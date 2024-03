Arturo Di Corinto

Arturo Di Corinto, giornalista e docente di Identità digitale, privacy e cybersecurity presso l’università La Sapienza di Roma, affronta il tema doppio delle tematiche militari e tecnologico-digitali in “Cyber-Babel. La guerra fredda cibernetica è diventata calda”. E lo fa osservando, da una parte, come si stiano ampliando i fronti di guerra nel mondo, dall’altro mostrando che i governi ormai «guerreggiano tra di loro con gli strumenti tipici della guerra ibrida, disinformazione, dazi, spionaggio e sabotaggio per conseguire i loro obiettivi politico-militari». L’autore cita alcuni esempi di questa guerra ibrida, dalla Palestina ad Israele, passando per hacktivisti e cyberkatiuscia, finendo con «gli Houti che minacciano di tranciare i cavi sottomarini di Internet, mentre Israele, guidata dall’Intelligenza Artificiale, colpisce con precisione i centri dell’intelligence siriana, le postazioni di Hezbollah in Libano e i tunnel di Hamas». Più a nord, «l’Esercito informatico ucraino rivendica interruzioni di corrente, blocco dei conti bancari e perfino di attività militari russe. I cyber-attivisti russi, filorussi e russofoni, fanno lo stesso, ogni giorno, tutti i giorni». Se ancora si sta tentando di valutare i danni di tali attacchi, si assiste al contempo alla saldatura e «sovrapposizione tra la criminalità informatica e la propaganda politica». Come se non bastasse, conclude Di Corinto, «ai problemi geopolitici vanno affiancati quelli regolamentari», esito della normativa sempre più stringente varata dagli Stati Uniti d’America e dall’Unione Europea.

####

La cyberguerra fredda è diventata calda. I fronti si moltiplicano, dall’Ucraina a Israele, dall’Europa agli Stati Uniti d’America, dalla Cina al Mar Rosso. I protagonisti sono nation state hacker, hacktivisti, e cyberwarrior che minacciano infrastrutture, approvvigionamenti, e pace sociale.

Poi ci sono i governi che guerreggiano tra di loro con gli strumenti tipici della guerra ibrida, disinformazione, dazi, spionaggio e sabotaggio per conseguire i loro obiettivi politico-militari. Lo fanno con eserciti regolari o manipolando sapientemente le leve del dissenso reclutando volontari, spesso guidati dall’intelligence, per le loro incursioni nel dominio cibernetico, che, al contrario di quanto pensavamo, non è il quinto dominio, ma è un dominio trasversale agli altri quattro, terra, mare, aria, e spazio, e ci avvolge tutti.

Anonymous Sudan, hacktivisti a vocazione religiosa, forte di una potente botnet[1], ha rivendicato diverse interruzioni operate nei confronti di alcune aziende di telecomunicazione israeliane, Pelope, 012 mobile, Hot Mobile; ha rivendicato attacchi DDoS[2] a ospedali, a università israeliane e a quelle inglesi, come rappresaglia, dicono, contro il governo di Netanyahu che bombarda Gaza. Mentre la Cyber Army of Palestine, dopo alcuni attacchi verso il Mossad e la polizia di Tel Aviv, è silente, anche se nel suo canale Telegram si possono ancora vedere i video a sostegno di Hamas.

Poi ci sono le schermaglie tra gli hacktivisti di Anonymous Sudan e i suoi confinanti, come il Ciad e l’Egitto, e poi ancora, i cyberkatiuscia lanciati nel cyberspace indiano dal Mysterious Team Bangladesh e, per finire, gli Houti che minacciano di tranciare i cavi sottomarini di Internet, mentre Israele, guidata dall’Intelligenza Artificiale, colpisce con precisione i centri dell’intelligence siriana, le postazioni di Hezbollah in Libano e i tunnel di Hamas.

Secondo gli ultimi dati di TeleGeography, oltre il 90 per cento di tutta la capacità Europa-Asia passa dal Mar Rosso, che attualmente è un punto caldo globale dal punto di vista geopolitico, a causa dei ripetuti attacchi dei ribelli Houthi yemeniti contro le navi commerciali, e da quello economico, dal momento che rappresenta un nodo strategico per il commercio globale, svolgendo anche un ruolo vitale per le reti di comunicazione di tutto il mondo: molti Paesi asiatici, dell’Africa orientale e del Medio Oriente si affidano proprio ai cavi del Mar Rosso per accedere all’Europa[3].

Guardando più sopra nel quadrante geopolitico, l’Esercito informatico ucraino rivendica interruzioni di corrente, blocco dei conti bancari e perfino di attività militari russe. I cyber-attivisti russi, filorussi e russofoni, fanno lo stesso, ogni giorno, tutti i giorni.

Da un computo di cyberknow si stima che oggi siano 125 i gruppi in lotta nel cyberspace russo-ucraino, ma i gruppi filo-russi continuano a superare in numero quelli filo-Ucraina ed entrambi continuano a migliorare le proprie capacità per soddisfare i loro intenti.

Telegram continua ad essere la piattaforma di comunicazione dominante per i gruppi filorussi. Con Noname057(16) che ha sviluppato il progetto DDoSia rappresentando il gruppo di hacktivisti filorussi più attivo.

NoName(057)16, il più noto, negli ultimi mesi ha preso di mira siti italiani, danesi, cechi e polacchi con attacchi DDoS che rendono inservibili i server web, motivando gli attacchi come rappresaglia per il sostegno dato dai loro paesi all’Ucraina invasa. Gli attacchi DDoS continuano ad essere il metodo di attacco preminente sia per i gruppi filo-russi che per quelli filo-ucraini.

Spesso questi attacchi vengono minimizzati, ma è un errore pensare che un attacco DDoS non faccia danni. Quando va bene, il danno è d’immagine, o reputazionale, ma il danno di un attacco DDoS sia esso di successo oppure no, è anche di tipo psicologico, sociale, relazionale ed economico.

Semplificando al massimo, nel caso dell’attacco DDoS al sito web di una banca d’affari il danno è soprattutto d’immagine, nel caso dell’attacco DDoS al sito di una banca commerciale che consente transazioni è soprattutto di tipo economico.

Ogni tipo di attacco induce un effetto nelle persone coinvolte, siano essi tecnici, manager, utenti o clienti di un servizio: tutti si riterranno violati, in maniera diversa, dopo un attacco. E questo accadrà quanto più l’attacco sarà divulgato e diventerà oggetto di propaganda. È il caso degli attacchi degli hacktivisti filorussi verso le nazioni europee, Italia inclusa.

Il potenziale impatto di tali attacchi è incerto, in quanto mancano metriche, strumenti e strutture efficaci per comprendere e valutare il danno che le organizzazioni devono affrontare a causa degli attacchi informatici, ma alcuni studiosi, come Ioannis Agrafiotis, però, l’hanno mappato in una tassonomia[4].

Questa tassonomia comprende cinque grandi dimensioni: danno fisico o digitale; danno economico; danno psicologico; danno reputazionale; e danno sociale. Lo studio, del 2017, offre una solida base per valutare il carattere multidimensionale del danno a partire da una tassonomia del danno, appunto, che, se adottata, consentirebbe alle organizzazioni interessate di identificare meglio le risorse aziendali, collegarle a diversi tipi di danno informatico, misurarlo e, infine, approntare i controlli di sicurezza necessari per la sua remediation, ovvero la sua decontaminazione.

La diplomazia russa ha denunciato la collaborazione militare della Germania con l’Ucraina dopo essere entrati in possesso delle conversazioni via Cisco Webex tra generali della Luftwaffe. Ma ci sarebbero riusciti approfittando di una vulnerabilità non risolta del software di videoconferenza.

La sovrapposizione tra la criminalità informatica e la propaganda politica

Un altro gruppo di sedicenti hacktivisti, GhostSec, offre in modalità Raas il suo ‘ghostlocker’ a $1.199. Horus Evolution mette in affitto la botnet Shredder e Anonymous Sudan fa lo stesso con la botnet Skynet: ecco a voi il “DDoS for hire”, ossia a noleggio.

Il National Cyber Security Center inglese (NCSC) e le agenzie di sicurezza informatica e di intelligence delle nazioni Five Eyes hanno rilasciato un avviso congiunto che descrive in dettaglio le tattiche in evoluzione dell’attore delle minacce sponsorizzato dallo Stato russo noto come APT29 (aka Cozy Bear, Midnight Blizzard e The Dukes), e affiliato al Foreign Intelligence Service (SVR) della Federazione Russa. Considerato autore della compromissione della catena di fornitura del software SolarWinds, il gruppo di spionaggio informatico ha attirato l’attenzione negli ultimi mesi per aver preso di mira Microsoft, Hewlett Packard Enterprise (HPE) e altre organizzazioni.

Nel frattempo, gli Stati Uniti lanciano il NIST 2 e la Casa Bianca invita ad abbandonare i vecchi linguaggi di programmazione per evitare le vulnerabilità che ne derivano. In aggiunta, dopo avere denunciato il cyber-espionage cinese, smettono di comprare software dal Dragone per le gru dei porti strategici.

Talvolta chi parla di rischio cibernetico lo fa guardando dal buco della serratura. Il rischio cyber, infatti, viene spesso concettualizzato come un rischio tecnico affrontabile con strumenti repressivi e di polizia, quando invece, essendo un rischio industriale, tecnologico e geopolitico, richiede altri strumenti di contrasto e lo sviluppo di politiche adeguate che mettano in relazione il rischio a molteplici dimensioni.

Una è quella dell’evoluzione tecnologica.

Si pensi al Quantum computing, che sarà in grado di rompere le chiavi di crittografia asimmetrica basate sull’algoritmo Rsa, inventato nel 1977 per cifrare o firmare informazioni e che sono a presidio delle transazioni commerciali in rete. Un rischio cibernetico che va affrontato attraverso un programma di sviluppo tecnologico e industriale di quella che chiamiamo Crittografia post quantum.

Ancora, il rischio cibernetico va individuato come rischio legato allo sviluppo e all’accesso pubblico di modelli generativi di intelligenza artificiale in grado di produrre deepfake così convincenti da farci credere di tutto[5].

Un pericolo serio soprattutto in un anno, il 2024, che vede alle elezioni la metà della popolazione mondiale.

E che dire dei supercomputer e della filiera tecnologica globale? È noto che la strategia americana per rallentare lo sviluppo tecnologico ed economico della Cina, punta a escludere il paese del Dragone dalla filiera dei microprocessori. Altrimenti che armi potrebbe sviluppare la Cina se ne avesse l’accesso?

Ai problemi geopolitici vanno affiancati quelli regolamentari. Ad esempio: che effetto avranno tutte le leggi, i regolamenti europei, per garantire la protezione delle infrastrutture critiche e la catena di approvvigionamento delle nostre industrie prese costantemente di mira dalle canaglie statuali che hanno già hackerato SolarWinds e Kaseya? Riusciranno le imprese Europee di Intelligenza Artificiale a rimanere agganciate alle aziende di punta americane e cinesi?

Per Roberto Baldoni, autore del libro Charting digital sovereignity: a survival playbook. How to assess and to improve the level of digital sovereignty of a country[6], trovare risposte a queste domande è essenziale per sfruttare in modo sicuro le opportunità economiche e i progressi offerti dalla tecnologia dell’informazione. Ma l’autore[7] va anche oltre e affronta il tema della compliance, ovvero della conformità aziendale rispetto alle disposizioni normative sempre più complesse a cui devono sottostare e quello, centrale, della formazione di nuove competenze cyber, il vero tallone d’Achille di ogni organizzazione che voglia per proteggere una superficie digitale sempre più espansa e interconnessa.

L’Europa ha un’idea di tutto questo. Ma l’America si muove veloce.

Il National Institute of Standards and Technology (NIST, in origine National Bureau of Standards [NBS]) è un’agenzia del governo degli Stati Uniti d’America che si occupa della gestione delle tecnologie. Fa parte del Dipartimento del Commercio e il suo compito è la promozione dell’economia americana attraverso la collaborazione con l’industria al fine di sviluppare standard, tecnologie e metodologie che favoriscano la produzione e il commercio e ha appena aggiornato il Cybersecurity Framework (CSF), il documento di riferimento per la riduzione dei rischi per la sicurezza informatica.

La nuova edizione 2.0 è progettata per tutti i tipi di pubblico, settori industriali e organizzazioni, dalle scuole e organizzazioni non profit più piccole, alle più grandi agenzie e aziende, indipendentemente dal loro grado di sofisticazione nella sicurezza informatica.

Non solo, il presidente americano Joe Biden ha emesso un ordine esecutivo che stabilisce gli standard di base di sicurezza informatica per le reti di computer che gestiscono i porti degli Stati Uniti. La Guardia Costiera degli Stati Uniti ha inoltre emesso una direttiva sulla sicurezza per imporre alcune misure di sicurezza digitale per le gru costruite all’estero già in uso nei porti marittimi strategici.

Funzionari dell’amministrazione hanno affermato che nei prossimi cinque anni verranno investiti più di 20 miliardi di dollari nella produzione nazionale di gru da carico per contrastare i timori che le gru costruite in Cina con software avanzato rappresentino un rischio per la sicurezza nazionale nei porti[8].

[1] Una botnet è una rete composta da dispositivi infettati da malware, detti bot o zombie, che agiscono sotto il controllo di un unico attore (detto botmaster) aumentando le risorse e le capacità offensive a sua disposizione.

[2] In un attacco DDoS (Distributed Denial-of-Service), un tipo di attacco informatico, un criminale sovraccarica un sito web, un server o una risorsa di rete con traffico dannoso. Di conseguenza, il sistema preso di mira si blocca o non riesce a funzionare, negando il servizio agli utenti legittimi e impedendo al traffico legittimo di arrivare a destinazione.

[3] https://www.corrierecomunicazioni.it/telco/cavi-sottomarini-tranciati-nel-mar-rosso-in-tilt-il-25-del-traffico-web-mondiale/.

[4] Ioannis Agrafiotis, Jason R C Nurse, Michael Goldsmith, Sadie Creese, David Upton, “A taxonomy of cyber-harms: Defining the impacts of cyber-attacks and understanding how they propagate”, Journal of Cybersecurity, IV (1) 16 ottobre 2008, pp. 1-15. Cf. https://academic.oup.com/cybersecurity/article/4/1/tyy006/5133288.

[5] I deepfake sono foto, video e audio creati grazie a software di intelligenza artificiale (AI) che, partendo da contenuti reali (immagini e audio), riescono a modificare o ricreare, in modo estremamente realistico, le caratteristiche e i movimenti di un volto o di un corpo e a imitare fedelmente una determinata voce.

[6] Self published, 10 febbraio 2024, 315 p.

[7] Roberto Baldoni è stato il primo direttore generale dell’Agenzia per la cybersicurezza nazionale italiana dal 2021 al 2023. In precedenza, è stato vicedirettore generale dell’intelligence italiana per quattro anni.

[8] Dustin Volz, Gordon Lubold, Doug Cameron, “U.S. to Invest Billions to Replace China-Made Cranes at Nation’s Ports. Biden administration fears security threats at hundreds of sites”, The Wall Street Journal, 21 febbraio 2024. Cf. https://www.wsj.com/politics/national-security/u-s-to-invest-billions-to-replace-china-made-cranes-at-nations-ports-d451ef8f?mod=hp_lead_pos1&mod=djemCybersecruityPro&tpl=cy.