1
| Date post: | 23-Jun-2015 |
| Category: |
Documents |
| Upload: | stefano-mele |
| View: | 790 times |
| Download: | 1 times |
2
3
Cyberwarfare e danni ai cittadini
Stefano Mele
[ settembre 2010 ]
4
Sommario
1.0 Introduzione .............................................................................................................................. 5
2.0 Un conflitto virtuale con danni reali .......................................................................................... 9
3.0 Dati ed elementi statistici della minaccia .................................................................................. 14
4.0 Conclusioni ................................................................................................................................ 16
Note biografiche ............................................................................................................................... 18
1.0 Introduzione
Per analizzare i danni reali che un’ipotetica cyber-war o dei singoli atti di cyberwarfare
potrebbero causare sui cittadini di una nazione soggetta ad un attacco, è fondamentale partire da
alcune “riflessioni” utili a comprenderne appieno il fenomeno e i relativi risvolti pratici.
La prima di queste è certamente legata alla difficoltà di individuare il confine, peraltro nel
cyber-spazio realmente molto sottile, tra comuni criminali informatici e i c.d. “cyber-warriors”,
intendendo con questo termine quei soggetti con elevate skills tecniche pagati da uno Stato per
commettere azioni di cyberwarfare. Questo perché, fondamentalmente, un’azione di
cyberwarfare è spesso del tutto identica – tecnicamente parlando – a quella che potrebbe porre in
essere sulla Rete un comune criminale: cambiano infatti solo gli scopi (a volte nemmeno i bersagli)
e il committente.
La classica quadri-partizione delle azioni illecite nel mondo informatico, riportata di seguito, è
pertanto, nei fatti, solo meramente teorica.
Attori statali
Spionaggio
industriale
Cyberwarfare
Benessere
economico
Sicurezza
nazionale
Attori non-statali
Crimini informatici Cyber-terrorismo
6
Tra l’altro, com’è ormai noto, non è inusuale che anche i Governi “peschino” proprio nel mondo
dei criminali informatici – più o meno organizzati – per portare a termine una singola operazione
di cyberwarfare, ovvero per rinforzare i propri “ranghi” di attacco. Questo è vero in special modo
nei casi in cui il soggetto da “reclutare” sia capace non solo di usare gli strumenti (tools)
rintracciabili in Rete, quanto soprattutto di crearne di propri ad hoc per ogni specifica
penetrazione/manomissione dei sistemi di sicurezza del bersaglio e di individuare nuovi bug (i c.d.
zeroday1) nei software maggiormente utilizzati tanto dai Governi quanto dagli utenti, al fine di
evitare che i sistemi di difesa abbiano già nei loro database la “signature” dell’attacco e, di
conseguenza, l’azione venga agevolmente scoperta.
Inoltre, occorre considerare che alcune tipologie di azioni illecite, magari anche solo quelle meno
“delicate” per il Governo, possono essere date direttamente in “appalto” a specifiche società
private o gruppi criminali, finanche stranieri e senza alcuna connessione geopolitica con gli
avvenimenti che porteranno alla cyber-war, prevedendo, come ulteriore elemento di sicurezza,
l’utilizzazione di intermediari sia per l’aggancio della società o del gruppo criminale che per la
trattativa, in modo da rendere ancora più semplice e immediata la smentita pubblica in caso
d’identificazione dell’attacco elettronico (prassi ormai comune e consolidata).
Da queste prime riflessioni discende che, oltre alla ben nota e agevole possibilità di restare
completamente anonimi in un conflitto che per le sue caratteristiche si combatte a volte nell’arco
di poche decine di minuti, il problema dell’attribuzione della responsabilità dell’attacco nasce non
solo da elementi tecnico-strutturali della Rete, quant’anche dalla materiale impossibilità di dare
non solo un “volto” all’autore, ma anche un’attendibile collocazione geografica certa e precisa
dell’attaccante2.
E’ utile inoltre evidenziare, seppure come mero accenno, che nella stragrande maggioranza dei
casi le penetrazioni e ancor più le manomissioni dei sistemi elettronici critici per la sicurezza
nazionale siano avvenute e avverranno sempre nella più completa segretezza3. Semmai, del
successo dell’operazione di attacco e della manomissione dei sistemi elettronici lo Stato bersaglio 1 C’è da rimarcare però come, in un recente studio sul fenomeno e sulla rilevanza che i c.d. zeroday hanno realmente
nell’ecosistema dei computer crimes, soltanto una minima e quasi irrilevante parte degli attacchi è portata a termine sfruttando questo genere di falle, laddove, invece, la maggior parte delle violazioni dei sistemi informatici vengono attualmente effettuate attraverso l’utilizzo di bug ben conosciuti e non corretti con le opportune patch. Per approfondire, si veda DANCHO DANCHEV, “Seven myths about zero day vulnerabilities debunked”, su http://www.zdnet.com/blog/security/seven-myths-about-zero-day-vulnerabilities-debunked/7026?tag=mantle_skin%3Bcontent 2 Il Generale Michael Hayden, ex direttore dell’NSA, durante un intervento alla conferenza Black Hat, ha affermato che è in fase di discussione e valutazione presso il Governo americano una soluzione al problema dell’attribuzione in caso di atti di cyber-warfare, fondata sull’evitare di ricercare un “volto” preciso (statale o non-statale) ad uno o più attacchi informatici portati contro l’America, considerando le nazioni direttamente responsabili per le attività dannose provenienti dal proprio “cyber-spazio”. 3 Il Wall Street Journal, però, nell’aprile del 2009 ha svelato che spie cinesi e russe hanno già da tempo violato i sistemi elettronici delle reti elettriche nazionali degli Stati Uniti (le c.d. electricity grid), installando al loro interno programmi azionabili da Internet capaci di disattivarle e/o distruggerle in pochi minuti. L’articolo può essere consultato qui: http://online.wsj.com/article/SB123914805204099085.html
7
se ne potrà accorgere solo nel caso dello scoppio reale di una cyber-war o comunque nel
momento in cui venga attuato un atto di cyberwarfare e, dunque, dovranno essere utilizzate le
“cyber-weapons” precedentemente predisposte dall’avversario.
Un ulteriore elemento di riflessione deve essere portato in quest’analisi dalla considerazione
che l’anello più debole della sicurezza dei sistemi elettronici è sempre stato – e per lungo tempo
ancora sarà – l’uomo. E questo sia sotto un profilo prettamente intenzionale o “doloso”, che
meramente “colposo”.
Infatti, per quanto un sistema possa essere (realmente?) “blindato” da qualsiasi attacco esterno, è
ben possibile – se non altamente probabile – che dipendenti infedeli possano manomettere
dall’interno le reti e i sistemi protetti, installando “malware” e/o modificando i “settaggi” (le
regole) di sicurezza, agevolando così l’accesso dall’esterno. Infondo la storia dello spionaggio è
piena di traditori4 e doppiogiochisti; non è plausibile, pertanto, aprioristicamente ipotizzare che
proprio nel settore della sicurezza informatica non ce ne possano essere5.
Diversa, ma non meno pericolosa, è anche l’ipotesi puramente casuale in cui la scarsa attenzione
del personale interno o la sua inadeguata cultura della sicurezza, ovvero l’assunto (errato) che una
rete, ritenuta “inviolabile” dall’esterno, possa comunque essere configurata al suo interno in
maniera più fruibile ed “elastica” possibile, può portare ad una compromissione completa dei
sistemi di sicurezza. E’ quanto, ad esempio, è avvenuto nel 2008, quando in un pendrive usb è
stato copiato un documento infettato da un malware proveniente dalla rete non riservata
(NIPRNET) del DoD americano e, una volta inserito il pendrive e aperto il file infetto in un computer
collegato alla rete riservata (SIPRNET), il software malevolo si è propagato in maniera
incontrollabile, infettando in poche ore centinaia di terminali in Afghanistan, Iraq, Qatar e
ovviamente nel Centro di Comando americano6.
4 Per esempio, basti pensare che l’agente dell’FBI Robert Philip Hanssen, in 22 anni di tradimento (dal 1979 al 2001) e
di spionaggio a favore del Governo russo, è riuscito a fotocopiare e a vendere poche centinaia di pagine di documenti riservati, rischiando in prima persona e scontando attualmente l’ergastolo con 23 ore al giorno di isolamento. Attraverso la rete Internet e la digitalizzazione dei documenti, invece, viene meno non solo il rischio di essere personalmente scoperti durante l’atto criminoso, quanto, soprattutto, è possibile sottrarre svariate migliaia di pagine di documenti riservati in un colpo solo e con estrema facilità. Emblematica è, di recente, la vicenda Wikileaks sull’Afganistan, nella quale sono stati resi pubblici oltre 92.000 documenti confidenziali, e quella del giovane analista dell’intelligence americana, il soldato di prima classe Bradley Manning, accusato di aver reso pubblico, sempre attraverso il portale Wikileaks, un filmato che documenta un’azione militare dell’esercito USA in Iraq e di averlo trasmesso a una terza parte non governativa. 5 Le vicende segnalate nella precedente nota hanno costretto il DARPA (Defense Advanced Research Projects Agency) a sviluppare nell’arco di un mese un programma, denominato CINDER (Cyber Insider Threat), attraverso il quale provare ad arginare la fuga di informazioni riservate da parte degli interni al settore della Difesa americana monitorandone costantemente la ricerca, l’indicizzazione e la copia elettronica. Maggiori informazioni su questo interessantissimo progetto possono essere ricavate dal sito https://www.fbo.gov/index?s=opportunity&mode=form&id=cf11e81b7b06330fd249804f4c247606&tab=core&tabmode=list& 6 Vicenda proprio di recente pubblicamente ammessa dal vice ministro della Difesa statunitense William Lynn III a seguito della pubblicazione su Foreign Affairs di un suo saggio dal titolo “Defending a New Domain: The Pentagon's
8
Un recentissimo studio del DHS7, inoltre, ha posto l’accento su come i sistemi informatici dello US-
CERT (United States Computer Emergency Readiness Team), deputati a coadiuvare l’NCSD
(National Cyber Security Division) nella sua missione di essere il punto focale in materia di cyber-
security sia a livello pubblico che privato, soffrano di numerose e pericolose vulnerabilità legate
soprattutto al problema della cattiva cultura della sicurezza informatica da parte dei propri
dipendenti. Lo US-CERT infatti, tra le altre cose, monitora i segnali di alert che 'Einstein', l'intrusion
detection system (IDS) che si occupa di sorvegliare le reti non-militari del governo americano (i c.d.
sistemi “.gov”), invia in caso di tentativi d’intrusione non autorizzati. Questo sistema di IDS,
inoltre, è deputato anche a lanciare su tutta la rete sottoposta al suo controllo degli avvisi in
merito agli aggiornamenti del software installato sui vari computer che compongono il suo
“dominio”, in modo che un eventuale problema di sicurezza (bug) possa essere immediatamente
conosciuto da tutti gli utenti della rete interna e le relative patch possano essere installate con una
certa celerità. Questo metodo però, a quanto pare, si è dimostrato assolutamente fallimentare.
Lasciare all’utente l’onere di aggiornare la propria macchina, infatti, ha comportato che, ad una
scansione effettuata con lo scanner di vulnerabilità Nessus, siano venute fuori ben 1.085 istanze di
202 bug marcati come “rischio massimo” facilmente sfruttabili da un malintenzionato.
In chiusura, occorre fare alcune minime riflessioni anche sulla reale probabilità dello scoppio di
una cyber-war.
Anche solo per quanto analizzato fin’ora, è logico desumere che una guerra elettronica sia molto
più probabile e forse conveniente di quanto si possa attualmente prevedere. Una cyber-war,
infatti, mette in condizioni anche i più piccoli Stati, normalmente incapaci di competere sia
militarmente che economicamente con le altre potenze internazionali, di colpire i sistemi critici di
un qualsiasi bersaglio statale grazie ad un eccellente rapporto “costi-benefici”. Infatti, sfruttando
competenze tecniche e know-how che nel 90% dei casi sono rintracciabili a costo zero
direttamente in Rete, nonché approfittando delle attuali scarse capacità/possibilità di difesa su
questo “campo di battaglia” da parte di tutti quei Paesi (America in testa) eccessivamente
dipendenti dai sistemi tecnologici, è possibile portare agevolmente una guerra in ogni parte del
mondo, con pochi costi ed altissime probabilità di risultato.
C’è da mettere in evidenza, tra l’altro, che i Paesi scarsamente informatizzati, anche solo per
questa loro caratteristica, traggono al contempo una rilevante forza e un’insuperabile strategia
difensiva dal possibile contrattacco informatico da parte dei Paesi ad alta “digitalizzazione”,
facendo scaturire in questi una forma di “auto-deterrenza generalizzata” all’impiego di una vera e
propria cyber-war e/o all’utilizzo di atti di cyberwarfare.
Cyberstrategy”, reperibile su http://www.foreignaffairs.com/articles/66552/william-j-lynn-iii/defending-a-new-domain 7 Si veda, DEPARTMENT OF HOMELAND SECURITY (DHS) – OFFICE OF INSPECTOR GENERAL, “DHS Needs to Improve the Security Posture of Its Cybersecurity Program Systems”, reperibile su http://www.dhs.gov/xoig/assets/mgmtrpts/OIG_10-111_Aug10.pdf
9
2.0 Un conflitto virtuale con danni reali
Quanto detto fin qui, deve portare (con urgenza) a prendere in seria considerazione non solo gli
aspetti generali di una cyber-war e le sue relative strategie di attacco, difesa e mitigazione dei
danni, quanto più di tutto ad individuare con precisione quelli che potrebbero essere i bersagli
primari sul Nostro territorio nazionale raggiungibili attraverso la rete Internet8, anche per il sol
caso di singole azioni di cyberwarfare.
Per quanto attiene ai soli obiettivi che possono causare la perdita di vite umane, devono essere
segnalati i:
- sistemi elettronici aeroportuali e di controllo del traffico e dello spazio aereo civile e/o militare,
attraverso i quali, seppure allo stato delle attuali procedure di sicurezza non pare essere possibile
causare eventuali collisioni tra velivoli ovvero problemi durante le fasi di atterraggio9, risulta
invece più che verosimile la possibilità di disabilitare da remoto i sistemi di controllo dello spazio
8 Per uno sguardo generico sulle vulnerabilità relative ai sistemi di gestione e controllo delle infrastrutture critiche, si
veda IDAHO NATIONAL LABORATORY, “NSTB Assessments Summary Report: Common Industrial Control System Cyber Security Weaknesses”, in http://www.fas.org/sgp/eprint/nstb.pdf, maggio 2010 e JASON STAMP, JOHN DILLINGER, WILLIAM
YOUNG E JENNIFER DEPOY, “Common vulnerabilities in critical infrastructure control systems”, in http://www.sandia.gov/ccss/documents/031172C.pdf, novembre 2003. 9 La collisione tra due velivoli in fase di atterraggio risulta altamente improbabile, almeno a seguito di un atto di cyberwarfare da parte di uno Stato straniero, in quanto sono previsti dei controlli incrociati tra il pilota dell’aereo e la torre di controllo che, finché non ha “a vista” il velivolo, comunica con il pilota attraverso i dati riportati dai radar (posizione, velocità, ecc.). La torre di controllo “indirizza” l’aereo dal momento dell’aggancio del segnale di “presenza” nel proprio spazio aereo e fino a quando non atterra, indicandogli velocità, punti di virata, altezza a cui scendere o salire, ecc.. Ogni comando dato al pilota, viene inoltre immediatamente confermato. Ciò vuol dire, che se anche i segnali del radar venissero falsificati, il che è ovviamente plausibile, il pilota potrebbe sempre smentire i comandi ricevuti a seconda di ciò che vede durante la fase di atterraggio sia sulla pista, che dalla strumentazione. Per di più, lungo la pista esistono un gran numero di sensori che indicano la presenza e la posizione di un aereo.
10
aereo10 e permettere, ad esempio, un bombardamento a tappeto del territorio da parte di aerei
ostili senza che alcun allarme venga innescato11.
- sistemi elettronici di comando degli aeromobili civili e militari, la compromissione dei quali può
determinare problemi durante le fasi di atterraggio e decollo del velivolo12, nonché, come
purtroppo ha dimostrato la vicenda dell’Air France 447 nel giugno 200913, la sua caduta durante il
volo.
Pur non trattandosi, almeno per quanto è dato sapere, di un vero e proprio attentato, questa
tragica vicenda ha comunque dimostrato come l’attuale metodologia di volo (fly-by-wire), in caso
di problemi al computer di bordo, comprometta irrimediabilmente la sicurezza del volo e dei
passeggeri al suo interno, lasciando scarsissime possibilità di intervento al pilota.
- sistemi elettronici delle Società che progettano e sviluppano l’hardware e i software utilizzati
negli aeroporti, nel controllo del traffico aereo e nella costruzione dei velivoli, sia in ambito civile
che militare. In questo caso l’obiettivo è quello di manomettere “a monte” ciò che
10 Per approfondire la situazione americana, molto interessante risulta essere l’analisi del documento dell’U.S. DEPARTMENT OF TRANSPORTATION dal titolo “Review of web applications security and intrusion detection in air traffic control systems”, reperibile su http://www.oig.dot.gov/sites/dot/files/pdfdocs/ATC_Web_Report.pdf, in cui vengono effettuate cinque raccomandazioni di sicurezza per la Federal Aviation Administration da applicare ai sistemi di controllo e gestione del traffico aereo, al fine di evitare che questi sistemi informatici possano continuare ad essere vulnerabili ai cyber-attack. In realtà, come si può evincere anche da questo documento ufficiale (http://www.oig.dot.gov/sites/dot/files/Response%20Letter%20to%20Reps%20Mica%20Petri%20ATC%20Web%20Secuirty%20Follow-up%2008-05-10.pdf), delle cinque raccomandazioni solo quattro sono state realmente attuate, lasciando ancora “aperta” e incompiuta quella relativa all’adozione dei sistemi di intrusion detection. 11
Questo è quanto successe ai computer dei sistemi di difesa aerea siriani quando, nel settembre del 2007, inspiegabilmente non segnalarono l’arrivo sul territorio nazionale di velivoli israeliani di tipo Eagles e Falcons (quindi non aerei c.d. “stealth”) pronti al bombardamento di un sito nucleare. 12
Intorno alla fine di agosto, il giornale spagnolo El Pais ha riportato la notizia che le autorità inquirenti che stanno investigando sul disastro aereo di Madrid del 2008 hanno scoperto che uno dei computer del sistema di monitoraggio dei problemi tecnici sui velivoli era infettato da un malware. Si suppone, quindi, che una possibile concausa di quella tragedia, in cui sono morte 154 persone, possa essere proprio il mancato allarme di malfunzionamento tecnico dovuto all’infezione del server di controllo. Secondo El Pais, un rapporto interno della compagnia aerea ha rivelato che quel computer, situato presso la sede della compagnia aerea a Palma di Maiorca, avrebbe dovuto individuare ben tre problemi tecnici dell’aereo che, se fossero stati correttamente gestiti dal server, non ne avrebbero consentito il decollo. Il trojan, pertanto, pur non avendo causato direttamente l’incidente, potrebbe aver contribuito a far decollare un aereo che non avrebbe mai dovuto lasciare il suolo. La relazione finale su questa vicenda però - con maggiori dettagli - sarà resa pubblica soltanto nel mese di dicembre. Al momento, per maggiori dettagli, si veda: http://www.elpais.com/articulo/espana/ordenador/Spanair/anotaba/fallos/aviones/tenia/virus/elpepiesp/20100820elpepinac_11/Tes 13 Informazioni particolareggiate sulla vicenda, soprattutto in merito a ciò che è avvenuto sul velivolo prima della sua caduta, possono essere rinvenute sul sito: http://wikileaks.org/wiki/Category:Air_France
11
successivamente viene utilizzato in ambienti critici14. Le vicende legate al furto dei progetti dell’F-
3515 americano possono essere d’esempio per questa tipologia di atti.
E’ inoltre possibile, anche se non certamente semplice, che un Governo ostile non si limiti solo a
copiare informazioni riservate, svolgendo in questo modo un lavoro di mero spionaggio
elettronico, ma si preoccupi di prelevare i progetti, di farli analizzare dai suoi specialisti, di
introdurre nelle milioni di linee di codice che sono alla base del software di gestione dell’aereo una
piccola backdoor – difficile quindi da individuare nel “mare” d’informazioni presenti – che ne
permetta il controllo completo da remoto, reinserire nei sistemi precedentemente violati il
progetto così manomesso, aspettare la sua produzione su vasta scala e il suo impiego per farlo poi
precipitare ovvero, se si tratta di un aereo militare, per fargli sparare, ad esempio, un missile con
coordinate differenti da quella previste.
- sistemi elettronici di difesa nazionale, attraverso i quali lanciare un attacco “non voluto” (anche
un semplice missile a lungo raggio) verso il territorio di una specifica nazione.
- sistemi completamente automatizzati di gestione delle metropolitane, i quali non prevedono un
conduttore a bordo e sono dotati del sistema a guida automatica “VAL”. Comprometterne la
sicurezza può voler dire far collidere due mezzi, provare a farne deragliare uno, ovvero farlo
proseguire oltre il “capolinea”, con conseguenti probabili perdite di vite umane.
- sistemi di approvvigionamento e controllo idrico, la compromissione dei quali può non solo
lasciare senz’acqua ampie zone del territorio (e anche per lunghi periodi), quanto soprattutto non
rilevare o falsare la presenza di impurità o di sostanze altamente tossiche per la salute dei
cittadini.
- sistemi elettronici ospedalieri, che possono vedere compromessi e/o peggio ancora “solo”
manomessi i loro sistemi elettronici di gestione delle cartelle cliniche dei pazienti.
14 Infatti la maggior parte della componentistica elettronica attualmente utilizzata in tutti i computer e telefonini oggi in commercio è prodotta in Cina, primo Paese insieme alla Russia per pericolosità in ambito di cyberwarfare. Non a caso, da alcuni mesi, l’India ha deciso di bandire per ragioni di sicurezza l’utilizzo di componentistica elettronica proveniente dalla Cina, in particolar modo quella prodotta dalle due maggiori società presenti sul territorio, Huawei Technologies e ZTE. http://india.foreignpolicyblogs.com/2010/05/18/india-restricts-chinese-telecom-firms-citing-security-concerns/ 15 Per avere alcuni accenni sulla vicenda, si veda “Computer Spies Breach Fighter-Jet Project” su http://online.wsj.com/article/NA_WSJ_PUB:SB124027491029837401.html
12
- sistemi elettronici per la gestione delle emergenze (come il 118 e i Vigili del fuoco), i quali
potrebbero ritardare o non effettuare del tutto un intervento particolarmente urgente per la
salvaguardia della salute e/o della vita di uno o più cittadini.
- sistemi di gestione delle centrali elettriche, la manomissione dei quali potrebbe comportare il
verificarsi della maggior parte delle minacce fin qui analizzate e, pertanto, deve rappresentare la
priorità assoluta in materia di difesa sul Nostro territorio.
Basti pensare che senza l’elettricità niente più funziona: computer, bancomat, treni, aerei,
ospedali, servizi di comunicazione telefonica, sistemi di approvvigionamento, ecc., con una
conseguente (e molto probabile) reazione civile e popolare, dalla quale discenderebbe inoltre
un’ingestibile perdita di immagine e di fiducia nei confronti del Governo.
Tra l’altro, in caso di un attacco serio e mirato, non di un semplice e temporaneo
malfunzionamento, i sistemi di continuità energetica ben poco possono fare per sopperire a
compromissioni e danneggiamenti riparabili in non meno di 24 ore, causando anzi un black-out a
cascata nel tentativo di tamponare la perdita parziale di tensione elettrica.
Occorre segnalare, per completezza, anche due casi in cui, seppure di primo acchito parrebbe
esserci la possibilità di mettere in pericolo in maniera diretta delle vite umane, per due ragioni
differenti questo non può/potrebbe essere fatto. Queste due ipotesi riguardano i:
- sistemi elettronici ferroviari, che, seppure al momento d’ingresso del treno nella barriera di arrivo
delle stazioni di Roma e Milano prendono “in consegna” la locomotiva e ne gestiscono in maniera
elettronica velocità, tempi di arrivo, coincidenze con altri treni ed eventuali fermate, prevedono in
ogni caso una procedura che non esclude mai né il conduttore del treno e neppure l’operatore
presente nel centro di comando della stazione. Essi hanno infatti il dovere reciproco e incrociato di
controllo sull’operazione svolta in maniera elettronica dai due computer (quello del treno e quello
della centrale operativa), potendo in qualsiasi momento intervenire manualmente e disattivare la
gestione automatizzata.
- sistemi finanziari e bancari, i quali, analogamente a quanto analizzato in materia di
manomissione di impianti elettrici nazionali, nonostante non possano causare la perdita diretta di
vite umane, sono deputati alla gestione di un asset così critico per lo Stato che, in ogni caso,
13
devono essere presi in diretta considerazione. Il collasso economico e finanziario di un’intera
nazione, infatti, può portare facilmente a sommosse popolari ad alto rischio di perdita di vite
umane.
In questo particolare caso, però, la maggior parte dei Paesi stranieri potrebbero essere restii nel
compiere un atto di cyberwarfare realmente devastante, in considerazione del fatto che, un
collasso finanziario di una singola nazione, spesso si ripercuote su molte altre. Per questo motivo,
Paesi normalmente considerati come “minacce” in materia di cyberwarfare – Cina e Russia in testa
a tutti – attualmente non trovano conveniente un massiccio attacco elettronico a queste tipologie
di sistemi, essendo ormai economicamente e finanziariamente strettamente “interconnessi” al
mondo occidentale.
Un diverso ragionamento, però, deve essere fatto per quelle economie particolarmente chiuse e
indipendenti, come quella della Corea del Nord, che, invece, potrebbero trovare molto
conveniente un attacco ai sistemi finanziari occidentali, non potendo, tra l’altro, subire “di ritorno”
danni economico-finanziari altrettanto rilevanti. In quest’ottica, comunque, la forte pressione e la
rilevanza che allo stato attuale proprio la Cina ha su quella parte di mondo porta ad una discreta
tranquillità in merito a questa particolare minaccia, tanto da farla avvertire come altamente
improbabile.
14
3.0 Dati ed elementi statistici della minaccia
Allo stato attuale, riuscire a rintracciare dati ed elementi statistici certi a supporto delle tesi
fin’ora esposte è un’attività certamente complessa e di difficile attuazione.
Questo per un duplice motivo: il primo legato alla scarsezza – almeno pubblicamente – di dati
relativi ad atti di cyberwarfare e/o di vera e propria cyber-war; il secondo, invece, strettamente
collegato a quanto detto nella parte introduttiva di questo lavoro in merito alla semplicità con cui
è possibile mascherare la vera provenienza di un atto/attacco informatico diretto ai computer di
un altro Stato.
Ad ogni modo, un buon punto di partenza può essere rintracciato nel documento “Significant
Cyber Incidents Since 2006”16, redatto e mantenuto aggiornato dal Center for Strategic and
International Studies, all’interno del quale vengono raccolti ed elencati gli attacchi portati a segno
ai sistemi informatici e alle reti dei Governi, della Difesa e delle maggiori società hi-tech, nonché i
crimini economici con perdite maggiori ad un milione di dollari. Anche l’analisi superficiale del
contenuto dell’elenco può mettere in luce come, nel ristretto arco temporale di un triennio (2006-
2009), gli attacchi di questo genere siano ben 44, il 30% dei quali compiuti nel solo anno 200917.
Ulteriori riflessioni possono derivare dai dati forniti dallo U.S. Strategic Command che,
attraverso la U.S.-China Economic and Security Review Commission18, ha evidenziato come in tutto
il 2008 i sistemi del solo Department of Defense americano abbiano registrato ben 54.640 attacchi
informatici, laddove, nella sola prima metà del 2009, gli attacchi siano stati già 43.78519,
prospettando una chiusura dell’anno con un valore complessivo di crescita dei cyber-incidents pari
a circa il 60% in più rispetto al 2008. Crescita confermata anche dai pochi accenni statistici presenti
nell’ultimo Quadrennial Defense Review20, in cui si afferma che negli ultimi due anni gli attacchi
informatici nel settore militare sono stati in media oltre 5.000 al giorno, nonché dalle parole del
Gen. Keith Alexander – attuale Comandante dello U.S. Cyber Command – il quale, durante
16 Il documento, il cui ultimo aggiornamento risale purtroppo solo al 29 gennaio 2010, può essere consultato al seguente indirizzo: http://csis.org/files/publication/100120_CyberEventsSince2006.pdf 17 Per ulteriori elementi, si veda anche la mia analisi, “Le esigenze americane in materia di cyber-terrorismo e cyber-warfare. Analisi strategica delle contromisure”, marzo 2010, reperibile su http://www.intuslegere.it/doc/cyber_warfare_s_mele.pdf 18 U.S.-CHINA ECONOMIC AND SECURITY REVIEW COMMISSION, “2009 Report To Congress of the U.S.-China Economic And Security Review Commission”, novembre 2009. 19
Nel 2000, invece, gli incidenti informatici segnalati sono stati soltanto 1.415. Si deve necessariamente tener presente, però, che questo sconcertante incremento è in parte dovuto anche alle accresciute capacità del Governo americano di individuare i c.d. cyber-threats e alla crescente attenzione sul tema da parte dell’opinione pubblica mondiale. 20 Consultabile integralmente su http://www.defense.gov/qdr/images/QDR_as_of_12Feb10_1000.pdf
15
l’audizione di conferma della sua nomina di fronte al Senato nell’aprile 2010, ha affermato che la
solidità dei sistemi del Department of Defense viene testata da malintenzionati “centinaia di
migliaia di volte al giorno21”. Di certo le parole del Gen. Alexander si riferiscono alle c.d. attività di
probing dei sistemi informatici e non a veri e propri attacchi, ma il dato, qualora fosse confermato
e supportato da dati certi, risulterebbe certamente rilevante.
I dati americani, certamente considerevoli, sembrano perdere però un po’ della loro
consistenza se paragonati alle recenti dichiarazioni di un rappresentante dello State Protection
Special Service dell’Azerbaigian, il quale, durante un workshop internazionale sul tema
“Comprehensive Approach to Cyber Security”, ha rilevato che i sistemi informatici delle
infrastrutture critiche azerbaigiane sono bersaglio di circa 3.500 attacchi al giorno, provenienti per
la quasi totalità da sistemi cinesi e americani, nonché per un 15% da sistemi armeni22. Così come
certamente significativi sono i 3.060 computer compromessi giornalmente sul territorio
australiano23, oppure i 6.039 cyber-incidents registrati e confermati dal CERT-India nell’anno
200924 o invece le 1.942 intrusioni osservate fino ad agosto 2009 dal Governo malese25.
21
Per leggere l’intera audizione, si veda U.S. SENATE - COMMITTEE ON ARMED SERVICES, “Nominations Of Vadm James A. Winnefeld, Jr., Usn, To Be Admiral And Commander, U.S. Northern Command/Commander, North American Aerospace Defense Command; And Ltg Keith B. Alexander, Usa, To Be General And Director, National Security Agency/Chief, Central Security Service/Commander, U.S. Cyber Command”, reperibile su http://armed-services.senate.gov/Transcripts/2010/04%20April/10-32%20-%204-15-10.pdf 22 Questo almeno è quanto riporta l’articolo “3,500 external penetrations fixed in state segment of Azerbaijani internet per day”, consultabile su http://abc.az/eng/news/47804.html 23 Cfr. DUNCAN ANDERSON, “Cyber Security and Critical Infrastructure Protection: An Australian Perspective”, INTERNATIONAL TELECOMMUNICATION UNION REGIONAL CYBERSECURITY FORUM FOR ASIA-PACIFIC, settembre 2009, reperibile su http://www.itu.int/ITU-D/cyb/events/2009/hyderabad/docs/anderson-cybersecurity-australia-sept-09.pdf 24 Cfr. GULSHAN RAI, “Cyber Security & Role of CERT-In”, INTERNATIONAL TELECOMMUNICATION UNION REGIONAL CYBERSECURITY
FORUM FOR ASIA-PACIFIC, settembre 2009, reperibile su http://www.itu.int/ITU-D/cyb/events/2009/hyderabad/docs/rai-role-of-cert-in-sept-09.pdf 25 Cfr. MOHD SHAMIR HASHIM, “Malaysia’s National Cyber Security Policy. Towards an Integrated Approach for Cyber Security and Critical Information Infrastructure Protection (CIIP)”, INTERNATIONAL TELECOMMUNICATION UNION REGIONAL
CYBERSECURITY FORUM FOR ASIA-PACIFIC, settembre 2009, reperibile su http://www.itu.int/ITU-D/cyb/events/2009/hyderabad/docs/hashim-national-policy-malaysia-sept-09.pdf
16
4.0 Conclusioni
Prim’ancora di poter parlare di un conflitto conducibile su quel nuovo campo di battaglia
rappresentato dalla rete Internet e già denominato il “quinto elemento”26 (dopo mare, terra, aria
e spazio), ci troviamo già oggi a dover “combattere” una guerra di parole sul significato del
termine cyber-war.
Ma cos’è una cyber-war? Quando possiamo affermare di trovarci dinanzi ad una guerra
elettronica? Quali devono essere le sue regole di ingaggio e quali i metodi per verificare che le
risposte siano commisurate alle offese? A chi si può imputare la responsabilità di un attacco e con
quale grado di certezza? Di fronte ai pericoli derivanti da una minaccia che, per quanto fin’ora
analizzato, non può certamente considerarsi “sovrastimata”, queste non possono e non devono
essere considerate solo domande accademiche.
Dare una risposta convincente a queste domande non è nell’obiettivo di questa ricerca, che
mira più che altro a mettere in evidenza e sviluppare un dibattito sulla reale pericolosità per le vite
umane anche solo di un isolato atto di cyberwarfare, se ben pianificato, e/o di un’ipotetica cyber-
war. Domande che comunque, all’alba della creazione di uno specifico Cyber Command27 da parte
del Dipartimento della Difesa americano, ancora non hanno trovato una risposta certa,
costantemente rimbalzate in questa guerra di parole tra chi è convinto che il mondo occidentale –
con l’America in testa – si trovi da un po’ di tempo a questa parte nel bel mezzo di una vera e
propria cyber-war e la stia perdendo, e chi, pur rilevando le continue e crescenti attività criminali
perpetrate attraverso la rete Internet, sostiene che l’etichetta “cyber-war” sia stata creata per
meri scopi economici da parte delle centinaia di società satelliti al mondo della Difesa americano,
pronte a fomentare la paura di una realtà nuova e difficilmente comprensibile ai non addetti ai
lavori per ricevere i miliardi di dollari di consulenze stanziati per far fronte a questa nuova
minaccia.
Tuttavia, ciò che sembra mancare a questo dibattito, che pare essere ormai infinito, è una
concreta consapevolezza di quale sia la reale natura della minaccia proveniente dalla rete Internet.
Il termine cyber-war è sicuramente legittimo, ma solo nel caso in cui con esso si vadano a definire
quegli attacchi effettuati da personale militare utilizzando come strumento dei computer o dei
sistemi elettronici ad essi comparabili, che abbiano come obiettivo i computer, le reti di computer
26
Per un’analisi approfondita, si veda RAND CORPORATION, “Cyberdeterrence and Cyberwar”, in http://www.rand.org/pubs/monographs/2009/RAND_MG877.pdf , 2009. 27 Lo “U.S. Cyber Command Fact Sheet” è consultabile qui: http://www.defense.gov/home/features/2010/0410_cybersec/docs/CYberFactSheet%20UPDATED%20replaces%20May%2021%20Fact%20Sheet.pdf
17
o i sistemi elettronici ad essi comparabili degli avversari e come intento quello di causare dei danni
nel mondo reale.
Quest’ultimo punto è quello essenziale: per parlare di cyber-war è necessario che le azioni portate
a termine utilizzando strumenti informatici abbiano dei risvolti dannosi anche nel mondo reale,
quindi “offline”. E’ questa la ragione per cui, per la maggioranza dei casi fin’ora passati all’onore
della cronaca, è certamente più opportuno parlare di azioni di cyberwarfare, ovvero di atti aventi
come obiettivo la violazione non autorizzata da parte di, per conto di, oppure in sostegno a, un
Governo nel computer di un altro Paese, nella sua rete o in qualsiasi altra attività interessata da un
sistema informatico, al fine di aggiungere, modificare o falsificare i dati, ovvero causare
l’interruzione o il danneggiamento, anche temporaneo, di uno o più computer, di uno o più
dispositivi di rete, ovvero di qualsiasi altro oggetto controllato da un sistema informatico28.
Ebbene, se tutto ciò è corretto, a questo punto dovrebbe risultare particolarmente difficile
poter catalogare questo genere di minaccia come “sovrastimata”, attesa la possibilità (se non la
probabilità) che dei danni non solo si verifichino, ma che possano mettere direttamente in serio
pericolo anche la vita dei cittadini, come evidenziato in questa ricerca.
28 Questa definizione non contempla al suo interno il concetto di “spionaggio elettronico”, che è attività per molti versi completamente differente, almeno a livello teorico e di obiettivi, da quella di cyberwarfare.
18
Note biografiche
Stefano Mele – Avvocato specializzato in Diritto delle Tecnologie Informatiche, Privacy,
Sicurezza ed Intelligence. Dottore di ricerca presso l’Università degli Studi di Foggia.
Vive e lavora a Milano dove svolge attività di consulenza per grandi aziende, anche
multinazionali, sulle problematiche legali inerenti la Privacy e la protezione dei dati personali,
Internet e i computer crimes. Per questi specifici settori ha redatto numerose pubblicazioni e
approfondimenti per volumi, riviste e siti specializzati.
E’ altresì esperto di sicurezza, cyber-terrorismo e cyberwarfare. E’ senior researcher del
Dipartimento di Studi d’Intelligence Strategica e Sicurezza della Link Campus University di Roma,
nonché docente del loro “Master in Studi d’Intelligence e Sicurezza Nazionale” per i moduli relativi
al cyber-terrorismo ed al cyberwarfare.
E’ socio fondatore e vice presidente del Centro Studi Informatica Giuridica di Foggia (CSIG-
Foggia) e Sector Director “Intelligence e spionaggio elettronico” dell’Istituto Italiano per la Privacy.
L’Autore ringrazia Davide Cardilli [ http://www.theogre.org ] per la copertina & layout.
19
