Cyberwarfare e danni ai cittadini

Transcript

1

2 2

3 Cyberwarfare e danni ai cittadini Stefano Mele [ settembre 2010 ] 3

4 Sommario 1.0 Introduzione Un conflitto virtuale con danni reali Dati ed elementi statistici della minaccia Conclusioni Note biografiche

5 1.0 Introduzione Per analizzare i danni reali che un ipotetica cyber-war o dei singoli atti di cyberwarfare potrebbero causare sui cittadini di una nazione soggetta ad un attacco, è fondamentale partire da alcune riflessioni utili a comprenderne appieno il fenomeno e i relativi risvolti pratici. La prima di queste è certamente legata alla difficoltà di individuare il confine, peraltro nel cyber-spazio realmente molto sottile, tra comuni criminali informatici e i c.d. cyber-warriors, intendendo con questo termine quei soggetti con elevate skills tecniche pagati da uno Stato per commettere azioni di cyberwarfare. Questo perché, fondamentalmente, un azione di cyberwarfare è spesso del tutto identica tecnicamente parlando a quella che potrebbe porre in essere sulla Rete un comune criminale: cambiano infatti solo gli scopi (a volte nemmeno i bersagli) e il committente. La classica quadri-partizione delle azioni illecite nel mondo informatico, riportata di seguito, è pertanto, nei fatti, solo meramente teorica. Attori statali Spionaggio industriale Cyberwarfare Benessere economico Sicurezza nazionale Crimini informatici Cyber-terrorismo Attori non-statali

6 Tra l altro, com è ormai noto, non è inusuale che anche i Governi peschino proprio nel mondo dei criminali informatici più o meno organizzati per portare a termine una singola operazione di cyberwarfare, ovvero per rinforzare i propri ranghi di attacco. Questo è vero in special modo nei casi in cui il soggetto da reclutare sia capace non solo di usare gli strumenti (tools) rintracciabili in Rete, quanto soprattutto di crearne di propri ad hoc per ogni specifica penetrazione/manomissione dei sistemi di sicurezza del bersaglio e di individuare nuovi bug (i c.d. zeroday 1 ) nei software maggiormente utilizzati tanto dai Governi quanto dagli utenti, al fine di evitare che i sistemi di difesa abbiano già nei loro database la signature dell attacco e, di conseguenza, l azione venga agevolmente scoperta. Inoltre, occorre considerare che alcune tipologie di azioni illecite, magari anche solo quelle meno delicate per il Governo, possono essere date direttamente in appalto a specifiche società private o gruppi criminali, finanche stranieri e senza alcuna connessione geopolitica con gli avvenimenti che porteranno alla cyber-war, prevedendo, come ulteriore elemento di sicurezza, l utilizzazione di intermediari sia per l aggancio della società o del gruppo criminale che per la trattativa, in modo da rendere ancora più semplice e immediata la smentita pubblica in caso d identificazione dell attacco elettronico (prassi ormai comune e consolidata). Da queste prime riflessioni discende che, oltre alla ben nota e agevole possibilità di restare completamente anonimi in un conflitto che per le sue caratteristiche si combatte a volte nell arco di poche decine di minuti, il problema dell attribuzione della responsabilità dell attacco nasce non solo da elementi tecnico-strutturali della Rete, quant anche dalla materiale impossibilità di dare non solo un volto all autore, ma anche un attendibile collocazione geografica certa e precisa dell attaccante 2. E utile inoltre evidenziare, seppure come mero accenno, che nella stragrande maggioranza dei casi le penetrazioni e ancor più le manomissioni dei sistemi elettronici critici per la sicurezza nazionale siano avvenute e avverranno sempre nella più completa segretezza 3. Semmai, del successo dell operazione di attacco e della manomissione dei sistemi elettronici lo Stato bersaglio 1 C è da rimarcare però come, in un recente studio sul fenomeno e sulla rilevanza che i c.d. zeroday hanno realmente nell ecosistema dei computer crimes, soltanto una minima e quasi irrilevante parte degli attacchi è portata a termine sfruttando questo genere di falle, laddove, invece, la maggior parte delle violazioni dei sistemi informatici vengono attualmente effettuate attraverso l utilizzo di bug ben conosciuti e non corretti con le opportune patch. Per approfondire, si veda DANCHO DANCHEV, Seven myths about zero day vulnerabilities debunked, su 2 Il Generale Michael Hayden, ex direttore dell NSA, durante un intervento alla conferenza Black Hat, ha affermato che è in fase di discussione e valutazione presso il Governo americano una soluzione al problema dell attribuzione in caso di atti di cyber-warfare, fondata sull evitare di ricercare un volto preciso (statale o non-statale) ad uno o più attacchi informatici portati contro l America, considerando le nazioni direttamente responsabili per le attività dannose provenienti dal proprio cyber-spazio. 3 Il Wall Street Journal, però, nell aprile del 2009 ha svelato che spie cinesi e russe hanno già da tempo violato i sistemi elettronici delle reti elettriche nazionali degli Stati Uniti (le c.d. electricity grid), installando al loro interno programmi azionabili da Internet capaci di disattivarle e/o distruggerle in pochi minuti. L articolo può essere consultato qui: 6

7 se ne potrà accorgere solo nel caso dello scoppio reale di una cyber-war o comunque nel momento in cui venga attuato un atto di cyberwarfare e, dunque, dovranno essere utilizzate le cyber-weapons precedentemente predisposte dall avversario. Un ulteriore elemento di riflessione deve essere portato in quest analisi dalla considerazione che l anello più debole della sicurezza dei sistemi elettronici è sempre stato e per lungo tempo ancora sarà l uomo. E questo sia sotto un profilo prettamente intenzionale o doloso, che meramente colposo. Infatti, per quanto un sistema possa essere (realmente?) blindato da qualsiasi attacco esterno, è ben possibile se non altamente probabile che dipendenti infedeli possano manomettere dall interno le reti e i sistemi protetti, installando malware e/o modificando i settaggi (le regole) di sicurezza, agevolando così l accesso dall esterno. Infondo la storia dello spionaggio è piena di traditori 4 e doppiogiochisti; non è plausibile, pertanto, aprioristicamente ipotizzare che proprio nel settore della sicurezza informatica non ce ne possano essere 5. Diversa, ma non meno pericolosa, è anche l ipotesi puramente casuale in cui la scarsa attenzione del personale interno o la sua inadeguata cultura della sicurezza, ovvero l assunto (errato) che una rete, ritenuta inviolabile dall esterno, possa comunque essere configurata al suo interno in maniera più fruibile ed elastica possibile, può portare ad una compromissione completa dei sistemi di sicurezza. E quanto, ad esempio, è avvenuto nel 2008, quando in un pendrive usb è stato copiato un documento infettato da un malware proveniente dalla rete non riservata (NIPRNET) del DoD americano e, una volta inserito il pendrive e aperto il file infetto in un computer collegato alla rete riservata (SIPRNET), il software malevolo si è propagato in maniera incontrollabile, infettando in poche ore centinaia di terminali in Afghanistan, Iraq, Qatar e ovviamente nel Centro di Comando americano 6. 4 Per esempio, basti pensare che l agente dell FBI Robert Philip Hanssen, in 22 anni di tradimento (dal 1979 al 2001) e di spionaggio a favore del Governo russo, è riuscito a fotocopiare e a vendere poche centinaia di pagine di documenti riservati, rischiando in prima persona e scontando attualmente l ergastolo con 23 ore al giorno di isolamento. Attraverso la rete Internet e la digitalizzazione dei documenti, invece, viene meno non solo il rischio di essere personalmente scoperti durante l atto criminoso, quanto, soprattutto, è possibile sottrarre svariate migliaia di pagine di documenti riservati in un colpo solo e con estrema facilità. Emblematica è, di recente, la vicenda Wikileaks sull Afganistan, nella quale sono stati resi pubblici oltre documenti confidenziali, e quella del giovane analista dell intelligence americana, il soldato di prima classe Bradley Manning, accusato di aver reso pubblico, sempre attraverso il portale Wikileaks, un filmato che documenta un azione militare dell esercito USA in Iraq e di averlo trasmesso a una terza parte non governativa. 5 Le vicende segnalate nella precedente nota hanno costretto il DARPA (Defense Advanced Research Projects Agency) a sviluppare nell arco di un mese un programma, denominato CINDER (Cyber Insider Threat), attraverso il quale provare ad arginare la fuga di informazioni riservate da parte degli interni al settore della Difesa americana monitorandone costantemente la ricerca, l indicizzazione e la copia elettronica. Maggiori informazioni su questo interessantissimo progetto possono essere ricavate dal sito de=list& 6 Vicenda proprio di recente pubblicamente ammessa dal vice ministro della Difesa statunitense William Lynn III a seguito della pubblicazione su Foreign Affairs di un suo saggio dal titolo Defending a New Domain: The Pentagon's 7

8 Un recentissimo studio del DHS 7, inoltre, ha posto l accento su come i sistemi informatici dello US- CERT (United States Computer Emergency Readiness Team), deputati a coadiuvare l NCSD (National Cyber Security Division) nella sua missione di essere il punto focale in materia di cybersecurity sia a livello pubblico che privato, soffrano di numerose e pericolose vulnerabilità legate soprattutto al problema della cattiva cultura della sicurezza informatica da parte dei propri dipendenti. Lo US-CERT infatti, tra le altre cose, monitora i segnali di alert che 'Einstein', l'intrusion detection system (IDS) che si occupa di sorvegliare le reti non-militari del governo americano (i c.d. sistemi.gov ), invia in caso di tentativi d intrusione non autorizzati. Questo sistema di IDS, inoltre, è deputato anche a lanciare su tutta la rete sottoposta al suo controllo degli avvisi in merito agli aggiornamenti del software installato sui vari computer che compongono il suo dominio, in modo che un eventuale problema di sicurezza (bug) possa essere immediatamente conosciuto da tutti gli utenti della rete interna e le relative patch possano essere installate con una certa celerità. Questo metodo però, a quanto pare, si è dimostrato assolutamente fallimentare. Lasciare all utente l onere di aggiornare la propria macchina, infatti, ha comportato che, ad una scansione effettuata con lo scanner di vulnerabilità Nessus, siano venute fuori ben istanze di 202 bug marcati come rischio massimo facilmente sfruttabili da un malintenzionato. In chiusura, occorre fare alcune minime riflessioni anche sulla reale probabilità dello scoppio di una cyber-war. Anche solo per quanto analizzato fin ora, è logico desumere che una guerra elettronica sia molto più probabile e forse conveniente di quanto si possa attualmente prevedere. Una cyber-war, infatti, mette in condizioni anche i più piccoli Stati, normalmente incapaci di competere sia militarmente che economicamente con le altre potenze internazionali, di colpire i sistemi critici di un qualsiasi bersaglio statale grazie ad un eccellente rapporto costi-benefici. Infatti, sfruttando competenze tecniche e know-how che nel 90% dei casi sono rintracciabili a costo zero direttamente in Rete, nonché approfittando delle attuali scarse capacità/possibilità di difesa su questo campo di battaglia da parte di tutti quei Paesi (America in testa) eccessivamente dipendenti dai sistemi tecnologici, è possibile portare agevolmente una guerra in ogni parte del mondo, con pochi costi ed altissime probabilità di risultato. C è da mettere in evidenza, tra l altro, che i Paesi scarsamente informatizzati, anche solo per questa loro caratteristica, traggono al contempo una rilevante forza e un insuperabile strategia difensiva dal possibile contrattacco informatico da parte dei Paesi ad alta digitalizzazione, facendo scaturire in questi una forma di auto-deterrenza generalizzata all impiego di una vera e propria cyber-war e/o all utilizzo di atti di cyberwarfare. Cyberstrategy, reperibile su 7 Si veda, DEPARTMENT OF HOMELAND SECURITY (DHS) OFFICE OF INSPECTOR GENERAL, DHS Needs to Improve the Security Posture of Its Cybersecurity Program Systems, reperibile su 8

9 2.0 Un conflitto virtuale con danni reali Quanto detto fin qui, deve portare (con urgenza) a prendere in seria considerazione non solo gli aspetti generali di una cyber-war e le sue relative strategie di attacco, difesa e mitigazione dei danni, quanto più di tutto ad individuare con precisione quelli che potrebbero essere i bersagli primari sul Nostro territorio nazionale raggiungibili attraverso la rete Internet 8, anche per il sol caso di singole azioni di cyberwarfare. Per quanto attiene ai soli obiettivi che possono causare la perdita di vite umane, devono essere segnalati i: - sistemi elettronici aeroportuali e di controllo del traffico e dello spazio aereo civile e/o militare, attraverso i quali, seppure allo stato delle attuali procedure di sicurezza non pare essere possibile causare eventuali collisioni tra velivoli ovvero problemi durante le fasi di atterraggio 9, risulta invece più che verosimile la possibilità di disabilitare da remoto i sistemi di controllo dello spazio 8 Per uno sguardo generico sulle vulnerabilità relative ai sistemi di gestione e controllo delle infrastrutture critiche, si veda IDAHO NATIONAL LABORATORY, NSTB Assessments Summary Report: Common Industrial Control System Cyber Security Weaknesses, in maggio 2010 e JASON STAMP, JOHN DILLINGER, WILLIAM YOUNG E JENNIFER DEPOY, Common vulnerabilities in critical infrastructure control systems, in novembre La collisione tra due velivoli in fase di atterraggio risulta altamente improbabile, almeno a seguito di un atto di cyberwarfare da parte di uno Stato straniero, in quanto sono previsti dei controlli incrociati tra il pilota dell aereo e la torre di controllo che, finché non ha a vista il velivolo, comunica con il pilota attraverso i dati riportati dai radar (posizione, velocità, ecc.). La torre di controllo indirizza l aereo dal momento dell aggancio del segnale di presenza nel proprio spazio aereo e fino a quando non atterra, indicandogli velocità, punti di virata, altezza a cui scendere o salire, ecc.. Ogni comando dato al pilota, viene inoltre immediatamente confermato. Ciò vuol dire, che se anche i segnali del radar venissero falsificati, il che è ovviamente plausibile, il pilota potrebbe sempre smentire i comandi ricevuti a seconda di ciò che vede durante la fase di atterraggio sia sulla pista, che dalla strumentazione. Per di più, lungo la pista esistono un gran numero di sensori che indicano la presenza e la posizione di un aereo. 9

10 aereo 10 e permettere, ad esempio, un bombardamento a tappeto del territorio da parte di aerei ostili senza che alcun allarme venga innescato sistemi elettronici di comando degli aeromobili civili e militari, la compromissione dei quali può determinare problemi durante le fasi di atterraggio e decollo del velivolo 12, nonché, come purtroppo ha dimostrato la vicenda dell Air France 447 nel giugno , la sua caduta durante il volo. Pur non trattandosi, almeno per quanto è dato sapere, di un vero e proprio attentato, questa tragica vicenda ha comunque dimostrato come l attuale metodologia di volo (fly-by-wire), in caso di problemi al computer di bordo, comprometta irrimediabilmente la sicurezza del volo e dei passeggeri al suo interno, lasciando scarsissime possibilità di intervento al pilota. - sistemi elettronici delle Società che progettano e sviluppano l hardware e i software utilizzati negli aeroporti, nel controllo del traffico aereo e nella costruzione dei velivoli, sia in ambito civile che militare. In questo caso l obiettivo è quello di manomettere a monte ciò che 10 Per approfondire la situazione americana, molto interessante risulta essere l analisi del documento dell U.S. DEPARTMENT OF TRANSPORTATION dal titolo Review of web applications security and intrusion detection in air traffic control systems, reperibile su in cui vengono effettuate cinque raccomandazioni di sicurezza per la Federal Aviation Administration da applicare ai sistemi di controllo e gestione del traffico aereo, al fine di evitare che questi sistemi informatici possano continuare ad essere vulnerabili ai cyber-attack. In realtà, come si può evincere anche da questo documento ufficiale ( cuirty%20follow-up% pdf), delle cinque raccomandazioni solo quattro sono state realmente attuate, lasciando ancora aperta e incompiuta quella relativa all adozione dei sistemi di intrusion detection. 11 Questo è quanto successe ai computer dei sistemi di difesa aerea siriani quando, nel settembre del 2007, inspiegabilmente non segnalarono l arrivo sul territorio nazionale di velivoli israeliani di tipo Eagles e Falcons (quindi non aerei c.d. stealth ) pronti al bombardamento di un sito nucleare. 12 Intorno alla fine di agosto, il giornale spagnolo El Pais ha riportato la notizia che le autorità inquirenti che stanno investigando sul disastro aereo di Madrid del 2008 hanno scoperto che uno dei computer del sistema di monitoraggio dei problemi tecnici sui velivoli era infettato da un malware. Si suppone, quindi, che una possibile concausa di quella tragedia, in cui sono morte 154 persone, possa essere proprio il mancato allarme di malfunzionamento tecnico dovuto all infezione del server di controllo. Secondo El Pais, un rapporto interno della compagnia aerea ha rivelato che quel computer, situato presso la sede della compagnia aerea a Palma di Maiorca, avrebbe dovuto individuare ben tre problemi tecnici dell aereo che, se fossero stati correttamente gestiti dal server, non ne avrebbero consentito il decollo. Il trojan, pertanto, pur non avendo causato direttamente l incidente, potrebbe aver contribuito a far decollare un aereo che non avrebbe mai dovuto lasciare il suolo. La relazione finale su questa vicenda però - con maggiori dettagli - sarà resa pubblica soltanto nel mese di dicembre. Al momento, per maggiori dettagli, si veda: elpepinac_11/tes 13 Informazioni particolareggiate sulla vicenda, soprattutto in merito a ciò che è avvenuto sul velivolo prima della sua caduta, possono essere rinvenute sul sito: 10

11 successivamente viene utilizzato in ambienti critici 14. Le vicende legate al furto dei progetti dell F americano possono essere d esempio per questa tipologia di atti. E inoltre possibile, anche se non certamente semplice, che un Governo ostile non si limiti solo a copiare informazioni riservate, svolgendo in questo modo un lavoro di mero spionaggio elettronico, ma si preoccupi di prelevare i progetti, di farli analizzare dai suoi specialisti, di introdurre nelle milioni di linee di codice che sono alla base del software di gestione dell aereo una piccola backdoor difficile quindi da individuare nel mare d informazioni presenti che ne permetta il controllo completo da remoto, reinserire nei sistemi precedentemente violati il progetto così manomesso, aspettare la sua produzione su vasta scala e il suo impiego per farlo poi precipitare ovvero, se si tratta di un aereo militare, per fargli sparare, ad esempio, un missile con coordinate differenti da quella previste. - sistemi elettronici di difesa nazionale, attraverso i quali lanciare un attacco non voluto (anche un semplice missile a lungo raggio) verso il territorio di una specifica nazione. - sistemi completamente automatizzati di gestione delle metropolitane, i quali non prevedono un conduttore a bordo e sono dotati del sistema a guida automatica VAL. Comprometterne la sicurezza può voler dire far collidere due mezzi, provare a farne deragliare uno, ovvero farlo proseguire oltre il capolinea, con conseguenti probabili perdite di vite umane. - sistemi di approvvigionamento e controllo idrico, la compromissione dei quali può non solo lasciare senz acqua ampie zone del territorio (e anche per lunghi periodi), quanto soprattutto non rilevare o falsare la presenza di impurità o di sostanze altamente tossiche per la salute dei cittadini. - sistemi elettronici ospedalieri, che possono vedere compromessi e/o peggio ancora solo manomessi i loro sistemi elettronici di gestione delle cartelle cliniche dei pazienti. 14 Infatti la maggior parte della componentistica elettronica attualmente utilizzata in tutti i computer e telefonini oggi in commercio è prodotta in Cina, primo Paese insieme alla Russia per pericolosità in ambito di cyberwarfare. Non a caso, da alcuni mesi, l India ha deciso di bandire per ragioni di sicurezza l utilizzo di componentistica elettronica proveniente dalla Cina, in particolar modo quella prodotta dalle due maggiori società presenti sul territorio, Huawei Technologies e ZTE Per avere alcuni accenni sulla vicenda, si veda Computer Spies Breach Fighter-Jet Project su 11

12 - sistemi elettronici per la gestione delle emergenze (come il 118 e i Vigili del fuoco), i quali potrebbero ritardare o non effettuare del tutto un intervento particolarmente urgente per la salvaguardia della salute e/o della vita di uno o più cittadini. - sistemi di gestione delle centrali elettriche, la manomissione dei quali potrebbe comportare il verificarsi della maggior parte delle minacce fin qui analizzate e, pertanto, deve rappresentare la priorità assoluta in materia di difesa sul Nostro territorio. Basti pensare che senza l elettricità niente più funziona: computer, bancomat, treni, aerei, ospedali, servizi di comunicazione telefonica, sistemi di approvvigionamento, ecc., con una conseguente (e molto probabile) reazione civile e popolare, dalla quale discenderebbe inoltre un ingestibile perdita di immagine e di fiducia nei confronti del Governo. Tra l altro, in caso di un attacco serio e mirato, non di un semplice e temporaneo malfunzionamento, i sistemi di continuità energetica ben poco possono fare per sopperire a compromissioni e danneggiamenti riparabili in non meno di 24 ore, causando anzi un black-out a cascata nel tentativo di tamponare la perdita parziale di tensione elettrica. Occorre segnalare, per completezza, anche due casi in cui, seppure di primo acchito parrebbe esserci la possibilità di mettere in pericolo in maniera diretta delle vite umane, per due ragioni differenti questo non può/potrebbe essere fatto. Queste due ipotesi riguardano i: - sistemi elettronici ferroviari, che, seppure al momento d ingresso del treno nella barriera di arrivo delle stazioni di Roma e Milano prendono in consegna la locomotiva e ne gestiscono in maniera elettronica velocità, tempi di arrivo, coincidenze con altri treni ed eventuali fermate, prevedono in ogni caso una procedura che non esclude mai né il conduttore del treno e neppure l operatore presente nel centro di comando della stazione. Essi hanno infatti il dovere reciproco e incrociato di controllo sull operazione svolta in maniera elettronica dai due computer (quello del treno e quello della centrale operativa), potendo in qualsiasi momento intervenire manualmente e disattivare la gestione automatizzata. - sistemi finanziari e bancari, i quali, analogamente a quanto analizzato in materia di manomissione di impianti elettrici nazionali, nonostante non possano causare la perdita diretta di vite umane, sono deputati alla gestione di un asset così critico per lo Stato che, in ogni caso, 12

13 devono essere presi in diretta considerazione. Il collasso economico e finanziario di un intera nazione, infatti, può portare facilmente a sommosse popolari ad alto rischio di perdita di vite umane. In questo particolare caso, però, la maggior parte dei Paesi stranieri potrebbero essere restii nel compiere un atto di cyberwarfare realmente devastante, in considerazione del fatto che, un collasso finanziario di una singola nazione, spesso si ripercuote su molte altre. Per questo motivo, Paesi normalmente considerati come minacce in materia di cyberwarfare Cina e Russia in testa a tutti attualmente non trovano conveniente un massiccio attacco elettronico a queste tipologie di sistemi, essendo ormai economicamente e finanziariamente strettamente interconnessi al mondo occidentale. Un diverso ragionamento, però, deve essere fatto per quelle economie particolarmente chiuse e indipendenti, come quella della Corea del Nord, che, invece, potrebbero trovare molto conveniente un attacco ai sistemi finanziari occidentali, non potendo, tra l altro, subire di ritorno danni economico-finanziari altrettanto rilevanti. In quest ottica, comunque, la forte pressione e la rilevanza che allo stato attuale proprio la Cina ha su quella parte di mondo porta ad una discreta tranquillità in merito a questa particolare minaccia, tanto da farla avvertire come altamente improbabile. 13

14 3.0 Dati ed elementi statistici della minaccia Allo stato attuale, riuscire a rintracciare dati ed elementi statistici certi a supporto delle tesi fin ora esposte è un attività certamente complessa e di difficile attuazione. Questo per un duplice motivo: il primo legato alla scarsezza almeno pubblicamente di dati relativi ad atti di cyberwarfare e/o di vera e propria cyber-war; il secondo, invece, strettamente collegato a quanto detto nella parte introduttiva di questo lavoro in merito alla semplicità con cui è possibile mascherare la vera provenienza di un atto/attacco informatico diretto ai computer di un altro Stato. Ad ogni modo, un buon punto di partenza può essere rintracciato nel documento Significant Cyber Incidents Since , redatto e mantenuto aggiornato dal Center for Strategic and International Studies, all interno del quale vengono raccolti ed elencati gli attacchi portati a segno ai sistemi informatici e alle reti dei Governi, della Difesa e delle maggiori società hi-tech, nonché i crimini economici con perdite maggiori ad un milione di dollari. Anche l analisi superficiale del contenuto dell elenco può mettere in luce come, nel ristretto arco temporale di un triennio ( ), gli attacchi di questo genere siano ben 44, il 30% dei quali compiuti nel solo anno Ulteriori riflessioni possono derivare dai dati forniti dallo U.S. Strategic Command che, attraverso la U.S.-China Economic and Security Review Commission 18, ha evidenziato come in tutto il 2008 i sistemi del solo Department of Defense americano abbiano registrato ben attacchi informatici, laddove, nella sola prima metà del 2009, gli attacchi siano stati già , prospettando una chiusura dell anno con un valore complessivo di crescita dei cyber-incidents pari a circa il 60% in più rispetto al Crescita confermata anche dai pochi accenni statistici presenti nell ultimo Quadrennial Defense Review 20, in cui si afferma che negli ultimi due anni gli attacchi informatici nel settore militare sono stati in media oltre al giorno, nonché dalle parole del Gen. Keith Alexander attuale Comandante dello U.S. Cyber Command il quale, durante 16 Il documento, il cui ultimo aggiornamento risale purtroppo solo al 29 gennaio 2010, può essere consultato al seguente indirizzo: 17 Per ulteriori elementi, si veda anche la mia analisi, Le esigenze americane in materia di cyber-terrorismo e cyberwarfare. Analisi strategica delle contromisure, marzo 2010, reperibile su 18 U.S.-CHINA ECONOMIC AND SECURITY REVIEW COMMISSION, 2009 Report To Congress of the U.S.-China Economic And Security Review Commission, novembre Nel 2000, invece, gli incidenti informatici segnalati sono stati soltanto Si deve necessariamente tener presente, però, che questo sconcertante incremento è in parte dovuto anche alle accresciute capacità del Governo americano di individuare i c.d. cyber-threats e alla crescente attenzione sul tema da parte dell opinione pubblica mondiale. 20 Consultabile integralmente su 14

15 l audizione di conferma della sua nomina di fronte al Senato nell aprile 2010, ha affermato che la solidità dei sistemi del Department of Defense viene testata da malintenzionati centinaia di migliaia di volte al giorno 21. Di certo le parole del Gen. Alexander si riferiscono alle c.d. attività di probing dei sistemi informatici e non a veri e propri attacchi, ma il dato, qualora fosse confermato e supportato da dati certi, risulterebbe certamente rilevante. I dati americani, certamente considerevoli, sembrano perdere però un po della loro consistenza se paragonati alle recenti dichiarazioni di un rappresentante dello State Protection Special Service dell Azerbaigian, il quale, durante un workshop internazionale sul tema Comprehensive Approach to Cyber Security, ha rilevato che i sistemi informatici delle infrastrutture critiche azerbaigiane sono bersaglio di circa attacchi al giorno, provenienti per la quasi totalità da sistemi cinesi e americani, nonché per un 15% da sistemi armeni 22. Così come certamente significativi sono i computer compromessi giornalmente sul territorio australiano 23, oppure i cyber-incidents registrati e confermati dal CERT-India nell anno o invece le intrusioni osservate fino ad agosto 2009 dal Governo malese Per leggere l intera audizione, si veda U.S. SENATE - COMMITTEE ON ARMED SERVICES, Nominations Of Vadm James A. Winnefeld, Jr., Usn, To Be Admiral And Commander, U.S. Northern Command/Commander, North American Aerospace Defense Command; And Ltg Keith B. Alexander, Usa, To Be General And Director, National Security Agency/Chief, Central Security Service/Commander, U.S. Cyber Command, reperibile su 22 Questo almeno è quanto riporta l articolo 3,500 external penetrations fixed in state segment of Azerbaijani internet per day, consultabile su 23 Cfr. DUNCAN ANDERSON, Cyber Security and Critical Infrastructure Protection: An Australian Perspective, INTERNATIONAL TELECOMMUNICATION UNION REGIONAL CYBERSECURITY FORUM FOR ASIA-PACIFIC, settembre 2009, reperibile su 24 Cfr. GULSHAN RAI, Cyber Security & Role of CERT-In, INTERNATIONAL TELECOMMUNICATION UNION REGIONAL CYBERSECURITY FORUM FOR ASIA-PACIFIC, settembre 2009, reperibile su 25 Cfr. MOHD SHAMIR HASHIM, Malaysia s National Cyber Security Policy. Towards an Integrated Approach for Cyber Security and Critical Information Infrastructure Protection (CIIP), INTERNATIONAL TELECOMMUNICATION UNION REGIONAL CYBERSECURITY FORUM FOR ASIA-PACIFIC, settembre 2009, reperibile su D/cyb/events/2009/hyderabad/docs/hashim-national-policy-malaysia-sept-09.pdf 15

16 4.0 Conclusioni Prim ancora di poter parlare di un conflitto conducibile su quel nuovo campo di battaglia rappresentato dalla rete Internet e già denominato il quinto elemento 26 (dopo mare, terra, aria e spazio), ci troviamo già oggi a dover combattere una guerra di parole sul significato del termine cyber-war. Ma cos è una cyber-war? Quando possiamo affermare di trovarci dinanzi ad una guerra elettronica? Quali devono essere le sue regole di ingaggio e quali i metodi per verificare che le risposte siano commisurate alle offese? A chi si può imputare la responsabilità di un attacco e con quale grado di certezza? Di fronte ai pericoli derivanti da una minaccia che, per quanto fin ora analizzato, non può certamente considerarsi sovrastimata, queste non possono e non devono essere considerate solo domande accademiche. Dare una risposta convincente a queste domande non è nell obiettivo di questa ricerca, che mira più che altro a mettere in evidenza e sviluppare un dibattito sulla reale pericolosità per le vite umane anche solo di un isolato atto di cyberwarfare, se ben pianificato, e/o di un ipotetica cyberwar. Domande che comunque, all alba della creazione di uno specifico Cyber Command 27 da parte del Dipartimento della Difesa americano, ancora non hanno trovato una risposta certa, costantemente rimbalzate in questa guerra di parole tra chi è convinto che il mondo occidentale con l America in testa si trovi da un po di tempo a questa parte nel bel mezzo di una vera e propria cyber-war e la stia perdendo, e chi, pur rilevando le continue e crescenti attività criminali perpetrate attraverso la rete Internet, sostiene che l etichetta cyber-war sia stata creata per meri scopi economici da parte delle centinaia di società satelliti al mondo della Difesa americano, pronte a fomentare la paura di una realtà nuova e difficilmente comprensibile ai non addetti ai lavori per ricevere i miliardi di dollari di consulenze stanziati per far fronte a questa nuova minaccia. Tuttavia, ciò che sembra mancare a questo dibattito, che pare essere ormai infinito, è una concreta consapevolezza di quale sia la reale natura della minaccia proveniente dalla rete Internet. Il termine cyber-war è sicuramente legittimo, ma solo nel caso in cui con esso si vadano a definire quegli attacchi effettuati da personale militare utilizzando come strumento dei computer o dei sistemi elettronici ad essi comparabili, che abbiano come obiettivo i computer, le reti di computer 26 Per un analisi approfondita, si veda RAND CORPORATION, Cyberdeterrence and Cyberwar, in Lo U.S. Cyber Command Fact Sheet è consultabile qui: ay%2021%20fact%20sheet.pdf 16

17 o i sistemi elettronici ad essi comparabili degli avversari e come intento quello di causare dei danni nel mondo reale. Quest ultimo punto è quello essenziale: per parlare di cyber-war è necessario che le azioni portate a termine utilizzando strumenti informatici abbiano dei risvolti dannosi anche nel mondo reale, quindi offline. E questa la ragione per cui, per la maggioranza dei casi fin ora passati all onore della cronaca, è certamente più opportuno parlare di azioni di cyberwarfare, ovvero di atti aventi come obiettivo la violazione non autorizzata da parte di, per conto di, oppure in sostegno a, un Governo nel computer di un altro Paese, nella sua rete o in qualsiasi altra attività interessata da un sistema informatico, al fine di aggiungere, modificare o falsificare i dati, ovvero causare l interruzione o il danneggiamento, anche temporaneo, di uno o più computer, di uno o più dispositivi di rete, ovvero di qualsiasi altro oggetto controllato da un sistema informatico 28. Ebbene, se tutto ciò è corretto, a questo punto dovrebbe risultare particolarmente difficile poter catalogare questo genere di minaccia come sovrastimata, attesa la possibilità (se non la probabilità) che dei danni non solo si verifichino, ma che possano mettere direttamente in serio pericolo anche la vita dei cittadini, come evidenziato in questa ricerca. 28 Questa definizione non contempla al suo interno il concetto di spionaggio elettronico, che è attività per molti versi completamente differente, almeno a livello teorico e di obiettivi, da quella di cyberwarfare. 17

18 Note biografiche Stefano Mele Avvocato specializzato in Diritto delle Tecnologie Informatiche, Privacy, Sicurezza ed Intelligence. Dottore di ricerca presso l Università degli Studi di Foggia. Vive e lavora a Milano dove svolge attività di consulenza per grandi aziende, anche multinazionali, sulle problematiche legali inerenti la Privacy e la protezione dei dati personali, Internet e i computer crimes. Per questi specifici settori ha redatto numerose pubblicazioni e approfondimenti per volumi, riviste e siti specializzati. E altresì esperto di sicurezza, cyber-terrorismo e cyberwarfare. E senior researcher del Dipartimento di Studi d Intelligence Strategica e Sicurezza della Link Campus University di Roma, nonché docente del loro Master in Studi d Intelligence e Sicurezza Nazionale per i moduli relativi al cyber-terrorismo ed al cyberwarfare. E socio fondatore e vice presidente del Centro Studi Informatica Giuridica di Foggia (CSIG- Foggia) e Sector Director Intelligence e spionaggio elettronico dell Istituto Italiano per la Privacy. L Autore ringrazia Davide Cardilli [ ] per la copertina & layout. 18

19 19