Alfonso Maruccia

Le nuove frontiere della cyberwar

L'allarme degli esperti di sicurezza si fa incalzante: gli attacchi informatici politicamente motivati non sono pi¨ un fenomeno marginale, ma la vera emergenza da affrontare. Domani potrebbe andare ancora peggio

Roma - Hacktivism, ovvero attivismo al sapore di hacking, ma anche cybersquatting e attacchi DDoS usati al posto delle contestazioni in piazza e delle manifestazioni di disobbedienza civile o scontro con le forze dell'ordine. Una messa in discussione dello status quo che, traslata dalla distruzione di qualche vetrina alla manipolazione di botnet in grado di buttare giù infrastrutture informatiche istituzionali, consegna in mano alle teste calde o ai rivoluzionari wanna-be le chiavi di un nuovo fronte di guerra dai contorni ancora piuttosto sfumati.

Si parla esplicitamente di cyberwar ormai da lungo tempo, la sensazione degli esperti è che vi sia una sorta di guerriglia permanente in seno alla rete, e gli atti che la compongono e che si esplicitano costellano il flusso di informazioni fuori e dentro il web. Il fenomeno è salito all'attenzione di mezzo mondo nella primavera dell'anno scorso, quando i sistemi di rete del piccolo paese baltico dell'Estonia sono stati presi d'assalto da un gruppo di cracker filo-sovietici, apparentemente incattiviti dalla decisione del premier di rimuovere un monumento ai caduti dell'esercito russo.

I primi segni del cyber-confronto politico con armi "sporche" possono essere identificati già negli anni '90 durante il conflitto tra Kosovo e Serbia, sostiene l'esperto di sicurezza José Nazario. All'inizio dell'ultima decade, dice Nazario, il traffico di attacchi DDoS "pesava" complessivamente 200 Megabit al secondo, mentre ora si è arrivati a individuare 25 Gigabit/sec. di flood informativi in grado di radere al suolo siti istituzionali, fonti di informazione o apparati di controllo delle infrastrutture.
"╚ un enorme campo di scontro - continua l'esperto - Chi avrebbe mai pensato che un paio di ragazzini avrebbero mai potuto disturbare le comunicazioni di una nazione per svariate settimane?". Nazario è stato uno degli analisti ad aver preso in esame la recente iniziativa hacktivista contro il presidente della Georgia, ultimo caso di attacco DDoS filo-sovietico registrato nei giorni scorsi. Un attacco "asimmetrico" confermato da centri di ricerca internazionali quali US-CERT e SANS Institute, ma nonostante questo negato dalle istituzioni georgiane.

"Non è vero; il sito Web non ha mai smesso di funzionare per un solo minuto durante il week-end" ha dichiarato il portavoce del presidente Vano Noniashvili riguardo la vicenda, tradendo forse la volontà di mettere a tacere un ulteriore motivo di attenzione sulla già difficile gestione dello scontro istituzionale con la volontà indipendentista della regione dell'Abkhazia.

Le analisi del caso georgiano risultano interessanti perché evidenziano tutti gli attuali limiti di un possibile contrasto al crescente fenomeno dell'hacktivismo: le botnet impiegate per attaccare il sito del presidente Mikheil Saakashvili hanno ricevuto l'ordine di avvio del flood da un centro di "comando&controllo" fisicamente presente negli Stati Uniti, che è stato messo offline velocemente ma non abbastanza da impedirgli di impartire l'ordine ai bot. E a quel punto è stato impossibile bloccare l'attacco.

Le informazioni di contatto per il suddetto server, così come la frase "Win love in Russia" integrata nei comandi recapitati ai bot sarebbero state inserite apposta per lasciare una firma visibile della matrice dell'attacco, un modo per rivendicare l'azione hacktivista salvaguardando nel contempo l'anonimato degli autori, ben nascosti - almeno a una prima analisi - dietro i tool di creazione di botnet automatizzati e la possibilità di concedere in affitto la forza di fuoco delle reti di PC zombie, forse controllate da russi.

La Russia, l'Europa e la regione cuscinetto nata dalla disintegrazione politica dell'Unione Sovietica sono certamente tra le zone più calde per quanto riguarda l'hacktivismo: è ad recente il caso del DDoS contro Radio Free Europe, che ha accusato apertamente il governo bielorusso di voler censurare la libera informazione sulle conseguenze del disastro di Chernobyl. In questo caso si tratterebbe di un uso distorto dei mezzi di rete contro il dissenso, teso a mantenere quello status quo che in altre occasioni viene messo in discussione dai gruppi di cyber-attivisti.

La stessa volontà di controllo e censura che ha tra l'altro già contraddistinto la gestione cinese della "questione tibetana": il governo di Pechino o chi per esso sono entrati in azione in occasione delle recenti proteste di Lhasa, bloccando le fonti di informazione mainstream ma anche spargendo in giro trojan-keylogger contro le ONG pro-Tibet.

L'hacktivismo è dunque un'arma a doppio taglio, in mano sia alla galassia di gruppi indipendentisti e patrioti nostalgici che ai governi comunisti e alle frange più estreme del potere ex-sovietico. L'universalità di Internet e del fenomeno del cyber-attivismo fa sì che esso non sia un'esclusiva della sola regione euro-asiatica, ma interessi anche le democrazie occidentali, così come le zone del mondo che della guerra conoscono soprattutto la faccia sporca dei morti sul campo in carne e ossa.

Si registrano ad esempio casi di attivismo telematico nel civile Regno Unito, dove la lotta politica per vincere le elezioni suppletive di Glasgow East si è spostata in rete tra i circoli di blogger scatenati contro Kezia Dugdale, dopo che la sostenitrice del parlamentare scozzese Lord George Foulkes aveva accusato il vice-Primo Ministro Nicola Sturgeon, del Partito Nazionale Scozzese (SNP), di essere stato sbattuto fuori da un centro commerciale dopo accesa propaganda in favore della sua fazione politica. Un'accusa, con il susseguente diniego da parte di Dugdare di eliminare il post incriminato come chiestole in seguito da Sturgeon, che ha scatenato la reazione dei blogger sostenitori di quest'ultimo e dell'SNP.

Il cyber-attivismo è uno strumento di scompiglio universale capace di fare capolino anche sui mezzi di comunicazione del Medio Oriente, dove il sito web del quotidiano degli Emirati Arabi Uniti Khaleej Times è stato assaltato da un defacer che ne ha modificato la homepage lasciando un messaggio inneggiante alla dominazione "persiana", e quindi iraniana, del conteso golfo che separa la penisola arabica dall'Iran degli Ayatollah e di Mahmoud Ahmadinejad.

Non si può naturalmente dimenticare la preponderanza nelle cronache del pericolo "rosso" per eccellenza, quella cyber-war cinese condotta tra le altre contro le PMI italiane e il Pentagono statunitense. Un pericolo che risulta ancora difficile da definire in maniera circostanziata, le cui ipotesi di catalogazione attualmente vanno dal tentativo dell'esercito cinese di distruggere informaticamente USA e paesi alleati a un guazzabuglio indistinto e frammentario di malware writer, convertitisi al business dell'affitto di botnet e server spara-malware ed hacker "black hat" della peggior risma possibile.

╚ ancora presto per disegnare i confini del fenomeno dell'hacktivism, ma ciò non toglie che le organizzazioni nazionali e sopranazionali non abbiano cominciato a darsi da fare per fronteggiarlo. Preoccupata per le conseguenze e l'estensione dell'attacco DDoS nei confronti dell'Estonia, la NATO ha aperto il primo centro di cyber-difesa del Vecchio Continente proprio nel paese baltico.

Negli USA la pensano ancora più in grande, cominciando a parlare di Manhattan Project della sicurezza IT e botnet di stato per contrastare quelle dei "bravi ragazzi" russi, cinesi, islamici o di qualunque altro colore o bandiera essi si ammantino. Barack Obama, il candidato repubblicano alla presidenza USA che parla agli elettori attraverso YouTube ha fatto presente senza mezzi termini che, una volta divenuto presidente della iperpotenza, farà in modo che la cyber-sicurezza sia "la principale priorità del 21esimo secolo". Una volontà che al momento non è particolarmente ricca di dettagli, in realtà, ma alla cui base dovrebbe esservi la partecipazione di "governo, industria e accademia per determinare i migliori sistemi di difesa delle infrastrutture".

Qualcuno prospetta dunque una continuità tra la politica di George Bush, acceso sostenitore dell'immunità per le società di telecomunicazioni USA che in passato hanno collaborato con NSA & Co. per mettere sotto stretto controllo le comunicazioni dell'intera popolazione americana. ╚ presto per dirlo, probabilmente, quel che è certo è che, tra tutte le ipotesi messe in campo, nessuna offre al momento garanzie sulla possibilità di un contrasto efficace al fenomeno montante e multiforme della guerriglia cyber.

Botnet militari gestite da centri di comando speciali, o persino dall'Air Force One, l'aereo presidenziale? Una misura sostanzialmente inutile, ha detto Jose Nazario intervenendo all'Usenix Security Symposium di San Jose, California. I modi con cui i cyber-attivisti possono celare le proprie tracce sono tanti e variegati, e "le soluzioni di difesa proattiva non sono in genere realmente fattibili". La partita si giocherà, conclude l'esperto, sulla capacità di rispondere in tempo alle minacce, sulla riduzione dei tempi di reazione e "nel minimizzare i danni esterni".

Il prossimo evento che, con tutta probabilità, farà da catalizzatore del cyber-attivismo saranno le Olimpiadi di Pechino al via l'8 di agosto. Il MinCulPop cinese già promette che nulla dovrà turbare il sereno svolgimento dei Giochi fuori e dentro la Rete, ma c'è da scommettere sul fatto che qualcuno ci proverà lo stesso, a sfruttare la visibilità unica di un evento per molti versi storico, per far valere le proprie ragioni o far sentire la propria presenza ai media e all'intera popolazione mondiale.

Alfonso Maruccia
10 Commenti alla Notizia Le nuove frontiere della cyberwar
Ordina