscenze più approfondite a chi lavora in grandi aziende e istituzioni, in particolare a chi ricopre responsabilità esecutive. L’assenza di consapevolezza del rischio cibernetico può essere colmata anche attraverso un approccio di soft power focalizzato verso l’interno e fornendo alla nuova Agenzia per la Cybersicurezza Nazionale gli strumenti legislativi (vedere direttiva NSA) e le risorse umane ed economiche idonee a salvaguardare la democrazia contro rischi e minacce cyber.
In poche parole: bisogna mobilitare il cyber power nazionale.
La domanda da un milione di euro è: l’Italia è in grado di farlo?
Risposta: sicuramente sì.