Last Updated on January 19, 2011

Il 2010 verrà ricordato tra gli annali della sicurezza informatica soprattutto per due eventi: Operation Aurora e Stuxnet. Sebbene estremamente diversi tra loro per natura e origine (nel primo caso si parla di un attacco perpetrato dalla Cina per rubare informazioni di dissidenti e nel secondo caso di un malware progettato da USA e Israele con lo scopo di sabotare le centrali nucleari iraniane), i due eventi sono accomunati da un minimo comune denominatore: la matrice politica, ovvero il fatto che la minaccia informatica sia stata creata a tavolino per azioni di spionaggio nel primo caso e guerra sabotaggio nel secondo.

Secondo le indicazioni dei principali produttori di sicurezza sembra proprio che nel 2010 sarà necessario abituarsi a convivere con eventi di questo tipo, effettuati per scopi politici da nazioni fazioni sempre più organizzate utilizzando come vettori minacce simil-stuxnet sempre più elaborate e complesse.  In sostanza la percezione è che, dopo l’esempio dell’Estonia nel 2007, le guerre si possano sempre di più combattere dietro le tastiere piuttosto che nei campi di battaglia. Dopo le fosche tinte delineate da così  poco promettenti previsioni, naturalmente la domanda sorge spontanea: quale potrebbe essere nell’immediato futuro l’impatto globale di una cyber-guerra?

In realtà molto basso secondo un recente studio dell’OCSE, l’Organizzazione per la Cooperazione e lo Sviluppo Economico, ad opera di Peter Sommer e Ian Brown. Lo studio difatti sostiene che, sebbene i governi debbano essere pronti a prevenire, affrontare ed effettuare il recovery da operazioni di Cyberwar, deliberate o accidentali, la probabilità dell’occorrenza di (e quindi gli effetti derivanti da) eventi di Cyber-guerra su scala globale è piuttosto ridotta. Questo, nonostante l’arsenale delle cosiddette cyberarmi sia oramai ampiamente diffuso e variegato, e includa tra l’altro: tecniche di accesso non autorizzato ai sistemi, rootkit, virus, worm, trojan, (distributed) denial of service mediante botnet, tecniche di social engineering che portano ad effetti nefasti compromissione della confidenzialità dei dati, furto di informazioni segrete, furto di identità, defacciamento, compromissione dei sistemi e blocco di un servizio.

Sebbene l’OSCE (come previsto da alcuni produttori) ritiene che le azioni di cyberguerra siano destinate ad aumentare, solo una concatenazione di eventi su scala globale (ad esempio la contemporaneità di un cyber-evento con pandemie, calamità naturali o terremoti fisici o bancari), potrebbe portare a conseguenze gravi su scala planetaria.

I motivi del ridotto impatto, secondo gli autori dello studio, sono i seguenti:

• Gli impatti di eventi quali malware, DDoS, spionaggio informatico, azioni criminali, siano esse causate da hacker casuali o hacktivisti sono limitiate nello spazio (ovvero localizzate in una determinata regione) e nel tempo (ovvero di breve durata);
• Attacchi sulla falsa riga di Stuxnet non sono così probabili poiché devono combinare diverse tecniche (uso massiccio di vulnerabilità 0-day, conoscenza approfondita della tecnologia vittima, possibilità di occultamento dell’attaccante e dei metodi utilizzati). In sostanza investimenti massicci, come anche dimostrato dalle recenti rivelazioni, secondo le quali lo sviluppo del malware Stuxnet ha richiesto oltre due anni di sviluppo da parte di due superpotenze.
• Una vera e propria cyberguerra è improbabile poiché la maggior parte dei sistemi critici sono ben protetti dagli exploit e il malware conosciuto cosicché i “progettisti” delle nuove cyberarmi sono costretti a individuare nuove vulnerabilità e sviluppare ex novo i relativi exploit, e queste operazioni non sono immediate. Inoltre, poiché gli effetti dei cyberattacchi sono difficili da prevenire, le armi potrebbero essere meno potenti del previsto o peggio ritorcersi contro gli stessi creatori o i propri alleati.

Lo studio identifica anche i motivi che potrebbero facilitare azioni di Cyberguerra:

• La tendenza dei Governi ad aprire i propri portali per applicazioni verso i cittadini o verso i propri contrattori. Sebbene questo porti ad economie di scala, i portali potrebbero diventare facili obiettivi per azioni nefaste (come accaduto in Estonia nel 2007);
• La tecnologia cloud che apre la strada a nuovi servizi flessibili, ma anche a nuove problematiche di sicurezza ancora non completamente esplorate;
• La tendenza dei Governi a dare in outsourcing le proprie infrastrutture IT. Sebbene questo fatto porti vantaggi dal punto di vista economico, i livelli di servizio potrebbero non essere adatti ad affrontare eventi eccezionali come un Cyber-attacco.
• Il mancato principio di deterrenza per le Cyberguerre: dal momento che spesso le azioni malevole vengono effettuate da reti di macchine compromesse (le cosiddette botnet), non è così facile riconoscere il mandante con la conseguenza che non è applicabile l’equilibrio per le armi reali che ha sostenuto il mondo nel baratro del collasso nucleare ai tempi della guerra fredda.

Dobbiamo rassegnarci ad essere vittime impotenti di cyber-eventi? Fortunatamente no, anzi tra le azioni che potrebbero essere effettuate per contrastare un Cyber-attacco lo studio identifica:

• Attività di risk analysis sponsorizzate dal top management: il retrofitting non è mai conveniente per cui dovrebbero essere effettuate campagne continue di gestione degli accessi, educazione degli utenti, frequenti audit di sistema, back-up puntuali, piani di disaster recovery e conformità con gli standard;
• Contromisure tecnologiche continue quali: progettazione sicura dall’inizio, applicazione puntuale delle patch di sicurezza a sistemi e applicazioni, utilizzo di software anti-malware, firewall e sistemi di Intrusion Detection, utilizzo di tecnologie atte ad aumentare disponibilità, resilienza e affidabilità dei servizi;
• Attività di Penetration Test possono essere utili per identificare buchi su sistemi e applicazioni (spesso immesse nel mercato dai produttori con un non sufficiente livello di maturità).