Per quanto gli aspetti informatici della guerra in Ucraina siano ancora in gran parte oscuri e forse lo resteranno, il conflitto qualche spunto di riflessione lo fornisce sul ruolo che potrebbero avere in futuro le cosiddette cyber operations, la cui primaria caratteristica è l’asimmetria.
Ucraina, come agisce la guerra cyber e quali impatti sull’Europa
Le caratteristiche dello strategic information warfare
Lo avevano capito nel 1996 gli analisti della Rand Corporation, il celebre Think Tank statunitense, che in uno dei loro report definiscono sette caratteristiche tipiche dello strategic information warfare. Non a caso la prima riguarda le basse barriere di ingresso, sostenendo che “a differenza delle tradizionali tecnologie militari, lo sviluppo di tecniche basate sulle informazioni non richiede consistenti risorse finanziarie o il supporto governativo. Gli unici prerequisiti sono delle adeguate conoscenze dei sistemi e l’accesso ai principali network”.
Questa affermazione non soltanto mai è stata smentita, ma al contrario ha acquisito contorni sempre più inquietanti. Innanzitutto, i network sono diventati un unicum rappresentato da Internet e le “adeguate conoscenze” sono ormai patrimonio di tanti e raggiungibili praticamente da tutti. Come hanno confermato le diverse azioni di Anonymous (o chi dietro il suo nome si cela), un gruppo anche piuttosto ristretto di persone, fortemente motivate, con una non superlativa preparazione tecnica e munito di quanto è reperibile facilmente e gratuitamente o quasi sulla Rete, può attaccare uno Stato e infliggere danni, la cui gravità sarà subordinata al grado di dipendenza dalle nuove tecnologie del paese.
La migliore difesa è il contrattacco
Un secondo dato confermato proprio dalle azioni che singoli e gruppi piccoli o grandi hanno portato contro la Russia, considerata una delle grandi potenze cyber nello scenario mondiale. In un conflitto cyber viene ribaltato uno degli assiomi di tutte le guerre convenzionali, quello secondo cui il vantaggio è di chi si difende. Nel contesto del virtuale la condizione favorevole è quella dell’attaccante perché può colpire ovunque senza essere notato immediatamente. Il fronte da proteggere sembra essere infinito, se pensiamo all’interconnessione tecnologica tra le organizzazioni strategiche e i loro partner. Volendo penetrare i sistemi del principale operatore energetico di un paese, molto probabilmente il primo e silenzioso attacco sarebbe indirizzato al più oscuro dei suoi fornitori. Questo significa che sul campo di battaglia digitale se attacchi è più efficace contrattaccare che difendersi.
La difficoltà di attribuzione della responsabilità
Altro elemento che ha trovato una inevitabile conferma è l’oggettiva difficoltà di attribuzione della responsabilità di un attacco. Quanto accaduto in Estonia nel 2007 ha trovato l’ennesima conferma sulla difficoltà di attribuzione e, non di meno, se esso possa considerarsi un atto di guerra.
Il “Tallin Manual” ha cercato di rispondere anche a questa domanda connessa a quelle che definisce in generale le “cyber operations” ma, inevitabilmente, non riesce a fornire una risposta univoca, seppure alla Regola 92 stabilisca che “un attacco cibernetico è un’operazione cibernetica, sia offensiva sia difensiva, dalla quale si può ragionevolmente attendersi il ferimento o la morte di persone oppure il danneggiamento o la distruzione di oggetti”. Tuttavia, il gruppo di esperti si è più volte diviso su quali siano gli elementi qualificanti, in termini di diritto internazionale. Concetti come “danneggiamento” sono stati interpretati nelle diverse sfumature.
In tal modo si configura come attacco un malware che affligge un sistema di controllo di una rete di distribuzione elettrica e rende necessaria la sostituzione di un componente. Viceversa, secondo la maggioranza dei redattori del Manuale un’operazione che blocca l’invio e la ricezione di messaggi di posta elettronica senza colpire i sistemi di trasmissione non sarebbe un attacco. In questi termini uno Stato può comprendere con soverchia difficoltà se si trova in stato di guerra e scoprire quale sia l’avversario risulta ancora più difficile.
Qualsiasi indagine su un attacco informatico o cyber che dir si voglia presenta un primo non trascurabile problema: la raccolta delle prove, questo anche se gli autori del delitto sono privati cittadini, magari neppure tanto esperti. Le possibilità di mascheramento fornite anche da una semplice Darknet, per esempio la rete TOR, possono creare problemi insormontabili nel risalire alla fonte del crimine. Se a perpetrare l’aggressione è stato un team di esperti militari la possibilità di comprendere chi effettivamente sia il soggetto a cui dichiarare guerra potrebbe rivelarsi un’impresa impossibile oppure potrebbe determinare situazioni paradossali. I canali attraverso cui il nemico può raggiungere il suo obiettivo e nascondersi sono innumerevoli e possono prevedere il coinvolgimento di molti complici inconsapevoli. Come ho già scritto chi volesse colpire uno o più gestori di infrastrutture critiche probabilmente aggredirebbe i fornitori e anche i subfornitori con i quali l’operatore intrattiene rapporti. La necessità di collegare i sistemi per ragioni di efficacia ed efficienza richiede la creazione di connessioni “trusted” e nel momento in cui una delle due parti è stata infiltrata, inevitabilmente finirà per esserlo anche l’altra.
I malware, una versione cyber delle “bombe intelligenti”
I malware di più recente creazione sono concepiti per muoversi all’interno dei sistemi e mostrano una sempre maggiore capacità di penetrazione autonoma, finendo per essere una versione cyber delle “bombe intelligenti”. Di conseguenza l’arma cibernetica che colpirà il sistema aeroportuale di New York e da questo metterà in ginocchio l’intero trasporto aereo del Paese sarà arrivata da Tokio, ma potrebbe avere iniziato il suo viaggio altrove, magari facendo tappa a Mosca, Oslo e Manila. Forse ancora prima di giungere a Mosca era passata dalla casella di posta elettronica di un ignaro pilota sul cui computer era giunta attraverso una chiavetta USB, comprata in un negozio dove era stata venduta come parte di un lotto molto, forse troppo, scontato. Probabilmente sarebbe impossibile ricostruire questo percorso, ma soprattutto se anche si riuscisse sarebbe di certo troppo tardi. A questo proposito gli autori del Manuale di Tallin ammoniscono dall’effettuare valutazioni frettolose quando sostengono che “… Una persona può ricevere una email con un allegato che contiene un malware. L’esecuzione del malware, che avviene automaticamente dopo l’apertura, produrrà il livello di danno richiesto (per configurare un attacco n.d.r.). Se l’individuo involontariamente inoltra l’email e genera il danneggiamento, egli non sarà stato autore di un attacco”. Niente di peggio che una ritorsione su uno Stato innocente.
Esiste la possibilità di una guerra esclusivamente cibernetica?
La domanda da porsi è se esiste la possibilità di una guerra esclusivamente cibernetica. Anche le operazioni cyber nel conflitto russo-ucraino hanno dimostrato che al momento non è “decisivo”.
Questo per almeno alcuni buoni motivi.
In primo luogo, l’attuale stato di penetrazione delle tecnologie e l’interconnessione dei diversi sistemi non sono ancora tali da garantire una possibilità di vittoria definitiva. L’Internet delle Cose, poi, sta crescendo rapidamente, ma non ha pervaso completamente infrastrutture critiche e sistemi essenziali, di conseguenza un attacco per quanto sofisticato e diffuso difficilmente riuscirebbe produrre danni anche solo vagamente comprabili a quelli di un attacco “convenzionale”.
In secondo, la debolezza intrinseca della Rete rimane un forte deterrente per chi volesse scatenare una guerra su vasta scala. Chiunque lanci un’offensiva massiccia che comprenda un ampio ricorso malware finirebbe molto probabilmente per trasformarsi in vittima, considerando la difficoltà di isolare con assoluta certezza i propri sistemi. Se in futuro la situazione dovesse radicalmente cambiare a causa delle sempre più stretta interconnessione dei sistemi e del mondo IoT, combinata con una sempre maggiore delega della gestione di infrastrutture a intelligenze artificiali più o meno deboli, allora si potrebbe immaginare di paralizzare completamente un paese.
In un cyber conflitto, paralisi vuol dire vittoria?
Tuttavia, si porrebbe immediatamente il secondo e fondamentale quesito: la paralisi sarebbe sufficiente al conseguimento della vittoria, perché in caso contrario non ci sarebbe alcuna ragione per scatenare questo tipo di guerra. Il primo problema è la definizione stessa del concetto di vittoria, perché storicamente fin troppe volte i conflitti si sono conclusi senza vincitori e soprattutto, stanti le dichiarazioni delle parti in causa, senza vinti. Se accettiamo una definizione minimalista per cui il successo di una parte è indissolubilmente legato al raggiungimento degli obiettivi che si era posta, allora il tema si sposta proprio su di essi.
Due ipotesi per le guerre cyber del futuro
Diventa possibile immaginare due ipotesi per le guerre cyber del futuro. Nella prima si tratterebbe di una guerra cyber che non appaia come “vero” conflitto. Partendo dal presupposto che se il nemico non sa di essere attaccato non si difenderà. Si potrebbe costruire un’intera strategia su questa premessa: centinaia di piccole operazioni cibernetiche, non necessariamente rivolte contro lo Stato obiettivo, potrebbero essere inquadrate solo a posteriori in un conflitto di intensità talmente bassa da non essere percepibile come tale e in caso di successo, l’artefice del piano saprebbe di avere vinto, ma la controparte non si renderebbe conto di avere perso.
Cyberwar, un’opportunità per chi non ha altri arsenali adeguati
Una seconda ipotesi è che per molti sarebbe l’unica opzione “militare” perseguibile. A questo proposito riprendiamo il tema dell’asimmetria. La pervasività delle tecnologie dell’informazione nei paesi più evoluti e anche dotati di maggiori risorse militari e no, li renderà sempre più vulnerabili a una guerra cyber e questo potrebbe rappresentare l’unica possibilità per tutte quelle organizzazioni incapaci di contrappore al nemico un arsenale adeguato a una guerra convenzionale. Le realtà di questo tipo, statali e non, sono le più numerose e per esse un esercito cyber offrirà la sola e unica opportunità di resistenza e forse di vittoria.
Nello specifico delle organizzazioni “povere”, quindi, la capacità di concentrare le proprie risorse sul contrattaccare in rete offre un’opportunità più unica che rara.
In primo luogo, sarebbero in grado di colpire l’avversario sul suo territorio. Come reagirebbe l’opinione pubblica alla privazione dell’energia elettrica? Oppure se improvvisamente gli acquedotti erogassero acqua contaminata? O anche se venti o trenta aerei si schiantassero contemporaneamente su delle città?
In secondo i “poveri” potrebbero tentare di compromettere la funzionalità dei sistemi e degli algoritmi intelligenti a supporto di esercito, aviazione e marina. Cosa accadrebbe se fosse possibile prendere il controllo dei droni del nemico? Oppure violarne la linea di comando?
Conclusioni
Appare evidente che per centinaia di organizzazioni statali e non, l’investimento in una forza combattente esclusivamente cyber rappresenterà qualcosa di più di un’opzione. In un prossimo futuro il concetto stesso di superpotenza potrebbe diventare un mero retaggio del passato e il concetto di deterrenza sarà completamente stravolto; ma soprattutto la Rete, dopo averci reso tutti più liberi, manterrà un’altra grande promessa: quella di renderci tutti, ma proprio tutti, uguali.
