L’evoluzione dell’Ict con soluzioni e infrastrutture di nuova generazione (come per esempio le reti Lte – Long Term Evolution) porterà con sé straordinari vantaggi, ma aprirà al tempo stesso nuovi problemi sul fronte della sicurezza. Lo ha sostenuto Andrea Billet, del VI reparto dello Stato Maggiore della Difesa, indicando ragioni economiche e di evoluzione tecnologica. Grazie allo sviluppo delle attività basate su Internet cresceranno Pil e occupazione: si è calcolato (fonte McKinsey) che per ogni posto perso, con l’introduzione delle tecnologie si guadagnano 2,6 nuovi posti di lavoro. Gli investimenti generati dall’Agenda Digitale italiana ed europea contribuiranno a fornire il carburante per questo sviluppo. L’esaurimento delle frequenze utili a livello di spettro elettromagnetico, che non saranno più sufficienti quando si passerà alle reti Lte di quarta generazione, renderanno necessario il ricorso a sistemi ibridi che consentiranno ai terminali di nuova generazione di connettersi automaticamente alla miglior rete disponibile (Umts, wi-fi, bluetooth, satellitare ecc.) facilitando la connessione alla Rete.
“Per creare valore nel mondo cibernetico è necessario condividere informazioni ed eliminare le barriere fra i mezzi per il trasporto dei dati per andare a creare una sorta di piattaforma unitaria interconnessa – ha detto Billet – Ma quello che sembra il paradiso per i fornitori di servizi rischia di diventare l’inferno per chi si occupa di sicurezza. Ogni punto di interconnessione diventa infatti un nuovo punto potenziale di vulnerabilità perché moltiplica le direzioni da cui possono provenire gli attacchi e da cui ci si deve difendere”.
Sarà necessario dunque un cambio di paradigma continuo visto che ogni evoluzione verso l’integrazione delle reti comporta una minaccia.
Stuxnet: la miglior difesa è l’attacco
Il presidente degli Usa Barak Obama, già in un documento del maggio 2009 indicava negli attacchi cibernetici la principale minaccia alla nazione e all’economia del paese. Questa affermazione è stata tradotta in una duplice indicazione operativa: aumentare la resilienza dei sistemi informatici e ridurre le minacce. “La seconda indicazione, tradotta dal “politichese”, significa eliminare i nemici”, ha spiegato Nicola Mugnato, head of Cyber Security di Finmeccanica. La conferma che sia questa la giusta interpretazione viene dal progetto “the bug” (diventato poi noto come Stuxnet) un progetto di attacco per bloccare le attività di arricchimento dell’uranio dell’Iran avviato nell’era Bush e portato a termine dall’amministrazione Obama.
Ricordiamo che il virus, diretto a danneggiare le centrifughe utilizzate per l’arricchimento dell’uranio situate in un’area segregata, è stato “iniettato” grazie a una chiavetta Usb lasciata appositamente da due infiltrati nell’area pubblica con la speranza che un comportamento umano a rischio l’avrebbe introdotta nell’area di massima sicurezza. Così è stato. L’attacco ha avuto successo e le centrifughe sono state danneggiate gradualmente senza che nessuno se ne accorgesse, finché un errore di codice ha fatto sì che il virus si propagasse anche su Internet, per venire individuato dagli antivirus di Symantec ed essere ribattezzato Stuxnet.
L’analisi delle caratteristiche tecniche e delle vulnerabilità sfruttate può essere molto utile per capire nel concreto come funzioni un’arma. Innanzi tutto Stuxnet è un driver, che dunque sta all’interno del sistema operativo, nascondendo se stesso e i file che genera alle altre applicazioni; inoltre utilizza certificati originali di Realtek (produttore di schede di rete) per evitare l’invio di richieste e messaggi di conferma. Si può agganciare ad altri processi (per esempio l’esecuzione di browser come Explorer) attraverso i firewall e autorimuoversi, ripulendo il malware; riconosce la presenza di antivirus che potrebbero essere in grado di individuare alcune sue caratteristiche; può comunicare con chi l’ha prodotto e autoaggiornarsi; si diffonde non attraverso la rete ma con le chiavette Usb.
Stuxnet attacca Process Control System 7 autoinstallandosi sotto forma di driver; i Pcs 7 sono computer di controllo (che Siemens vende con le proprie macchine industriali e con le quali venivano gestite le centrifughe iraniane, ma anche molti sistemi di automazione industriale) che generalmente impiegano il sistema operativo Windows. Il virus sfrutta dunque le vulnerabilità del software di controllo Siemens e quelle di Windows.
Esiste un modo di proteggersi da attacchi analoghi? “Per farlo – ha spiegato Mugnato – ci vorrebbe un sistema che usasse un software pre-cifrato, che potesse girare solo su una singola macchina e un particolare processore, che usasse certificati hardware, verificasse le firme digitali, adottasse un secure boot, virtualizzasse l’hardware,… Un sistema del genere – ha proseguito Mugnato – esiste: si tratta della Play Station 3. Per Sony non consentire l’inserimento di altre applicazioni oltre le proprie rappresenta il proprio business”, ha spiegato. Il fatto che una play station (che peraltro nonostante questi accorgimenti è stata attaccata direttamente a livello di firmware) sia più sicura di un sistema critico non è molto confortante.
La guerra degli spettri
Esistono anche tipologie di attacco che sfruttano la diffusione delle comunicazioni wireless. Le ha illustrate Daniela Pistoia, vice president Research & Advanced Systems Disign di Elt, azienda nata per la progettazione e creazione di sistemi di difesa elettronica utilizzando lo spettro elettromagnetico. “Per accedere a un’informazione (in modo passivo attraverso l’intercettazione o attivo con la manipolazione) è necessario agire sullo spettro elettromagnetico, che presuppone una capacità tecnologica più complessa rispetto a quella necessaria per accedere alle informazioni che transitano sulle reti di computer”, ha ricordato. Per arrivare alle informazioni (layer cognitivo) è infatti necessario entrare dallo strato fisico (lo spettro) e dal layer infrastrutturale (i protocolli).
Attacchi di questo tipo sono stati utilizzati in diverse operazioni recenti. In Siria nel 2007: prima di un attacco aereo, la rete wireless opponente è stata ingannata con l’immissione di false informazioni proteggendo la penetrazione dell’attacco. In Iran, nel 2011, l’accesso allo spettro e ai protocolli e la manipolazione dell’informazione per modificare lo scopo della missione, disturbando il segnale Gps di guida, ha consentito la cattura di un aereo Usa senza pilota Lockheed Martin RQ-170 Sentinel da parte delle forze iraniane. “Le infrastrutture wireless interessate (diffuse in modo crescente anche nei paesi in via di sviluppo che hanno saltato la fase del cablaggio di reti fisse) non sono solo militari, ma sono anche quelle, comunemente usate da noi tutti, che portano servizi sia militari sia civili”, ha sottolineato Pistoia. Da qui la necessità di considerate infrastrutture critiche le reti wireless in sé.
Elt sta sviluppando, in collaborazione con il Ministero della Difesa, un sistema di intelligence basato sulla creazione di una rete di sensori collegati con un sistema di comando che, ricevendo le informazioni intercettando le reti avversarie ne individua la disposizione, ne ricostruisce la topologia logica oltre che geografica, decodifica i protocolli, analizza le comunicazioni, rileva le anomalie di comportamento. Mentre è in fase di messa a punto anche un sistema di attacco alle reti avversarie che si avvale di jammer, un sistema di disturbo delle reti avversarie.
Anatomia di un’arma cibernetica
Shai BlitzBlau, managing director di Maglan Information Defense & Intelligence e direttore tecnico della 3° conferenza sull’Information warfare, sintetizza il processo di messa in funzione di un’arma cibernetica, entro cui si possono ricondurre i casi precedentemente illustrati, a partire dalla identificazione delle diverse tipologie di armi che possono essere offensive, difensive preventive, di intelligence, di manovra, di comando e controllo. “Bisogna ricordare che le armi non operano da sole ma devono essere inserite in un computer e qualcuno deve farlo”, ha precisato BlitzBlau. E dunque l’individuazione del vettore (rete, chiavetta usb, persona…) è fondamentale per la riuscita.
Gli obiettivi della distribuzione delle cyber weapon possono essere: distruggere gli apparati nemici in modo che non possano più operare; creare ritardi per ostacolare e creare un danno temporaneo; provocare il loro malfunzionamento (jamming, denial of service, supporto per armi elettroniche); l’inganno per supportare un’altra missione e far perdere tempo. Ogni arma cibernetica che si rispetti deve prevedere la disinfezione finale per non essere identificati. Ci possono essere anche obiettivi di propaganda, di prevenzione, di intelligence, per intercettare il campo nemico, raccogliere dati a supporto dei decision maker, per supportare una guerra economica. “L’80% delle armi cibernetiche ha obiettivi economici”, ha ricordato BlitzBlau.
Definiti gli obiettivi vanno identificati i metodi di implementazione, di attivazione, di comando e controllo e le relative funzionalità, i sistemi di autodifesa e di sospensione o fine dell’operazione. Sembra facile, ma il processo richiede non meno di due anni. Troppi, secondo BlitzBlau, per un mondo che viaggia al tempo del web.