La guerra informatica: ultima frontiera della guerra moderna

A cura di Danilo Delle Fave e Alessio Valente

Il concetto di guerra ibrida può sembrare un concetto fantascientifico o comunque relativo alla rivoluzione digitale tra la fine degli anni ’90, quando è in realtà il frutto di riflessioni decennali circa il ruolo sempre più importante della tecnologia nella guerra contemporanea e fornisce il quadro entro cui opera la guerra informatica o cyberwarfare.

The strategy of Technology

L’opera che introduce questo tema è “The strategy of Technology” del 1968, e più volta sottoposta a revisione fino agli anni ’90: questo lavoro era frutto dei decenni di collaborazione dell’esperto militare austro-statunitense Stefan Thomas Possony, famoso per essere tra i promotori dello Strategic Defense Initiative, conosciuto anche come Star Wars, realizzato sotto l’amministrazione Reagan. Possony osservava come gli Stati Uniti mancassero di una dottrina strategica che riguardasse l’uso della tecnologia in guerra e che si illudessero ancora che bastava la superiorità tecnologica da sola a vincere le guerre.

Una nuova forma di conflitto

Il maggiore lascito di quest’opera è caratterizzato dall’interesse statunitense per le forme non convenzionali di guerra, prima di tutto per il crescente ruolo dei computer come strumento comunicativo, di raccolta e sistematizzazione delle informazioni: l’impossibilità di conflitti convenzionali tra grandi potenze, resi impossibili dalla mutua distruzione assicurata garantita dall’arma atomica, spingevano Urss e Usa ad affrontarsi in maniera indiretta, attraverso guerre per procura nel terzo mondo e lo spionaggio. Un ruolo non indifferente lo ebbe anche i tentativi di razionalizzazione della sconfitta in Vietnam, legata al collasso del fronte interno, senza il quale la guerra a fianco del Vietnam del Sud era impensabile.

Il ciclo OODA

Diventa centrale in quella che viene considerata la rivoluzione degli affari militari degli anni ’90 il lavoro del colonnello dell’aviazione Usa John Boyd, che introdusse il concetto di ciclo OODA, Osservazione – Orientamento – Decisione – Azione. Prima dell’avvento della bomba atomica la concezione più diffusa di conduzione dei conflitti era l’idea “euclidea”di guerra, che vedeva nell’annientamento totale delle forze avversarie l’obiettivo ultimo delle forze armate, concezione obsoleta vista la presenza di sempre maggiori vincoli dettati dagli accordi internazionali e dall’emergere di minacce asimmetriche come terrorismo e guerriglia.

Distruzione dell’avversario

Come rispondere a queste nuove minacce? Secondo Boyd lo scopo della guerra non consiste nella distruzione totale dell’avversario ma nella sua neutralizzazione e paralisi: il ciclo OODA descrive le fasi attraverso le quali una organizzazione, in questo caso un esercito, stabilisce il suo processo decisionale. Lo scopo è quindi quello di bloccare il processo decisionale dell’avversario portandolo alla paralisi, di modo che sia reso inoffensivo. Il modo migliore è quello di penetrare nelle comunicazioni avversarie, usare stratagemmi e inganni per rendere impossibile la reazione all’attacco, che porterà con il minimo numero di perdite alla resa delle forze nemiche. La guerra ibrida diventa quindi questo modo di condurre la guerra dove l’annientamento delle forze nemiche è secondario rispetto alla loro destabilizzazione, e comprende sia le forme convenzionali di guerra, esercito contro esercito, sia le forme asimmetriche.

Le armi e strategie

Per queste ultime vi sono vari strumenti, riassumibili per semplicità in due macrocategorie: da un lato vi sono le tecniche di guerra psicologica per diffondere il dissenso nella popolazione civile nemica, indebolendo il sostegno alle forze armate e a rendere più accettabile una eventuale occupazione militare, dall’altro le tecniche di guerra comunicativa, che hanno lo scopo di intercettare messaggi nemici e disturbare le loro comunicazioni. Per quest’ultima categoria ci si riferisce ormai di guerra informatica o cyberwarfare.

L’esempio cinese

Le maggiori riflessioni strategiche, non provengono solo dall’area americana, anche i cinesi, con il libro dei generali cinesi Liang Qiao e Xiangsui Wang del 1996 “Guerra senza limiti”, riconoscono che dalla guerra del golfo del 1991 in poi l’aspetto strettamente bellico era sceso in secondo piano rispetto a quello asimmetrico: disinformazione, paralisi delle comunicazioni e caos indotto nei paesi nemici diventava il nuovo modo in cui si sarebbero combattute le guerre del futuro, visto anche il ruolo non secondario svolto dai media nel successo o meno delle operazioni militari.
Ma concretamente come avviene una operazione di Cyberwarfare?

Era il lontano 2003, quando il mondo era ancora shockato dagli attacchi dell’11 di due anni prima, che l’America è stata vittima di un nuovo attacco, di scala vastissima, che ha provocato danni sconsiderati, ma senza fare alcun tipo di rumore: parliamo di uno dei primi, e più importanti, attacchi informatici della storia. Nome in codice? Titan Rain.

Una denominazione decisamente eloquente, seppur nella sua brevità. Una pioggia titanica, infatti, è ciò che più si avvicina agli attacchi multipli portati avanti, contemporaneamente, da proxy o pc infettati, rendendo impossibile, per molto tempo, determinare con assoluta certezza la reale identità degli hackers.

Quell’attacco, in seguito ritenuto opera dell’apparato militare cinese, colpì tutti i centri nevralgici statunitensi: dai laboratori della Sandia, importante agenzia che si occupa di ricerca sulla sicurezza e l’armamento nucleare, a Locheed Martin, che si occupa di aeronautica e ingegneria spaziale, alla più famosa Nasa, che non ha certo bisogno di descrizioni. I danni e le informazioni sottratte restano ancora oggi non chiari, ma Titan Rain è il primo cyber-attacco ad essere stato attribuito direttamente ad un organo di governo straniero.

Moonlight Maze

Quattro anni prima, infatti, un’altra serie di attacchi, chiamata “Moonlight Maze”, ha condotto gli investigatori fino ad un mainframe situato in Russia, ma usato, con molta probabilità, come snodo, dagli hacker, per far perdere le proprie tracce. L’ origine degli attacchi resta, quindi, tutt’ora ignota.

Il virus Stuxnet

Sarà solo quattro anni più tardi che si avrà un nuovo attacco definito opera di un governo straniero. Si tratta del virus Stuxnet, la cui storia è davvero degna di un film di James Bond. Nel pieno di una crisi fra Israele e Iran scatenata dal programma nucleare iraniano, cominciò a diffondersi nel mondo un malware – da “malicious software”, ossia software malevolo – autoreplicante.

La caratteristica peculiare del virus, scoperta dai tecnici che lo analizzarono, era l’essere progettato per agire su un particolare PLC della Siemens, un Simatic S7-300. Una piccola scatoletta-computer che si utilizza per il controllo dei processi industriali. Una caratteristica che insospettì da subito gli esperti di sicurezza e che, si scoprì in seguito, serviva per colpire appositamente un obiettivo particolare: proprio una di quelle piccole macchine, che gestiva le centrifughe della centrale nucleare di Natanz, in Iran.

Il software sfruttava quelle che in gergo si chiamano 0-day, ovvero delle falle nei sistemi informatici che non sono ancora state individuate e, perciò, sono al loro “giorno zero” di esistenza. Queste falle furono individuate sia in Windows che nel sistema delle macchine Siemens. Nonostante il virus si auto-replicasse, però, fu necessario farlo entrare manualmente, attraverso una chiavetta usb, nei sistemi della centrale, poiché essa non era connessa con l’esterno proprio per motivi di sicurezza.

La complessità del virus è decisamente impressionante, capace di mascherarsi senza allertare i sistemi, auto-replicarsi e interagire coi processi da controllare senza destare alcun sospetto, il tutto sfruttando le falle di ben tre sistemi differenti. Il virus, inoltre, riusciva a mettere in atto quello che in gergo viene chiamato attacco “man in the middle”. L’operatore che si trova a supervisionare i processi, se vogliamo spiegare in maniera estremamente semplice, riceveva informazioni alterate riguardo i processi in atto.

Cosa mise in atto il virus

Ancora, per entrare più nella specificità del caso, mentre il virus alterava il funzionamento delle centrifughe, facendole roteare a millequattrocento megahertz, l’operatore che osservava il processo dietro lo schermo di un pc, veniva falsamente informato che la potenza era quella del loro normale funzionamento, cioè circa mille megahertz. Queste false informazioni non erano altro che quelle registrate dal virus stesso durante i suoi tredici giorni di latenza per cui era progettato; giorni in cui tutti i passaggi del processo venivano registrati e salvati in memoria, per essere riproposti al momento dell’attacco.

Stuxnet andò quindi a segno, mettendo fuori uso diverse centrifughe e propagandosi in molti altri paesi, fino ad essere debellato grazie ad uno strumento messo a punto dalla Siemens stessa.
Rappresenta un vero e proprio precedente negli attacchi informatici, essendo stato il primo virus, lanciato contro un obiettivo, in grado di provocare dei veri e propri danni fisici, fino, potenzialmente, a danni contro le persone.

Il caso italiano

Altro episodio che vale la pena segnalare, è quello accaduto in Italia, quando nel 2015 la società di informatica Hacking Team è stata colpita da un hacking che ha causato una forte emorragia di notizie e corrispondenza privata. Basta pensare che sul famoso sito Wikileaks si possono trovare ben più di ottomila pagine di mail fuoriuscite.

Già al centro di accuse relative alla collaborazione con governi totalitari, consistente nella fornitura di servizi informatici atti a spiare, individuare e controllare i propri cittadini, la società è stata vittima di un attacco che ha portato alla fuga di circa quattrocento gigabyte di documenti diffusi via Torrent e Mega (rispettivamente un programma ed un sito per la condivisione di file), che svelavano fatturati stellari e ingenti traffici di affari con polizie e organi governativi.
Paradossalmente, dall’attacco emerse che proprio i membri di una società che si occupa di armi e sicurezza informatica, usavano password estremamente deboli.

La fuga di notizie creò molto scalpore intorno all’operato, di una società, che già da tempo era considerato poco etico, ma il fatto resta un segnale decisamente indicativo di come l’attività informatica è diventata, ormai, una prosecuzione della politica proprio come la guerra di Von Clausewitz. Fatto indicativo come sono indicative le parole usate, nella sua intervista per il documentario del 2016 “Lo and Behold” di Werner Herzog, da Shawn Carpenter, un security analist che visse in prima persona la notte dell’attacco Titan Rain; un notte piena di “caffè e Nicorette”, a suo dire.

Dopo aver eluso domande specifiche sull’accaduto, le sue parole sono di puro avvertimento: “[…]a volte è anche peggio, invece di abbatterli li corrompi (i sistemi di potere, ndr), ne comprometti l’affidabilità, ad esempio, nei mercati finanziari. Non li abbatti, inizi ad alterare prezzi, dati, li cancelli in massa e provochi il caos in modo che i mercati non si riprendano o si risollevino per giorni. La possibilità di prendere il controllo di un’astronave e abbassarne le orbite, in modo da farla bruciare.e vitali comunicazioni GPS e altri tipi di comunicazioni sono…Non c’è più niente per rimpiazzarle.”

Arriva quindi una domanda, dal regista, che chiunque si sarebbe posto durante quella strana conversazione: “E’ possibile che siamo già in una guerra informatica senza saperlo?” La risposta è lapidaria quanto eloquente: “Certo”.

Share This:

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *