Bruce Schneier: Cyberwar il presente e il futuro dei conflitti cibernetici

Descritto dall’Economist come “guru della sicurezza”, Bruce Schneier è autore di diversi best-seller e ha fondato Counterpane, società di servizi di monitoraggio internet della sicurezza It, acquisita da British Telecom(BT). Ed è quale chief security technology officer BT che, in un recente intervento, sostiene come esista ormai da 20 anni, sebbene in forma strisciante, una vera e propria guerra cibernetica e invoca veri e propri “trattati” tra governi per la sicurezza informatica.

Pubblicato il 18 Ott 2011

p86-schneier

Bruce Schneier, Chief Security Officer di BT, ha presentato, nel corso di un recente Security Summit 2011 organizzato da cEventi e Clusit, sette elementi di riflessione che non riguardano semplicemente lo stato della sicurezza informatica, ma il pericolo rappresentato dalla vera e propria guerra cibernetica in atto da vent’anni. Il problema non può riguardare più solo le singole imprese o organizzazioni (governative e non) ma deve essere preso in carico dai governi per giungere addirittura a siglare trattati sul tipo di quelli contro la proliferazione nucleare. Di seguito alcune delle dichiarazioni di Schneier.

– Primo. Schneier ripercorre la breve storia delle “guerre” passate: aprile 2007, il Governo Estone subisce un attacco su larga scala ai suoi browser; non è chiaro se l’attaccante sia la Russia o un Estone di 21 anni cui dava fastidio il monumento al soldato russo innalzato a Tallin dal suo stesso Governo; ottobre 2007, Israele bombarda un centro di ricerca nucleare in Siria dopo avere neutralizzato il sistema di difesa dello spazio aereo siriano in modo da colpire e andarsene senza guai; ottobre 2008 attacco ai siti governativi della Georgia, precursore di un vero attacco militare russo. Esempi che dimostrano come la minaccia di una (o più) cyber war non sia affatto esagerata.

– Secondo. C’è addirittura una preistoria. “Nel lontano 1982 gli Usa – riferisce Schneier citando un collega russo – inserirono un trojan worm in un software canadese usato in Russia per il controllo del gasdotto transiberiano, causando la più grande esplosione non nucleare sulla terra”. Nel 1991, durante la prima guerra contro l’Iraq, malware inserito in stampanti ha danneggiato il sistema difensivo aereo iracheno.

– Terzo. Le cyber war in corso. Ghostnet è un worm spia, ben disegnato e costruito, scoperto solo nel marzo 2009. Il team che lo ha identificato facendo pulizia fra i nodi Ip lo ha tracciato a ritroso scoprendo che ha target economici, politici e media in un centinaio di Paesi in cui segue ministeri e uffici governativi. Dalla lista dei Paesi nel mirino si può dedurre che la Cina sia la mente dietro questo worm. Nel giugno 2009 ci sono stati attacchi seri al Governo degli Stati Uniti e della Corea del Sud. Dal tipo di target l’ovvio assalitore appare la Corea del Nord, ma gli attacchi sono venuti fisicamente dalla Cina, dal Regno Unito o dalla Florida. Nel gennaio 2010 Google ha subito vasti attacchi cibernetici dalla Cina e ha minacciato di ritirarsi dalla Repubblica Popolare. Gli attacchi sembrano operare in un contesto “tollerato ma non diretto” dal Governo cinese: questo, infatti, “chiuderebbe un occhio” sugli attacchi a siti occidentali, in cambio di poter condividere con i cyber criminali informazioni interessanti. Il che è addirittura più pericoloso perché ci sono meno controlli e limitazioni che nell’ipotesi di attacco governativo. Nel giugno 2010, il mondo ha scoperto Stuxnet, certamente una vera cyber weapon, capace di spiare sistemi industriali, e sconvolgerli: c’è evidenza che i target siano le centrifughe di arricchimento dell’uranio nell’Iran; i perpretatori Usa e Israele con l’obiettivo distruggerle e far arretrare il programma nucleare iraniano di due anni. E poi l’esplosione Wikileaks, esempio paradigmatico non di un attacco, ma della vulnerabilità dei meccanismi su cui si regge il cyberspazio. Facile pubblicare grandi quantità di dati con Wikileaks in modo resiliente: è una sorpresa solo per il Dipartimento di Stato. Per Schneier, il problema è che manca una definizione di cyber war: questa può assumere aspetti diversi e non si sa quando è finita. Per di più, è una guerra che porta con sé una forte retorica, come la guerra a terrorismo, droga, crimine o su clima e proprietà.

– Quarto. I problemi della cyber difesa contro la multiforme popolazione degli attaccanti e la persistenza della loro minaccia. Nel cyberspazio la difesa coinvolge istituzioni e attori di ogni tipo: polizia, militari, organizzazioni antiterrorismo, avvocati; e gli attrezzi consistono in un insieme di prodotti/servizi commerciali. Chi chiamare quando ci si trova sotto attacco cibernetico? Dipende da chi ci sta attaccando e da che scopo ha, proprio quello che è difficile capire. Hacker alla base, criminali o terroristi al vertice, usano tutti le stesse tecniche: furto di dati, intercettazione, denial of service, sabotaggio. Ma è soprattutto l’approccio della minaccia cibernetica che è in generale mirato e persistente rispetto ai crimini non cibernetici. L’attaccante non vuol sabotare in prima battuta una rete, vuole controllarla, funzione dopo funzione; solo se questo non riesce, vuole distruggerla selettivamente: crea così un Advanced persistent threat (Apt), che è “avanzato” rispetto al ladro tradizionale (che vuole svaligiare il caveau di una banca, non importa quale, mentre nell’Apt l’attaccante vuole Te, non chiunque). La minaccia è persistente, per un ventaglio di motivazioni che può essere nazionalistico, religioso, etico, politico e contro una serie di entità, governi, corporazioni, industry, istituzioni o individui.

– Quinto. Chi è responsabile della difesa cyber e che tattiche e misure deve adottare? Il mondo sta equipaggiandosi per la cyber war: in Usa c’è un US Cyber command pienamente operativo, il governo Uk sta investendo su un analogo Cyber command altrettanto fanno la Cina, e presumibilmente, altri paesi. In secondo luogo, i governi discutono su chi è responsabile (con potere e budget) fra polizia (siamo cittadini da proteggere) e militari (siamo una popolazione da controllare); in Usa hanno già vinto i militari, dove lo Us Cyber Command è co-locato nella Nsa (National Security Administration). La quale voleva che le compagnie telefoniche registrassero le conversazioni di tutti e siccome le compagnie obiettavano sull’incostituzionalità di azioni di questo tipo, disse in sostanza “fatelo e non ditelo a nessuno”.

– Sesto. Il dualismo sicurezza-privacy. C’è una lotta parallela fra governo e imprese su chi controlla la struttura di sicurezza dell’It aziendale, che è poi alla fine la lotta fra sicurezza e privacy, e a monte fra libertà e controllo. L’equilibrio in questo duplice scontro di potere è soggetto alla varianza tra tempo di pace e tempo di guerra: può variare il tempo di attenzione a quanto registrabile per un utente Internet così l’esatta attribuibilità di un’azione malevola intercettata è cruciale per facilitare le difese. Da tutto questo derivano il livello di controllo “notarile” sulle singole reti (a “grandi linee” o al “minuto”) e il dilagare dell’invasività del controllo militare. Secondo le ultime rivelazioni, il governo Usa ha raccolto informazioni finanziarie su tutti. La Fbi richiede di “estendere la capacità di controllo a tutti i sistemi di comunicazione di Internet”. Facile per Google, che memorizza la posta degli utenti Gmail in chiaro sui propri server: se l’ente federale chiede di vedere la posta di uno specifico utente, possono discutere se devono rilasciarla o no tramite il loro ufficio legale, ma tecnicamente sono in grado di farlo. Ma impossibile per Skype: voce, immagine, testo sono criptati end to end tra chiamante e ricevente, non c’è niente in mezzo. Per l’intercettabilità Skype andrebbe disfatto e ridisegnato inevitabilmente in modo inefficiente, un classico del conflitto controllo – efficienza. Fra i due estremi, ci sono i Blackberry, soggetti a misure di intercettazione individuale già in atto in Cina e Russia e richieste dai governi Saudita ed Irlandese.

– Settimo. La necessità di definire regole efficaci e puntare a “trattati” cibernetici. Premesso che va definita la sicurezza critica di un’infrastruttura, in termini di potenza, comunicazione, stratificazione, l’affermazione importante di Schneier è che “siamo consapevoli dell’insufficienza di una politica che affidi esclusivamente alle corporation la sicurezza delle loro infrastrutture, nel senso che un livello di sicurezza adeguato non sarà mai raggiunto dalle sole forze di mercato”. Concretamente: se un impianto chimico in una città è colpito da terroristi, e muoiono molte persone, la compagnia chimica avrà assicurato l’impianto solo fino al suo valore per la compagnia. Ma se il rischio è maggiore di quel valore (come è ovvio nel caso esemplificato), il mercato non ha modo di coprire il rischio residuo. Il Governo deve intervenire con forme di copertura governativa extra, come regolamentazioni, sussidiarietà, take-over. C’è poi una spiacevole totale asimmetria nella cyber war (chi guida i carri armati virtuali che piazzano vincoli e bombe logiche che paralizzano il lavoro nel nostro territorio può essere sia un Paese ostile, sia un pugno di hacker ideologicamente motivati), figlia anche di una diversa resilienza dei Paesi (la Corea del Nord è poco vulnerabile data la scarsa diffusione di computer sul suo territorio; gli Usa, estremamente dipendenti dal cyber space, sono vulnerabili). Infine, e qui i toni di Schneier diventano gravi “dobbiamo cominciar a ragionare in termini di Trattati Cyber”.

I trattati cyber
Richard Clark, Cyber security czar dell’Amministrazione Bush, nel suo libro “Cyberwar” si occupa di soluzioni e Cyber Treaties e, dice Schneier, è “acuta la sua analisi di possibili trattati cyber, anche come estensione dei trattati nucleari”.
Clarck immagina trattati che specifichino per esempio:
– Proibito l’uso per primi di un cyber weapon.
– Minimizzazione di danni collaterali.
– Proibiti gli attacchi ad obiettivi civili nell’infrastruttura.
– Proibiti cyber weapon non arrestabili alla fine del conflitto.
Clark sostiene l’enorme valore del solo fatto di negoziare i trattati cyber, malgrado tre difficoltà formidabili: primo, ai cyber weapon manca “l’indirizzo di ritorno”; secondo, occorre definire esattamente cosa è “offesa” nel cyberspazio (difendersi certamente non lo è; intercettare lo è quasi certamente, da parte di tutti; precostituire un attacco senza lanciarlo può esserlo o no; terzo, occorre assolutamente alzare il livello decisionale su una cyber war. Negli Usa le decisioni sono tuttora lasciate a un livello molto basso mentre far esplodere una bomba logica in Cina potrebbe avere effetti destabilizzanti, per cui “riteniamo che il Presidente debba almeno saperlo”, dice Schneier. Tanto più che al crescere del numero di cyber weapon disponibili, cresce la probabilità che qualcuna cada in mani sbagliate.
Di riflesso va indirizzata la relazione con i “mercenari cyber” e i “non state actor”. Tutto l’hacking proveniente dalla Cina è fatto da mercenari cyber, con pericoli collaterali di “false bandiere” e inneschi imprevedibili. I “non state actor” (le organizzazioni ombra come Al Qaeda, ma anche semplici ragazzini che giocano alla politica come ad un game online) sono il massimo elemento destabilizzatore, favorito dalla democratizzazione delle tattiche. Sono ovviamente i decisori più pericolosi di una guerra cibernetica. Il rischio che in sostanza denuncia Schneier è qui massimo, di “non sopravvivere come pianeta” se intere nazioni sono ciberneticamente attaccabili da persone random.
Ma ciò che è più pericoloso di tutto è la nostra stessa paura della cyberwar, che va “affrontata, non alimentata. La paura non è mai produttiva”.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Articoli correlati