ROMA – Il 2016 verrà ricordato come l’anno del conflitto tra le grandi potenze nel cyberspazio. Un terreno nel quale il conflitto diplomatico e militare diventa conflitto digitale e la cyberwar globale uno scenario plausibile. Con effetti potenzialmente devastanti sulla vita quotidiana: dalla sicurezza degli hub aeroportuali alle vie di trasporto, fino agli elettrodotti. Pensiamo a cosa succederebbe con un guasto diffuso alla rete elettrica: non funzionerebbero illuminazione, ospedali e fabbriche, con effetti di panico e di blocco delle attività produttive capaci anche di influenzare la risposta a un attacco militare tradizionale. È già successo il 23 dicembre 2015 in Ucraina ad opera del gruppo Sandworm. Per questo l’escalation della tensione tra Russia e Usa si sta configurando come una situazione da guerra fredda. La cyberwar è diventata un’opzione. Ma non da ieri.

La stessa Nato a Varsavia ha dichiarato il cyberspazio come il quinto dominio sottoposto alla sua protezione militare, dopo la terra, il mare, l’aria e le stelle. Era il 7 luglio. Obama al vertice del G20 a Hangzhou in Cina, ai primi di settembre ha invece “avvertito” Russia e Cina che gli Stati Uniti sono pronti alla cyberwar e che sono i più forti, sia in attacco che in difesa. Consapevoli della rilevanza del dominio del cyberspace, gli stati nazionali hanno creato strutture e dipartimenti ad hoc, dal Cybercommand negli Usa all’Enisa europea, mentre Russia, Regno Unito e Cina hanno inglobato la guerra cibernetica nella loro intelligence militare. Le aziende nazionali dal canto loro hanno intensificato la produzione di pallottole digitali, cyberkatiuscia e cannoni informatici.

La guerra ibrida. Distinta dalla guerra di propaganda o dell’informazione, la guerra cibernetica usa strumenti capaci di violare e mettere fuori uso sistemi computerizzati ma si aggiunge alle tradizionali forme di spionaggio digitale e online. Le armi della cyberwar servono a conquistare un vantaggio tattico e strategico nei confronti degli avversari, sottraendo, manipolando e inquinando le loro informazioni, oppure possono essere finalizzate al sabotaggio delle infrastrutture critiche. In quest’ultimo caso sono strumenti che servono a distruggere economie ed eserciti, ma anche a demoralizzare e creare paura nelle popolazioni.

L’ANALISI Hacker e elezioni Usa: perché Obama rende noti i suoi piani contro Mosca?

Usati sia per lo spionaggio che per il sabotaggio e gli attacchi veri e propri, si tratta per lo più di  software exploits, cioè strumenti software progettati per sfruttare falle di funzionamento di strumenti e sistemi digitali. Come gli zero-days, ad esempio, codici software in grado di sfruttare vulnerabilità del software non ancora scoperte dagli stessi produttori del software, oppure come i virus trojan, capaci di sottrarre dati e manipolare o distruggere le informazioni contenute in server, database, e computer online. E poi ci sono gli strumenti in grado di prenderne il controllo di pc e smartphone o di bloccarne il funzionamento, come i Rat (Remote access tools) e i Rec (Remote execution code). Una tecnica famosa è la SQL injection che attacca le applicazioni di gestione dei dati per diventare amministratori di server altrui. Insomma, si tratta di software che modificano il comportamento di hardware e software.

Pochi esempi, al netto degli attacchi “brute force” per violare le password, codici crittografici e Vpn a protezione dei sistemi informatici e usarli a proprio vantaggio. Esiste però un’intera industria che produce questo cyber-armamentario. Insieme a tecnologie di sorveglianza come gli spyware, per intercettare le conversazioni di capi di Stato e presidenti di banche, oppure quelle per il riconoscimento facciale di agenti nemici, fino ai software che traducono conversazioni di oppositori scesi in piazza in testi scritti. Sono le famose tecnologie dual-use, che possono essere usate per fini legittimi di polizia, o per reprimere pacifiche manifestazioni di protesta e perseguire i dissidenti in Paesi autoritari.

Le armi. Una volta iniettate nei computer avversari, queste cyber-armi possono essere rivolte contro gli stessi utilizzatori o target sensibili, ad esempio per attacchi DDoS (Denial of service attacks) che rendono inservibili server e siti web occupandone le risorse e rendendoli irraggiungibili via internet. Questi attacchi possono essere operati attraverso le botnet, reti di computer zombie controllabili a distanza da utenti illegittimi a dispetto degli ignari proprietari infettati dai virus oppure reti di computer create appositamente per questo scopo e che richiedendo massicce risorse computazionali e pertanto finanziate a livello statale.

La sottrazione di dati invece utilizza più facilmente le tecniche di phishing e spear-phishing oppure i watering holes (gli abbeveratoi avvelenati): si riceve un’email da conoscenti ignari (spear phishing) che invita a cliccare sopra un link o un pdf che installa il virus che prende il controllo del proprio computer o del proprio telefonino: da lì tutte le opzioni sono possibili, spionaggio o sabotaggio. Sono tecniche di ingegneria sociale (social engineering), un metodo che permette di risalire all’identità, alle risorse e ai conti online della vittima, per sostituirsi ad essa aggiungendo di volta in volta un pezzo di informazione al profilo che l’attaccante vuole utilizzare per poter operare al posto suo. Pensiamo a cosa succederebbe se un malvivente prendesse il controllo della nostra casella di posta: nelle email troverà comunicazioni relative alla carta di credito o alla compilazione online delle tasse e potrà riconfigurare l’accesso ai servizi online semplicemente resettando la password di software ed app che usiamo per fare di tutto: dalla prenotazione dei viaggi fino ai pagamenti digitali. E se accadesse a un individuo che prende decisioni importanti, ad esempio un parlamentare o un generale?

Lo scenario. Insomma, siamo di fronte a una cyberwarfare ibrida che usa sia la propaganda mediatica di tv e social networks che squadre di mercenari informatici e paramilitari cibernetici. E tutto questo in un contesto dove le azioni sono coperte ed è sempre difficile stabilire chi è stato. Per questo nell’escalation cibernetica tra Usa e Russia bisogna capire quanto è coinvolto il governo russo negli attacchi al Comitato elettorale democratico e al sistema di voto elettronico di 25 stati americani. Capirlo significa decidere il tipo di risposta da dare.