4 giugno 2019

Bloccare le città: nuovi modi di condurre una guerra informatica

A quasi un mese di distanza, gli Stati Uniti ancora s’interrogano sul caso dell’attacco hacker che ha colpito la città di Baltimora. Per settimane gli hacker hanno tenuto sotto scacco l’intera città, centro industriale e porto sull’Atlantico tra i più importanti del Paese. Con i sistemi della pubblica amministrazione bloccati, i cittadini non potevano accedere a servizi essenziali quali pagamento di bollette e imposte.

L’attacco sembra aver avuto per scopo l’estorsione di denaro, con una richiesta all’amministrazione della città di 3 bitcoin per sbloccare parzialmente i sistemi governativi e di altri 10 (un totale quindi di 13 bitcoin, corrispondenti a circa 100.000 euro), per liberare definitivamente i computer della pubblica amministrazione infettati dal ransomware “RobbinHood”. Già negli scorsi mesi Baltimora aveva subito un attacco hacker, in quel caso rivolto al sistema di chiamate d’emergenza 911.

L’amministrazione cittadina, come prevedibile, non si è piegata al ricatto, affidandosi ad un’investigazione dell’FBI e cercando di ripristinare alcuni servizi in via “analogica”. Nonostante la sequenza di attacchi, allo stato attuale sembra che non ci sia una particolare intenzione di colpire specificatamente Baltimora; l’attacco di RobinHood appare più come un risultato casuale, dovuto con ogni probabilità a una gestione non ottimale dei sistemi informatici.

Una strategia di difesa in ambito IT deficitaria e carente è stata alla base anche di un altro clamoroso attacco hacker condotto contro Atlanta. Il SamSam Ransomware, un tipo particolare di ransomware che non utilizza tecniche di phishing bensì ricorre a un attacco diretto volto a indovinare password particolarmente deboli, ha paralizzato i sistemi dell’amministrazione della città. Dinamiche non troppo diverse da quelle del caso di Baltimora, che mostrano l’apparente paradosso di spendere decine di milioni di euro per rispettare la volontà di non cedere a ricatti da centinaia di migliaia di euro. Apparente perché in primo luogo, ovviamente, il consiglio, anche per i privati, è sempre quello di rifiutare il ricatto posto da un ransomware e, in seconda battuta, un ente pubblico non può certo permettersi di pagare il riscatto, creando un precedente molto pericoloso.

Se dunque è molto improbabile, almeno allo stato attuale, che un ente governativo possa accettare di pagare un riscatto, perché questa escalation di attacchi rivolti alle amministrazioni di diverse città negli Stati Uniti? Si fa largo, innanzitutto, una prospettiva di natura più politica. Il ransomware costituirebbe quindi non tanto un modo per estorcere denaro quanto, piuttosto, per saggiare le capacità di difesa dei sistemi informatici rivali. Nel caso di Atlanta, per esempio, le indagini hanno infine puntato il dito contro hacker iraniani.

Per quanto concerne Baltimora, in questi giorni l’opinione pubblica e la stampa americana stanno facendo pressioni sulla NSA (National Security Agency) per fornire risposte in merito ai collegamenti tra le caratteristiche di RobbinHood e quelle di EternalBlue. Eternal lue è un tool pensato per sfruttare vulnerabilità insite all’interno dei sistemi operativi Windows XP e Windows Vita. Questo strumento venne sviluppato dalla NSA, ma nel 2017 alcuni hacker se ne sono impossessati. EternalBlue è stato quindi utilizzato per la realizzazione di due tra i più noti e devastanti ransomware degli ultimi anni, WannaCry e NotPetya.

La regia dietro RobbinHood potrebbe quindi provenire da uno dei numerosi Paesi che hanno beneficiato dei tool rubati. Mosca, per esempio, nel 2017 aveva già testato con successo il blocco dei sistemi informativi di un’amministrazione pubblica, quella dell’Ucraina, colpendo anche industrie e aziende private. L’Ucraina, tuttavia, è stata anche sfortunata protagonista di un episodio ancora più inquietante. Nel 2015 un attacco hacker riuscì a mettere fuori uso una centrale elettrica per un paio d’ore, lasciando al buio centinaia di migliaia di persone.

Casi del genere inesorabilmente costituiscono i primi esempi di un paradigma del tutto nuovo per la guerra informatica e il suo impatto in ambito militare e civile. Tradizionalmente, il cyberwarfare è sempre stato associato ad attività di spionaggio e, con la diffusione capillare di Internet, attività di propaganda on-line. Sebbene queste attività permangano, sempre più le azioni di guerra virtuale avranno ripercussioni nel mondo cosiddetto “reale”. La digitalizzazione dei servizi e delle attività produttive, infatti, consente possibilità pressoché infinite di infliggere danni potenzialmente devastanti all’avversario. Bloccare l’amministrazione pubblica e i servizi ad essa associati può portare danni economici enormi, sia in termini di mancata erogazione dei servizi, sia in termini d’investimenti da effettuare in corsa per riparare al danno.

Non solo computer e sistemi di raccolta delle informazioni saranno soggetti a possibili attacchi. L’avvento dell’Internet delle cose farà sì che nei prossimi anni il numero di oggetti collegati alla rete aumenti in maniera esponenziale. Oggetti comuni potrebbero venir messi fuori uso su larga scala, dando vita al classico scenario di fantascienza hollywoodiana. D’altra parte, è già possibile infliggere colpi importanti, come ad esempio la paralisi del traffico cittadino, hackerandone i semafori. Nel 2017, una raffineria in Arabia Saudita ha rischiato di saltare in aria a seguito di un attacco hacker rivolto ai sistemi di controllo della centrale.

Il potenziale distruttivo che oggi è in grado di fornire un attacco informatico organizzato da parte di un Paese dotato delle giuste competenze dipende sostanzialmente dalla volontà politica e militare e dal livello d’intensità del conflitto che s’intende portare avanti. L’assenza, ad oggi, di un quadro normativo chiaro in ambito internazionale che regoli e definisca l’impatto di questo tipo di azioni porta a prediligere gli attacchi a bassa intensità, che a costi ridotti riescono comunque a produrre danni considerevoli.

Allo stato attuale un attacco con armi “cyber” in coordinamento con il resto delle forze armate prevede innanzitutto il controllo o la messa fuori uso di asset fondamentali del Paese avversario: terminali di servizi pubblici e bancari, fornitura di energia elettrica, blocco dei sistemi informatici del comparto militare.  Si tratta di una strategia che, ad esempio, i russi hanno fatto propria da più di un decennio, testandola in via preliminare durante la guerra contro la Georgia nel 2008. Tuttavia, un elemento critico nel disciplinare l’utilizzo del cyberwarfare tra i Paesi non risiede tanto nella volontà da parte degli Stati di porre delle regole, quanto dalla difficoltà di coniugare le rigide esigenze della legge internazionale rispetto alla fluidità del mezzo informatico.

Si pensi, per esempio, al possibile campo di applicazione dell’art. 5 della NATO rispetto all’attuale braccio di ferro con la Russia. Se venissero pedissequamente applicati i criteri utilizzati nel mondo “fisico” anche nell’ambito virtuale, oggi sarebbe in corso una guerra aperta tra i due schieramenti. Storicamente nei rapporti tra Stati è sufficiente una minima trasgressione, reale o dichiarata, per causare un conflitto. Questo si è spesso declinato con la creazione di casus belli di comodo, in cui era sufficiente un vero (o presunto) colpo subito da oltre frontiera per far scoppiare un conflitto. Applicando questo tipo di criterio nell’ambito del cyberwarfare, oggi qualunque Paese potrebbe dichiarare di essere stato aggredito da chiunque. La proliferazione di attacchi informatici, che segue a ruota l’espandersi della digitalizzazione, rende praticamente impossibile sperare, o pretendere, di non ricevere alcun tipo di attacco hacker.

Occorre inoltre considerare la natura intangibile della “firma” dietro questi attacchi che, a differenza del proverbiale colpo di cannone oltre confine quale causa scatenante di un conflitto aperto, consente all’esecutore di negarne la paternità. Allo stato attuale, in assenza di conflitti dichiarati tra le principali potenze, nessun governo tra Washington, Pechino o Mosca ha mai rivendicato uno dei numerosi attacchi hacker in cui è stato pressoché certo il loro coinvolgimento. Sotto questo aspetto il cyberwarfare, in virtù della sua natura sperimentale, è equiparabile alla guerra di corsa tra le potenze navali europee in epoca moderna; conflitti a bassa intensità non riconosciuti, utili non solo a infastidire l’avversario, ma anche a saggiarne le capacità in vista di una guerra aperta.

Diversi analisti si stanno già interrogando sull’eventualità di estendere una parte della dottrina strategica legata agli armamenti nucleari alla guerra informatica. L’idea di una “Mutua distruzione assicurata” (MAD, Mutual Assured Destruction) o in un contesto di guerra più o meno informale declinata al cyberwarfare sta quindi prendendo sempre più piede nelle analisi di settore.

Esistono diversi punti di contatto tra il cyberwarfare e il conflitto nucleare. Innanzitutto, il potenziale distruttivo: sebbene sia meno spettacolare rispetto a una deflagrazione atomica, oggi un attacco informatico su vasta scala potrebbe paralizzare un intero tessuto sociale o addirittura potrebbe portarlo indietro di almeno un secolo. Senza servizi fondamentali, forniture di cibo, acqua ed energia, il numero potenziale di vittime causate sia dal crollo del tessuto economico, sia dal clima di caos e violenza che si verrebbe a creare sarebbe potenzialmente non troppo diverso da quello scatenato da una testata atomica.

Un secondo elemento è l’assenza di qualsivoglia limite di natura geografica (ancora più evidente nel conflitto informatico), così come di protezione efficace. Nel cyberwarfare è infatti pressoché impossibile sperare di garantire una difesa assoluta. Questo deriva dal differenziale di efficacia tra le azioni di difesa e quelle di attacco. Nel caso del difensore, infatti, l’obiettivo è quello di evitare che vada a segno un qualunque tipo di attacco. Per chi attacca è invece sufficiente che anche un solo tentativo riesca nell’intento. Se durante la guerra fredda, in ottica nucleare, questo concetto veniva declinato nella produzione di migliaia di testate in modo che la potenza rivale non potesse essere in grado d’intercettarle tutte in caso di attacco massivo, in ambito cyberwarfare è sufficiente disporre di competenze aggiornate, con un conseguente dispendio di risorse decisamente inferiore rispetto all’ambito nucleare.

Resterebbe dunque sulla carta, in caso di attacco a sorpresa in ambito informatico, un’azione di rappresaglia e, anche sotto questo aspetto, la possibilità di attaccare anche dopo aver subito ingenti danni in ambito cyberwarfare è molto più semplice rispetto alla rappresaglia nucleare paventata nelle dottrine strategiche di Stati Uniti e Unione Sovietica nella seconda metà del XX Secolo. Fatte queste considerazioni, l’idea della MAD potrebbe diventare un buon mezzo per cercare di contenere i possibili e terrificanti effetti di una guerra informatica ad ampio respiro. Ci vorrebbe tuttavia la necessaria volontà politica, così come è stato al tempo tra Washington e Mosca, così come uno scenario internazionale favorevole, come fu durante la guerra fredda con solo due superpotenze a doversi controllare a vicenda. Nel XXI secolo, invece, in un contesto multipolare e, soprattutto, in un ambito come quello del cyberwarfare in cui pressoché qualunque nazione è in grado di sviluppare un potenziale di attacco tale da infliggere pesanti danni, un concetto come quello di MAD applicato a decine, se non centinaia, di relazioni tra Stati rischia di non essere sufficiente, almeno nella sua accezione attuale.

 

Crediti immagine: metamorworks / Shutterstock.com

© Istituto della Enciclopedia Italiana - Riproduzione riservata

0