La Guerra Cyber Non Scoppierà
Questo articolo è stato pubblicato nel numero 2/2022 del Notiziario dell’Ordine degli Ingegneri della provincia di Verona, pag.13, scaricabile liberamente da questo indirizzo
La Guerra Cyber non scoppierà
Con lo scoppio della guerra in Ucraina, molti si aspettavano una conseguente esplosione degli attacchi informatici nei confronti dell’Ucraina e delle nazioni che la sostengono.
Tale esplosione c’è stata, ma non nelle proporzioni e con le conseguenze attese.
Il motivo non è banale ed è ancora oggetto di dibattito informatico e geopolitico, tuttavia si può trovare un’ampia ed accessibile trattazione in un testo del 2014 intitolato “Cyberwar will not take place”, autore Thomas Rid, purtroppo non tradotto in Italia.
L’emergere dell’allarme cyber
Già nel 1993, a seguito del diffondersi della connettività e dei servizi del World Wide Web, un report della RAND corporation, titolava: “Cyberwar is coming!”, con tanto di punto esclamativo.
The information revolution and related organizational innovations are altering the nature of conflict and the kinds of military structures, doctrines, and strategies that will be needed. […] The information revolution implies the rise of cyberwar, in which neither mass nor mobility will decide outcomes; instead, the side that knows more, that can disperse the fog of war yet enshroud an adversary in it, will enjoy decisive advantages.
La rivoluzione del settore dell’informazione e le relative innovazioni organizzative stanno alterando la natura dei conflitti e delle strutture militari, delle dottrine e delle strategie che si renderanno necessarie. […] La rivoluzione informatica implica l’avvento della guerra cibernetica, nella quale né il numero delle truppe né la mobilità deciderà i risultati; invece, la parte che ha maggiori informazioni, che può disperdere la “nebbia della guerra” così come gettare l’avversario in essa, potrà godere di vantaggi decisivi.
Non sono dovuti passare molti anni affinché tali parole prendessero corpo. Tuttavia, sebbene una certa stampa di settore paia soffiare sul fuoco della paura, dell’incertezza e del dubbio, nonostante la guerra alle porte dell’Europa che coinvolge due nazioni informaticamente evolute e sicuramente assai dotate in termini di arsenali per la guerra informatica, non si sono visti esempi spettacolari di attacchi cyber o incidenti che siano andati oltre l’annuncio e al più un certo fastidio.
Già nel 2006, Michael Wynne, segretario dell’Us Air Force, annunciava che
Cyberspace is a domain in which the Air Force flies and fights
Il cyberspazio è un dominio in cui lo US Air Force vola e combatte
mentre nel 2010 William Lynn, deputato americano alla Difesa, chiosava
Although Cyberspace is a man made domain, […] it has become just as critical to military operations as land, sea, air and space
Sebbene il cyber spazio sia un dominio creato dall’uomo, […] è diventato presto critico per le operazioni militari come la terra, il mare, l’aria e lo spazio. 1
L’establishment della difesa si è buttato quindi a capofitto nel settore.
Il conflitto Ucraino come banco di prova
La guerra in Ucraina è probabilmente il primo banco di prova per la sussistenza di una guerra Cyber. Entrambe le nazioni sono tecnologicamente avanzate, digitalizzate, entrambe coinvolte da lungo tempo in un conflitto che ha visto fasi di recrudescenza altalenanti, e dunque hanno avuto il tempo e le risorse per prepararsi ad un eventuale scontro anche sul fronte cyber.
In passato non sono mancati incidenti che hanno dimostrato come il “quinto dominio” sia effettivamente un ambito strategico la cui mancata difesa espone un rischio enorme sia in scenari di conflitto esplicito tra nazioni che riguardo la possibilità di utilizzo per scopi di terrorismo.
A 7 mesi dallo scoppio dell’invasione dell’Ucraina, tuttavia, se si escludono alcuni episodi che hanno avuto più risonanza mediatica che, apparentemente, portata pratica, sembra che il quinto dominio abbia avuto un’influenza piuttosto relativa per gli esiti della guerra. Eppure la Russia, si diceva, è una delle nazioni con il più avanzato arsenale di armi cyber. Cosa ci sia di vero, non è chiaro per tanti motivi.
La cosa tuttavia non dovrebbe stupire più di tanto.
Il libro citato in apertura, “Cyberwar will not take place”, di Thomas Rid, si propone proprio di sostenere questa teoria, cioè che parlare di cyber come un dominio bellico a se stante ha poco senso.
La definizione di guerra e i mezzi con cui si persegue
Il primo e più grande lavoro sistematico sul concetto di Guerra è stato realizzato da Carl von Clausewitz nella prima metà dell’ottocento nel suo trattato “von Kriege”. Sebbene le sue idee possano apparire, viste con gli occhi di oggi, piuttosto limitate, ciò non di meno ne compongono il concetto fondamentale e universalmente riconosciuto.
Secondo Clausewitz, ogni azione aggressiva o difensiva, per poter essere considerata di per se stessa come un atto di guerra, deve aderire a tre criteri.
Il libro “von Kriege” apre proprio con questo criterio:
La guerra è un atto di forza che ha per iscopo di costringere l’avversario a sottomettersi alla nostra volontà (Da: “Della Guerra”, Carl von Clausewitz, 1942, pag. 19)
Ovvero, la guerra è di per se stessa un atto di violenza. “La forza, intesa nel suo senso fisico […] costituisce il mezzo. Lo scopo è di imporre la nostra volontà al nemico.” (pag. 20).
Il secondo aspetto è che la guerra è sempre strumentale, ovvero la guerra non si svolge per se stessa, ma sempre per perseguire un altro fine. Del resto questo concetto è riassunto nella definizione data prima: ha per scopo costringere l’avversario a sottomettersi alla nostra volontà.
E dunque se la guerra è mezzo, l’obiettivo è per forza politico:
La legge dell’assoluto, il proposito di rendere impotente l’avversario e di atterrarlo avevano finora quasi ssorbito questo scopo. Poiché tale legge perde di forza e tale proposito diminuisce d’importanza, lo scopo politico della guerra deve riapparire in primo piano. Se tutta la questione diventa un calcolo di probabilità basato su persone e su rapporti ben determinati, lo scopo politico quale determinante ordinario, deve essere fattore essenziale del calcolo. (ibid., pag. 27)
Del resto, una delle frasi più citate di von Clausewitz è proprio:
La guerra è la mera continuazione della politica con altri mezzi. (ibid., pag.38)
Nel tempo i concetti di von Clausewitz hanno mostrato dei limiti, dovuti principalmente al tempo e all’evoluzione della tecnologia, nonché, soprattutto, all’innovazione apportata sì dal “quinto dominio”, ma da leggersi nell’ambito delle sopra citate considerazioni. Nonostante tutto, anche il nuovo concetto di guerra ibrida o di dottrina Gerasimov si può inquadrare in questo preciso concetto e si innesta coerentemente nella concezione del conflitto bellico così definito.
Questi tre aspetti assieme sono fondamentali per inquadrare correttamente il concetto di guerra; senza di essi la parola perde un pezzo importante e fondante del suo significato, cosa peraltro già in atto nel linguaggio comune in accezioni ampiamente usate spesso con intento mediatico, come nella “guerra all’inquinamento”, guerra che in questo caso non ha nulla di violento, di politico o di strumentale.
Nell’ambito cyber, questi aspetti sono piuttosto dubbi, per diversi motivi, e il testo di Rid dedica ampi capitoli nel sostenere e in parte dimostrare tale tesi; dico in parte perché dalla sua prima stesura alcuni fatti hanno parzialmente ridimensionato tali tesi.
Violenza, Spionaggio, Sabotaggio, Sovversione
La guerra si conduce non solo attraverso l’attacco fisico violento, ma anche attraverso altri mezzi utili ad ottenere vantaggi nello scontro: essi sono lo spionaggio, ossia il tentativo di ottenere informazioni importanti al fine dello svolgimento delle altre operazioni belliche, il sabotaggio, ossia il danneggiamento delle infrastrutture dell’avversario al fine di comprometterne in ultima istanza la capacità difensiva, e infine la sovversione, ovvero il tentativo di alterare o minare l’ordine sociale e politico costituito.
Questi attacchi non sono di per se stessi caratteristici esclusivamente dell’attività bellica. Anzi, essi sono attività che, prese singolarmente, hanno molto spesso scopo e natura criminale o al più politica; ad esempio, gli attacchi ransomware di cui da qualche anno giornalmente leggiamo sui giornali e che prendono di mira aziende ed enti pubblici, sono atti criminali con scopo estorsivo, o talvolta atti di sabotaggio; mancando lo scopo politico, non sono atti di guerra, non rilevando affatto l’importanza strategica nazionale della struttura attaccata o la portata degli effetti.
Il punto di Rid è che, nella cosiddetta guerra cyber, in queste tre attività manca la componente violenta per se stessa e, anche quando gli effetti travalicano l’ambito dello spazio informativo riversandosi, direttamente o indirettamente, nel mondo reale, essi debbano considerarsi meramente come effetti secondari.
I precedenti
Stuxnet e l’atomica iraniana
Esistono diversi precedenti di attacchi cyber che hanno avuto conseguenze critiche al di fuori del mondo reale. Il più famoso tra questi è certamente l’attacco informatico alla centrale di arricchimento di Uranio di Natanz, in Iran, avvenuto nel 2010 e presumibilmente compiuto in modo congiunto dalle intelligence militari Israeliane e Americane durante lo svolgimento di un’operazione US denominata “Olympic Games”.
Lo strumento per questo attacco è noto come Stuxnet ed è descritto sovente come
il più tecnologicamente sofisticato software malevolo svilppato per un attacco mirato
e
Un preciso cyber-missile di grado militare2.
L’analisi di questo strumento, non a caso definita un’arma sofisticatissima a tutti gli effetti, non può che impressionare chi di informatica e di ingegneria si occupa professionalmente. Il malware era in grado di infettare macchine con sistema operativo Windows, sfruttando le vulnerabilità dei sistemi operativi, di trasferirsi come un virus attraverso le reti, di evadere i sistemi di alerting come antivirus e antimalware, e di colpire l’obiettivo specifico, una serie di 500 turbine di purificazione dell’uranio comandate dal Sistema di controllo industriale (PLC) di tipo Siemens Simatic.
Il sistema stesso, per ragione di sicurezza, risultava, come buona pratica richiede, fisicamente separato dalla rete locale (“airgapped”), ciò nonostante il malware era in grado di colpirlo infettando i tool di sviluppo del portatile che veniva utilizzato per caricare il software.
Il malware, inoltre, alterava il sistema operativo stesso del PLC, fornendo letture dai sensori alterate in modo da coprire i malfunzionamenti. Era infatti previsto dal processo di arricchimento che le turbine lavorassero ad una frequenza fissa per giorni il malware ne incrementava periodicamente la velocità fino oltre il limite di sicurezza per circa 15 minuti ogni 27 giorni, pur segnalando attraverso i propri sensori che non vi era alcuna alterazione nella velocità delle stesse.
Questo provocò la rottura di diverse turbine dell’impianto nei mesi in cui l’attacco fu in atto; ciò ebbe molteplici effetti sull’arricchimento dell’uranio, non solo relativo ai ritardi e alla rottura dei componenti, ma anche per esempio sulla confidenza che gli stessi tecnici ed ingegneri avevano sulla propria capacità tecnica di affrontare il problema.
Per quanto tecnologicamente sofisticato tuttavia, l’efficacia di Stuxnet fu relativa. Nonostante le preoccupazioni e le letture talvolta apocalittiche sull’uso di questo nuovo tipo di armi, il programma iraniano subì un ritardo di circa un anno e già nel 2012 si paventava la necessità di un nuovo attacco, stavolta fisico e del tutto tradizionale, con il bombardamento degli impianti al fine di interrompere l’acquisizione dell’atomica da parte dello stato iraniano.
Estonia 2007, il paese bloccato
Altro importante incidente che segna in un qualche modo uno spartiacque sul tema bellico, è il caso dell’attacco su grande scala all’infrastruttura informatica Estone nel 2007.
Nella primavera del 2007 il governo di Tallin decise di spostare un monumento dell’era sovietica dedicato all’esercito russo in un luogo più adatto. A questa iniziativa seguirono proteste da parte del governo Russo che sfociarono dapprima in moderate proteste di piazza, e poi in un attacco informatico a larga scala (di tipo DDoS, ossia atto a rallentare o bloccare i servizi e le infrastrutture informatiche) che durò per 22 giorni e coinvolse praticamente tutta l’attività informatica del paese. Alcune banche furono costrette a rallentare le operazioni e a bloccare il traffico proveninente dall’estero verso i propri server. Aziende si trovarono nell’impossibilità di operare. Si registrarono alcune, ridotte, interruzioni nei servizi di telecomunicazione e persino ai servizi di emergenza. Si stima che il danno economico per l’Estonia sia stato di circa 750 milioni di dollari3.
Tuttavia, sebbene gli effetti dell’attacco sull’integrità fisica delle persone e delle infrastrutture possano essere stati in alcuni singoli casi drammatici, non si sono registrati durante questo attacco incidenti degni di nota, almeno non direttamente riconducibili allo stesso. Vi furono dimostrazioni e proteste in qualche modo violente anche prima dell’inizio dell’attacco, ma non si registrano vittime dirette. Viceversa l’attacco ebbe effetti nel dimostrare che le infrastrutture informatiche erano vulnerabili e nell’alzare la consapevolezza generale sul problema. A causa della mancata risposta da parte della NATO a questo attacco, di cui tutt’oggi non si può confermare il mandante né la natura, e delle conseguenti proteste, Tallin è diventata sede del CCDCOE, Cooperative Cyber Defense Centre of Excellence, Centro di eccellenza per la difesa informatica cooperativa della NATO, specializzata negli studi delle tecnologie e del diritto relative alla difesa dalle minacce informatiche.
Viceversa, la Russia, una dei probabili mandanti, quanto meno morali, dell’attacco, è stata riconosciuta come una minaccia per l’ordine costituito4(ibid.), per la mancata risposta nel fermare l’attacco.
Il problema dell’attribuzione
In entrambi i casi, il mandante degli attacchi non è certo. Indizi portano a quella che può essere l’origine della tecnologia, US e Israele nel primo caso e Russia nel secondo; tuttavia la “pistola fumante” manca.
Nella giustizia penale, così come in molte scienze sperimentali, lo standard per identificare una prova è piuttosto elevato, ma tale standard non può riversarsi in egual modo negli affari relativi all’intelligence. La raccolta degli indizi, la loro valutazione, la cristallizzazione stessa degli ambienti in cui un incidente si verifica, è quasi sempre impossibile.
Pertanto in affari di intelligence ci si accontenta di attribuire alle prove un grado di attendibilità, che può anche essere di “assai probabile” o “quasi certo”, tuttavia tali gradi devono sempre considerare che un attore (che sia un attaccante, una vittima o un terzo) ha quattro livelli di interesse nell’attribuire un cyber attacco: si può desiderare di evitare l’attribuzione, come nella maggior parte dei casi di spionaggio; si può mirare ad avere una parziale attribuzione, in modo da veicolare un messaggio, come potrebbe essere nell’affare di Tallin; si può desiderare la piena attribuzione, come in un caso di operazione inerente un atto di vera e propria guerra; oppure si può desiderare una falsa attribuzione, al fine di provocare una reazione in una guerra per procura.
Nel mondo cyber, ove dati e prove possono essere cancellate o, di converso, facilmente impiantate, la quarta evenienza è sempre una possibilità concreta.
Sovversione e guerra ibrida
Se spionaggio e sabotaggio sono un problema in cui, tutto sommato, le nazioni in tempo di guerra o di conflitto freddo hanno esperienza secolare, la sovversione è oggi forse il problema nuovo.
La sovversione è un problema vecchio e complesso, che è diventato, con la diffusione delle telecomunicazioni e soprattutto di Internet e dei Social media, probabilmente il problema del momento.
La sovversione è un fenomeno in atto. Essa non ha necessariamente lo scopo della rivoluzione violenta, anzi. Sovversione può benissimo mirare ad un cambiamento per vie non violente, come nel caso della manipolazione del sentimento popolare per alterare gli esiti di un’elezione, o dell’opinione pubblica al fine di forzare l’approvazione o l’abbandono di una legge.
Suona familiare, vero?
E’ forse quello a cui assistiamo oggi. Non deve sorprendere se i nostri social sono invasi da movimenti apparentemente irrazionali, talvolta con idee balzane. Essi spesso non sono strumento con il fine di veicolare precisamente quelle idee, ma anche solamente di insinuare il dubbio, mettere in discussione l’istituzione o l’ordine costituito. mantenere alto un livello di tensione sociale, allo scopo di muovere il disappunto e “guidare” la politica e il sentimento del paese.
Esistono casi ben documentati. Nel 2016 Hillary Clinton perse le elezioni contro Donald Trump, complice una serie di eventi che, a quanto pare, non furono spontanei né casuali ma furono “pilotati” dall’esterno. Nel febbraio 2018 il procuratore speciale Robert Mueller stilò un atto di accusa nei confronti di 13 cittadini russi e 3 organizzazioni, autori di alcune campagne sui social network atte a screditare la Clinton con accuse false. Altresì contribuì alla sconfitta il “DC-Leak”, l’esfiltrazione e la pubblicazione attraverso Wikileaks delle email dello staff e dei volontari della campagna presidenziale.
Come Marta Ottaviani ci spiega nel libro “Brigate Russe”, queste operazioni sono in atto da tempo nella guerra Russa. Tutto il concetto dell’uso della sovversione, attraverso social network e hacking, rientra in quella che, erroneamente, viene definita “Dottrina Gerasimov” o “Guerra ibrida” (Hybrid Warfare), in realtà meglio definibile come “Guerra ambigua” o “non lineare”.
Putin, fra le altre cose, doveva fare i conti con un paese che non poteva più permettersi i costi della guerra convenzionale. I russi lo capirono pienamente dopo la prima fuerra del Golfo, quando provarono con mano che, nonostante tutti gli sfozi, non avrebbero mai potuto tenere il passo dello sviluppo dell’Industria di difesa americana. Fu anche per motivi economici, quindi, che nacque la nuova concezione di guerra. 4
In tale strategia si inquadra l’attività di hacking perpetrato da diversi gruppi presumibilmente finanziati dalle agenzie di Intelligence, e quella delle cosiddette “Fabbriche dei troll” (Trollfarm) alle dipendenze di specifiche agenzie governative, che inondano i Social network di fake news, teorie del complotto e interpretazioni delle notizie favorevoli al governo e agli interessi Russi.
La cyberguerra non accadrà. Forse.
In tutto quanto discusso qui sopra, è evidente come l’elemento della violenza è assolutamente assente dal mondo cyber. Ad oggi non ci sono vittime direttamente collegabili ad attacchi informatici, ma al massimo le vittime sono effetti collaterali degli stessi.
Rid nel testo citato si spinge ad affermare che le attività militari di spionaggio, sabotaggio e sovversione perpetrate attraverso armi e strumenti informatici tendono caso mai ad abbassare il tasso di violenza del conflitto.
L’esempio che segue chiarirà il punto.
Il 6 settembre 2007 l’aviazione israeliana ha bombardato il sito di costruzione della centrale nucleare di Dayr ez-Zor, nel nord della Siria.
Durante l’attacco, i radar sul sito di Tall Al-Abuad, presso il confine turco, furono messi fuori uso da un attacco informatico che neutralizzò temporaneamente la loro operatività.
E’ fuori di dubbio che l’uso di tecnologie informatiche permise di evitare un atto di violenza fisica con probabili vittime che un attacco “cinetico” avrebbe richiesto.
Pertanto la possibilità di effettuare atti di sabotaggio funzionali ad azioni belliche vere e proprie è di fatto una riduzione degli atti violenti.
Tuttavia la portata di questi strumenti è dubbia. Sebbene il diffondersi di capacità e tecnologie malevoli, anche in paesi dalle risorse assai limitate, sembrerebbe far propendere un’analogo diffondersi dell’esposizione delle infrastrutture critiche, e quindi della possibilità dei paesi “poveri” di colpire avversari tecnologicamente più avanzati, dall’altra parte è vero che con il diffondersi degli attacchi si diffonde la consapevolezza dell’esposizione e quindi della necessità di difendersi, alzando il divario tecnologico.
C’è una differenza immensa tra il livello di complessità di Stuxnet del primo esempio e degli strumenti utilizzati nell’attacco all’Estonia del 2007. A causa della variabilità dei sistemi coinvolti, attacchi di ampia scala hanno, di necessità, una complessità relativamente bassa mentre attacchi chirurgici e ritagliati su uno specifico target sono a tutt’altro livello. Il successo di Stuxnet è dovuto ad un mix di tecnologia informatica all’avanguardia ma anche all’utilizzo di servizi di spionaggio tradizionale (HUMINT e SIGINT5) che un paese arretrato non può permettersi. Le conseguenze sono anch’esse diverse: attacchi a larga scala devono attaccare tecnologie e infrastrutture diverse e dunque sono di portata e complessità relativamente bassa, mentre attacchi specifici, magari distruttivi per le infrastrutture obiettivo, per esempio impianti industriali pericolosi, richiedono una conoscenza approfondita degli impianti e delle tecnologie coinvolte.
E c’è infine l’aspetto delle conseguenze degli attacchi, e la valutazione degli stessi nel contesto bellico. Un attacco informatico ha raramente effetti a lungo termine, e solitamente tali effetti sono proporzionali al grado di impreparazione della vittima. Un attacco cinetico viceversa ha conseguenze a medio termine, misurato nella durata dell’intervento di ripristino. Pertanto nel valutare l’opportunità di un’arma informatica rispetto a un’arma tradizionale non si può prescindere dalla valutazione del tempo per cui l’obiettivo sarà fuori uso, che si può contare nelle ore o nei giorni per un sistema software ma magari per mesi o anni per un attacco missilistico.
Ed infine, raramente le armi informatiche si possono riutilizzare. Per loro stessa natura, spesso una volta scoperto il vettore di un attacco, la sua efficacia si può considerare compromessa.
Conclusioni
Tutto ciò significa che non dobbiamo preoccuparci della sicurezza informatica in uno scenario di guerra?
Sicuramente no. Il conflitto Russo-Ucraino lo sta dimostrando: attacchi informatici possono non avere conseguenze durature o fisiche, ma di sicuro il loro uso è già parte essenziale della dottrina bellica moderna.
Ma al contrario, come dimostra Marta Ottaviani nel libro già citato, la guerra “fredda” moderna sta diventando non lineare: un mix di azioni di attrito condotto tramite metodi tradizionali, compresi quelli economici (le sanzioni adottate dall’UE e dagli USA nei confronti della Russia), sia di metodi nuovi, quelli cyber appunto, in special modo quelli per cui l’attribuzione è nulla, parziale o falsa; ma anche a metodi psicologici e sociologici (PSYOP), con attori a volte ben identificati, pensiamo a gruppi criminali o APT o, a volte, sedicenti attivisti che potrebbero avere mandanti o finanziatori di enti nazionali, ma talvolta anche non identificabili: pensiamo alle fabbriche dei troll e delle fake news, in cui identificare la sorgente è praticamente impossibile.
Più che “guerra cyber”, dunque, si può parlare di “cyber per la guerra”, strumento nuovo e ancora tutto da studiare.
-
Citato da: Cyberwar will not take place, Thomas Rid, new edition, 2017, pag. xiii ↩︎
-
Entrambe le citazioni sono tratte da: Stuxnet and the limits of Cyber Warfare, Jon R. Lindsay, Security Studies, 22:365-404, 2013. ↩︎
-
Valeriano, Brandon, and Ryan C. Maness. Cyber war versus cyber realities: Cyber conflict in the international system. Oxford University Press, USA, 2015. ↩︎
-
Marta Ottaviani, “Brigate Russe, la guerra occulta del Cremlino tra hacker e troll”, 2022, LEdizioni. pag. 15 ↩︎ ↩︎
-
HUMINT: HUMan INTelligence, ossia la tradizionale attività di spionaggio che utilizza agenti in loco e relazioni tra persone. SIGINT: SIGnal INTelligence, ossia l’attività di spionaggio che intercetta, interpreta e decodifica le comunicazione elettroniche ↩︎