Cyber War. La guerra prossima ventura, Alessandro Curioni, Aldo GiannuliDott. Alessandro Curioni, Lei è autore con Aldo Giannuli del libro Cyber War. La guerra prossima ventura edito da Mimesis: lo spazio cibernetico è ormai il quinto dominio dei conflitti?
Ormai da almeno un decennio il mondo che si trova oltre lo schermo di un monitor è considerato da quasi tutti gli Stati come un terreno dove è possibile combattere una guerra e per il futuro la sua rilevanza è destinata ad accrescersi, complice la pervasività delle tecnologie dell’informazione e l’integrazione all’interno di grandi reti di oggetti che incidono in modo diretto sulla vita quotidiana delle persone. Basta pensare al cosiddetto Internet delle Cose. Inoltre, il modo stesso di condurre una guerra ha risentito di questo fenomeno. La capacità di rendere disponibile l’informazione giusta, al momento giusto, alla persona giusta, affinché sia presa la decisione giusta è stata storicamente la chiave di tutte le vittorie. La disponibilità di sistemi evoluti per la gestione dell’informazione li ha resi immediatamente essenziali per gli eserciti della fine del ventesimo secolo. Successivamente, però, si è scoperto che l’informatizzazione spinta delle forze armate presentava alcuni rischi connessi alla vulnerabilità dei sistemi utilizzati e al basso costo per sfruttarle. A mettere in crisi un’intera forza militare eccessivamente dipendente dalle tecnologie poteva bastare un virus informatico.

Di cosa si parla quando si fa riferimento alla guerra cibernetica?
Nel libro cerco di fare una distinzione tra info war e cyber war. La prima è la naturale evoluzione di quella che un tempo veniva chiamata “Guerra Fredda”. Più il mondo reale viene infiltrato da quello virtuale, tanto più lo spionaggio nelle sue diverse forme si sposta anche oltre lo schermo. Come hanno dimostrato le rivelazioni di Wikileaks e Snowden, gli agenti hanno gettato la Walter PPK per armarsi di tastiera e il sabotaggio è passato dalle bombe ai virus, come nel celebre caso di Stuxnet, il malware grazie al quale Stati Uniti e Israele hanno tentato di compromettere il programma nucleare iraniano. Il nuovo millennio, poi, ha visto l’avvento di due fenomeni che hanno nuovamente aumentato la portata e l’importanza di quanto accade al di là del monitor. I social network hanno involontariamente fornito uno strumento di propaganda senza precedenti e il Russiagate ha ampiamente dimostrando come essi possano diventare potenti strumenti per influenzare l’opinione pubblica con precisione chirurgica. Per comprendere la natura del secondo dobbiamo concentrarci sul termine cyber. L’etimologia rivela che si riferisce alla costruzione di macchine in grado di riprodurre le funzioni del cervello umano e più in generale a sistemi capaci di autoregolarsi attraverso input e output di comando e di controllo idonei a sviluppare alti livelli di automazione di attività complesse. Questo tipo di premessa, nel contesto tecnologico, pone qualsiasi parola impieghi il prefisso a un livello idealmente superiore rispetto a quelle caratterizzate dal concetto di “informatica”, cioè utilizzate per definire quanto è destinato a conservare e a permettere elaborazioni delle informazioni da parte di un operatore. Se consideriamo il modello Data-Information-Knowledge-Wisdom, il ciber si dovrebbe collocare sul terzo scalino, sommando le esperienze, le idee, i punti di vista i valori e i giudizi individuali di un ente. Volendo analizzare un caso concreto possiamo prendere in considerazione i cosiddetti “smart object”, perché nelle loro premesse di gestione dell’informazione dovrebbero contemplare, magari in forma semplificata, queste variabili. L’utente, di conseguenza, viene sollevato dall’onere di analizzare le informazioni, ma riceve un quadro di una situazione già interpretata sulla base del quale deve prendere una decisione (a volte già suggerita dal sistema stesso). Alcuni esempi sono rappresentati dai sistemi che, dotati di algoritmi “intelligenti” come molti oggetti appartenenti al mondo IoT (auto, tv e impianti di servizi essenziali come le reti elettriche che adottano lo smart metering integrato ad analizzatori di big data), strumenti software di analytics, scoring, trading automatizzato e in generale tutto il mondo delle piattaforme dedicate alla gestione dei “big data”. L’altra faccia, invece, del “cyber” è legata al termine cyberspace, coniato nel 1982 dallo scrittore William Gibson nella sua opera “La notte che incendiammo Chrome”, poi entrato nel linguaggio comune con il successivo romanzo “Neuromante”, in cui è definito come “un’allucinazione vissuta consensualmente ogni giorno da miliardi di operatori legittimi… Una rappresentazione grafica dei dati estratti dalle memorie di ogni computer del sistema umano…”.

Qualsiasi oggetto fisico o virtuale connesso alla rete e tutti quegli strumenti deputati generare nuova conoscenza attraverso l’elaborazione autonoma e automatica dell’informazione. Questo potrebbe essere il dominio del “ciber”, che finirebbe per incorporare completamente l’informatica estendendosi poi verso l’Internet delle Cose e quindi comprendendo i sistemi di oggetti il cui scopo primario è fornire altre funzionalità (in un termostato smart l’elaborazione delle informazioni è il mezzo e non il fine). Di conseguenza una forma d violenza più o meno organizzata che si svolgesse in quel contesto potrebbe essere definita guerra cibernetica e, a differenza della infowar, essa produce conseguenze dirette nel mondo reale (un oggetto cesserà di funzionare, una decisione subirà un’alterazione producendo i risultati graditi alla parte agente).

Quali sono le armi della guerra cyber?
Il genere più numeroso è indubbiamente rappresentato da quelli che comunemente sono definiti malware, ovvero software che compromettono o danneggiano il normale funzionamento di un sistema o delle informazioni che esso gestisce ed elabora. La storia ne ha mostrati decine con diverse caratteristiche. Per citare qualche grande classico dei tempi recenti mi riferisco a WannaCry e NotPetya che si diffusero nel 2017 sfruttando tecnologia sviluppata dalla NSA statunitense. Si trattava di due ransomware (malware che crittografano il contenuto dei dispositivi) con la capacità di propagarsi senza intervento umano. Altro esempio molto interessante, anche perché è stato forse il primo caso di arma con effetti nel mondo reale, è quello di Stuxnet. Il malware, progettato congiuntamente da Stati Uniti e Israele, fu creato nell’ambito dell’operazione “Olympic Games” lanciata da Bush nel 2006 per minare il programma nucleare iraniano. Databile al 2009, il virus danneggiò fisicamente i sistemi di arricchimento dell’uranio della centrale di Natanz. Un caso particolare di arma è rappresentato dai cosiddetti DDoS. Si tratta di generare una quantità abbastanza grande di traffico dati verso un obiettivo fino a quando non supererà la sua capacità di accettare connessioni. In questo modo esso risulterà indisponibile agli altri utenti. È paragonabile a bombardamento molto intenso e concentrato, che appena viene sospeso permette al sistema di tornare a funzionare normalmente. Dunque il risultato è temporaneo, come se i voli di un aeroporto riprendessero immediatamente dopo averci riversato sopra migliaia di bombe. Eppure ha una sua utilità, a volte come diversivo, altre per attivare un’atra arma. Non di rado malware molto potenti per attivarsi richiedono il riavvio dei dispositivi, spesso una delle operazioni che vengono effettuate dalle vittime a seguito di attacchi DDoS

Altri armamenti molto diffusi sono, passatemi il termine, “manuali” ovvero richiedono di essere gestiti da un operatore. Si tratta di strumenti che consentono di penetrare all’interno di reti e sistemi e acquisirne il controllo a scapito del legittimo proprietario.

Tuttavia la vera particolarità comune a tutte le armi cyber è la relazione molto stretta con l’obiettivo e da essa dipende la loro efficacia. Per fare un paragone con il mondo reale si può immaginare una guerra in cui per distruggere ogni singola tipologia di struttura sia necessario costruire uno specifico missile. L’indissolubile rapporto che nel cyber, lega arma e obiettivo viene definito dal termine vulnerabilità, cioè l’esistenza di una o più debolezze o errori che possano essere sfruttate per ottenere il risultato atteso.

Quali strategie sono alla base della guerra cibernetica?
Se intendiamo una guerra ibrida ovvero che preveda l’utilizzo combinato di forze che agiscono nei cinque domini si tratterà di integrare le armi cyber. Per esempio chi attacca potrebbe utilizzarle per ingannare i sistemi di allerta precoce come i radar che potrebbero mostrare le proprie forze in punti diversi da quelli in cui si trovano realmente. Al contrario chi si difende potrebbe puntare a prendere il controllo dei sistemi che maggiormente dipendono dalle tecnologie dell’informazione. Immaginiamo la capacità di violare i sistemi che governano le comunicazioni con i droni e quindi utilizzarli trasformarli in armi proprie. Diverso il discorso se invece ipotizziamo una guerra esclusivamente cyber. In questo caso, a differenza di qualsiasi altra guerra, i vantaggi sono pressoché tutte dell’attaccante. In primo luogo è facile immaginare quali sarebbero gli obiettivi degli aggressori, ma non è difficile pensare che molto probabilmente si tratterebbe di tutte le infrastrutture critiche destinate a erogare servizi essenziali dai trasporti, all’energia, fino all’acqua potabile. Se fosse vero, sul fronte dei difensori si schiererebbero i civili. Ebbene si, la prima linea di difesa sarebbe rappresentata dal personale destinato a gestire la sicurezza dei sistemi di decine di aziende come Terna, Enel, ENI, Telecom. Per fare un paragone sarebbe come se durante la Prima Guerra Mondiale a respingere gli austro-ungarici sul Piave ci fossero stati i dipendenti della FIAT, della Pirelli, della Montecatini guidati dai rispettivi dirigenti. L’asimmetria è già evidente in questo primo assunto. Aggiungiamo poi che per la vittima dell’attacco il fronte da proteggere sembra essere infinito, se pensiamo all’interconnessione tecnologica tra le organizzazioni strategiche e i loro partner. Volendo penetrare i sistemi del principale operatore energetico di un paese, molto probabilmente il primo e silenzioso attacco sarebbe indirizzato al più oscuro dei suoi fornitori. In definitiva se l’attaccante ha una pluralità di opzioni strategiche, probabilmente il difensore sarà costretto a ricorrere a una “difesa in profondità”: aggredire a sua volta il nemico costringendolo a rimediare ai danni che subisce e quindi essere costretto a rallentare la sua azione.

Quali sono i principali attori mondiali della guerra cibernetica?
Secondo una pluralità di ricerche sembra ormai essere consolidato il fatto che allo stato attuale Stati Uniti, Russia, Cina e Corea del Nord sono i paesi più attrezzati. Difficile delineare con precisione i contorni dei loro arsenali ed eserciti, tuttavia si può intuire l’approccio di alcuni di questi Stati. Per esempio la Russia sembra essere molto forte nell’ambito dell’infowar come sembra suggerire il caso Russiagate. La Cina invece pare essere particolarmente evoluta nella manipolazione della parte hardware dei sistemi. Gli Stati Uniti, sulla base di tutte le informazioni rese pubbliche da Wikileaks e a causa del data breach subito dalla NSA investe molto sull’individuazione di vulnerabilità a livello software. Tuttavia il fatto che “ufficialmente” tutti gli attori neghino qualsiasi tipo di implicazione in attacchi più o meno cyber e certo non fanno l’equivalente delle “parate militari” rende estremamente difficile rispondere con certezza a questa domanda.

Esiste la possibilità di una guerra esclusivamente cibernetica?
Oggi probabilmente no. In primo luogo il livello di interconnessione dei diversi sistemi non è tale garantire una possibilità di vittoria definitiva, di conseguenza un’offensiva per quanto diffusa difficilmente riuscirebbe produrre risultati simili a quelli di un attacco “convenzionale”. In secondo, la debolezza intrinseca della Rete pone l’aggressore di fronte al rischio di trasformarsi in vittima delle sue stesse armi, considerando la difficoltà di isolare i propri sistemi. Se in futuro la situazione dovesse cambiare a causa delle sempre più stretta interconnessione dei sistemi e della combinazione tra diffusione dell’IoT, e una sempre maggiore delega della gestione di infrastrutture a intelligenze artificiali più o meno deboli, allora si potrebbe immaginare di paralizzare completamente un paese, ma basterebbe questo a vincere? Forse no, però, c’è un’altra fondamentale considerazione. La pervasività delle tecnologie dell’informazione nei paesi più evoluti e anche dotati di maggiori risorse militari e non, li renderà sempre più vulnerabili a una guerra cyber e questo potrebbe rappresentare l’unica possibilità per tutte quelle organizzazioni incapaci di contrapporre al nemico un arsenale adeguato per una guerra convenzionale. Nello specifico delle organizzazioni “povere”, quindi, la capacità di concentrare le proprie risorse sul contrattaccare in rete offre un’opportunità più unica che rara. Da un lato sarebbero in grado di colpire l’avversario sul suo territorio. Come reagirebbe l’opinione pubblica alla privazione dell’energia elettrica? Dall’altro potrebbero tentare di compromettere la funzionalità dei sistemi e degli algoritmi intelligenti a supporto di esercito, aviazione e marina. Cosa accadrebbe se fosse possibile prendere il controllo dei droni del nemico? Alla fine la Rete, dopo averci reso tutti più liberi, potrebbe mantenere un’altra grande promessa: quella di renderci tutti, ma proprio tutti, uguali.

Alessandro Curioni insegna Sicurezza dell’informazione all’Università Cattolica di Milano e si occupa professionalmente della materia da circa vent’anni, durante i quali ha gestito oltre 200 progetti per grandi organizzazioni. Svolge con continuità l’attività di commentatore sui media nazionali. È autore dei saggi Come pesci nella Rete. Guida per non essere le sardine di Internet, La privacy vi salverà la vita! Internet, social, chat e altre mortali amenità, Questa casa non è un hashtag! Genitori e figli su Internet senza rete, La protezione dei dati. Guida pratica al Regolamento Europeo.