Lo scorso ottobre, a sostegno delle accuse mosse dal governo britannico e da quello olandese, il Segretario Generale della NATO Jens Stoltenberg ha esortato la Russia a “smettere di agire in maniera irresponsabile”. Oltre a Stati Uniti e Canada, le due nazioni europee puntano il dito contro la Russia, ritenendola l’artefice di numerosi attacchi informatici. Dopo terra, mare, aria e spazio, il clima di tensione internazionale ora si estende anche al cyberspazio. Ma in che misura?
Una storia di “guerra informatica”: 4 capitoli importanti
“Più parlo con le persone, più pensano che la prossima Pearl Harbour sarà un attacco informatico”, questa l’affermazione di Tarah Wheeler, esperta di sicurezza informatica in occasione dell’incontro annuale dell’OCSE a Parigi lo scorso giugno. In effetti, alcuni eventi suggerirebbero che ci si possa aspettare prima o poi un attacco su larga scala dalle conseguenze devastanti per l’ordine politico ed economico. Quattro recenti “capitoli” lasciano intuire gli sviluppi di quella che oggi possiamo definire una vera e propria “guerra cyber” tra Paesi.
Capitolo uno: Estonia, 2007. La rimozione di un monumento ai caduti del regime sovietico provocò diverse rivolte pro-Russia nella capitale estone. Poco dopo il Paese fu colpito da un’ondata di attacchi senza precedenti di probabile origine russa. I sistemi informatici delle sedi del governo, banche, media, servizi di emergenza e polizia i bersagli di attacchi DdoS (Distributed Denial of Service). Per alcuni esperti, questo attacco di portata nazionale segnò l’inizio di una guerra informatica globale.
Capitolo due: Iran, 2010. Il primo attacco industriale di portata epocale: l’ormai notissimo worm Stuxnet colpì il programma nucleare iraniano, manipolando le informazioni da e verso gli impianti di arricchimento dell’uranio. Come si scoprì in seguito, dietro alla creazione del virus c’erano Stati Uniti ed Israele – un nuovo punto cardine nel quadro dei conflitti tra Stati.
Capitolo tre: Ucraina, 2017. Prima di diffondersi in tutto il mondo, il ransomware NotPetya infettò l’intera Ucraina, paralizzando in poche ore banche e dispositivi per il prelievo automatico di contanti, negozi e l’infrastruttura dei trasporti. L’obiettivo era semplice: distruggere quanti più dati possibile. Un altro episodio di particolare rilevanza nel conflitto tra l’Ucraina e i vicini russi.
Capitolo quattro: quest’ultimo capitolo pare essere ancora in fase di stesura, con un cyberspazio oggi più che mai fonte di tensioni internazionali, tanto che la NATO lo ha riconosciuto ufficialmente come potenziale campo di battaglia tra gli Stati. “Tale inclusione implica che chi ha subito un cyberattacco può sentirsi in diritto di difendersi utilizzando armi convenzionali e viceversa”, afferma Marco Genovese, Network Security Product Manager di Stormshield. “Allo stato attuale non c’è virtualmente alcuna differenza tra bombardare una centrale nucleare o attaccarla tramite strumenti informatici.”
Infrastrutture essenziali a parte, la democrazia è in pericolo?
In uno studio pubblicato il 17 aprile 2018, l’Agenzia Nazionale Francese per la Sicurezza dei Sistemi Informatici (ANSSI) ha identificato due nuovi trigger di attacchi informatici: destabilizzare i processi democratici ed economici. Tra questi le elezioni sono uno dei principali obiettivi. La massiccia e istantanea diffusione delle informazioni, in particolare sui social media, evidenzia come si possano causare danni consistenti. Danni che, paradossalmente, sono facilmente cagionabili. Ad esempio, il responsabile della campagna elettorale di Hilary Clinton è stato vittima di una comunissima mail di phishing. In Francia almeno il 20% dei funzionari del ministero dell’Economia e delle Finanze non sembra particolarmente preparato a gestire questo tipo di casistiche e In Italia lo stesso CSM (Consiglio Superiore dellla Magistratura) ha reso noto pochi giorni fa di aver subito un attacco ai data center sui quali risiedono i dati per la gestione delle PEC di migliaia di magistrati, dei servizi telematici di molti tribunali e del Processo civile telematico (Pct).
Minacce che non hanno nulla da invidiare al virus Stuxnet: “Se qualcuno attaccasse un’infrastruttura, ce se ne accorgerebbe subito”, osserva Markus Brändle, CEO di Airbus CyberSecurity “ma un’offensiva subdola e persistente è molto più difficile da rilevare, come, in tal caso, ripristinare una situazione normale”.
I rischi della “guerra informatica”
I cyberattacchi ai cittadini e alle infrastrutture di Stato sono ormai quasi all’ordine del giorno: un’escalation della “guerra informatica”? Probabilmente sì. Già nell’autunno 2017 gli Stati Uniti intendevano autorizzare l’hack-back, che permetterebbe alle aziende di provare ad identificare gli hacker e “farsi giustizia da sole”, con tutti i rischi che eventuali errori di valutazione comporterebbero.
“Ciò rappresenta un’enorme differenza rispetto al conflitto classico” afferma Bräendle. “Imputare a qualcuno un cyberattacco è molto complicato. Si possono cercare firme nel codice, o tentare di risalire all’origine dell’attacco tramite reverse engineering, ma anche il minimo straccio di prova che si identifica può essere stato volutamente piazzato per depistare gli analisti. In un articolo riguardante la “legittima cyberdifesa”, Pierre-Yves Hentzen, CEO di Stormshield, spiega: “Il problema della legittima cyberdifesa è che, al contrario del mondo reale, non si può fare affidamento sulle regole generali di un conflitto: simultaneità, proporzionalità e risposta all’attaccante”.
Oltre al rischio di accusare terzi ingiustamente, bisogna considerare il pericolo di un susseguirsi di attacchi. Dopo Stuxnet, l’Iran ha rinforzato le proprie difese nazionali e addirittura recuperato il codice di Stuxnet per creare Shamoon – un potente virus che intaccava l’hard disk sovrascrivendone i dati – utilizzato in Arabia Saudita al fine di paralizzarne la produzione di petrolio.
E se questo non bastasse, il governo americano prevede di rendere legittimi gli attacchi informatici a titolo preventivo. Da una strategia difensiva a una più offensiva: l’obiettivo è quello di annientare il nemico prima ancora che attacchi.
Confrontati con questa escalation di cyberattacchi, quando possiamo aspettarci una regolamentazione del cyberspazio? Già nel novembre 2017, Brad Smith, President e Chief Legal Officer di Microsoft, si pronunciava a favore di una “Convenzione di Ginevra digitale” (per il momento ancora una teoria). Se le trattative tra i diversi Paesi fallissero, chi impedirebbe l’instaurarsi di una regolamentazione “ad personam” qualora uno Stato disponesse di una tecnologia tanto avanzata da annientare le altre? "L’innovazione potrebbe cambiare completamente il modo in cui vediamo la sicurezza IT”, afferma Brändle, riferendosi al computer quantistico e alla sua capacità di elaborazione smisurata.
I cyber attacchi preventivi non sono così recenti come si pensa: in tutto il mondo, i servizi segreti sfruttano vulnerabilità zero-day per spiarsi l’un l’altro. Questo tipo di infiltrazioni hanno luogo regolarmente e non sono per niente nuove, pur suscitando molto interesse quando rivelate al pubblico. Tuttavia, sembra persistere un certo equilibrio di potere. Ma cosa accadrebbe se gli attacchi informatici diventassero lo strumento per stabilire un nuovo ordine mondiale, come lo è a tutt’oggi il possesso di bombe atomiche?
