0x5 — Cyberwarfare
Quest’oggi mettiamo piede nei campi di battaglia del cyberspazio. Analizzeremo due attacchi informatici che hanno causato danni fisici a strutture governative e non.
Stuxnet
Nel Gennaio del 2010, quando l’International Atomic Energy Agency visitò gli impianti di arricchimento dell’uranio a Natanz, in Iran, notò che alcune centrifughe dell’impianto non funzionavano correttamente ma nessuno riusciva a darsi una spiegazione al riguardo. Alcuni mesi dopo, un’azienda di sicurezza informatica stava analizzando dei computer in Iran che crashavano misteriosiamente e si riavviavano. Dopo un po', alcuni ricercatori trovarono dei particolari file malevoli che non erano mai stati visti prima d’ora. Piuttosto che semplicemente prendere il controllo dei computer infetti, quel codice permetteva di arrecare danni ai macchinari fisici connessi ai computer infettati.
Stuxnet viene comunemente definito come la prima arma digitale la cui scoperta sia mai stata resa nota. Si trattava di un cosidetto computer worm, un virus in grado di propagarsi copiandosi tra i vari computer. Stuxnet era in funzione sin dal 2009 ed ha poi ricevuto degli aggiornamenti fino a quando non è stato scoperto e pubblicamente reso noto dai ricercatori.
Il software attaccava specificamente un particolare modello di computer prodotto dalla Siemens che era addetto al controllo e monitoraggio della velocità delle centrifughe. Per infiltrare il virus nei computer hanno utilizzato la trasmissione tramite chiavetta USB, dal momento che i computer erano scollegati dalla rete internet — in gergo questo tipo di computer che non è mai stato connesso ad Internet si chiama air-gapped — : per diffondere il virus hanno agito dapprima infettando i computer di 5 aziende esterne che in qualche modo erano connesso all’impianto nucleare. In questo modo, poi, qualcuno degli operai ha introdotto inavvertitamente Stuxnet all’interno del perimetro protetto.
Il numero di centrifughe attive diminuì drasticamente, rallentando il processo di arricchimento dell’uranio. L’attribuzione dell’origine di Stuxnet è ancora oggi discussa, ma diversi ricercatori e testate giornalistiche puntano il dito contro Israele.
Tre anni prima però, era stato sferrato un altro tipo di attacco ad un obiettivo ben diverso rispetto un impianto nucleare.
Estonian Hack
La rimozione di una statua nella città di Tallinn, in Estonia, il 27 Aprile del 2007 fu la causa scatenante dell’attacco digitale più vasto ai danni di una nazione che si fosse mai visto. La statua era stata eretta dai Russi dopo la liberazione della città dal controllo tedesco nella seconda guerra mondiale, e rappresentava ancora per i cittadini un simbolo della seguente occupazione oppressiva russa. Nei giorni seguenti, i siti dei giornali, l’infrastruttura telematica delle banche, il sistema di comunicazione del governo, tutto era stato compromesso e malfunzionante.
L’infrastruttura di internet dell’Estonia era sotto l’attacco di una cosiddetta botnet: una rete di computer controllati in remoto. Era la prima volta che una botnet metteva in crisi un’intera nazione.
Gli attaccanti, però, avevano diverse armi a disposizione: la più rudimentale era utilizzata da quelli che in gergo sono definiti script kiddies. Gli script kiddies non sono dei veri hacker professionisti bensì dei semplici individui che copiano ed incollano il codice che trovano sui forum online, spesso non capendone nemmeno a pieno il funzionamento. Il loro principale attacco era il ping, che consiste nell’inviare una richiesta di risposta ad un server. Inviando questa richiesta migliaia di volte, la banda del segnale si satura, sovraccaricando il server.
Poi, appunto, c’erano i botnet: centinai di migliaia di computer, sparsi per il mondo, e già infettati in precedenza da altri hacker, ora erano controllati a distanza per effettuare un Distributed Denial of Service attack (DDoS): una sorta di attacco ping ma con un numero gigantesco di computer che effettuavano le stesse richieste ai server contemporaneamente. Si trattava di un vero e proprio esercito di computer zombie al soldo degli hacker.
Per tentare di limitare i danni dell’attacco, una volta individuati gli indirizzi IP dei computer finiti nella botnet, venne chiesto alle aziende telematiche di bloccare direttamente le richieste in ingresso provenienti da quegli indirizzi IP. In questo modo la rete internet tornò a funzionare grossomodo alla normalità.
A metà maggio, l’attacco massiccio della botnet si arrestò improvvisamente.
Per quanto riguarda l’attribuzione dell’attacco, invece, alcuni messaggi in russo apparsi sulle chat online, da cui sembra si coordinassero i gruppi, fanno pensare ad hacker russi. Ma il governo russo non ha mostrato molto interesse nell’aiutare ad individuare i responsabili.
Nel mondo militare e dell’intelligence, c’è un ampio dibattito sulla definizione della guerra cibernetica (in inglese cyberwarfare). C’è infatti molta incertezza sul come combattere una guerra digitale e soprattutto se definirla guerra o meno. Le agenzie di intelligence praticano diffusamente spionaggio e sabotaggio di avversari. Ma in questi due casi di cui abbiamo parlato gli effetti su strutture fisiche sono molto più evidenti. Definire queste azioni atti di guerra o meno è di vitale importanza per la comprensione di quali trattati di difesa e quali leggi devono essere applicati. In futuro attacchi digitali con ripercussioni sul mondo reale potrebbero essere sempre più frequenti.
