Proseguono le tensioni tra Iran e Stati Uniti. Dopo l’abbattimento di un drone Usa per la sorveglianza – e dopo gli attacchi a due petroliere, che Washington attribuisce a Teheran – il Cyber Command ha condotto una rappresaglia contro i sistemi informatici iraniani che controllavano i sistemi di lancio di razzi e missili, con un attacco preceduto da una lunga fase di pianificazione. Quali erano gli obiettivi di Washington? Quali le ragioni? E quale potrebbe essere l’evoluzione di questo conflitto informatico? Formiche.net ne ha parlato con Stefano Mele, avvocato esperto di nuove tecnologie e presidente della Commissione sicurezza cibernetica del Comitato Atlantico Italiano.
Mele, perché gli Stati Uniti hanno deciso di rispondere agli attacchi convenzionali sferrati dal governo iraniano attraverso un’offensiva cyber?
Nonostante le dichiarazioni trapelate attraverso il NYTimes, ritengo molto improbabile che gli Stati Uniti abbiano effettivamente deciso di utilizzare un attacco cibernetico di così alto profilo – come la disattivazione dei sistemi di controllo della difesa missilistica iraniana – come strumento di reazione all’attacco alle petroliere nel Golfo dell’Oman e soprattutto al recentissimo abbattimento del drone americano. Infatti, quando uno Stato riesce a garantirsi l’accesso e la capacità di spegnere o sabotare un’infrastruttura critica così importante – come il sistema di controllo della difesa missilistica -, peraltro di uno Stato attualmente considerato come nemico, ovvero l’Iran, la logica vorrebbe che questa carta venga conservata e mantenuta più segreta possibile in vista di una possibile escalation delle tensioni, a maggior ragione se la strada va verso un possibile conflitto convenzionale. In questo caso, infatti, avere la possibilità di disabilitare all’occorrenza il sistema di controllo della difesa missilistica iraniana attraverso un attacco cibernetico, consentirebbe agli Stati Uniti di agevolare (e non poco) un attacco cinetico, portando enormi vantaggi soprattutto in relazione agli effetti, ad esempio, di un bombardamento. Giocarsi una carta come questa solo per non aver gradito l’abbattimento di un drone, quindi, sembra una scelta molto azzardata e poco lungimirante. Ciò è vero, a meno che il livello di penetrazione degli Stati Uniti all’interno dei sistemi di sicurezza iraniani sia talmente profondo da poter considerare questo tipo di attacco come “sacrificabile” a vantaggio della strategia di deterrenza americana. Situazione certamente possibile, ma di cui ovviamente non abbiamo pubblicamente alcun segnale.
Perché parla di una “una carta da giocare all’occorrenza”. Le armi cibernetiche possono essere utilizzate solo una volta?
Il discorso è molto complesso e deve essere analizzato caso per caso. Tuttavia, come regola generale, possiamo osservare che, a differenza delle armi convenzionali, che mantengono costante nel tempo l’efficacia e la produttività dell’investimento economico anche nel lunghissimo periodo, le armi cibernetiche, invece, funzionano in maniera totalmente diversa e si caratterizzano per un arco temporale di utilizzo del loro potenziale decisamente molto limitato. Infatti, basandosi su una o più vulnerabilità, i “bug”, del sistema informatico bersaglio – vulnerabilità spesso anche tra loro correlate e tutte necessarie per la produzione dell’effetto desiderato –, le armi cibernetiche possono sfruttare una linea temporale di utilizzo decisamente molto breve, proporzionalmente decrescente con il trascorrere del tempo – i software vulnerabili, infatti, possono essere aggiornati, sostituiti o rimossi – e con il numero di vulnerabilità da sfruttare contemporaneamente per portare a termine con successo l’attacco cibernetico pianificato. Inoltre, soprattutto quando si parla di sistemi informatici per il monitoraggio e la supervisione di sistemi fisici (come, ad esempio, i sistemi d’arma), occorre evidenziare come questi spesso risultino così particolari che un’arma cibernetica realmente ingegnerizzata per massimizzare i danni riuscirà con estrema difficoltà a colpire più obiettivi con la stessa intensità ed efficacia, risultando quindi inadeguata per eventuali operazioni successive su differenti bersagli.
Questo che cosa comporta?
In sostanza, quando ci troviamo sul piano dei conflitti cibernetici tra Stati, i malware utilizzati per colpire bersagli ad alto valore sono da considerare quasi come armi “usa e getta”. Ciò a maggior ragione nel caso in cui, ad esempio, l’operazione andata a buon fine venga resa pubblica, così come vengano resi pubblici i metodi e le vulnerabilità utilizzate per portarla a termine efficacemente. Cosa che oggigiorno avviene molto di frequente.
In questi casi, dunque, l’arma cibernetica utilizzata potrebbe diventare molto presto obsoleta?
Normalmente i produttori del software vulnerabile rilasciano nel minor tempo possibile una patch di sicurezza per correggere le vulnerabilità sfruttate dall’attaccante, chiudendo definitivamente quella “strada di accesso”, così come già nell’immediato la comunità internazionale di esperti di sicurezza informatica si attiva per trovare una soluzione che tamponi il problema in attesa della patch. Di conseguenza, è verosimile che un’arma cibernetica possa essere utilizzata verso un determinato bersaglio una volta soltanto, oppure che possa tornare utile al massimo per una sola ondata di attacchi purché realizzati all’interno di un arco temporale abbastanza ristretto. Peraltro, occorre tenere sempre ben a mente anche che, una volta utilizzata contro l’obiettivo, quell’arma cibernetica sarà nella piena disponibilità del soggetto attaccato, che potrà quindi studiarla, capirne il funzionamento e persino riutilizzarla per i suoi scopi.
Che effetti ha avuto a suo avviso l’azione americana?
Sia nel caso di un’informazione atta a creare solo incertezza nell’avversario e nell’efficacia dei suoi sistemi di difesa, sia nel caso di una vera e propria offensiva cibernetica, sicuramente la principale ragione alla base di tale decisione è quella di voler dare una risposta concreta alle azioni dell’Iran. La risposta cibernetica, peraltro, può anche garantire in maniera agevole che non ci siano vittime – una preoccupazione a cui Donald Trump è sembrato giustamente molto sensibile -, mantenendo aderente la reazione americana anche al principio di proporzionalità previsto dal diritto internazionale, ed è quella che tra tutte garantisce la più alta probabilità di non far scivolare l’escalation verso un conflitto convenzionale: conflitto che, almeno per il momento, nemmeno Trump pare volere. Inoltre, Washington sa bene che agitare lo spettro di un attacco cibernetico farà facilmente riemergere nella memoria del governo e dei cittadini iraniani il timore che si ripeta quanto avvenuto con “Stuxnet” nell’estate del 2010. Quindi, un’ottima soluzione anche sul piano psicologico.
Contestualmente, però, occorre non prendere troppo sotto gamba le capacità cibernetiche di Teheran. In particolare, sappiamo che l’Iran ha una propensione particolarmente spiccata nel produrre e utilizzare malware che ha come unico obiettivo quello di cancellare totalmente il contenuto dei sistemi informatici dell’avversario. Questo, infatti, è ciò che è avvenuto nel 2012 ai sistemi informatici di Saudi Aramco e RasGas, così come è ciò che abbiamo potuto analizzare proprio di recente sempre contro soggetti privati operanti nel settore energetico vicini agli interessi economici dell’Arabia Saudita. Volendo fare una previsione, quindi, l’Iran ama colpire soggetti privati operanti nel settore energetico, in particolar modo se sauditi o americani, attraverso malware che formattano completamente i sistemi informatici colpiti: dunque probabilmente si “vendicheranno” su questo fronte.
Quali ragionamenti tattici e strategici sono alla base della scelta di utilizzare un attacco cibernetico?
L’aver scelto anche in questa vicenda un attacco cibernetico come strumento di reazione pone in luce, ancora una volta, quanto tutte le principali potenze militari stiano sempre di più investendo nello sviluppo di capacità offensive per operazioni nel e attraverso il ciberspazio da utilizzare in caso di conflitti sia aperti che coperti. La ragione è che questo strumento garantisce una serie di vantaggi particolarmente appetibili in caso di conflitti al di sotto della soglia di un conflitto armato – che sono la quasi totalità -, tra cui quello di poter colpire con un alto livello di anonimato uno o più sistemi informatici bersaglio in qualsiasi momento, istantaneamente e senza limitazioni geografiche, riducendo a zero la perdita di vite umane, sfruttando le capacità computazionali e i sistemi informatici dell’avversario o di terzi ignari e colpendo persino bersagli e obiettivi difficilmente raggiungibili attraverso attacchi “tradizionali”. Tutti elementi non comuni nei sistemi d’arma tradizionale, ma che invece rappresentano la normalità per le armi cibernetiche.
