SecurityOpenLab

Cyberwarfare: quando la guerra si fa digitale

In un mondo sempre più digitale il tema cyberwarfare va almeno posto. Sino a che punto le azioni di spionaggio e sabotaggio sono solo crimimalità, e non guerriglia a tutto tondo?

La guerra è la continuazione della politica con altri mezzi, argomentava il generale Carl von Clausewitz intorno al 1820. Intendeva anche che in un confronto tra nazioni esiste un continuum di possibili azioni più o meno ostili. Uno spettro di azioni in cui una non sostituisce per forza l'altra ma vi si può affiancare. Oggi molte di esse, dallo spionaggio alla controinformazione, avvengono usando canali, mezzi e tecnologie digitali. È il campo, a dire il vero ancora piuttosto dibattuto, della guerra digitale, o cyberwarfare.

Di cyberwarfare se ne parla relativamente poco. Soprattutto perché non esiste una formalizzazione di cosa sia una guerra digitale e di quando essa sia in atto. Una guerra "normale" è evidente. Ci sono eserciti sul campo, azioni militari, migliaia o milioni di persone coinvolte. Una guerra digitale non ha queste caratteristiche.

È più una guerra fredda, una successione di azioni di spionaggio o di guerriglia nel mondo digitale. Che per molti versi non si ha nemmeno interesse a definire come cyberwarfare. Si possono anche interpretare come azioni di hacking ostile a danno delle singole istituzioni o imprese. Ma rientrano in strategie più articolate e continuate nel tempo. In quali condizioni, ad esempio, una campagna di spionaggio industriale ai danni delle aziende di una certa nazione diventa un atto di guerra? Probabilmente nessuno cercherebbe una tale escalation, che sembrerebbe persino contro il buon senso.

smart domotics business city
In questi casi le aziende però combattono uno scontro impari: non hanno davanti qualche criminale informatico ma gruppi molto ben organizzati. I mitologici "state sponsored actor" o APT, Advanced Persistent Threat, a cui le aziende di sicurezza danno nomi evocativi. I russi di Fancy Bear, i vietnamiti di Ocean Lotus, gli iraniani di Charming Kitten, i nordcoreani di Lazarus Group, i cinesi di Deep Panda... E quelli che certamente ci sono dall'altra parte della barricata, la nostra, e che non cataloghiamo.

È per questo che si è incominciato a parlare di vittime collaterali digitali. Se il confronto tra due nazioni si gioca anche in rete, il rischio è che aziende e cittadini siano coinvolti loro malgrado. E danneggiati. Campagne di attacchi DDoS, epidemie di malware e ransomware, azioni di spionaggio continuato in settori specifici... E poi l'utilizzo dei social network come mezzi per diffondere informazioni false, e così influenzare l'opinione pubblica in particolari momenti come le elezioni politiche.

Diventa sempre più difficile, e fuorviante, catalogare azioni come queste nell'ambito della criminalità informatica. Certo nessuno chiederebbe di bombardare Pechino o Mosca perché non riesce a consultare la posta. O trova su facebook post fatti ad arte per confondere. E nemmeno perché un'azienda è stata bloccata da un ransomware. Ma serve una presa di coscienza comune, anche a livello di Governi, che di criminalità pura e semplice si può parlare fino ad un certo punto. Oltre il quale il gioco si fa decisamente più complesso.

trend micro smart factoryC'è però una sensibile ritrosia a mettere in campo il concetto di cyberwarfare. Sinora gli attacchi delle APT si sono potuti catalogare come azioni di spionaggio, che è ampiamente tollerato, o di sabotaggio all'interno di conflitti già in atto. È anche per questo che diversi esperti rifiutano il concetto di guerra digitale in senso stretto. Quando il virtuale causerà danni reali, è il loro punto di vista, sarà quasi certamente all'interno di un conflitto già evidente. Avremo una guerra "ibrida", non una guerra digitale.

Eppure il rischio che un'azione digitale causi direttamente danni evidenti e persino vittime umane l'abbiamo già corso tante volte. Gli esperti di settore amano citare tre casi simbolici in cui si è reso palese come il malware possa agire sul mondo fisico ed essere usato in confronti tra nazioni. Il primo è storico e relativamente poco dannoso. L'utilizzo del malware Stuxnet, nel 2009, per bloccare il funzionamento di alcuni impianti di arricchimento nucleare iraniani. Un'azione di sabotaggio ad opera - ovviamente non ce n'è l'ufficialità - di Stati Uniti ed Israele.

Sono più interessanti due sabotaggi degli anni successivi, ad opera - si ipotizza - delle "forze digitali" russe. L'utilizzo del malware Industroyer nel 2016, per mettere fuori uso una una centrale elettrica vicino Kiev, e del malware Triton nel 2017, per bloccare una raffineria in Arabia Saudita. La pericolosità dell'attacco del 2017 è ovvia. Gli impianti petroliferi sono ambienti ad alto rischio in cui qualsiasi malfunzionamento può portare gravi conseguenze.

sviluppo software 1
Il caso ucraino è più articolato. Analisi recenti dell'attacco fanno pensare che fosse stato progettato per creare danni permanenti, non solo un blackout di qualche ora. L'obiettivo principale di Triton pare fosse mettere fuori uso - grazie a una vulnerabilità del loro software - i relè programmabili che proteggevano diversi componenti dell'impianto. Quando gli addetti all'impianto avessero riattivato i sistemi bloccati, questi - non più protetti dai relè - sarebbero stati pesantemente danneggiati. Con il rischio di folgorare chi in quel momento stesse operando su di essi.

Scenari come questi mettono gli attacchi di tipo cyberwarfare in una luce un po' diversa. Anche pensando al fatto che la sicurezza cyber del mondo industriale è quantomeno molto migliorabile. Per ora non esistono regole o convenzioni internazionali che, di fronte alla possibile perdita di vite umane a causa di un malware, dicano cosa fare. E, perché poi si tratta anche di questo, come reagire. La sensazione è però che la questione almeno vada posta. Perché se una parte sempre più cospicua del nostro modo sta diventando digitale, è difficile che un tratto spiacevolmente tipico dell'uomo - fare la guerra ai propri simili - resti fermo all'analogico e non faccia anch'esso il salto al digitale.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con le notizie di SecurityOpenLab.it iscriviti alla nostra Newsletter gratuita.

f.p. - 10/12/2019

Tag: apt cyber warfare cyberwarfare sicurezza ot impianti industriali


Top trend

CoronaVirus
Ransomware
Phishing
Malware
Botnet
Vulnerabilità
Data Breach
IoT
Cyberwarfare



Iscriviti alla nostra newsletter

Mantieniti aggiornato sul mondo della sicurezza

iscriviti

Redazione | Pubblicità | Contattaci | Copyright

SecurityOpenLab

SecurityOpenLab e' un canale di BitCity,
testata giornalistica registrata presso il tribunale di Como,
n. 21/2007 del 11/10/2007 - Iscrizione ROC n. 15698

G11 MEDIA S.R.L.
Sede Legale Via Nuova Valassina, 4 22046 Merone (CO) - P.IVA/C.F.03062910132
Registro imprese di Como n. 03062910132 - REA n. 293834 Capitale Sociale Euro 30.000 i.v.

Cookie | Privacy