Cyber-Pearl Harbor, lo stato dell’arte delle Cyber Operations

L’idea di un “Cyber-Pearl Harbor”, ovvero un attacco che può determinare il crollo del sistema infrastrutturale di un Paese senza che un singolo colpo sia sparato, è un timore che ha radici lontane.

Negli Stati Uniti tale idea è stata paventata da diverse Commissioni Presidenziali, vari report prodotti da task force militari e dal resoconto di una investigazione promossa dal Congresso. Già nel 1984, l’amministrazione Regan parlava di “significant security challenges” per l’imminente “era dell’informazione”. A questa scia di warnings si aggiunge Dan Coats, Director of National Intelligence che nel corso del 2018 si è espresso in tal modo: “the lights are blinking red”.

Per comprendere i motivi di tale constatazione da parte dell’intelligence, bisogna ripercorre ciò che è avvenuto nel corso degli ultimi anni e valutare le dinamiche che spingono sempre di più uno Stato a preferire un’azione offensiva cibernetica piuttosto che un impiego sul campo di battaglia.

Le cyber-operations sono l’emblema di ciò che può essere definita come una nuova tipologia di “arena da competizione”. In questa competizione la fanno da padrone soprattutto le informazioni.

Durante l’ultima campagna presidenziale americana, Mosca hackera un account e-mail appartenente al Democratic National Committee e un account appartenente ad uno dei più stretti collaboratori di Hillary Clinton. Quest’attività non si pose l’obiettivo di collezionare informazioni più propriamente di tipo intelligence, ma si focalizzò soprattutto sullo scovare informazioni che potessero mettere in imbarazzo la candidata alla Casa Bianca. A questo punto, invece di utilizzare tali informazioni e generare uno scandalo, queste furono passate a WikiLeaks, che le rilasciò pubblicamente determinando una copertura mediatica negativa nei confronti della Clinton. Copertura che raggiunse il suo apice di negatività proprio nei giorni di voto.

Nei mesi precedenti alle elezioni, alcune compagnie russe legate al Cremlino iniziarono una campagna atta sia ad acquistare spazi promozionali su Facebook che a creare un “esercito” di account troll su Twitter. Ciò al fine di “promuovere” il candidato Trump.

Questo scenario è l’esempio perfetto di come si padroneggia l’informazione nel cyber spazio, ponendo in essere una cyber operazione che ha come scopo l’ingerenza nei confronti di uno Stato, riuscendo perfettamente ad ottenerla senza un coinvolgimento diretto. C’è di più, internet ha dato una possibilità senza precedenti ai servizi di sicurezza russi: quella di raggiungere milioni di elettori americani attraverso la propaganda.

Questi casi evidenziato come, ad oggi, gli Stati abbiano preferito azioni “corrosive” piuttosto che “esplosive”, ovvero si è scelto di porre in essere operazioni nel cyberspace soprattutto indirizzate al disturbo, alla raccolta informativa di informazioni, piuttosto che alla propaganda.

Questa considerazione ha portato vari analisti ad evidenziare come gli Stati utilizzino i tools per la cyberwarfare principalmente per minare un elemento fondante di internet: la fiducia. Ciò significa che i tools sono stati principalmente utilizzati per interferire su una comunicazione, più precisamente sul flusso delle informazioni.

Inoltre, se pensiamo alle cyber operations come attività di supporto per un’operazione militare, non è difficile formulare delle ipotesi plausibili. Nel 1999 durante il bombardamento NATO della Yugoslavia, secondo il giornalista Fred Kaplan, una unità del Pentagono hackerò il sistema di difesa aerea della Serbia, modificando i parametri e facendo apparire che gli aerei USA stessero arrivando da una direzione differente rispetto a quella reale. Un’azione di disturbo per l’appunto.

Gli Stati Uniti non sono l’unica Nazione che fa perno sulle capacità cibernetiche. Durante l’invasione della Georgia nel 2008, la Russia pose in essere un Denial of Service contro il sistema nazionale per silenziare le stazioni televisive e creare panico. Allo stesso modo, vi è un enorme quantità di informazioni relative a svariate operazioni cyber contro l’Ucraina da parte della Russia, la più famosa nel 2015 quando fù hackerata la rete di distribuzione energetica che dava energia a circa 225 mila clienti.

I cybertools danno all’esercito l’abilità di superare le distanze, generare effetti di disturbo in territorio nemico, e ridurre gli effetti collaterali di un attacco fisico. Azioni corrosive che disturbano una comunicazione.

Tuttavia, come nel caso dell’esercito americano, più è alta la dipendenza verso internet, maggiore è la possibilità che un attacco al command-and-control, sistema di supporto e rete di comunicazione possa determinare un indebolimento della capacità di efficienza sul campo, lasciando le forze disconnesse e vulnerabili.

È necessario considerare un ulteriore aspetto delle cyber operations in relazione agli effetti di un attacco nei confronti dei civili.

In prima istanza va ricordato che il diritto internazionale proibisce attacchi che possano prendere di mira i civili sul campo di battaglia, allo stesso modo, ad oggi non si hanno evidenze di un cyber attacco che ha prodotto vittime fra la popolazione. Tale elemento è destinato a cambiare poiché sempre più infrastrutture, un tempo “isolate”, stanno entrando in rete divenendo raggiungibili online; un esempio è rappresentato dalla reti nazionali di energia elettrica, ancor più preoccupante il caso degli ospedali. Si ricordi il caso del ransomware WannaCry che colpì il National Health System inglese, determinando la cancellazione delle visite mediche, il blocco delle ambulanze e il blocco delle operazioni chirurgiche. Oggi le auto sono connesse alla reti in Wi-Fi e Bluetooth, vi sono una miriade di devices connessi all’internet of things e, spingendosi oltre ipotizzando il futuro, si inizia a parlare di implants ovvero, ad esempio, chip sottocutanei connessi alla rete in quella che è stata ribattezzata “internet of bodies”.

Per molto tempo è stata ritenuta efficace la pratica dell’air gapping, ovvero l’isolamento fisico del sistema che diviene così privo di contatti con la rete internet. Tuttavia, tale pratica più volte si è rivelata inefficace perché il dispositivo necessità comunque di software updates che espongono il sistema alla rete o quanto meno ad un dispositivo in cui sono contenuti gli aggiornamenti, inoltre il caso Stuxnet dimostra ampiamente quanto il “gap” sia oltrepassabile.

Tutti gli esempi sin qui esposti si sommano agli ulteriori problemi legati alle difficoltà nell’information sharing fra pubblico e privato, difficoltà di un efficace raccordo vi sono inoltre nell’effettuare giusti investimenti in termini di cybersecurity

Cosa fare?

Gli Stati Uniti e gli alleati occidentali dovrebbero “ripristinare la fiducia” su internet. Ciò significa, ad esempio, che dovrebbero in prima istanza rivedere il loro modo di intedere le “cyber- capabilities” come strumento di sorveglianza di massa e di spionaggio nei confronti dei Paesi alleati, poiché sviluppare metodologie di intercettazione di massa, manomettendo apparati di varia tipologia significa contribuire a “degradare” i propri sistemi e le proprie reti, che dovrebbero essere difesi da infiltrazioni esterne.

Allo stesso modo, è necessario ripensare il concetto di cyberdefense. Storicamente, i governi si ritengono responsabili della protezione dei sistemi governativi, lasciando fuori da tale protezione non soltanto una serie di aziende strategiche, ma anche le persone fisiche. Ciò significa che, nell’era in cui ci stiamo indirizzando in cui saremo sempre più vulnerabili in rete poiché la raccolta informativa non solo permette la quasi totale profilazione di un soggetto ma anche un successivo attacco nei suoi confronti sfruttando le sue vulnerabilità, ovvero le sue debolezze umane, lo Stato deve difendere il cittadino dai pericoli digitali esattamente come lo protegge dal punto di vista fisico. Un esempio lo si può trovare nel Regno Unito quando, nel 2016, venne istituito il National Cyber Security Centre, progettato con lo scopo di proteggere sia tutto l’apparato governativo che le società da possibili attacchi informatici; inoltre, questo organismo si occupa di coordinarsi attraverso la condivisione delle informazioni con le altre agenzie governative.

Un altro aspetto da valutare è la promozione dell’accountability. Ci si difende dall’attacchi degli hackers cinesi e dai famigerati troll russi imponendo delle reali conseguenze ai responsabili di un attacco. Ciò significa che il focus nella cyberdefense non deve essere soltanto lo sviluppo di tools difensivi piuttosto che la previsione di opzioni di  cyber “rappresaglia”,  ma anche la previsione di meccanismi punitivi che attribuiscono un costo ad un’azione aggressiva nello spazio cibernetico. Alcuni esempi potrebbero essere la previsione di sanzioni economiche, isolazionismo diplomatico, pressione militare etc.  Probabilmente nei prossimi anni si arriverà ad un concetto di deterrenza cibernetica, in quanto oggi gli Stati hanno la necessità di migliorare la propria difesa anche attraverso la previsione di conseguenze credibili.

Articolo di Daniele Algisi

© Riproduzione riservata