+ All Categories
Home > Documents > Cyberwarfare e danni ai cittadini (di Stefano Mele)

Cyberwarfare e danni ai cittadini (di Stefano Mele)

Date post: 23-Jun-2015
Category:
Upload: stefano-mele
View: 790 times
Download: 1 times
Share this document with a friend
Description:
Cyberwarfare e danni ai cittadini
1
Transcript
Page 1: Cyberwarfare e danni ai cittadini (di Stefano Mele)
Page 2: Cyberwarfare e danni ai cittadini (di Stefano Mele)

2

Page 3: Cyberwarfare e danni ai cittadini (di Stefano Mele)

3

Cyberwarfare e danni ai cittadini

Stefano Mele

[ settembre 2010 ]

Page 4: Cyberwarfare e danni ai cittadini (di Stefano Mele)

4

Sommario

1.0 Introduzione .............................................................................................................................. 5

2.0 Un conflitto virtuale con danni reali .......................................................................................... 9

3.0 Dati ed elementi statistici della minaccia .................................................................................. 14

4.0 Conclusioni ................................................................................................................................ 16

Note biografiche ............................................................................................................................... 18

Page 5: Cyberwarfare e danni ai cittadini (di Stefano Mele)

1.0 Introduzione

Per analizzare i danni reali che un’ipotetica cyber-war o dei singoli atti di cyberwarfare

potrebbero causare sui cittadini di una nazione soggetta ad un attacco, è fondamentale partire da

alcune “riflessioni” utili a comprenderne appieno il fenomeno e i relativi risvolti pratici.

La prima di queste è certamente legata alla difficoltà di individuare il confine, peraltro nel

cyber-spazio realmente molto sottile, tra comuni criminali informatici e i c.d. “cyber-warriors”,

intendendo con questo termine quei soggetti con elevate skills tecniche pagati da uno Stato per

commettere azioni di cyberwarfare. Questo perché, fondamentalmente, un’azione di

cyberwarfare è spesso del tutto identica – tecnicamente parlando – a quella che potrebbe porre in

essere sulla Rete un comune criminale: cambiano infatti solo gli scopi (a volte nemmeno i bersagli)

e il committente.

La classica quadri-partizione delle azioni illecite nel mondo informatico, riportata di seguito, è

pertanto, nei fatti, solo meramente teorica.

Attori statali

Spionaggio

industriale

Cyberwarfare

Benessere

economico

Sicurezza

nazionale

Attori non-statali

Crimini informatici Cyber-terrorismo

Page 6: Cyberwarfare e danni ai cittadini (di Stefano Mele)

6

Tra l’altro, com’è ormai noto, non è inusuale che anche i Governi “peschino” proprio nel mondo

dei criminali informatici – più o meno organizzati – per portare a termine una singola operazione

di cyberwarfare, ovvero per rinforzare i propri “ranghi” di attacco. Questo è vero in special modo

nei casi in cui il soggetto da “reclutare” sia capace non solo di usare gli strumenti (tools)

rintracciabili in Rete, quanto soprattutto di crearne di propri ad hoc per ogni specifica

penetrazione/manomissione dei sistemi di sicurezza del bersaglio e di individuare nuovi bug (i c.d.

zeroday1) nei software maggiormente utilizzati tanto dai Governi quanto dagli utenti, al fine di

evitare che i sistemi di difesa abbiano già nei loro database la “signature” dell’attacco e, di

conseguenza, l’azione venga agevolmente scoperta.

Inoltre, occorre considerare che alcune tipologie di azioni illecite, magari anche solo quelle meno

“delicate” per il Governo, possono essere date direttamente in “appalto” a specifiche società

private o gruppi criminali, finanche stranieri e senza alcuna connessione geopolitica con gli

avvenimenti che porteranno alla cyber-war, prevedendo, come ulteriore elemento di sicurezza,

l’utilizzazione di intermediari sia per l’aggancio della società o del gruppo criminale che per la

trattativa, in modo da rendere ancora più semplice e immediata la smentita pubblica in caso

d’identificazione dell’attacco elettronico (prassi ormai comune e consolidata).

Da queste prime riflessioni discende che, oltre alla ben nota e agevole possibilità di restare

completamente anonimi in un conflitto che per le sue caratteristiche si combatte a volte nell’arco

di poche decine di minuti, il problema dell’attribuzione della responsabilità dell’attacco nasce non

solo da elementi tecnico-strutturali della Rete, quant’anche dalla materiale impossibilità di dare

non solo un “volto” all’autore, ma anche un’attendibile collocazione geografica certa e precisa

dell’attaccante2.

E’ utile inoltre evidenziare, seppure come mero accenno, che nella stragrande maggioranza dei

casi le penetrazioni e ancor più le manomissioni dei sistemi elettronici critici per la sicurezza

nazionale siano avvenute e avverranno sempre nella più completa segretezza3. Semmai, del

successo dell’operazione di attacco e della manomissione dei sistemi elettronici lo Stato bersaglio 1 C’è da rimarcare però come, in un recente studio sul fenomeno e sulla rilevanza che i c.d. zeroday hanno realmente

nell’ecosistema dei computer crimes, soltanto una minima e quasi irrilevante parte degli attacchi è portata a termine sfruttando questo genere di falle, laddove, invece, la maggior parte delle violazioni dei sistemi informatici vengono attualmente effettuate attraverso l’utilizzo di bug ben conosciuti e non corretti con le opportune patch. Per approfondire, si veda DANCHO DANCHEV, “Seven myths about zero day vulnerabilities debunked”, su http://www.zdnet.com/blog/security/seven-myths-about-zero-day-vulnerabilities-debunked/7026?tag=mantle_skin%3Bcontent 2 Il Generale Michael Hayden, ex direttore dell’NSA, durante un intervento alla conferenza Black Hat, ha affermato che è in fase di discussione e valutazione presso il Governo americano una soluzione al problema dell’attribuzione in caso di atti di cyber-warfare, fondata sull’evitare di ricercare un “volto” preciso (statale o non-statale) ad uno o più attacchi informatici portati contro l’America, considerando le nazioni direttamente responsabili per le attività dannose provenienti dal proprio “cyber-spazio”. 3 Il Wall Street Journal, però, nell’aprile del 2009 ha svelato che spie cinesi e russe hanno già da tempo violato i sistemi elettronici delle reti elettriche nazionali degli Stati Uniti (le c.d. electricity grid), installando al loro interno programmi azionabili da Internet capaci di disattivarle e/o distruggerle in pochi minuti. L’articolo può essere consultato qui: http://online.wsj.com/article/SB123914805204099085.html

Page 7: Cyberwarfare e danni ai cittadini (di Stefano Mele)

7

se ne potrà accorgere solo nel caso dello scoppio reale di una cyber-war o comunque nel

momento in cui venga attuato un atto di cyberwarfare e, dunque, dovranno essere utilizzate le

“cyber-weapons” precedentemente predisposte dall’avversario.

Un ulteriore elemento di riflessione deve essere portato in quest’analisi dalla considerazione

che l’anello più debole della sicurezza dei sistemi elettronici è sempre stato – e per lungo tempo

ancora sarà – l’uomo. E questo sia sotto un profilo prettamente intenzionale o “doloso”, che

meramente “colposo”.

Infatti, per quanto un sistema possa essere (realmente?) “blindato” da qualsiasi attacco esterno, è

ben possibile – se non altamente probabile – che dipendenti infedeli possano manomettere

dall’interno le reti e i sistemi protetti, installando “malware” e/o modificando i “settaggi” (le

regole) di sicurezza, agevolando così l’accesso dall’esterno. Infondo la storia dello spionaggio è

piena di traditori4 e doppiogiochisti; non è plausibile, pertanto, aprioristicamente ipotizzare che

proprio nel settore della sicurezza informatica non ce ne possano essere5.

Diversa, ma non meno pericolosa, è anche l’ipotesi puramente casuale in cui la scarsa attenzione

del personale interno o la sua inadeguata cultura della sicurezza, ovvero l’assunto (errato) che una

rete, ritenuta “inviolabile” dall’esterno, possa comunque essere configurata al suo interno in

maniera più fruibile ed “elastica” possibile, può portare ad una compromissione completa dei

sistemi di sicurezza. E’ quanto, ad esempio, è avvenuto nel 2008, quando in un pendrive usb è

stato copiato un documento infettato da un malware proveniente dalla rete non riservata

(NIPRNET) del DoD americano e, una volta inserito il pendrive e aperto il file infetto in un computer

collegato alla rete riservata (SIPRNET), il software malevolo si è propagato in maniera

incontrollabile, infettando in poche ore centinaia di terminali in Afghanistan, Iraq, Qatar e

ovviamente nel Centro di Comando americano6.

4 Per esempio, basti pensare che l’agente dell’FBI Robert Philip Hanssen, in 22 anni di tradimento (dal 1979 al 2001) e

di spionaggio a favore del Governo russo, è riuscito a fotocopiare e a vendere poche centinaia di pagine di documenti riservati, rischiando in prima persona e scontando attualmente l’ergastolo con 23 ore al giorno di isolamento. Attraverso la rete Internet e la digitalizzazione dei documenti, invece, viene meno non solo il rischio di essere personalmente scoperti durante l’atto criminoso, quanto, soprattutto, è possibile sottrarre svariate migliaia di pagine di documenti riservati in un colpo solo e con estrema facilità. Emblematica è, di recente, la vicenda Wikileaks sull’Afganistan, nella quale sono stati resi pubblici oltre 92.000 documenti confidenziali, e quella del giovane analista dell’intelligence americana, il soldato di prima classe Bradley Manning, accusato di aver reso pubblico, sempre attraverso il portale Wikileaks, un filmato che documenta un’azione militare dell’esercito USA in Iraq e di averlo trasmesso a una terza parte non governativa. 5 Le vicende segnalate nella precedente nota hanno costretto il DARPA (Defense Advanced Research Projects Agency) a sviluppare nell’arco di un mese un programma, denominato CINDER (Cyber Insider Threat), attraverso il quale provare ad arginare la fuga di informazioni riservate da parte degli interni al settore della Difesa americana monitorandone costantemente la ricerca, l’indicizzazione e la copia elettronica. Maggiori informazioni su questo interessantissimo progetto possono essere ricavate dal sito https://www.fbo.gov/index?s=opportunity&mode=form&id=cf11e81b7b06330fd249804f4c247606&tab=core&tabmode=list& 6 Vicenda proprio di recente pubblicamente ammessa dal vice ministro della Difesa statunitense William Lynn III a seguito della pubblicazione su Foreign Affairs di un suo saggio dal titolo “Defending a New Domain: The Pentagon's

Page 8: Cyberwarfare e danni ai cittadini (di Stefano Mele)

8

Un recentissimo studio del DHS7, inoltre, ha posto l’accento su come i sistemi informatici dello US-

CERT (United States Computer Emergency Readiness Team), deputati a coadiuvare l’NCSD

(National Cyber Security Division) nella sua missione di essere il punto focale in materia di cyber-

security sia a livello pubblico che privato, soffrano di numerose e pericolose vulnerabilità legate

soprattutto al problema della cattiva cultura della sicurezza informatica da parte dei propri

dipendenti. Lo US-CERT infatti, tra le altre cose, monitora i segnali di alert che 'Einstein', l'intrusion

detection system (IDS) che si occupa di sorvegliare le reti non-militari del governo americano (i c.d.

sistemi “.gov”), invia in caso di tentativi d’intrusione non autorizzati. Questo sistema di IDS,

inoltre, è deputato anche a lanciare su tutta la rete sottoposta al suo controllo degli avvisi in

merito agli aggiornamenti del software installato sui vari computer che compongono il suo

“dominio”, in modo che un eventuale problema di sicurezza (bug) possa essere immediatamente

conosciuto da tutti gli utenti della rete interna e le relative patch possano essere installate con una

certa celerità. Questo metodo però, a quanto pare, si è dimostrato assolutamente fallimentare.

Lasciare all’utente l’onere di aggiornare la propria macchina, infatti, ha comportato che, ad una

scansione effettuata con lo scanner di vulnerabilità Nessus, siano venute fuori ben 1.085 istanze di

202 bug marcati come “rischio massimo” facilmente sfruttabili da un malintenzionato.

In chiusura, occorre fare alcune minime riflessioni anche sulla reale probabilità dello scoppio di

una cyber-war.

Anche solo per quanto analizzato fin’ora, è logico desumere che una guerra elettronica sia molto

più probabile e forse conveniente di quanto si possa attualmente prevedere. Una cyber-war,

infatti, mette in condizioni anche i più piccoli Stati, normalmente incapaci di competere sia

militarmente che economicamente con le altre potenze internazionali, di colpire i sistemi critici di

un qualsiasi bersaglio statale grazie ad un eccellente rapporto “costi-benefici”. Infatti, sfruttando

competenze tecniche e know-how che nel 90% dei casi sono rintracciabili a costo zero

direttamente in Rete, nonché approfittando delle attuali scarse capacità/possibilità di difesa su

questo “campo di battaglia” da parte di tutti quei Paesi (America in testa) eccessivamente

dipendenti dai sistemi tecnologici, è possibile portare agevolmente una guerra in ogni parte del

mondo, con pochi costi ed altissime probabilità di risultato.

C’è da mettere in evidenza, tra l’altro, che i Paesi scarsamente informatizzati, anche solo per

questa loro caratteristica, traggono al contempo una rilevante forza e un’insuperabile strategia

difensiva dal possibile contrattacco informatico da parte dei Paesi ad alta “digitalizzazione”,

facendo scaturire in questi una forma di “auto-deterrenza generalizzata” all’impiego di una vera e

propria cyber-war e/o all’utilizzo di atti di cyberwarfare.

Cyberstrategy”, reperibile su http://www.foreignaffairs.com/articles/66552/william-j-lynn-iii/defending-a-new-domain 7 Si veda, DEPARTMENT OF HOMELAND SECURITY (DHS) – OFFICE OF INSPECTOR GENERAL, “DHS Needs to Improve the Security Posture of Its Cybersecurity Program Systems”, reperibile su http://www.dhs.gov/xoig/assets/mgmtrpts/OIG_10-111_Aug10.pdf

Page 9: Cyberwarfare e danni ai cittadini (di Stefano Mele)

9

2.0 Un conflitto virtuale con danni reali

Quanto detto fin qui, deve portare (con urgenza) a prendere in seria considerazione non solo gli

aspetti generali di una cyber-war e le sue relative strategie di attacco, difesa e mitigazione dei

danni, quanto più di tutto ad individuare con precisione quelli che potrebbero essere i bersagli

primari sul Nostro territorio nazionale raggiungibili attraverso la rete Internet8, anche per il sol

caso di singole azioni di cyberwarfare.

Per quanto attiene ai soli obiettivi che possono causare la perdita di vite umane, devono essere

segnalati i:

- sistemi elettronici aeroportuali e di controllo del traffico e dello spazio aereo civile e/o militare,

attraverso i quali, seppure allo stato delle attuali procedure di sicurezza non pare essere possibile

causare eventuali collisioni tra velivoli ovvero problemi durante le fasi di atterraggio9, risulta

invece più che verosimile la possibilità di disabilitare da remoto i sistemi di controllo dello spazio

8 Per uno sguardo generico sulle vulnerabilità relative ai sistemi di gestione e controllo delle infrastrutture critiche, si

veda IDAHO NATIONAL LABORATORY, “NSTB Assessments Summary Report: Common Industrial Control System Cyber Security Weaknesses”, in http://www.fas.org/sgp/eprint/nstb.pdf, maggio 2010 e JASON STAMP, JOHN DILLINGER, WILLIAM

YOUNG E JENNIFER DEPOY, “Common vulnerabilities in critical infrastructure control systems”, in http://www.sandia.gov/ccss/documents/031172C.pdf, novembre 2003. 9 La collisione tra due velivoli in fase di atterraggio risulta altamente improbabile, almeno a seguito di un atto di cyberwarfare da parte di uno Stato straniero, in quanto sono previsti dei controlli incrociati tra il pilota dell’aereo e la torre di controllo che, finché non ha “a vista” il velivolo, comunica con il pilota attraverso i dati riportati dai radar (posizione, velocità, ecc.). La torre di controllo “indirizza” l’aereo dal momento dell’aggancio del segnale di “presenza” nel proprio spazio aereo e fino a quando non atterra, indicandogli velocità, punti di virata, altezza a cui scendere o salire, ecc.. Ogni comando dato al pilota, viene inoltre immediatamente confermato. Ciò vuol dire, che se anche i segnali del radar venissero falsificati, il che è ovviamente plausibile, il pilota potrebbe sempre smentire i comandi ricevuti a seconda di ciò che vede durante la fase di atterraggio sia sulla pista, che dalla strumentazione. Per di più, lungo la pista esistono un gran numero di sensori che indicano la presenza e la posizione di un aereo.

Page 10: Cyberwarfare e danni ai cittadini (di Stefano Mele)

10

aereo10 e permettere, ad esempio, un bombardamento a tappeto del territorio da parte di aerei

ostili senza che alcun allarme venga innescato11.

- sistemi elettronici di comando degli aeromobili civili e militari, la compromissione dei quali può

determinare problemi durante le fasi di atterraggio e decollo del velivolo12, nonché, come

purtroppo ha dimostrato la vicenda dell’Air France 447 nel giugno 200913, la sua caduta durante il

volo.

Pur non trattandosi, almeno per quanto è dato sapere, di un vero e proprio attentato, questa

tragica vicenda ha comunque dimostrato come l’attuale metodologia di volo (fly-by-wire), in caso

di problemi al computer di bordo, comprometta irrimediabilmente la sicurezza del volo e dei

passeggeri al suo interno, lasciando scarsissime possibilità di intervento al pilota.

- sistemi elettronici delle Società che progettano e sviluppano l’hardware e i software utilizzati

negli aeroporti, nel controllo del traffico aereo e nella costruzione dei velivoli, sia in ambito civile

che militare. In questo caso l’obiettivo è quello di manomettere “a monte” ciò che

10 Per approfondire la situazione americana, molto interessante risulta essere l’analisi del documento dell’U.S. DEPARTMENT OF TRANSPORTATION dal titolo “Review of web applications security and intrusion detection in air traffic control systems”, reperibile su http://www.oig.dot.gov/sites/dot/files/pdfdocs/ATC_Web_Report.pdf, in cui vengono effettuate cinque raccomandazioni di sicurezza per la Federal Aviation Administration da applicare ai sistemi di controllo e gestione del traffico aereo, al fine di evitare che questi sistemi informatici possano continuare ad essere vulnerabili ai cyber-attack. In realtà, come si può evincere anche da questo documento ufficiale (http://www.oig.dot.gov/sites/dot/files/Response%20Letter%20to%20Reps%20Mica%20Petri%20ATC%20Web%20Secuirty%20Follow-up%2008-05-10.pdf), delle cinque raccomandazioni solo quattro sono state realmente attuate, lasciando ancora “aperta” e incompiuta quella relativa all’adozione dei sistemi di intrusion detection. 11

Questo è quanto successe ai computer dei sistemi di difesa aerea siriani quando, nel settembre del 2007, inspiegabilmente non segnalarono l’arrivo sul territorio nazionale di velivoli israeliani di tipo Eagles e Falcons (quindi non aerei c.d. “stealth”) pronti al bombardamento di un sito nucleare. 12

Intorno alla fine di agosto, il giornale spagnolo El Pais ha riportato la notizia che le autorità inquirenti che stanno investigando sul disastro aereo di Madrid del 2008 hanno scoperto che uno dei computer del sistema di monitoraggio dei problemi tecnici sui velivoli era infettato da un malware. Si suppone, quindi, che una possibile concausa di quella tragedia, in cui sono morte 154 persone, possa essere proprio il mancato allarme di malfunzionamento tecnico dovuto all’infezione del server di controllo. Secondo El Pais, un rapporto interno della compagnia aerea ha rivelato che quel computer, situato presso la sede della compagnia aerea a Palma di Maiorca, avrebbe dovuto individuare ben tre problemi tecnici dell’aereo che, se fossero stati correttamente gestiti dal server, non ne avrebbero consentito il decollo. Il trojan, pertanto, pur non avendo causato direttamente l’incidente, potrebbe aver contribuito a far decollare un aereo che non avrebbe mai dovuto lasciare il suolo. La relazione finale su questa vicenda però - con maggiori dettagli - sarà resa pubblica soltanto nel mese di dicembre. Al momento, per maggiori dettagli, si veda: http://www.elpais.com/articulo/espana/ordenador/Spanair/anotaba/fallos/aviones/tenia/virus/elpepiesp/20100820elpepinac_11/Tes 13 Informazioni particolareggiate sulla vicenda, soprattutto in merito a ciò che è avvenuto sul velivolo prima della sua caduta, possono essere rinvenute sul sito: http://wikileaks.org/wiki/Category:Air_France

Page 11: Cyberwarfare e danni ai cittadini (di Stefano Mele)

11

successivamente viene utilizzato in ambienti critici14. Le vicende legate al furto dei progetti dell’F-

3515 americano possono essere d’esempio per questa tipologia di atti.

E’ inoltre possibile, anche se non certamente semplice, che un Governo ostile non si limiti solo a

copiare informazioni riservate, svolgendo in questo modo un lavoro di mero spionaggio

elettronico, ma si preoccupi di prelevare i progetti, di farli analizzare dai suoi specialisti, di

introdurre nelle milioni di linee di codice che sono alla base del software di gestione dell’aereo una

piccola backdoor – difficile quindi da individuare nel “mare” d’informazioni presenti – che ne

permetta il controllo completo da remoto, reinserire nei sistemi precedentemente violati il

progetto così manomesso, aspettare la sua produzione su vasta scala e il suo impiego per farlo poi

precipitare ovvero, se si tratta di un aereo militare, per fargli sparare, ad esempio, un missile con

coordinate differenti da quella previste.

- sistemi elettronici di difesa nazionale, attraverso i quali lanciare un attacco “non voluto” (anche

un semplice missile a lungo raggio) verso il territorio di una specifica nazione.

- sistemi completamente automatizzati di gestione delle metropolitane, i quali non prevedono un

conduttore a bordo e sono dotati del sistema a guida automatica “VAL”. Comprometterne la

sicurezza può voler dire far collidere due mezzi, provare a farne deragliare uno, ovvero farlo

proseguire oltre il “capolinea”, con conseguenti probabili perdite di vite umane.

- sistemi di approvvigionamento e controllo idrico, la compromissione dei quali può non solo

lasciare senz’acqua ampie zone del territorio (e anche per lunghi periodi), quanto soprattutto non

rilevare o falsare la presenza di impurità o di sostanze altamente tossiche per la salute dei

cittadini.

- sistemi elettronici ospedalieri, che possono vedere compromessi e/o peggio ancora “solo”

manomessi i loro sistemi elettronici di gestione delle cartelle cliniche dei pazienti.

14 Infatti la maggior parte della componentistica elettronica attualmente utilizzata in tutti i computer e telefonini oggi in commercio è prodotta in Cina, primo Paese insieme alla Russia per pericolosità in ambito di cyberwarfare. Non a caso, da alcuni mesi, l’India ha deciso di bandire per ragioni di sicurezza l’utilizzo di componentistica elettronica proveniente dalla Cina, in particolar modo quella prodotta dalle due maggiori società presenti sul territorio, Huawei Technologies e ZTE. http://india.foreignpolicyblogs.com/2010/05/18/india-restricts-chinese-telecom-firms-citing-security-concerns/ 15 Per avere alcuni accenni sulla vicenda, si veda “Computer Spies Breach Fighter-Jet Project” su http://online.wsj.com/article/NA_WSJ_PUB:SB124027491029837401.html

Page 12: Cyberwarfare e danni ai cittadini (di Stefano Mele)

12

- sistemi elettronici per la gestione delle emergenze (come il 118 e i Vigili del fuoco), i quali

potrebbero ritardare o non effettuare del tutto un intervento particolarmente urgente per la

salvaguardia della salute e/o della vita di uno o più cittadini.

- sistemi di gestione delle centrali elettriche, la manomissione dei quali potrebbe comportare il

verificarsi della maggior parte delle minacce fin qui analizzate e, pertanto, deve rappresentare la

priorità assoluta in materia di difesa sul Nostro territorio.

Basti pensare che senza l’elettricità niente più funziona: computer, bancomat, treni, aerei,

ospedali, servizi di comunicazione telefonica, sistemi di approvvigionamento, ecc., con una

conseguente (e molto probabile) reazione civile e popolare, dalla quale discenderebbe inoltre

un’ingestibile perdita di immagine e di fiducia nei confronti del Governo.

Tra l’altro, in caso di un attacco serio e mirato, non di un semplice e temporaneo

malfunzionamento, i sistemi di continuità energetica ben poco possono fare per sopperire a

compromissioni e danneggiamenti riparabili in non meno di 24 ore, causando anzi un black-out a

cascata nel tentativo di tamponare la perdita parziale di tensione elettrica.

Occorre segnalare, per completezza, anche due casi in cui, seppure di primo acchito parrebbe

esserci la possibilità di mettere in pericolo in maniera diretta delle vite umane, per due ragioni

differenti questo non può/potrebbe essere fatto. Queste due ipotesi riguardano i:

- sistemi elettronici ferroviari, che, seppure al momento d’ingresso del treno nella barriera di arrivo

delle stazioni di Roma e Milano prendono “in consegna” la locomotiva e ne gestiscono in maniera

elettronica velocità, tempi di arrivo, coincidenze con altri treni ed eventuali fermate, prevedono in

ogni caso una procedura che non esclude mai né il conduttore del treno e neppure l’operatore

presente nel centro di comando della stazione. Essi hanno infatti il dovere reciproco e incrociato di

controllo sull’operazione svolta in maniera elettronica dai due computer (quello del treno e quello

della centrale operativa), potendo in qualsiasi momento intervenire manualmente e disattivare la

gestione automatizzata.

- sistemi finanziari e bancari, i quali, analogamente a quanto analizzato in materia di

manomissione di impianti elettrici nazionali, nonostante non possano causare la perdita diretta di

vite umane, sono deputati alla gestione di un asset così critico per lo Stato che, in ogni caso,

Page 13: Cyberwarfare e danni ai cittadini (di Stefano Mele)

13

devono essere presi in diretta considerazione. Il collasso economico e finanziario di un’intera

nazione, infatti, può portare facilmente a sommosse popolari ad alto rischio di perdita di vite

umane.

In questo particolare caso, però, la maggior parte dei Paesi stranieri potrebbero essere restii nel

compiere un atto di cyberwarfare realmente devastante, in considerazione del fatto che, un

collasso finanziario di una singola nazione, spesso si ripercuote su molte altre. Per questo motivo,

Paesi normalmente considerati come “minacce” in materia di cyberwarfare – Cina e Russia in testa

a tutti – attualmente non trovano conveniente un massiccio attacco elettronico a queste tipologie

di sistemi, essendo ormai economicamente e finanziariamente strettamente “interconnessi” al

mondo occidentale.

Un diverso ragionamento, però, deve essere fatto per quelle economie particolarmente chiuse e

indipendenti, come quella della Corea del Nord, che, invece, potrebbero trovare molto

conveniente un attacco ai sistemi finanziari occidentali, non potendo, tra l’altro, subire “di ritorno”

danni economico-finanziari altrettanto rilevanti. In quest’ottica, comunque, la forte pressione e la

rilevanza che allo stato attuale proprio la Cina ha su quella parte di mondo porta ad una discreta

tranquillità in merito a questa particolare minaccia, tanto da farla avvertire come altamente

improbabile.

Page 14: Cyberwarfare e danni ai cittadini (di Stefano Mele)

14

3.0 Dati ed elementi statistici della minaccia

Allo stato attuale, riuscire a rintracciare dati ed elementi statistici certi a supporto delle tesi

fin’ora esposte è un’attività certamente complessa e di difficile attuazione.

Questo per un duplice motivo: il primo legato alla scarsezza – almeno pubblicamente – di dati

relativi ad atti di cyberwarfare e/o di vera e propria cyber-war; il secondo, invece, strettamente

collegato a quanto detto nella parte introduttiva di questo lavoro in merito alla semplicità con cui

è possibile mascherare la vera provenienza di un atto/attacco informatico diretto ai computer di

un altro Stato.

Ad ogni modo, un buon punto di partenza può essere rintracciato nel documento “Significant

Cyber Incidents Since 2006”16, redatto e mantenuto aggiornato dal Center for Strategic and

International Studies, all’interno del quale vengono raccolti ed elencati gli attacchi portati a segno

ai sistemi informatici e alle reti dei Governi, della Difesa e delle maggiori società hi-tech, nonché i

crimini economici con perdite maggiori ad un milione di dollari. Anche l’analisi superficiale del

contenuto dell’elenco può mettere in luce come, nel ristretto arco temporale di un triennio (2006-

2009), gli attacchi di questo genere siano ben 44, il 30% dei quali compiuti nel solo anno 200917.

Ulteriori riflessioni possono derivare dai dati forniti dallo U.S. Strategic Command che,

attraverso la U.S.-China Economic and Security Review Commission18, ha evidenziato come in tutto

il 2008 i sistemi del solo Department of Defense americano abbiano registrato ben 54.640 attacchi

informatici, laddove, nella sola prima metà del 2009, gli attacchi siano stati già 43.78519,

prospettando una chiusura dell’anno con un valore complessivo di crescita dei cyber-incidents pari

a circa il 60% in più rispetto al 2008. Crescita confermata anche dai pochi accenni statistici presenti

nell’ultimo Quadrennial Defense Review20, in cui si afferma che negli ultimi due anni gli attacchi

informatici nel settore militare sono stati in media oltre 5.000 al giorno, nonché dalle parole del

Gen. Keith Alexander – attuale Comandante dello U.S. Cyber Command – il quale, durante

16 Il documento, il cui ultimo aggiornamento risale purtroppo solo al 29 gennaio 2010, può essere consultato al seguente indirizzo: http://csis.org/files/publication/100120_CyberEventsSince2006.pdf 17 Per ulteriori elementi, si veda anche la mia analisi, “Le esigenze americane in materia di cyber-terrorismo e cyber-warfare. Analisi strategica delle contromisure”, marzo 2010, reperibile su http://www.intuslegere.it/doc/cyber_warfare_s_mele.pdf 18 U.S.-CHINA ECONOMIC AND SECURITY REVIEW COMMISSION, “2009 Report To Congress of the U.S.-China Economic And Security Review Commission”, novembre 2009. 19

Nel 2000, invece, gli incidenti informatici segnalati sono stati soltanto 1.415. Si deve necessariamente tener presente, però, che questo sconcertante incremento è in parte dovuto anche alle accresciute capacità del Governo americano di individuare i c.d. cyber-threats e alla crescente attenzione sul tema da parte dell’opinione pubblica mondiale. 20 Consultabile integralmente su http://www.defense.gov/qdr/images/QDR_as_of_12Feb10_1000.pdf

Page 15: Cyberwarfare e danni ai cittadini (di Stefano Mele)

15

l’audizione di conferma della sua nomina di fronte al Senato nell’aprile 2010, ha affermato che la

solidità dei sistemi del Department of Defense viene testata da malintenzionati “centinaia di

migliaia di volte al giorno21”. Di certo le parole del Gen. Alexander si riferiscono alle c.d. attività di

probing dei sistemi informatici e non a veri e propri attacchi, ma il dato, qualora fosse confermato

e supportato da dati certi, risulterebbe certamente rilevante.

I dati americani, certamente considerevoli, sembrano perdere però un po’ della loro

consistenza se paragonati alle recenti dichiarazioni di un rappresentante dello State Protection

Special Service dell’Azerbaigian, il quale, durante un workshop internazionale sul tema

“Comprehensive Approach to Cyber Security”, ha rilevato che i sistemi informatici delle

infrastrutture critiche azerbaigiane sono bersaglio di circa 3.500 attacchi al giorno, provenienti per

la quasi totalità da sistemi cinesi e americani, nonché per un 15% da sistemi armeni22. Così come

certamente significativi sono i 3.060 computer compromessi giornalmente sul territorio

australiano23, oppure i 6.039 cyber-incidents registrati e confermati dal CERT-India nell’anno

200924 o invece le 1.942 intrusioni osservate fino ad agosto 2009 dal Governo malese25.

21

Per leggere l’intera audizione, si veda U.S. SENATE - COMMITTEE ON ARMED SERVICES, “Nominations Of Vadm James A. Winnefeld, Jr., Usn, To Be Admiral And Commander, U.S. Northern Command/Commander, North American Aerospace Defense Command; And Ltg Keith B. Alexander, Usa, To Be General And Director, National Security Agency/Chief, Central Security Service/Commander, U.S. Cyber Command”, reperibile su http://armed-services.senate.gov/Transcripts/2010/04%20April/10-32%20-%204-15-10.pdf 22 Questo almeno è quanto riporta l’articolo “3,500 external penetrations fixed in state segment of Azerbaijani internet per day”, consultabile su http://abc.az/eng/news/47804.html 23 Cfr. DUNCAN ANDERSON, “Cyber Security and Critical Infrastructure Protection: An Australian Perspective”, INTERNATIONAL TELECOMMUNICATION UNION REGIONAL CYBERSECURITY FORUM FOR ASIA-PACIFIC, settembre 2009, reperibile su http://www.itu.int/ITU-D/cyb/events/2009/hyderabad/docs/anderson-cybersecurity-australia-sept-09.pdf 24 Cfr. GULSHAN RAI, “Cyber Security & Role of CERT-In”, INTERNATIONAL TELECOMMUNICATION UNION REGIONAL CYBERSECURITY

FORUM FOR ASIA-PACIFIC, settembre 2009, reperibile su http://www.itu.int/ITU-D/cyb/events/2009/hyderabad/docs/rai-role-of-cert-in-sept-09.pdf 25 Cfr. MOHD SHAMIR HASHIM, “Malaysia’s National Cyber Security Policy. Towards an Integrated Approach for Cyber Security and Critical Information Infrastructure Protection (CIIP)”, INTERNATIONAL TELECOMMUNICATION UNION REGIONAL

CYBERSECURITY FORUM FOR ASIA-PACIFIC, settembre 2009, reperibile su http://www.itu.int/ITU-D/cyb/events/2009/hyderabad/docs/hashim-national-policy-malaysia-sept-09.pdf

Page 16: Cyberwarfare e danni ai cittadini (di Stefano Mele)

16

4.0 Conclusioni

Prim’ancora di poter parlare di un conflitto conducibile su quel nuovo campo di battaglia

rappresentato dalla rete Internet e già denominato il “quinto elemento”26 (dopo mare, terra, aria

e spazio), ci troviamo già oggi a dover “combattere” una guerra di parole sul significato del

termine cyber-war.

Ma cos’è una cyber-war? Quando possiamo affermare di trovarci dinanzi ad una guerra

elettronica? Quali devono essere le sue regole di ingaggio e quali i metodi per verificare che le

risposte siano commisurate alle offese? A chi si può imputare la responsabilità di un attacco e con

quale grado di certezza? Di fronte ai pericoli derivanti da una minaccia che, per quanto fin’ora

analizzato, non può certamente considerarsi “sovrastimata”, queste non possono e non devono

essere considerate solo domande accademiche.

Dare una risposta convincente a queste domande non è nell’obiettivo di questa ricerca, che

mira più che altro a mettere in evidenza e sviluppare un dibattito sulla reale pericolosità per le vite

umane anche solo di un isolato atto di cyberwarfare, se ben pianificato, e/o di un’ipotetica cyber-

war. Domande che comunque, all’alba della creazione di uno specifico Cyber Command27 da parte

del Dipartimento della Difesa americano, ancora non hanno trovato una risposta certa,

costantemente rimbalzate in questa guerra di parole tra chi è convinto che il mondo occidentale –

con l’America in testa – si trovi da un po’ di tempo a questa parte nel bel mezzo di una vera e

propria cyber-war e la stia perdendo, e chi, pur rilevando le continue e crescenti attività criminali

perpetrate attraverso la rete Internet, sostiene che l’etichetta “cyber-war” sia stata creata per

meri scopi economici da parte delle centinaia di società satelliti al mondo della Difesa americano,

pronte a fomentare la paura di una realtà nuova e difficilmente comprensibile ai non addetti ai

lavori per ricevere i miliardi di dollari di consulenze stanziati per far fronte a questa nuova

minaccia.

Tuttavia, ciò che sembra mancare a questo dibattito, che pare essere ormai infinito, è una

concreta consapevolezza di quale sia la reale natura della minaccia proveniente dalla rete Internet.

Il termine cyber-war è sicuramente legittimo, ma solo nel caso in cui con esso si vadano a definire

quegli attacchi effettuati da personale militare utilizzando come strumento dei computer o dei

sistemi elettronici ad essi comparabili, che abbiano come obiettivo i computer, le reti di computer

26

Per un’analisi approfondita, si veda RAND CORPORATION, “Cyberdeterrence and Cyberwar”, in http://www.rand.org/pubs/monographs/2009/RAND_MG877.pdf , 2009. 27 Lo “U.S. Cyber Command Fact Sheet” è consultabile qui: http://www.defense.gov/home/features/2010/0410_cybersec/docs/CYberFactSheet%20UPDATED%20replaces%20May%2021%20Fact%20Sheet.pdf

Page 17: Cyberwarfare e danni ai cittadini (di Stefano Mele)

17

o i sistemi elettronici ad essi comparabili degli avversari e come intento quello di causare dei danni

nel mondo reale.

Quest’ultimo punto è quello essenziale: per parlare di cyber-war è necessario che le azioni portate

a termine utilizzando strumenti informatici abbiano dei risvolti dannosi anche nel mondo reale,

quindi “offline”. E’ questa la ragione per cui, per la maggioranza dei casi fin’ora passati all’onore

della cronaca, è certamente più opportuno parlare di azioni di cyberwarfare, ovvero di atti aventi

come obiettivo la violazione non autorizzata da parte di, per conto di, oppure in sostegno a, un

Governo nel computer di un altro Paese, nella sua rete o in qualsiasi altra attività interessata da un

sistema informatico, al fine di aggiungere, modificare o falsificare i dati, ovvero causare

l’interruzione o il danneggiamento, anche temporaneo, di uno o più computer, di uno o più

dispositivi di rete, ovvero di qualsiasi altro oggetto controllato da un sistema informatico28.

Ebbene, se tutto ciò è corretto, a questo punto dovrebbe risultare particolarmente difficile

poter catalogare questo genere di minaccia come “sovrastimata”, attesa la possibilità (se non la

probabilità) che dei danni non solo si verifichino, ma che possano mettere direttamente in serio

pericolo anche la vita dei cittadini, come evidenziato in questa ricerca.

28 Questa definizione non contempla al suo interno il concetto di “spionaggio elettronico”, che è attività per molti versi completamente differente, almeno a livello teorico e di obiettivi, da quella di cyberwarfare.

Page 18: Cyberwarfare e danni ai cittadini (di Stefano Mele)

18

Note biografiche

Stefano Mele – Avvocato specializzato in Diritto delle Tecnologie Informatiche, Privacy,

Sicurezza ed Intelligence. Dottore di ricerca presso l’Università degli Studi di Foggia.

Vive e lavora a Milano dove svolge attività di consulenza per grandi aziende, anche

multinazionali, sulle problematiche legali inerenti la Privacy e la protezione dei dati personali,

Internet e i computer crimes. Per questi specifici settori ha redatto numerose pubblicazioni e

approfondimenti per volumi, riviste e siti specializzati.

E’ altresì esperto di sicurezza, cyber-terrorismo e cyberwarfare. E’ senior researcher del

Dipartimento di Studi d’Intelligence Strategica e Sicurezza della Link Campus University di Roma,

nonché docente del loro “Master in Studi d’Intelligence e Sicurezza Nazionale” per i moduli relativi

al cyber-terrorismo ed al cyberwarfare.

E’ socio fondatore e vice presidente del Centro Studi Informatica Giuridica di Foggia (CSIG-

Foggia) e Sector Director “Intelligence e spionaggio elettronico” dell’Istituto Italiano per la Privacy.

L’Autore ringrazia Davide Cardilli [ http://www.theogre.org ] per la copertina & layout.

Page 19: Cyberwarfare e danni ai cittadini (di Stefano Mele)

19

Recommended