Quanto è difficile scoprire l'autore di un attacco in rete

La notizia non suscita stupore, perché il comunicato stampa di una grande azienda che annuncia di essere stata vittima di un attacco informatico equivale più o meno al furto di un ladro d'appartamenti. Tuttavia ha suscitato il mio interesse per una ragione particolare. Partiamo dai fatti.

Lo scorso 10 dicembre sul sito della Volvo Car Corporation è apparso un comunicato stampa in cui si dichiarava che l'azienda era stata vittima di un accesso abusivo ai suoi sistemi. Sulla base delle successive investigazioni era emerso che gli aggressori avevano sottratto un'imprecisata quantità di dati relativi alle attività di ricerca e sviluppo della casa automobilistica. Il furto non avrebbe, però, compromesso i dati dei clienti Volvo e quelli relativi alle autovetture in circolazione.

Ora, quando si parla di esfiltrazione di dati inerenti proprietà intellettuali di solito gli esperti di sicurezza iniziano a pensare a Pechino. In effetti la storia degli attacchi informatici racconta che quando si parla di furti di informazioni, soprattutto relativi a tecnologie e know how industriali, i primi indiziati sono sempre gruppi cinesi. Nel caso specifico, da cui il mio interesse, si da il caso che Volvo sia di proprietà cinese dal 2010, anno in cui la Geely Holding la acquisì dalla Ford. Ovviamente nulla toglie che possa trattarsi di uno scontro "fratricida", ma in realtà è necessaria una riflessione più ampia su come funzionano le cose in Rete.

Qualsiasi indagine su un attacco informatico o cyber che dir si voglia presenta un primo non trascurabile problema: la raccolta delle prove, questo anche se gli autori del delitto sono privati cittadini, magari neppure tanto esperti. Le possibilità di mascheramento fornite anche da una semplice Darknet, per esempio la rete TOR, possono creare problemi insormontabili nel risalire alla fonte del crimine.

Se a perpetrare l'aggressione è stato un team di professionisti la possibilità di comprendere chi effettivamente sia il colpevole potrebbe rivelarsi un'impresa impossibile oppure potrebbe determinare situazioni paradossali. I canali attraverso cui il nemico può raggiungere il suo obiettivo e nascondersi sono innumerevoli e possono prevedere il coinvolgimento di molti complici inconsapevoli. Un attacco che colpirà un sistema in Svezia potrebbe sembrare provenire da Tokio, ma potrebbe avere iniziato il suo viaggio altrove, magari facendo tappa a Mosca, Oslo e Manila. Forse ancora prima di giungere a Manila ha sfruttato il furto di identità di un cameriere di Sidney. Probabilmente sarebbe impossibile ricostruire questo percorso, ma soprattutto se anche si riuscisse sarebbe di certo troppo tardi.

A questo proposito gli autori del Manuale di Tallin, testo scritto da un gruppo di esperti in materia di diritto internazionale a proposito delle guerre cyber, ammoniscono dall'effettuare valutazioni frettolose quando sostengono che "... Una persona può ricevere una email con un allegato che contiene un malware. L'esecuzione del malware, che avviene automaticamente dopo l'apertura, produrrà il livello di danno richiesto (per configurare un attacco n.d.r.). Se l'individuo involontariamente inoltra l'email e genera il danneggiamento, egli non sarà stato autore di un attacco". Come dire questa è la "fog of peace".