In ambito militare, si definiscono tradizionalmente quattro domini ovvero macro-campi di battaglia, negli ultimi anni però a fianco a terra, aria, acqua e spazio si affaccia la necessità di definire un quinto dominio, il cyberspazio.

Già moltissimi eserciti nazionali possiedono attualmente dei reparti specializzati per la sfera informatica che si occupano di difendere il loro paese o, eventualmente di attaccarne altri. Sicuramente chi non è addetto ai lavori sa poco o nulla al riguardo, proprio per questo partiremo dai concetti di base e cercheremo di capire, passo passo, quali sono i punti cardine quando si parla di cyberwar.

cyberwar
  1. Definizione di guerra cibernetica
  2. Cyberwarfare, cybercrime e cyberspionaggio
  3. Strumenti di attacco e vantaggi di una guerra cibernetica
  4. Principali attacchi e rischi correlati
  5. Come ci si difende in una guerra online
  6. Strategie integrate
  7. Difesa cibernetica in Italia
  8. Esempi passati e recenti
  9. Conclusioni

Definizione di cyberwar

Negli Stati del cosiddetto primo mondo, molte infrastrutture critiche e servizi essenziali sono, sempre più spesso, gestiti da algoritmi.
Sono i computer che si occupano di coordinare la distribuzione dell’elettricità, che regolano reti di trasporto e di comunicazione. Questo, se da una parte previene i rischi di possibili errori umani nella gestione di infrastrutture così delicate, dall’altro le espone come preziosi obiettivi di attacchi hacker.

Non esiste una vera definizione di guerra nel cyberspazio che sia universalmente accettata, in generale però, possiamo dire che una cyberwar consiste in un attacco informatico o una serie di attacchi che prendono di mira un intero paese invece che una singola azienda o un singolo utente o comunque qualsiasi operazione militare volta a danneggiare un avversario.

L’obiettivo può essere l’abbattimento di infrastrutture governative, ma anche l’interruzione di servizi essenziali con conseguenti danni, anche in termini di vite per la nazione vittima. Normalmente questi attacchi sono perpetrati da uno stato che ha degli interessi ad abbattere le difese di un altro, ma ci sono stati esempi di attacchi i cui autori erano terroristi o criminali di altro tipo.

Cyberwarfare, cybercrime e cyberspionaggio

L’insieme delle tecniche utilizzate all’interno di una guerra informatica vanno sotto il nome di cyberwarfare.
Per fare un po’ di chiarezza è importante sottolineare la differenza tra cybercrime, cyberwarfare e cyberspionaggio.

Nel primo caso si parla di normali criminali informatici che mirano a ottenere un profitto tramite delle pratiche illecite.
Nel secondo caso, l’attaccante non ha alcun ritorno economico e tanto meno è interessato ad averlo. L’obiettivo è quello di danneggiare quanto più possibile uno stato rivale o ostile. Anche l’ultimo termine sta ad indicare un attacco informatico il cui scopo è un vantaggio finanziario per l’attaccante, questo però non gli viene direttamente dall’attacco quanto dalle informazioni che attraverso di esso riesce a ottenere.

Sebbene le definizioni siano diverse non è sempre semplice attribuire la paternità di un attacco né scoprirne il e di conseguenza non è sempre chiaro, a quale categoria appartenga.

Strumenti di attacco e vantaggi di una guerra cibernetica

Ci sono alcuni vantaggi per gli attaccanti nell’uso di armi cibernetiche rispetto alle armi più convenzionali.

Sono sicuramente più economiche e mantengono un alto potenziale distruttivo, non mettono in pericolo chi sferra l’offensiva (almeno non nell’immediato), possono essere molto ben mascherate e difficili da attribuire ciononostante sono efficaci.

Principali attacchi e rischi correlati

L’obiettivo rimane sempre lo stesso, distruggere quanto più possibile la Nazione ostile e i mezzi possono essere terribilmente spietati considerando che a sferrare l’attacco è una persona, o un team comodamente seduto alla scrivania. Analizziamo qui di seguito le sette categorie di attacchi più frequenti in questo ambito.

Spionaggio

Lo scopo di queste intrusioni è quella di reperire informazioni secretate di interesse strategico, spesso vengono usati a tale fine delle campagne di spear phishing o delle botnet

Sabotaggio

Potrebbero essere danneggiati, sabotati interrotti i servizi di:

  • le reti di distribuzione elettrica
  • la rete idrica
  • la rete di comunicazione
  • le istituzioni finanziario
  • strutture sanitarie.

Attacchi DDoS

Questi attacchi impediscono temporaneamente l’accesso a dei siti istituzionali o comunque che offrono servizi indispensabili, inondando di richieste di accesso i server che li gestiscono.

Attacchi alla rete elettrica

Un attacco alla rete elettrica è un successo grandissimo per una nazione attaccante. Permette al contempo di creare danni anche a persone fisiche, disabilitare molti sistemi critici e danneggiare le infrastrutture più importanti, inoltre crea dei disagi potenzialmente all’intera popolazione avversaria residente in un posto.

Attacchi di propaganda

Può essere utilizzata per seminare il dissenso tra i cittadini o comunque per cercare di influenzare le loro scelte, magari diffondendo delle fake news che facciano perdere ai cittadini la fiducia nei loro leader o che li spingano a fare sciocchezze.

Attacchi all’economia

E’ possibile che siano prese di mira delle istituzioni finanziare per mettere a dura prova la popolazione bloccandogli l’accesso ai fondi di cui necessitano.

Attacchi a sorpresa

Un attacco massiccio che indebolisca le difese informatiche avversarie è una ottima scelta dal punto di vista strategico. L’effetto sorpresa è fondamentare per massimizzare i risultati. Può costituire un diversivo per preparare un terreno per uno scontro fisico in ambito di guerra ibrida.

Come ci si difende in una guerra online

Ciascuna nazione deve valutare il grado di rischio di rimanere immischiata in una guerra sul quinto dominio e ancor di più deve ideare delle strategie di difesa e di intervento che permettano di limitare i danni. Un metodo ottimo per valutare la prontezza di risposta ad una minaccia informatica di una nazione è un cyberwargame, ovvero un videogioco che simuli un incidente di questo tipo. Sono particolarmente utili, perché:

  • Testano le reazioni degli enti governativi e non in diverse situazioni, sia nel rilevamento dell’attacco, che nel contenimento dei rischi, che nella capacità di ripristino e gestione dell’emergenza.
  • Testano anche scenari inediti, quindi preparano i difensori ad agire fuori dagli schemi noti
  • Allenano alla collaborazione e alla ripartizione del lavoro tra le varie unità di crisi che altrimenti potrebbero entrare in contatto solo in caso di emergenza reale
  • Permettono di testare l’efficacia delle politiche adottate, forniscono spunti per il miglioramento aiutando ad indentificare i punti deboli prima
  • Allena i difensori alla prontezza.

Ovviamente una simulazione è utile quando si ha già una difesa organizzata che va testata. Prima di questo è necessario stabilire una politica di difesa a strati che includa sia strategie di protezione per i sistemi informatici che la promozione di standard di sicurezza più elevati anche per i privati e le aziende.

Strategie integrate

Quando si parla di guerra informatica, bisogna tenere conto che l´insieme dei dati, sia pubblici che privati costituisce il patrimonio della nazione e che questo patrimonio va salvaguardato con l’impegno sia dello stato che dei cittadini e delle aziende.
Tra le strategie integrate che uno stato potrebbe mettere in pratica ci sono:

  • Garantire l’integrità dei servizi in Cloud in modo da difendere sia le aziende che la supply chain. Ad esempio creando un grande cloud nazionale che ospiti tutti i provider privati e vigili sulla sicurezza e integrità e la compatibilità con gli standard.
  • Rivolgere un’attenzione particolare al data center della pubblica amministrazione
  • Conservare i dati fisicamente all’interno del territorio nazionale e criptarli con algoritmi sviluppati all’interno dei confini da aziende nazionali.
  • Implementare una rete intranet chiusa che controlli qualsiasi accesso dal web esterno
  • Le infrastrutture critiche sono state incluse nel perimetri di sicurezza nazionale cibernetica e per questo motivo sono tenuti a applicare delle misure di sicurezza specifiche e notificare allo CSIRT (Computer Security Incident Response Team) gli eventuali incidenti
  • Affidarsi a reti controllate da enti pubblici o privati italiani, in più si prevede che il controllo dei canali di trasporto dei dati sarà estremamente remunerativo in futuro
  • Diventare competitivo da punto di vista dell’AI, questo potrebbe in futuro contribuire ad un effetto deterrente nei confronti dello scoppio di una guerra cibernetica, sostituendo il ruolo che attualmente svolgono le armi nucleari.

Difesa cibernetica in Italia

In Italia il piano nazionale di Ripresa e Resilienza  prevede la nascita di una agenzia per la cybersicurezza nazionale.

La nascita di questo organo ha come scopo l’innalzamento della soglia di sicurezza informatica attraverso la promozione della consapevolezza dei rischi e delle contromisure adottabili per i cittadini e le società pubbliche e private.

Si occuperà di sviluppare capacità di prevenzione, monitoraggio, rilevamento e mitigazione per far fronte agli incidenti informatici e di migliorare i sistemi di sicurezza delle attività ritenute essenziali per lo stato e inserite nel perimetro cibernetico nazionale. Sarà questo infine l’ente responsabile di interfacciarsi con il centro di europeo di competenza per la cybersicurezza aiutando a raggiungere l’autonomia europea nel settore.

Esempi passati e recenti

Andiamo a questo punto ad analizzare alcuni dei casi più famosi passati

Stuxnet

Stuxnet è l’esempio per eccellenza di cyberwarfare. Si tratta di un malware worm israeliano che mirava a compromettere la capacità dell’Iran di produrre armi nucleari ma che come un effetto collaterale ha contribuito alla proliferazione di armi informatiche. L’attacco risale al 2010 quando nella centrale per l’arricchimento dell’uranio di Natanz le centrifughe andarono fuori controllo, distruggendosi.

Già dal 2006 il programma nucleare iraniano destava preoccupazione negli stati uniti ed in Israele, per limitare il problema fu escogitata l’idea di rallentare la produzione di armi con un attacco informatico guidato dalla NSA Americana in collaborazione con informatici israeliani. La centrale però, non era collegata ad internet e si suppone perciò che l’origine sia stata una pennetta.

Questo virus era estremamente sofisticato, poteva sfruttare 4 exploit su vulnerabilità zero-day

Attacco alla Sony

Nel 2014 a seguito dell’uscita del film “l’intervista”, che la Sony aveva girato per trattare la dittatura in corea del Nord, la società fu vittima di un attacco hacker riconducibile allo stato nordcoreano.

Elezioni presidenziali americane

Un altro attacco noto è stato quello che nel 2016 degli hacker russi sferrarono degli attacchi atti a favorire l’elezione di Donald Trump.

Saudi Aramco

Nel 2012 la compagnia petrolifera saudita Saudi Aramco fu attaccata.
Senza un motivo apparente alcuni file sui PC si auto cancellarono. In poche ore la compagnia non figurava più su internet. I danni furono devastanti, quasi l’intera catena di produzione e distribuzione rimase bloccata. Il malware, nominato Shamoon si era installato a partire da una e-mail di phishing. L’autore del attacco è ancora ignoto anche se si suppone una matrice islamica o iraniana.

Russia contro Ucraina

Tra il 2014 e il 2016 fancy bear, gruppo hacker russo, ha preso di mira le forza militari ucraine. Il malware attaccava l’app utilizzata per gestire i dati di puntamento dell’artiglieria. Il successo di questo attacco fu clamoroso, l’80% delle armi colpite fu neutralizzato.

Nel dicembre del 2015, ben tre società regionali di distribuzione elettrica furono prese di mira e circa 225.000 persone rimasero per ore senza elettricità.

Nel giugno 2017 ci sono stati danni per circa 10 miliardi di dollari per un attacco ransomware che tramite ha colpito un’azienda ucraina produttrice di software gestionali. Da li si è diffuso arrivando, tra le altre cose, a spegnere i rilevatori di radiazioni di Chernobyl.

Anche nel corso della guerra in atto, la componente cibernetica è altamente rilevante. Un esempio lo ritroviamo nell’attacco che nel corso dei primi giorni di conflitto ha fatto si che tutte le emittenti di stato trasmettessero canti ucraini per oltre un’ora.

Conclusioni

La guerra cibernetica non è più fantascienza ma una realtà, che per quanto nascosta porta conseguenze concrete per i paesi che ne sono coinvolti.

Sebbene il diritto internazionale sia un po’ indietro nel definire cosa sia lecito in un conflitto di questo tipo, alcuni accademici hanno elaborato un manuale, il manuale di Tallinn che mira a fornire delle linee guida. Molti stati si sono resi conto della concretezza di questa minaccia e si stanno adoperando per elaborare le migliori strategie di difesa. L’Italia in particolare ha istituito una nuova Autorità che si occupi di salvaguardare il nostro paese. Infondo i recenti sviluppi geopolitici ci dimostrano come le guerra non siano un ritrovato del passato e ci confermano che al giorno d’oggi i conflitti sono sempre più ibridi.