Roma – Il noto esperto di sicurezza Bruce Schneier presenziando a Londra alla conferenza InfoSecurity Europe ha recentemente parlato di cyberterrorismo e di come il termine sia quasi sempre utilizzato senza ragione. Ne parlano anche ZDNet e Punto Informatico , riportando alcuni contenuti dell’intervento.
In particolare Schneier afferma che:
“Nobody’s getting blown to bits,” Schneier said. “I don’t think that cyberterrorism exists–if you add ‘terrorism’ to things, you get more budget. If you can’t get e-mail for a day, yoùre not terrorized, yoùre inconvenienced.”
Ieri su Punto Informatico i curatori italiani del sito Zone-H rispondono a Schneier con una lettera aperta che si può leggere qui .
Apparentemente la polemica nasce dall’uso della parola ” terrorismo “. Per Schneier terrorismo è sostanzialmente un atto che determina la perdita di vite umane in una maniera tale da terrorizzare coloro che restano in vita. Il cyberterrorismo dunque non esisterebbe, poiché difficilmente tramite un attacco di hacking si causa la perdita di vite umane.
Ma Schneier si spinge ancora più in là, sostenendo che i team di hacker messi su da alcuni governi (inclusi i governi dei cosiddetti “stati canaglia”) in realtà non sarebbero lì per eseguire attacchi contro i loro nemici.
La risposta di Zone-H invece afferma che il cyberterrorismo non solo esiste, ma non è assolutamente da minimizzare. Non si tratta di terrorismo nel senso più classico del termine ( shahid o kamikaze che si fanno saltare in aria), bensì di tutta una serie di attacchi informatici e finanziari che lascerebbero sul campo più vittime degli attacchi terroristici “convenzionali”. Non vittime mutilate forse, ma economicamente a terra.
La mia opinione è che bisogna anzitutto conoscere il background di chi fa certe affermazioni.
Schneier è un esperto di crittografia che ha avuto più di una consulenza per il governo e per le varie agenzie di difesa statunitensi. Si tratta, insomma, di una persona che ha qualche informazione in più dell’esperto medio di sicurezza informatica, specialmente in tema di cyberwarfare. I suoi interventi sono costantemente mirati a minimizzare le false fonti di rischio , portando invece l’attenzione sui rischi nascosti che non sempre vengono rivelati.
Per fare un esempio pratico, il Department for Homeland Security americano qualche anno fa diramò alcuni consigli per proteggere le famiglie americane da un possibile attacco chimico e batteriologico. Uno di questi consigli era fare scorta di nastro adesivo del tipo usato per il metallo e per le tubature (“duct tape”). Questo consiglio è stato considerato ridicolo da molti esperti, e Schneier ha fatto notare – statistiche alla mano – come il solo mettersi in macchina per andare al negozio a comprare il nastro abbia di fatto aumentato il rischio di mortalità per le famiglie americane, poiché è molto più probabile essere coinvolti in un incidente stradale piuttosto che trovarsi nelle vicinanze quando esplode una bomba chimica.
In quest’ottica il consiglio di Schneier di non abusare del termine cyberterrorismo può essere opinabile, ma rientra perfettamente nel suo stile di “educatore alla sicurezza”.
Zone-H è un sito che nel tempo si è guadagnato fama di rispettabilità e competenza, oltre ad essere uno dei pochi in grado di “tastare il polso” della sicurezza su Internet, grazie agli infiniti e continui report che da anni accumula e analizza. Solo due giorni fa ho segnalato un loro recente report sull’aumento dei defacement. Sicuramente poche altre organizzazioni hanno la possibilità di effettuare statistiche complete su dati di prima mano, così quando parlano di hacker cinesi, arabi o nord coreani già attivi nel terrorismo informatico non vi è dubbio che sappiano quello che dicono.
Di conseguenza la mia impressione è che si sia fatta un po’ di confusione sul termine. In effetti cos’è il “cyberterrorismo”?
Se manteniamo il concetto classico di terrorismo con persone che mettono bombe e uccidono altre persone, allora forse il termine non è dei più felici. Oggi i modi in cui un hacker può uccidere altre persone comodamente seduto al suo PC sono estremamente rari e limitati a casi specifici: pensiamo ad esempio a un ospedale dove le medicine per i singoli pazienti vengono assegnate da un software. Un hacker ostile (e assassino) potrebbe penetrare nei sistemi e cambiare le dosi prescritte per trasformare un’infermiera in un killer.
O ancora, bloccando un sistema telefonico basato sul Voice over IP (VoIP) è possibile impedire a una persona di chiamare la polizia, mettendola quindi in seria difficoltà in caso di pericolo e magari causandone indirettamente la morte.
Ma a parte questi casi estremi (e indiretti) non è ancora possibile per un terrorista uccidere con un PC connesso a Internet, quindi il terrorismo in senso classico non può essere “cyber”.
Questa visione tuttavia parte da una definizione forse troppo “ingessata”. Già oggi potrebbe essere possibile causare panico bloccando ad esempio le connessioni VoIP delle famiglie americane, magari proprio mentre altri complici compiono azioni terroristiche “convenzionali” in stile 11 settembre (ho accennato brevemente a questo scenario già in un mio intervento del mese scorso). Trovare la cornetta muta e non essere in grado di chiamare i propri cari mentre la TV segnala attacchi di questa portata potrebbe facilmente generare panico in una importante fetta di popolazione. E non dimentichiamo che in futuro anche i cellulari prenderanno la strada del VoIP (software come “Skype” già esistono e funzionano su alcuni tipi di smartphone).
Questo panico può essere considerato “terrorismo”?
Sicuramente bloccare il VoIP, o l’email, o dare asilo sul proprio server a forum in cui i terroristi si scambiano dati e materiale, o anche mandare in onda i video degli ostaggi decapitati non è terrorismo in senso stretto, bensì una potente ed efficace opera di fiancheggiamento al terrorismo classico.
Del resto lo stesso Schneier nel suo ultimo libro ” Beyond Fear ” afferma che il terrorismo è prevalentemente un attacco alla mente degli individui, piuttosto che direttamente alla loro persona. Se un terrorista mette una bomba in un supermercato le vittime fisiche saranno i morti, ma le vittime psicologiche saranno tutte quelle persone che per mesi o anni eviteranno i supermercati affollati, e le vittime economiche le aziende che così perderanno clienti e potrebbero essere costrette a licenziare lavoratori. Per esperienza personale vi posso confessare che anche la mia calma è messa a dura prova ogni volta che sono costretto a usare la metropolitana di Mosca (e la devo usare spesso), a causa dei ripetuti attacchi di terroristi ceceni avvenuti negli ultimi anni. Il terrorismo, dunque, fa più danni alla mente. In termini sociali, un singolo attacco terroristico causa più perdite psicologiche ed economiche che non fisiche.
Quindi, poiché anche il solo fiancheggiamento informatico agli atti terroristici può causare rilevanti danni sociali, ritengo che il termine cyberterrorismo non solo sia adeguato, ma il terrorismo informatico in quanto tale debba essere ulteriormente approfondito, studiato e contrastato dagli Stati che ne sono vittima.
Più volte nel corso degli ultimi anni i governi di molti Paesi si sono trovati spiazzati di fronte alla capacità delle organizzazioni terroristiche nel saper usare la Rete, per questo motivo minimizzare questi atti oggi mi sembra onestamente l’ultima cosa che dovremmo fare.
Luca Sambucci
www.SicurezzaInformatica.it
Ti potrebbe interessare
3 mag 2005