I Sandworms e l'Ucraina: quando la cyber security assume un ruolo strategico

(di Ciro Metaggiata)
06/11/17

Durante le due giornate di Cybertech Europe (v.articolo), dentro la famosa “nuvola” del nuovo centro congressi di Roma, è stato più volte citato il filosofo francese Paul Virilio. In particolare, facendo riferimento alle ardue sfide insite nella cyber security, è stata commentata la seguente frase contenuta in un suo libro: “When you invent the ship, you also invent the shipwreck; when you invent the plane you also invent the plane crash; and when you invent electricity, you invent electrocution... Every technology carries its own negativity, which is invented at the same time as technical progress”. In altre parole: ogni nuova tecnologia ha il suo “lato oscuro”, ossia introduce dei “rischi” per la sicurezza. Tale affermazione, riferita all'informatica, è tanto scontata e banale, quanto (volutamente?) trascurata, per cui sorge un dubbio: ci si rende davvero conto dei rischi che incombono sulla dimensione cibernetica e delle possibili conseguenze sul mondo reale? Bene, sul globo c’è un posto in cui i peggiori incubi di Virilio, e non solo i suoi, si avverano quasi quotidianamente: l’Ucraina. Laggiù la “barca” ha iniziato ad affondare già da un paio d'anni, dimostrando come l’attuale tecnologia legata allo sviluppo dell'informatica e di Internet, sia drammaticamente inadeguata nei confronti delle odierne sfide per la sicurezza e come la cyber security faccia ormai parte del grande “gioco” degli equilibri geopolitici globali.

Vediamo perché proprio l’Ucraina. C’è chi ritiene che a partire, soprattutto, dalla crisi della Crimea del 2014, la citata ex Repubblica sovietica sia diventata una sorta di “laboratorio a cielo aperto” della dimensione cyber. Infatti, nel più ampio contesto del conflitto “ibrido” che si sta combattendo in quella regione, è in corso una escalation di cyber attacchi senza esclusioni di colpi, che talvolta ha portato la popolazione locale a sperimentare sulla propria pelle cosa significhi tornare a vivere nel XVIII° secolo. Nello specifico, un interessante articolo apparso su Wired qualche mese fa, offre il punto di situazione su quanto sta accadendo in tale nazione, soffermandosi sui cyber attacchi patiti dalle principali compagnie elettriche nei periodi natalizi del 2015 e del 2016. In realtà il comparto energetico non è l'unico a essere stato colpito in Ucraina, infatti anche i media, le Forze Armate, le istituzioni pubbliche e finanziarie hanno subito danni, talvolta anche gravi. Tuttavia, gli attacchi che hanno causato i blackout elettrici sono quelli che, più d'ogni altro, hanno comportato le ripercussioni più pesanti sulla popolazione. Ma di ciò trapela assai poco in occidente. Infatti, la crisi russo-ucraina e il conflitto che ne è derivato, tuttora in corso, sono volutamente “censurati” dai nostri media, e gli aspetti cyber del confronto in atto non fanno eccezione. Gli analisti e gli esperti di cyber security, invece, cercano di studiare attentamente il caso ucraino, in quanto è pressoché unico nel suo genere per almeno due motivi.

Punto primo: il crescente grado di sofisticatezza degli attacchi. Le tattiche impiegate dagli aggressori sono mutate nel tempo e sono diventate sempre più ardite sia per la tipologia degli obiettivi colpiti (nel 2015 le piccole sottostazioni elettriche e nel 2016 i grandi nodi di smistamento) sia per le tecniche utilizzate (un malware la prima volta e la combinazione di più metodi sofisticati, la seconda). Studiando l'attacco del Natale del 2016, in particolare, gli analisti di sicurezza hanno rilevato come sia stata utilizzata una vera e propria cyber weapon, in grado di causare importanti danni fisici alle infrastrutture tecniche impiegate per la distribuzione dell'energia elettrica.

Punto secondo: la campagna cyber ucraina è stata attribuita a un gruppo di hacker legato - in qualche modo - al governo russo. Nello specifico, autorità locali a parte, talune società private di sicurezza indipendenti affermano di possedere prove incontrovertibili, non basate soltanto sull'analisi del codice sorgente dei malware, che dietro i cyber attacchi ci sia un team di hacker russo, che opera seguendo una precisa strategia: il gruppo Sandworms (i “vermoni” desertici del celebre film fantasy, tratto dall’omonimo romanzo “Dune”). Infatti, le tecniche utilizzate da tale gruppo sono così raffinate, da poter affermare con ragionevole certezza che siano state sviluppate attingendo a risorse che, normalmente, sono a disposizione esclusivamente di entità governative. La strategia, inoltre, sembra essere quella del “gatto che gioca con il topo”: gli attacchi sono stati di portata e gravità crescenti, tuttavia non hanno ancora causato danni irreversibili come, per fortuna, la perdita di vite umane o la distruzione delle centrali elettriche. Pur avendo le potenzialità di mettere in ginocchio l'intera nazione, chi è dietro Sandworms si guarda bene dal farlo e sembra piuttosto voler lanciare due precisi messaggi: “possiamo colpire quando vogliamo” e “siamo in grado di farlo utilizzando anche cyber weapon”. Peraltro, fino a poco tempo fa si riteneva che tali armi cibernetiche fossero in possesso di un ristrettissimo gruppo di nazioni, in cui non figurava la Russia, pertanto il messaggio può essere letto anche in chiave di “deterrenza”.

Infine, la strategia dell’escalation degli attacchi potrebbe avere anche l’ulteriore scopo di verificare a che punto si trovi la “linea rossa”, ossia il punto fino a cui ci si può spingere nella campagna cyber senza rischiare sanzioni o rappresaglie.

Giova evidenziare che quanto sta accadendo nella ex repubblica sovietica, getta una luce particolarmente sinistra sul crescente allarme che sta procurando l'attività di hacking del gruppo DragonFly, che in questi mesi sta interessando le aziende del settore energetico occidentale (v.articolo). Per ora gli hacker si sono limitati ad introdursi nelle loro reti e a “sondarle”, ma tutto fa pensare che le loro intenzioni siano ben altre.

La vicenda ucraina ha, comunque, un suo lato positivo: se, da una parte, per i gruppi come Sandworms essa rappresenta una sorta di “poligono” in cui sperimentare le proprie tecniche, dall'altro è un'importante occasione per studiare il fenomeno ed elaborare le opportune contromisure.

Restano due enormi questioni di fondo, lungi dall’essere risolte: la totale assenza di un preciso quadro giuridico internazionale che regoli la dimensione cyber e le gigantesche falle di sicurezza della tecnologia che la supporta. Tornando alla citazione di Virilio, è vero che inventando la nave si è inventato anche il naufragio, ma si è altresì sviluppato un “diritto del mare”, basato su una convenzione internazionale ONU. Insomma, chi causa un naufragio sia per sua negligenza sia intenzionalmente, è perseguibile a norma di legge. Ciò non accade nel cyber spazio, per il quale non esiste né una governance mondiale né alcuna convenzione internazionale. Se si aggiunge il fatto che tale dimensione è basata su una tecnologia nata alla fine degli anni ‘60 per scopi militari, che successivamente si è sviluppata in ambito accademico e che, infine, a partire dagli anni ‘90 si è espansa a livello globale, prevalentemente per fini commerciali, fino a coinvolgere miliardi di utenti di ogni età, provenienza, estrazione sociale, livello di istruzione e altrettanti apparecchi smart, probabilmente si riesce a comprendere l'enormità del problema e l’inadeguatezza con la quale si sta affrontando la cyber security. Evidentemente, il “passaggio di consegne” militari-accademia-aziende, non è stato guidato in maniera adeguata. La riprova è costituita, per esempio, dalle gravi vulnerabilità dei protocolli utilizzati in Internet che periodicamente vengono scoperte. L'ultimo “caduto” in ordine di tempo è il protocollo impiegato nell’ambito delle connessioni wireless noto come WAP2 (il WAP e il suo predecessore WEP sono stati abbandonati già da tempo, perché considerati “insicuri”). Per fortuna la falla di sicurezza è stata scoperta in laboratorio da un gruppo di ricercatori e non da hacker senza scrupoli e i produttori di dispositivi wireless stanno già correndo ai ripari. Ma sarà possibile aggiornare tutti i milioni di dispositivi sparsi nel globo, confidando spesso nella sola buona volontà e competenza degli utenti? Anche i temibili captcha, i metodi di sicurezza utilizzati sui siti web al fine di stabilire se dietro la tastiera ci sia effettivamente un essere umano e non un software, potrebbero essere presto posti in “pensione anticipata”. Un recente studio, infatti, ha dimostrato come i l'intelligenza artificiale applicata a tecniche di hacking, consenta di rendere inefficaci le predette misure di sicurezza.

L'impressione è quella che, nonostante ci si affretti a riparare tutte le “falle”, la barca stia tragicamente avviandosi verso il naufragio e che, naturalmente, gli ”squali” stiano traendo il massimo vantaggio da tale situazione. Speriamo che non sia così. Intanto Natale è ormai altre porte e già si scommette su un altro clamoroso cyber attacco in Ucraina.

  

Fonti:

https://www.wired.com/story/russian-hackers-attack-ukraine/amp

https://www.wired.com/story/russian-hacking-teams-infrastructure/amp

https://www.certnazionale.it/news/2017/10/16/krack-attack-violato-il-protocollo-di-sicurezza-wi-fi-wpa2/

http://www.ansa.it/canale_scienza_tecnica/notizie/tecnologie/2017/10/27/il-computer-che-si-finge-umano-e-fa-lhacker_dd551a0f-057d-4498-bfb2-276933051e76.html