Nel pomeriggio dell’11 maggio i siti di Senato, Ministero della difesa, Istituto superiore di sanità e Automobile club d’Italia (Aci) sono rimasti bloccati per alcune ore (salvo quello dell’Aci, tornato operativo il giorno successivo) a causa di un attacco informatico contro il nostro Paese. “Questo attacco conferma il quadro generale della guerra: era infatti già chiaro come fossimo tutti esposti anche sul piano cibernetico. L’azione ha consentito alla Russia di farci capire, anche senza un intervento militare diretto, che l’invio di armi in Ucraina non è un gesto che passa inosservato ma, al contrario, può scatenare ripercussioni su vari livelli, compreso quello della sicurezza informatica.” È quanto dichiara ad Agenda17 Stefano Pietropaoli, docente di Informatica giuridica presso l’Università di Firenze.
Abbiamo già spiegato come il conflitto in Ucraina sia a tutti gli effetti anche una guerra cibernetica, che non si combatte su un piano virtuale ma ha conseguenze reali e potenzialmente devastanti per la sicurezza e l’economia di interi Paesi. Pietropaoli ci fornisce una possibile interpretazione dell’azione compiuta contro le nostre istituzioni.
È una precisa strategia politica, non un attacco disorganizzato
L’attacco di alcuni giorni fa rientra nella tipologia dei cosiddetti attacchi Distributed denial of service (Ddos). Consistono nell’inviare tantissime richieste a un determinato server che, non riuscendo a gestirle, si blocca. È stato attribuito al gruppo filorusso di cyber attivisti chiamato Legion: è un gruppo relativamente giovane, da poco presente su Telegram dove prende di mira specifici obiettivi della North Atlantic Treaty Organization (NATO).
“Prima di tutto – spiega Pietropaoli – dobbiamo capire davvero chi sono. Da un lato, infatti, esiste un noto gruppo di hacker che opera dal territorio russo, chiamato Killnet, e, dall’altro, c’è questa sua costola, Legion, di cui si sa veramente poco. È l’ennesima dimostrazione del fatto che i contorni della guerra cibernetica sono sfumati: non sappiamo bene chi colpisce, cosa e quando.
Il caso in questione è però strano perché, in realtà, non è stato propriamente rivendicato e non capisco perché si scriva il contrario. Leggendo i messaggi rilasciati dagli attivisti di Killnet su Telegram, infatti, non si legge una loro rivendicazione dell’accaduto. Piuttosto, scrivono, l’operazione è opera di Legion, definito il loro ‘figlio disobbediente’, che ha voluto mettere alla prova le sue abilità.”
Si sarebbe quindi trattato di una sorta di esercitazione, compiuta da un gruppo di attivisti piuttosto giovane e poco organizzato. Come ha potuto, allora, il nostro sistema di sicurezza essere così vulnerabile?
“Nel messaggio di Killnet – prosegue il docente – c’è molta ambiguità. Secondo loro o non si è trattato di un vero e proprio attacco, che invece, quando arriverà, sarà molto più forte, oppure semplicemente non li riguarda perché si stanno preparando su altri terreni e la responsabilità sarebbe invece di questo gruppo minore.
Possiamo fidarci di dichiarazioni di questo tipo? Non credo molto all’idea di una sorta di banda di ragazzini che dalla loro scrivania si esercitano a superare i sistemi di sicurezza di organismi internazionali: è più una visione romantica tipica dei film degli anni Ottanta e Novanta, ma oggi non è più credibile. Questi attacchi hanno alle spalle una competenza e una potenza computazionale notevoli. Inoltre, se gli attivisti veicolano questo messaggio in un posto visibile come Telegram, vuol dire che vogliono perseguire un certo obiettivo e noi dobbiamo capirne il significato.”
Come ci spiega Pietropaoli, infatti, si è trattato di un attacco Ddos cosiddetto “Slow http”: si punta, cioè, non tanto sul numero di richieste, quanto sostanzialmente sulla perdita di tempo a cui il server è costretto. Ogni richiesta inviata al server di destinazione (e sono comunque numerose, come in tutti gli attacchi Ddos) ha una velocità di trasmissione talmente bassa da costringerlo a mantenere aperta la connessione, finché non va in time out.
“Il risultato è lo stesso – afferma Pietropaoli – ma quello che ci interessa è il salto di qualità. Certamente possiamo migliorare a livello di sicurezza informatica, tuttavia, come ho già dichiarato, non sarebbe giusto affermare che l’Italia non ha fatto nulla. Il fatto che l’attività di hacking sia evidentemente di livello superiore testimonia che non si tratta di un gruppo minore e disorganizzato, ma di un’infrastruttura ben solida, anche a livello politico.”
I rischi aumentano, soprattutto per i cittadini
“Per quanto riguarda il Ministero della difesa – prosegue il docente – credo sia vero quanto dichiarato, cioè che il sito era stato messo in pausa per manutenzione programmata. Il problema reale però è che oggi non sappiamo più quale sia la verità, perché si raccontano molte cose non vere e questo è estremamente pericoloso. C’è infatti parecchia confusione, a causa di un’informazione spesso frammentata anche a livello istituzionale.”
Le conseguenze di tale incertezza si ripercuotono soprattutto a livello privato, dove rimane una mancanza di consapevolezza sugli effettivi rischi connessi alla sicurezza informatica. “C’è una scarsa capacità di informare e convincere i cittadini e penso che questo dovrebbe invece essere un tema da portare nelle scuole, perché non si tratta solo del funzionamento di un certo sito ma della sicurezza personale di ognuno di noi.
Manca consapevolezza generale e manca una spinta politica in questa direzione. Anonymous ha recentemente dichiarato di essere ‘anche nella camera da letto’ di Putin: forse è un’affermazione esagerata, però di fatto chiunque possieda un device ha una porta di accesso alla propria vita dovunque quel device si trovi, anche tra le mura domestiche.”
Possibili rischi anche per la sicurezza delle centrali nucleari
La guerra cibernetica è una realtà da diversi anni e uno dei casi più noti fu Stuxnet, un virus informatico che in passato colpì una centrale nucleare iraniana. Abbiamo chiesto a Pietropaoli quali possono essere i rischi oggi per le centrali sotto il profilo della sicurezza informatica.
“Non conosco nello specifico come funzionano gli impianti nucleari dal punto di vista della gestione informatica – conclude il docente – ma essendomi occupato di Stuxnet posso dire che la questione è piuttosto complessa. In quel caso il sistema sembrava inattaccabile in quanto si trattava di una Intranet isolata, priva di connessione con l’esterno. L’attacco, infatti, è avvenuto inoculando il virus tramite una chiavetta usb: non si trattò quindi di un attacco a distanza tipico della cyber war tradizionale, ma si trattò comunque di cyber war.
Quello che tale episodio ci dimostra, però, è soprattutto che, anche se non collegati al web, siamo esposti al rischio. Cosa si può fare? Sicuramente aggiornare i sistemi, lavorare sull’individuazione precoce di certi malfunzionamenti e processi potenzialmente malevoli, ma è un discorso legato alla conoscenza prettamente informatica del singolo sistema.
Certo è che, purtroppo, si tratta di rischi concreti. Con Stuxnet furono bloccate le turbine, quindi non possiamo parlare di un incidente nucleare vero e proprio, ma, pur non conoscendo abbastanza l’argomento per potermi esprimere con certezza, dubito che un incidente nucleare propriamente detto innescato da un malware non possa considerarsi oggi una minaccia concreta.”