30/12/15
In questo periodo si parla molto di sicurezza internet per contrastare il terrorismo. Alcuni suggeriscono l'oscuramento totale del web in caso di attacco, altri di potenziare i controlli preventivi. Come fare dunque per fermare il terrorismo che corre sul web senza creare danni agli utenti e alle aziende italiane che lavorano online? Per arrivare a capo del complesso mondo web, Difesa Online chiede chiarimenti a Corrado Giustozzi, tra i massimi esperti italiani di sicurezza cyber, consulente della struttura governativa cui è affidata la sicurezza cibernetica della Pubblica Amministrazione italiana (il CERT-PA) ed apprezzato anche all'estero, tanto da essere membro ormai da tre mandati del Permanent Stakeholders' Group di ENISA, l'Agenzia dell'Unione Europea per la Sicurezza delle Reti e delle Informazioni.
Professor Giustozzi, che cosa significa terrorismo web?
Iniziamo col fare un po' di chiarezza sui termini e sugli ambiti. Il Web non è Internet ma solo una delle sue componenti, per la precisione quella che consente la “pubblicazione” di informazioni testuali o multimediali organizzate come un grande ipertesto (sui cosiddetti “siti”) e la “navigazione” degli utenti fra le relative pagine. Internet è qualcosa di diverso e di più del Web: è il sistema globale di reti e di protocolli che assicura l'interconnessione ed il trasporto delle informazioni, ed è quindi il “tessuto nervoso” che unisce utenti, siti, dispositivi ed altro ancora. Su Internet viaggia il Web ma anche cose che non sono Web quali ad esempio la posta elettronica, gli instant message (tipo Twitter), le chat (tipo Whatsapp), le telefonate (VoIP o altro), le interconnessioni per scambio di file o dati, quelle per il controllo remoto di apparati, eccetera. Parlare dunque di “terrorismo Web” è impreciso o quantomeno vago, e bisogna specificare meglio cosa si intende.
Parlando dunque più propriamente di “uso di Internet a fini terroristici” (come correttamente recita la definizione adottata ad esempio dall'UNODC, l'Ufficio delle Nazioni Unite per il controllo della droga e la prevenzione del crimine) possiamo evidenziare due modalità differenti di utilizzo: uno che vede Internet come mezzo, e l'altro che la vede come fine. Nel primo caso essa viene sfruttata in due modi diversi: sia come semplice strumento di comunicazione, ritenuto più sicuro e meno intercettabile di quelli tradizionali, che come mezzo di diffusione, utile per veicolare propaganda ideologica e fare proselitismo per la propria causa. Nel secondo caso essa viene invece considerata come possibile oggetto di attentati, ossia come obiettivo di attacchi cibernetici finalizzati a sabotare quei sistemi (infrastrutture critiche) dai quali dipendono servizi importanti o vitali per le comunità da colpire.
E' vero che playstation e skype, programmi che usano i terroristi per comunicare tra loro, non possono essere monitorati?
Questo è vero solo in parte. Innanzitutto occorre premettere che i canali di comunicazione più appetibili per i terroristi non sono tanto quelli non intercettabili bensì quelli non sospetti, che non è affatto la stessa cosa. L'uso di crittografia, ad esempio, rende un canale non intercettabile ma al contempo può attirare l'attenzione di chi ne monitorizza l'uso e spingerlo ad investigare più a fondo. Di solito quindi i terroristi, almeno per le comunicazioni strategiche, cercano di usare canali convenzionali, senza dare nell'occhio; e da questo punto di vista un eventuale utilizzo della chat utilizzata dai giocatori del network Playstation, benché tutta da confermare, sarebbe in effetti una scelta efficace.
Sul piano maggiormente tecnico, esistono senz'altro sistemi di messaggistica intrinsecamente più difficili da intercettare rispetto ad altri, in quanto protetti da forme di crittografia ovvero basati su protocolli distribuiti di tipo peer to peer nei quali non esistono “nodi” centrali da poter mettere sotto controllo. Skype apparteneva un tempo a questo secondo tipo, oltre ad utilizzare crittografia particolarmente robusta, ed era dunque virtualmente impossibile da intercettare; ma da quando la piattaforma è stata acquistata da Microsoft la sua architettura è stata trasformata da decentralizzata a centralizzata, rendendola così suscettibile di intercettazione con la collaborazione del gestore (ossia Microsoft).
Quanti danni può fare il terrorista che agisce tramite internet?
Si tratta di una stima molto difficile da fare. Certamente viviamo in un mondo sempre più popolato di automatismi, i quali gestiscono funzioni sempre più critiche e sono sempre più accessibili da Internet: tutto ciò, in generale, costituisce un grave tallone d'Achille per la Società in quanto è estremamente difficile garantire che tutti questi dispositivi o sistemi siano perfettamente sicuri ed inviolabili.
In uno scenario fatto di infrastrutture critiche interconnesse ad Internet la quantità di danni teoricamente provocabili da un attacco terroristico mirato e determinato è dunque potenzialmente enorme, in quanto sono numerosissime le possibilità che apparentemente si offrono: deviare un treno su un binario sbagliato, aprire una diga, spegnere i semafori di una città, mettere fuori uso i bancomat, confondere i sistemi di controllo del traffico aereo... Per fortuna non tutti questi attacchi sono possibili o addirittura plausibili, perché ovviamente le contromisure di protezione esistono. Ma la complessità delle reti gioca a nostro sfavore e quindi il rischio che qualche sistema critico non sia difeso adeguatamente, e possa pertanto essere attaccato con successo, non è purtroppo trascurabile.
Un altro discorso va fatto sugli attacchi interamente “logici”, ossia quelli finalizzati a colpire le informazioni di rilevanza critica per il funzionamento della Società. Un sabotaggio diretto ad alterare i contenuti delle transazioni interbancarie o degli scambi in Borsa potrebbe avere effetti ben più devastanti di quelli provocati da un attacco convenzionale, ed essere assai più elusivo e difficile da rilevare e correggere.
Un ultimo tipo di considerazioni riguarda gli attacchi “preparatori” o di supporto ad attività terroristiche convenzionali. Ad esempio è concepibile che nell'imminenza di un'azione i terroristi possano pensare di prepararsi il terreno disarticolando i sistemi di comunicazione generali dell'obiettivo o quelli delle forze di sicurezza, o magari diffondendo falsi allarmi in modo da confondere l'analisi della situazione e rallentare le attività di reazione.
L'Italia è al sicuro?
Difficile dire chi è al sicuro e chi no in questo gioco. Certamente l'Italia, così come tutti i Paesi occidentali industrializzati, è consapevole del problema e si sta attrezzando per aumentare il livello di prevenzione, detezione e repressione delle minacce. Il nostro Paese ad esempio si è dotato già nel 2013 di una formale strategia per la protezione dello spazio cibernetico nazionale, e partecipa sin dall'inizio alle specifiche esercitazioni periodiche, svolte in ambito sia militare (NATO) che civile, finalizzate proprio a verificare la capacità di risposta alle crisi mediante simulazione di attacchi cibernetici condotte alle infrastrutture critiche. Ricordo inoltre che proprio pochi giorni fa il Governo ha annunciato lo stanziamento straordinario di fondi per 150 milioni di Euro destinati al comparto intelligence e finalizzati a rafforzare i sistemi di analisi e prevenzione delle minacce. Tanto è stato fatto, e probabilmente tanto ancora resta da fare; l'importante è non abbassare la guardia e pensare di essere al sicuro: le minacce cambiano ed evolvono ogni giorno, e chi si difende non può mai stare fermo.
Come viene monitorato il web dalla sicurezza?
Esistono molti modi per farlo, e sono diverse le istituzioni delegate a farlo. Naturalmente non è possibile sorvegliare e controllare tutto, sia per motivi tecnologici che legali; e quindi si scelgono solitamente delle “scorciatoie” che consentono di ottenere comunque risultati egualmente significativi a fronte di uno sforzo tecnologico relativamente ridotto.
Una tecnica sempre più usata in quanto considerata promettente a livello strategico si basa sull'analisi delle cosiddette “fonti aperte”, termine con cui si identificano insiemi mirati di informazioni liberamente accessibili quali siti Web pubblici, forum di discussione aperti, blog e così via. Impiegando sia sistemi automatici di analisi dei testi che analisti umani per filtrare e correlare le informazioni raccolte, si riesce ad ottenere una buona conoscenza di ciò che si dice e si fa in determinate comunità di utenti o in ambiti selezionati, geografici o meno.
A livello più tattico si analizzano continuamente le anomalie di traffico e gli incidenti di sicurezza, segnalati ai CERT istituzionali dalle apposite strutture di gestione dei servizi di rete presenti nelle grandi aziende e nelle pubbliche amministrazioni, per ottenere un quadro complessivo e tempestivo delle vulnerabilità e delle minacce in atto, nonché della loro localizzazione e diffusione. Ciò consente una più efficace azione di allerta e reazione ad eventuali attacchi in corso, oltre che di generale prevenzione.
Quanto personale servirebbe per avere un livello di sicurezza adeguato?
Sicuramente molto più di quello attualmente impiegato nel nostro Paese in ambito sia civile che militare.
Il Presidente del Consiglio Renzi sarebbe per il blocco totale di internet in caso di attacco. Lei cosa ne pensa?
Non mi sembra una grande idea, per vari ordini di motivi.
Innanzitutto è tecnicamente difficoltoso, se non proprio impossibile, “spegnere” Internet anche solo per brevi periodi e su scala limitata. Ricordiamoci che Internet nasce proprio per essere una rete resiliente, pervasiva, in grado di funzionare anche se alcuni suoi nodi vengono spenti. Soprattutto in un Paese come il nostro, dove le comunicazioni non sono accentrate sotto il diretto controllo di un unico provider di regime, per bloccare Internet occorre la collaborazione attiva di innumerevoli operatori grandi e piccoli, pubblici e privati, di rete fissa e di rete mobile... è davvero complicato, non basta semplicemente tirare giù un interruttore da qualche parte.
In secondo luogo non è detto che bloccando Internet si renda più difficile l'azione dei terroristi. Nel caso di un attacco cinetico, ossia rivolto in termini fisici contro obiettivi materiali o umani, ci sono poche probabilità che i componenti del commando in azione sul campo usino Internet per comunicare e coordinarsi tra loro: è molto più plausibile che usino normali cellulari se non ricetrasmettitori PMR a bassa potenza (walkie-talkie), e quindi bloccare Internet non servirebbe semplicemente a nulla. Nel caso invece di attacco cibernetico, rivolto dunque verso sistemi o servizi in Rete, allora un eventuale blocco di Internet farebbe addirittura il gioco del nemico: infatti, dato che lo scopo degli attaccanti è impedire l'erogazione al pubblico di determinati servizi critici, un eventuale blocco di Internet otterrebbe esattamente lo stesso scopo e dunque non sarebbe altro che un clamoroso autogol!
In ogni caso il blocco di Internet avrebbe invece il gravissimo effetto collaterale di impedire la diffusione di notizie al pubblico e il coordinamento dei soccorsi, e dunque peggiorerebbe significativamente la gestione della crisi.
Perché, se i servizi ne sottolineano l'importanza da molto tempo (v. intervista), Renzi lo decide solo ora?
Probabilmente all'epoca le valutazioni politiche erano diverse e forse anche i tempi non erano maturi. Oggi, con l'accresciuta credibilità della minaccia internazionale e il proliferare di situazioni a rischio (legate anche al Giubileo in corso), l'esigenza di dare una risposta adeguata è divenuta non più procrastinabile.
L'arretratezza e la lentezza della rete informatica nazionale, rispetto alle altre nazioni europee, può essere un vantaggio od uno svantaggio nella guerra contro il cyber terrorismo?
Per quanto possa sembrare ironico, in determinate situazioni essere meno tecnologicamente avanzati può effettivamente costituire un vantaggio in termini di resilienza. È chiaro infatti che, tanto per fare un esempio banale, se il sistema di controllo di una diga è accessibile solo in locale e non tramite Internet, quello che è uno svantaggio in termini di efficienza gestionale si ripaga in termini di sicurezza perché quella diga non potrà mai essere azionata indebitamente da remoto a seguito di un'intrusione cibernetica.
Ciò non vuol dire che dobbiamo essere fieri o vantarci di una certa arretratezza tecnologica che forse ancora affligge alcune infrastrutture del nostro Paese, né considerarci automaticamente più al sicuro solo per questo motivo. Lo sviluppo tecnologico che implica un forte tasso di automazione industriale è inevitabile e va perseguito, su questo non ci sono dubbi. Alcuni Paesi si sono lanciati molto prima di noi su questa strada, e forse un po' troppo velocemente ed in modo poco prudente, ed oggi si ritrovano con infrastrutture automatizzate molto efficienti ma piuttosto vulnerabili, in quanto nel loro sviluppo non è stato tenuto in debita considerazione l'inserimento di misure di sicurezza specificatamente progettate per la protezione contro attacchi e sabotaggi deliberati. In altre parole, si è visto che alcune infrastrutture critiche sono safe ma non secure, ossia sono protette contro errori e malfunzionamenti ma non contro azioni malevole dirette intenzionalmente a danneggiarle o alterarne il funzionamento. Oggi per fortuna su questo tema c'è molta più consapevolezza rispetto ad alcuni anni fa, e quindi i nuovi sviluppi hanno fatto tesoro degli errori del passato.
