All’ombra della rivoluzione sociale ed economica causata da Internet, si affrontano, da tempo, le ricadute economiche causate dagli attacchi informatici perpetrati contro la proprietà intellettuale.
Qualche mese fa un’azienda americana, Mandiant, ha pubblicato una dettagliata analisi di un gruppo di attaccanti di origine cinese denominato APT1. Il documento è rilevante per due motivi: il primo è che dimostra la diversificazione degli obiettivi e il secondo è che riesce a collegare, seppure senza prove certe, il gruppo con il governo cinese.
Oltre ai soliti contractor della Difesa, si trovano le vittime, americane ed europee, più disparate, da redazioni di quotidiani fino alle università. In un recente report Kpmg scrive che le intrusioni informatiche a danno di aziende private sono salite del quaranta percento nel 2013 e Gartner ha stimato che il budget mondiale speso per la sicurezza informatica nel 2012 sia di 60 miliardi di dollari.
In questa cornice, già abbastanza tetra, si stagliano i timori di una possibile “cyber war”; dove l’obiettivo degli attacchi non è più quello di carpire informazioni e appropriarsi di proprietà intellettuale, ma distruggere apparati sensibili. Timori rafforzati da attacchi come Stuxnet contro le strutture nucleari iraniane e dall’intrusione e parziale manomissione nell’azienda petrolifera di Stato Saudi Aramco ad opera, si crede, di gruppi iraniani come una sorta di monito nei confronti di Israele e Stati Uniti.
Le reazioni e soluzioni proposte a questi problemi sono tra le più fantasiose e disparate. A partire dalla dottrina statunitense dell’uso di armi convenzionali in caso di un attacco cyber fino alla recente notizia della creazione da parte del Dhs (Dipartimento di sicurezza nazionale) americano di un programma per la protezione di aziende private attraverso l’uso di informazioni classificate, passando per nulla osta di sicurezza temporanei di un giorno dati a vertici bancari per informarli delle attuali minacce. Anche la Nato si è data da fare, commissionando a un gruppo di esperti un documento, il “Manuale di Tallinn”, che tracci una possibile strategia in caso di cyber war. Strategia che, per altro, asserisce la totale legalità dell’uccisione di hacker “civili” in odore di collaborazione con la nazione di appartenenza.
Per comprendere l’apparente sproporzione delle reazioni rispetto alla minaccia bisogna fare alcune constatazioni tecniche. La prima è che, ad oggi, è impossibile verificare la paternità degli attacchi. La seconda è che le difese contro questi attacchi sono principalmente contenitive; ovvero poiché alcuni di questi attacchi, noti come 0-days, non si possono neutralizzare, la miglior difesa è usare informazioni su attacchi passati per riconoscere quelli futuri e provare ad arginarli. Infine, i costi per la bonifica di una rete attaccata sono ingenti e interamente a carico delle vittime. Risulta facile, dunque, ricercare in una politica di deterrenza una possibile soluzione al problema.
Tuttavia questo approccio militaristico non può che essere una misura temporanea, è molto probabile che in futuro si cerchi di arrivare a soluzioni più appropriate e di natura tecnica. Un primo possibile passo è l’immagazzinamento e l’analisi del traffico Internet a livello mondiale. La National security agency (Nsa) inaugurerà a breve un nuovo data center nello Utah con la capacità, potenziale, di archiviare il traffico Internet globale di un intero biennio. Una seconda evoluzione potrebbe essere la migrazione delle infrastrutture private verso provider cloud. Questo permetterebbe di concentrare le difese su pochi nodi e quindi renderle più efficaci e allo stesso tempo più economiche. Muoversi su queste due traiettorie significa instaurare un sistema di pesi e contrappesi politici ed economici tale per cui i rischi per chi attacca sarebbero molto più alti dei benefici. Tuttavia queste manovre presentano incredibili difficoltà, non solo tecnologiche.
Una criticità nasce dal fatto che, anche avendo la capacità di archiviazione necessaria per poter catturare il traffico mondiale e quindi permettere l’attribuzione e la prevenzione di molti attacchi, la topologia fisica di Internet e la mancanza di tecnologie adeguate per l’analisi di un corpo di dati così consistente rende l’attuazione per un singolo Paese impraticabile senza una collaborazione estesa di altri.
Un’altra criticità è la difficoltà sia tecnica che socioeconomica di migrare intere infrastrutture aziendali ad-hoc su infrastrutture cloud di aziende terze. Infine, questi cambiamenti rivoluzionerebbero Internet non senza lasciare cicatrici profonde, due fra tutte: cosa ne sarebbe della tanto amata libertà della Rete e che tipi di rapporti di forza, tanto pubblici quanto privati, si instaurerebbero in futuro quando il “cyber” garante del mondo avrà il suo cervello nello Utah mentre Mountain View e Seattle conserveranno i dati di una buona fetta delle aziende europee e americane? È quindi evidente come lo sforzo risolutivo debba essere condiviso e coordinato da più Paesi alleati affinché possa essere efficace e proficuo per tutti.
L’Italia, forse anche a porre l’accento sulla crescente irrilevanza economica e politica a livello mondiale, non risulta, né sul piano industriale né su quello statale, tra gli obiettivi di molti di questi attacchi. Tuttavia, con la progressiva digitalizzazione del Paese, ci dovremo confrontare con molti di questi problemi in un futuro non lontano. Per questo sarebbe auspicabile un investimento sostanziale nella sicurezza informatica atto sia a proteggere le infrastrutture interne sia a trovare spazi di collaborazione con altri Stati che al momento ci considerano troppo impreparati sul tema per poter anche solo pensare di iniziare un dialogo con noi.
Vincenzo Iozzo, Director of security engineering di Trail of Bits
