La “guerra cibernetica”, spiegata
Cos'è, da dove arriva e chi sono i più forti a combattere quel tipo di guerra di cui si sta parlando da giorni per l'attacco informatico contro Sony
Venerdì 19 dicembre il presidente degli Stati Uniti ha dato una risposta pubblica all’attacco informatico subìto da Sony Pictures lo scorso novembre, che ha portato alla pubblicazione di moltissimo materiale riservato e alla cancellazione dell’uscita del film “The Interview“. Obama ha detto che gli Stati Uniti risponderanno all’attacco «in maniera proporzionata, nei tempi e nei luoghi che riterremo più adatti». Lo stesso giorno, l’FBI ha detto di ritenere responsabile dell’attacco la Corea del Nord. Nonostante domenica 21 Obama abbia specificato di non considerare quanto è successo una “dichiarazione di guerra” da parte dei nordcoreani, il tema della cyberwar, in italiano “guerra cibernetica”, è tornato a occupare le prime pagine e homepage di molti giornali e siti di news di tutto il mondo. L’attacco contro Sony è stato uno dei più gravi della storia, ma non certo il primo: vale la pena sapere qualcosa di più su questo tipo di guerra, sia per non sopravvalutare l’intera vicenda Sony, ma anche per evitare di sottovalutarla o non capirla.
Le centrifughe di Natanz
Uno dei primi e più efficaci attacchi cibernetici della storia cominciò in maniera molto discreta nel 2008 e manifestò i suoi primi effetti solo dalla metà del 2009. All’epoca tutti i giornali parlavano della minaccia israeliana di bombardare gli impianti nucleari iraniani in cui si supponeva che il regime di Teheran stesse arricchendo l’uranio, un procedimento che secondo gli israeliani era il primo passo per dotarsi di una bomba atomica. Diversi analisti prevedevano che un attacco agli impianti da parte dell’aviazione israeliana avrebbe causato serie ripercussioni in tutta l’area mediorientale, costringendo probabilmente gli stessi Stati Uniti a intervenire. Nel corso del 2009, però, il programma nucleare iraniano subì una serie di inceppi. Dal paese filtrarono notizie frammentarie a proposito di una serie di incidenti nell’impianto per l’arricchimento dell’uranio di Natanz. A quanto pare qualcosa di misterioso stava distruggendo una a una le centrifughe utilizzate nell’arricchimento dell’uranio.
Nei mesi successivi furono rivelati diversi dettagli dell’attacco e si riuscì a capire qualcosa di più di quello che era successo a Natanz. Qualcuno era riuscito a inserire nella rete dell’impianto un virus informatico, Stuxnet, progettato appositamente per attaccare i sistemi di controllo delle centrifughe. Stuxnet aveva lavorato lentamente e silenziosamente per mesi, infiltrandosi in tutta la rete dell’impianto. Poi, probabilmente nel novembre del 2009, il virus entrò in azione. Una ad una le centrifughe si erano attivate e avevano cominciato a girare al massimo della loro velocità per poi rallentare bruscamente e quindi ritornare in pochi secondi alla velocità massima: uno stress a cui quei macchinari non erano stati progettati a resistere. Almeno 1.000 turbine, circa il 10 per cento di tutte quelle possedute dall’Iran, si danneggiarono irrimediabilmente. Nel 2011 si scoprì che Stuxnet era stato sviluppato e probabilmente inserito nella rete di Natanz dal Mossad, il servizio segreto esterno di Israele. L’anno successivo diversi esperti che avevano esaminato il virus dissero che c’era un unico paese dotato delle risorse tecnologiche per sviluppare una simile arma: gli Stati Uniti, l’unica super-potenza cibernetica che esiste oggi al mondo.
Che cos’è la guerra cibernetica?
Mentre Stuxnet si infiltrava nei sistemi di controllo di Natanz, il 23 giugno 2009 gli Stati Uniti inaugurarono lo United States Cyber Command (USCYBERCOM), un comando dell’esercito dedicato esclusivamente a proteggere i sistemi informatici interni statunitensi e ad attaccare quelli dei propri nemici. Nessun paese ha riconosciuto l’importanza di questo nuovo campo di battaglia più di quanto abbiano fatto gli Stati Uniti. Si tratta di un territorio in gran parte ancora inesplorato: la gran parte dei governi del mondo non si è ancora dotato di strumenti legislativi e di risposte politiche adeguate, anche se, dal 2011 e in modo piuttosto generico, il governo americano ha deciso di considerare gli attacchi informatici su larga scala un “casus belli”, così come un attacco armato tradizionale.
La “guerra cibernetica” si può dividere in due settori: le attività di spionaggio e quelle di sabotaggio. Entrambe sono accomunate dal “territorio” in cui operano: il mondo virtuale costituito dalle reti informatiche, pubbliche e private, essenziali per tutti i governi e le economie moderne. L’attacco subìto da Sony è stato un misto delle due componenti. Gli hacker – un gruppo che si è identificato come “Guardians of peace” e che secondo l’FBI ha operato in collegamento con il governo della Corea del Nord (anche se ci sono ancora molti dubbi su chi siano effettivamente i responsabili) – hanno rubato moltissime informazioni riservate dai computer di Sony e le hanno pubblicate su internet. Hanno anche attivato dei software che hanno completamente cancellato la memoria di diversi computer.
I problemi nell’individuare i responsabili degli attacchi di questo tipo sono paradigmatici della difficoltà di dare una definizione precisa all’espressione “guerra cibernetica”. Anche per questo motivo molti esperti – tra cui Eugene Kaspersky, fondatore di una delle più importanti società di sicurezza informatica al mondo – ritengono sia meglio parlare di “cyber terrorismo”. Una guerra, infatti, per essere definita tale nel senso convenzionale del termine, ha bisogno della partecipazione di almeno due attori ben definiti e identificabili (anche sulla definizione di guerra, comunque, da anni va avanti un ampio dibattito). Rintracciare gli autori di un attacco informatico è spesso quasi impossibile. A differenza di quella che si lasciano dietro eserciti e missili, le tracce dei pirati informatici possono essere facilmente camuffate. Per questo le reazioni agli attacchi informatici finiscono per somigliare più alle operazioni che si conducono contro il terrorismo – fatte soprattutto di attività di spionaggio e controspionaggio – piuttosto che alle guerre convenzionali.
Non sempre però i responsabili degli attacchi rimangono anonimi. Lo scorso maggio il dipartimento di Giustizia degli Stati Uniti ha formalmente messo in stato di accusa cinque membri dell’esercito cinese accusati di attività di spionaggio informatico nei confronti di alcune grandi società americane. Anche se probabilmente la richiesta americana non avrà mai un seguito (i cinque si trovano in Cina ed è improbabile che vengano estradati) il caso è stato un momento importante nella storia della “guerra cibernetica”: per la prima volta il governo degli Stati Uniti aveva accusato formalmente dei dipendenti di un paese estero di reati legati allo spionaggio informatico.
Chi combatte la guerra
Secondo la società di sicurezza McAfee, che ogni anno produce un rapporto sui rischi legati agli attacchi informatici, circa 120 paesi al mondo si sono dotati di qualche mezzo per difendersi o per compiere operazioni cibernetiche: la maggior parte di loro è probabilmente ancora in una fase molto embrionale delle ricerche e non è in grado di mettere in atto vere e proprie operazioni come quelle compiute dagli Stati Uniti o quelle che hanno avuto come obiettivo Sony. Anche se è tendenzialmente più economica della guerra convenzionale, la guerra cibernetica richiede infrastrutture avanzate e un personale specializzato e con competenze elevate che non è facile da rintracciare.
La Cina è probabilmente uno dei principali concorrenti degli Stati Uniti sul campo della “guerra cibernetica”, anche se non si conosce molto delle sue effettive capacità (qui potete vedere una mappa in tempo reale degli attacchi informatici in tutto il mondo: sono parecchi). Stando alle informazioni raccolte finora, uno dei centri principali da cui sono partiti gli attacchi cinesi (non solo di spionaggio, ma anche di sabotaggio, come quello subito dal New York Times nel gennaio 2013) è l’Unità 61398, un reparto dell’esercito cinese che ha sede in un palazzo di dodici piani nella periferia di Shanghai. Il gruppo sarebbe responsabile di migliaia di attacchi contro siti statunitensi e canadesi. Uno dei primi attacchi rilevati fu compiuto nel 2006 e portato avanti negli anni successivi con operazioni di minore intensità. Negli ultimi due anni la quantità di attacchi risulta essere invece aumentata considerevolmente. Ogni attacco dura molto tempo: dopo avere guadagnato l’accesso a una rete interna, gli hacker cinesi vi restano in media per 10-12 mesi, spesso in attesa di informazioni o di dati utili per risalire alle password di accesso a livelli più sensibili. In genere, l’Unità 61398 si occupa di operazioni di spionaggio oppure di attacchi che disabilitano siti e reti per brevi periodi di tempo. I cinesi non sembrano ancora avere messo in atto operazioni sofisticate in grado di distruggere oggetti fisici, come le centrifughe di Natanz.