settembre 17, 2012
Flame: il Virus che ha cambiato il mondo!
Non dimenticherò mai l’Oktoberfest del 2010 per tutto il resto della mia vita. Si, mi piace la birra, in particolare quella tedesca e specialmente quella dell’Oktoberfest. Ma i miei ricordi non sono legati alla birra, e non perché ne avessi bevuta troppa 🙂 E’ stato infatti in questa occasione che siamo venuti a conoscenza per la prima volta di una tendenza veramente spiacevole. Già, fu la prima volta che Stuxnet mostrò la sua faccia minacciosa – il primo malware creato con supporto statale e destinato a compiere una specifica missione militare. Questo fu precisamente quello di cui parlammo alla conferenza stampa dell’Oktoberfest 2010: “Benvenuti nell’era della guerra informatica!” Ed era già chiaro che Stuxnet sarebbe stato solo l’inizio.
In verità, poco è cambiato da quel Settembre ai giorni nostri. Tutti hanno una discreta idea sulla possibile origine di Stuxnet e di chi vi fosse dietro, nonostante nessuna singola nazione se ne sia assunta la responsabilità; di fatto, ogni nazione ne ha declinato la paternità quanto più fosse possibile. Un passo in avanti fu fatto verso la fine di Maggio quando scoprimmo un altro malware, che lasciava anch’esso sospettare circa le proprie origini ed i propri scopi militari.
Si, sto parlando di Flame.
Lasciando da parte i dettagli tecnici riguardo a Flame: qual’è il significato storico di Flame? Perché tutto questo trambusto intorno questo particolare malware? Fino a che punto è pericoloso e che tipo di pericolo comporta? Le armi informatiche possono far parte di una dottrina militare statale e divenire una nuova tipologia di armi? Queste domande potrebbero sembrare strane, perfino allarmare – E’ solo un virus, mica un grande affare! Dopotutto, tutto questo non mi impedirebbe di mangiare un croissant fresco la mattina (o la mia dim sum J), o no? Bene, se lo sviluppo di malware militari dovesse crescere senza controllo, non poter godere di un cornetto o della dim sum la mattina diventerebbe una delle ultime preoccupazioni.
La settimana successiva alla scoperta di Flame, venimmo a conoscenza di numerose notizie lampo. Queste notizie cambiavano la percezione corrente della strategia militare e dimostravano che le varie Nazioni avevano fatto ricorso con successo ad armi informatiche già da molti anni.
Il primo di Giugno, Il New York Times pubblicò un fondamentale articolo con il quale la responsabilità per la creazione di Stuxnet veniva fermamente attribuita agli USA – senza nessuna smentita da parte di Washington. Quasi l’opposto – la Casa Bianca espresse la sua rabbia al trapelare dell’informazione e si attivò per investigare. Allo stesso tempo, anche Israele lasciò cadere ogni inibizione e, senza arrivare al punto di riconoscere la propria partecipazione a questi incidenti, finalmente ammise il proprio interesse nello sviluppo e nelle implementazioni di armi informatiche.
Adesso gettiamo uno sguardo alle possibili ripercussioni di queste notizie.
In primo luogo, Stuxnet, Duqu e Flame hanno dimostrato che le armi informatiche sono:
a) efficaci
b) molto più economiche delle armi tradizionali
c) difficili da individuare
d) difficili da attribuire ad un determinato nemico (rendendo inutili le misure proattive di difesa)
e) difficili da combattere: dato che i punti deboli di software sconosciuti non possono essere conosciuti prima
f) possono essere riprodotte senza nessun costo extra. Ed ancora, la natura apparentemente innocua di queste armi indica che i loro padroni hanno pochi rimorsi nello scatenarle, senza nessuna attenzione alle conseguenze. E ci saranno conseguenze – se si dovesse realizzare una tale dilatazione di tale scenario alla Die Hard 4. I dettagli più avanti.
In secondo luogo, i recenti esempi hanno giustificato l’utilizzo di armi informatiche sia legalmente che dal punto di vista etico. Sono sicuro che, successivamente, anche altre nazioni abbiano fatto utilizzo di tali tecnologie, ma in precedenza del problema semplicemente non si parlava, ed ogni cosa veniva fatta segretamente, a piccoli passi e nel silenzio. Adesso, nessuno è disposto a fermarsi. E quelle nazioni che non sono in possesso di armi informatiche saranno considerate arretrate dalla “onorevole società militare”. Come conseguenza, nel breve periodo, i budgets informatico-militari saranno di molto incrementati e vedremo una nuova razza di armi nella cyber dimension. Così come sappiamo fin troppo bene, le armi sono fatte per sparare.
In terzo luogo, la mancanza di ogni sorta di convenzione internazionale (i.e un accordo sulle regole del gioco) in merito allo sviluppo, all’implementazione ed alla distribuzione di armi informatiche e la mancanza di un organismo di controllo, ha fatto emergere numerosi reali pericoli:
· L’emergenza causata da malware particolarmente pericolosi che deliberatamente, accidentalmente o a causa di un “effetto boomerang”, attaccano importanti oggetti d’infrastruttura, che possono innescare disastri regionali e globali, ecologici ed economici.
· L’utilizzo di armi tradizionali in risposta ad attacchi sferrati con armi informatiche. Lo scorso anno gli USA hanno dichiarato che si riserveranno il diritto di rispondere ad un attacco informatico con tradizionali mezzi militari.
· Una simulazione, provocazione od una errata interpretazione di un attacco informatico al fine di giustificare un attacco militare ad un altro Stato. Una sorta di Cyber Pearl Harbour.
Non vi sono attualmente molte persone che comprendono la pericolosità delle armi informatiche. E’ difficile credere che un qualsiasi virus, che pochi kilo/megabytes di cifre possano causare improvvisamente un incidente alla centrale nucleare, un incendio in un oleodotto o un disastro aereo, non è vero? Ma l’umanità da un po’ di tempo ormai è diventata dipendente dalle tecnologie informatiche in modo sempre più crescente ed impercettibile.
Per esempio, ritorniamo un attimo all’argomento del croissant.
E’ prodotto in una panetteria, all’interno della quale i computers sono utilizzati nel dipartimento di contabilità, nel magazzino e nei sistemi usati per lavorare la pasta e controllare i forni. Gli ingredienti sono forniti alla panetteria da altri, come accade per industrie automatizzate. Tutta la logistica relazionata a quest’attività implica computers e reti. L’elettricità, l’acqua, il sistema fognario e tutti gli altri servizi municipali sono in questo modo forniti da imprese computerizzate. Anche il montacarichi che consegna il tuo croissant ad un trendy cafè è gestito da un apposito IT system. Infine, c’è la carta di credito che utilizziamo per pagare il croissant.. bene, devo aggiungere altro?
Tutto ciò è soggetto a possibili attacchi informatici. E adesso, abbiamo Stuxnet che mette fuori uso le centrifughe delle installazioni nucleari in Iran. Una panetteria o un impianto di depurazione di acque di scarico difficilmente saranno più protetti. Nei fatti, le cose sono anche peggiori – le installazioni industriali e di infrastrutture critiche operano su vulnerabili sistemi SCADA che, prima di tutto, sono frequentemente connessi ad Internet. E la lentezza degli sviluppatori di questi sistemi quando si tratta di riparare queste vulnerabilità (che possono essere sfruttate per condurre un attacco informatico), ha dato origine alla nuova espressione “forever days“.
Le armi informatiche, in merito al loro potenziale distruttivo, non devono essere considerate inferiori alle armi biologiche, chimiche e nucleari. Ma, a differenza di queste armi di distruzione di massa, le armi informatiche non sono soggette a nessun genere di controllo ed hanno il fascino di essere invisibili, onnipresenti ed accurate (alcuni “esperti” sono arrivati addirittura ad affermare che le armi informatiche contribuiscono attualmente alla pace mondiale), il che rende il loro utilizzo ancora più allettante.
Continuando a sviluppare le armi informatiche, è come se stessimo segando il ramo su cui siamo seduti. Di conseguenza i paesi sviluppati, che sono le entità più informatizzate del mondo, saranno quelli a soffrire di più.
Onestamente, io sono pessimista. Spero di sbagliarmi. Non credo sia possibile allo stato attuale per le diverse nazioni, trovare un accordo circa le regole del conflitto informatico. Stiamo attualmente fornendo consulenti tecnici alla UN’s International Telecommunication Unit (ITU). Stanno cercando di creare almeno una sorta di sistema per governare il cyberspazio, operando sulle orme dell’IAEA. Ma perfino articoli sui media mostrano come alcune nazioni stiano contrastando questi sforzi. In effetti, chi ha bisogno di regolamenti per tali promettenti ed “innocue” armi? Credo che i governi comprenderanno la reale pericolosità del conflitto informatico soltanto dopo che ne saranno colpiti duramente, così come successe nel 2003 lungo la costa nord-orientale degli USA – non ci dovrebbero essere dubbi sulla reale causa di quell’incidente. Le porte della stalla non saranno chiuse fino a quando il cavallo non sarà scappato. Mi domando soltanto, potremmo essere più intelligenti di così nel 21esimo secolo?
Conclusioni:
· La comunità internazionale deve tentare di raggiungere un accordo per governare lo sviluppo, l’applicazione e la proliferazione delle armi informatiche. Ciò non risolverà tutti i problemi, ma almeno aiuterà a stabilire le “regole del gioco“, integrando le nuove tecnologie militari all’interno della struttura delle relazioni internazionali, prevenendo uno svilippo incontrollato ed un utilizzo spregiudicato.
· Infrastrutture ed installazioni industriali, sistemi di trasporto e finanziari, servizi pubblici ed altre strutture di importanza critica dovrebbero rivalutare il loro approccio al tema della sicurezza delle informazioni, in primo luogo, nei termini di un isolamento da Internet, ricercando nuovi software in grado di affrontare le nuove sfide dei sistemi di controllo industriale.
· Anche se il settore della sicurezza è stato incentrato per molti anni sulla lotta alle epidemie di massa, il suo arsenale include tecnologie di protezione che con grande probabilità sono capaci di prevenire attacchi mirati provenienti da armi informatiche. Tuttavia, questo richiederebbe agli utenti di ripensare il paradigma di sicurezza, introducendo un sistema di protezione a più livelli.
· Essendo una compagnia internazionale con la missione primaria di curare la sicurezza dei nostri clienti, dichiariamo ufficialmente che combatteremo ogni genere di arma informatica, indipendentemente dal paese d’origine, ed ogni tentativo di forzarci a “collaborare”. Consideriamo ogni compromesso su questo punto incompatibile con i nostri principi etici e professionali.
La guerra informatica con il supporto statale è una minaccia reale che sta appena compiendo i primi passi in direzione di una adozione di massa. Prima i governi ne capiranno le possibili conseguenze, più le nostre vite saranno al sicuro. Non potrei essere più d’accordo con Bruce Schneier:
I trattati di guerra informatica, per quanto imperfetti possano essere, sono l’unico modo per arginare la minaccia.
Riuscite ad immaginare un ordine mondiale senza trattati internazionali sulla detenzione di armi chimiche/biologiche/nucleari? L’IAEA non ha impedito ad India, Israele, Corea del Nord e Pakistan di sviluppare le proprie armi nucleari. Ad ogni modo, questi trattati segnalano chiaramente cosa è giusto e cosa è sbagliato e stabiliscono le regole del gioco!