11 settembre 2001. Da quel giorno tutto il mondo ha la consapevolezza di una nuova e micidiale minaccia non convenzionale: la dimensione cibernetica. Con l’attacco alle Torri Gemelle si è chiusa la tradizionale percezione della minaccia, l’aspetto asimmetrico ha preso il sopravvento; d’altronde lo scenario della Guerra Fredda, che ha dominato per oltre 50 anni, è stato del tutto ed irrevocabilmente modificato poiché la minaccia non ha più un confine territoriale.
Lo sviluppo tecnologico dell’informatica ne ha trasformato l’uso: da strumento “tattico” utilizzato per snellire l’attività burocratica è diventato, oramai, un’irrinunciabile strumento “strategico” per l’industria in generale ed anche per le forze armate di ogni nazione. Con lo sviluppo del web si sono evolute anche le sue minacce. Worms e virus si sono trasformati da semplici inconvenienti in serie sfide per la sicurezza e perfetti strumenti di spionaggio cibernetico.
Una delle prime modalità attacco cibernetico divenuto strumento di “guerra informatica” è il DDOS, acronimo di Distributed Denial of Services. Si tratta di un attacco informatico che cerca di mettere in sovraccarico le richieste verso un computer, generalmente un server, fino a rendergli impossibile l’erogazione dei servizi per cui è stato programmato. Questi attacchi vengono messi in atto generando un numero estremamente elevato di pacchetti di richieste che, ovviamente, il server non è in grado di gestire contemporaneamente, portando all’arresto del sistema e quindi alla “negazione” del servizio.
Ma ben più grave si è rivelato il malware “Stuxnet” divenuto pubblico nel giugno del 2010. Il virus fu scoperto da Sergey Ulasen, impiegato di VirusBlokAda, una società di sicurezza bielorussa. Ulasen fu chiamato dai gestori della centrale nucleare iraniana di Natanz perché un tecnico aveva osservato un riavvio inaspettato di una macchina dopo un BSoD, ovverosia “Blue Screen of Death” (schermata blu della morte), nome dato comunemente alla schermata di colore blu mostrata da un computer con un sistema operativo Microsoft Windows quando si verifica un errore di sistema critico che non può essere risolto. Dopo un’analisi, il tecnico bielorusso rilevò che tali anomalie si presentavano su più macchine e osservò comportamenti diversi tra i PC industriali ancora puliti e quelli infetti. A seguito di test con macchine ancora non infettate munite di un sistema di rilevamento collegate in rete, scoprì il tentativo di infezione.
Successivamente emerse che Stuxnet è un virus informatico appositamente creato e diffuso dal governo statunitense nell’ambito dell’operazione “Giochi Olimpici”, promossa da Bush nel 2006, che consisteva nel realizzare una moltitudine di “attacchi digitali” contro l’Iran in collaborazione col governo israeliano; in particolare lo scopo del software era il sabotaggio della citata centrale nucleare iraniana di Natanz. Il virus andava ad interagire con i PLC, “Programmable Logic Controller“ ovvero con quei componenti hardware programmabili via software fondamentali per l’automazione degli impianti della centrale, in particolare quelli adibiti al controllo delle centrifughe, utilizzate per separare materiali nucleari come l’uranio arricchito, riuscendo anche a nascondere la propria presenza. La caratteristica che ha colpito gli esperti fin dall’inizio fu il livello di sofisticazione di Stuxnet – composto da tre grandi moduli: un worm che danneggia i PLC e permette l’autoreplicazione su altri computer, un collegamento che mette in esecuzione le copie create dal worm e un rootkit che lo nascondeva in modo da renderlo non individuabile – a dimostrazione che chi aveva scritto il programma conosceva fin nei dettagli l’ambiente informatico in uso alla centrale. Questo malware, fra l’altro, faceva leva su quattro vulnerabilità di Windows ancora inedite (0-day) all’epoca del contagio per poi propagarsi verso il software “Step7″ della Siemens, quello utilizzato per controllare i PLC, informazioni che, secondo alcuni specialisti del settore, varrebbero sul mercato nero almeno un quarto di milione di dollari ciascuna. Il contagio da parte di Stuxnet è probabilmente avvenuto dall’interno del sistema industriale tramite l’inserimento di una chiavetta USB infetta in un computer da parte di un ignaro ingegnere iraniano: il worm si è poi propagato in rete fino a trovare il software “Step7″ della Siemens, modificandone il codice, in modo da danneggiare il sistema facendo credere all’operatore che tutto funzionasse correttamente.
Successivamente Stuxnet si è diffuso anche al di fuori dalla centrale nucleare iraniana, tramite un PC portatile infetto, a causa di un errore di programmazione presente nel virus stesso, dato che Stuxnet poteva essere eseguito non solo sui citati PLC ma anche sui sistemi SCADA (Supervisory Control And Data Acquisition), colpendo principalmente le aziende da cui provenivano le attrezzature per il programma atomico iraniano: Giappone, Europa e Unione Sovietica.
Le tre settimane di massicci attacchi cibernetici mostrarono che, sul fronte informatico, le società dei paesi della NATO dipendenti dalle comunicazioni elettroniche erano anch’esse estremamente vulnerabili. In precedenza, durante la crisi del Kosovo, la NATO ha subito degli attacchi cibernetici che hanno portato al blocco, per molti giorni, degli account di posta elettronica dell’Alleanza per i visitatori esterni ed alla ripetuta distruzione del sito web della NATO. Nonostante ciò, la dimensione cibernetica del conflitto venne ancora considerata solo come un ostacolo alla campagna d’informazione della NATO con rischio limitato nella sua portata al potenziale danno richiedendo, pertanto, limitate azioni tecniche di risposta accompagnate da azioni informative di basso profilo verso l’opinione pubblica.
Ci sono voluti gli eventi dell’11 settembre per cambiare tale percezione. E sono stati necessari gli incidenti in Estonia dell’estate 2007 per attirare l’attenzione politica verso questa crescente fonte di minaccia per la sicurezza pubblica e la stabilità dello Stato.
Nel 2008, uno dei più seri attacchi fu lanciato contro i sistemi computeristici militari USA. Attraverso una semplice penna USB collegata a un pc portatile del sistema militare in una base militare in Medio Oriente, la spia penetrò inosservata tanto nei sistemi classificati che in quelli non classificati. Ciò mostrò cosa voleva dire avere una testa di ponte digitale, da cui migliaia di file furono trasferiti a server sotto controllo straniero.
Dei massicci attacchi ai siti web governativi e ai server si verificarono anche in Georgia durante il conflitto con la Russia, rendendo concreto il termine guerra cibernetica. Queste azioni non produssero un danno fisico, ma indebolirono il Governo georgiano durante una fase critica del conflitto ed influirono sulla sua capacità di comunicare con un’opinione pubblica nazionale e mondiale assai scossa. Da allora, lo spionaggio cibernetico è divenuto una minaccia quasi costante. Incidenti simili si sono verificati in quasi tutti i paesi NATO e, soprattutto, negli USA.
Questi numerosi incidenti negli ultimi 5-6 anni sono un trasferimento di ricchezza e di segreti nazionali gelosamente custoditi verso mani per lo più anonime e assai probabilmente ostili senza precedenti nella storia. Questa tipologia di attacco chiarisce che, finora, i protagonisti più pericolosi in campo cibernetico sono ancora gli Stati. Nonostante una crescente disponibilità di capacità offensive da parte delle reti criminali, che potrebbero in futuro essere utilizzate anche da attori non statuali come i terroristi, uno spionaggio e sabotaggio assai sofisticato nel campo cibernetico necessita ancora delle capacità, della determinazione e di una logica costi-benefici che può fare capo solo ad uno Stato. Fortunatamente un terrorismo cibernetico con danni fisici ed effetti materiali non si è ancora verificato. Ma la tecnologia degli attacchi cibernetici sta chiaramente evolvendo da semplice inconveniente a seria minaccia contro la sicurezza informatica e contro le fondamentali infrastrutture nazionali.
Già Direttore responsabile della rivista “Informazioni della Difesa”, organo ufficiale dello Stato maggiore della Difesa per il quale ha curato lo speciale “Lo spazio cibernetico tra esigenze di sicurezza nazionale e tutela delle libertà individuali”, Pier Vittorio Romano è giornalista pubblicista e attuale Capo di Stato Maggiore della Legione Carabinieri “Abruzzo e Molise”.
