Le sei regole della cyberwar

Pochi giorni fa ero a cena con amici e ho scoperto come un argomento che non avrei mai creduto potesse interessare a un pubblico di "non addetti ai lavori". Per quanto strano posso apparire, un medico, un architetto e il proprietario di un ristorante erano terribilmente incuriositi dal tema della guerra cibernetica. La discussione è partita dal Green Pass e passata dal caso della Regione Lazio, e infine è atterrata sul fatto che uno stato potrebbe attaccarne un altro utilizzando le tecnologie dell'informazione, ma non solo per disinformare o manipolare, ma per causare danni reali. A quel punto mi sono chiesto se il tema potesse avere qualche interesse anche per i miei lettori. Questa la genesi della rubrica di oggi che affronta uno dei temi che quella sera hanno riscosso maggiore successo: quali sono gli elementi che i contendenti devono tenere in considerazione in un conflitto di questo tipo? Li ho sintetizzati in sei regole che qualche affezionato lettore dei mie libri già conosce.

Il nemico è dietro le linee. In realtà un vero e proprio fronte non esiste, perché oltre lo schermo non esiste nemmeno il terreno su cui disegnare un confine. In ogni caso si deve dare per scontato che il nemico sarà silenziosamente penetrato nel corso di mesi o anni nei suoi obiettivi. Dunque il momento in cui il conflitto manifesta i suoi effetti non è altro che la conclusione di una serie di operazioni effettuate in precedenza.

Il vantaggio è dell'attaccante. L'impossibilità di definire con precisione un confine da difendere e le dimensioni straordinarie del campo di battaglia cibernetico pongono l'aggressore in una posizione di privilegio. In un ambiente come Internet identificare un perimetro delle operazioni è pressoché impossibile perché una rete geografica globale ne ha praticamente infiniti. La situazione rende impraticabile per il difensore il presidio di ciascuno di essi soprattutto perché probabilmente di molti non conosce l'esistenza. Come terreno di scontro si presenta privo della tradizionale tridimensionalità del mondo reale che viene sostituita dalle possibili forme che assume la trasmissione dati, definita dalle regole (i protocolli) che governano la Rete. Combattere in questo ambiente significa dimenticare qualsiasi tipo di riferimento fisico come "sopra", "sotto", "davanti", "dietro" e via dicendo. In questo campo completamente aperto l'attaccante ha la possibilità di scegliere su un fronte infinito in quale luogo e momento scatenare l'offensiva. Il suo arsenale non soffrirà del problema di esaurimento scorte. Le problematiche logistiche per sostenere l'attacco non esisteranno. Le sue truppe potranno essere disperse in migliaia di luoghi fisici e virtuali diversi (un singolo militare potrebbe svolgere il suo compito da un paese neutrale accedendo dalla rete pubblica di un albergo).

Localizzare lo scontro. Ipotizzare di limitare un conflitto cyber è l'equivalente di credere che sia possibile contenere gli effetti di un bombardamento con armi nucleari a un singolo paese: quando nel 1986 si verificò l'incidente di Chernobyl mezza Europa si trovò alle prese con la nube radioattiva, allo stesso modo WannaCry colpì in diversa misura almeno 150 paesi. Questo sarà il vero problema dell'attaccante che potrà essere aggirato soltanto con un approccio al conflitto che non preveda un utilizzo molto grande di determinati tipi di armi come i malware che si diffondono autonomamente. Per riuscire a localizzare la guerra, le operazioni dovranno essere mirate, quindi condotte da esseri umani probabilmente supportati da qualche algoritmo intelligente.

Non sottovalutare il fuoco amico. L'utilizzo di armi cyber autonome implica che una volta scatenate facilmente si potrebbe perderne il controllo. Tuttavia per comprendere i problemi di un eventuale fuoco amico si deve tenere presente che normalmente un malware ha due componenti principali: il vettore e il carico attivo, tecnicamente il "payload". Nel mondo reale si tratta di oggetti paragonabili ai missili intelligenti: un Cruise può trasportare una testata nucleare, convenzionale o chimica con effetti profondamente diversi. Si può facilmente comprendere che la vera differenza in questo tipo di armi non è il "payload", ma quello che lo trasporta e la sua capacità di eludere le difese nemiche. Nella maggior parte dei casi quando si parla di nuovi malware, il riferimento è quindi a una specifica parte. Il vettore è di solito la componente che sfrutta le vulnerabilità e nessuno dei contendenti può avere la certezza che tutti i sistemi del suo paese di appartenenza non la presentino.

Non è una guerra lampo. Vincere con un singolo clic sembra una promessa che una guerra cyber può mantenere, ma per le regole di cui sopra potrebbe trattarsi di una vittoria non molto diversa da quella in una guerra nucleare in cui livello di perdite sarebbe insostenibile. Per non pagare quel prezzo potrebbe trattarsi di un conflitto potenzialmente molto lungo. In assenza di elementi di urgenza, una guerra esclusivamente cyber si presta a un'alternativa, partendo da un presupposto: se il nemico non sa di essere attaccato non si difenderà. Provando a costruire un'intera strategia su questa premessa, centinaia di piccole operazioni cibernetiche potrebbero essere inquadrate solo a posteriori in un conflitto di intensità talmente bassa da non essere percepibile come tale e, in caso di successo, l'artefice del piano saprebbe di avere vinto, ma la controparte non si renderebbe conto di avere perso.

Tutti gli uomini contano... Troppo. Le vulnerabilità più diffuse e sfruttate in ambito cyber sono quelle umane. Sull'arte dell'inganno si fondano le principali tattiche ed esse sono spesso determinanti nella preparazione del conflitto. Nel frangente, ancora una volta, i vantaggi sono dell'attaccante, soprattutto perché non esistono poche figure chiave da proteggere, ma al contrario anche il più oscuro cittadino di un paese o membro di un'organizzazione può essere un obiettivo perfetto. L'unica condizione preliminare, soddisfatta nella stragrande maggioranza dei casi, è che abbia accesso tramite i suoi dispositivi a un sistema informatico. La consapevolezza di tutti diventa quindi un elemento chiave per contrastare il nemico nelle cruciali fasi di preparazione.

Nelle prossime settimane magari torno sull'argomento.