cybersecurity
(iStock)
Cyber Security

La verità sulle armi dei cyber criminali

La Rubrica Cybersecurity Week

La scorsa settimana ho fatto una breve analisi divulgativa degli attacchi DDoS che hanno colpito il Politecnico di Torino e ho definito questo tipo di aggressione una delle meno "pericolose". Qualcuno mi ha chiesto perché lo ritenessi non particolarmente grave. Per tale ragione credo sia utile fare un piccolo ragionamento introduttivo sul tema della "armi cyber" per chiarire alcuni loro aspetti peculiari.

Colpendo un obiettivo fisico con un numero sufficiente di bombe tutte uguali finirò per distruggerlo anche se fosse l'Everest. In una guerra convenzionale questa affermazione è sempre vera, in un conflitto cyber è quasi sempre falsa. Le armi informatiche con la capacità di colpire qualsiasi sistema sono pochissime e il più delle volte non producono effetti permanenti. Uno dei rari esempi di armamento di questo genere sono proprio gli attacchi DDos (Distributed Denial of Service).

Si tratta di una sorta di bombardamento molto intenso e concentrato, ma appena viene sospeso il sistema tornerà a funzionare normalmente. Di fatto il risultato è temporaneo, come se i voli di un aeroporto riprendessero immediatamente dopo averci riversato sopra migliaia di bombe. Tuttavia allo stato attuale, ma forse non per sempre, nel mondo cyber, come in generale nell'informatica, le armi vivono una relazione molto stretta con il loro obiettivo e da esso dipende la loro efficacia. Per fare un paragone con il mondo reale, si può immaginare una guerra in cui per distruggere ogni singolo tipo di struttura sia necessario costruire uno specifico missile. L'indissolubile rapporto che nel cyber lega arma e obiettivo viene definito dal termine vulnerabilità. Per colpire con successo è indispensabile l'esistenza di una o più debolezze che possano essere sfruttate per ottenere il risultato atteso. Oggi non esiste l'equivalente cyber della bomba termonucleare, piuttosto ci sono centinaia di migliaia di "bombe intelligenti", anzi personalizzate o personalizzabili sulla base dei punti deboli dell'obiettivo.

Come ho scritto centinaia di volte, la vulnerabilità più diffusa è rappresentata dai comportamenti sbagliati delle persone. Tuttavia esistono diversi tipi di vulnerabilità che personalmente suddivido in tre insiemi. Le prime le definisco "intrinseche" e sono parte integrante delle logiche profonde dei sistemi oppure funzionalità legittimamente previste che possono essere diversamente utilizzate. Per esempio la necessità di gestione e manutenzione prevede l'esistenza di amministratori dei sistemi che utilizzano funzionalità molto potenti degli stessi (per esempio, eseguire comandi e installare software da remoto sui PC di una rete). Chiunque riesca ad accedervi si trasforma in una divinità in quei sistemi, magari su scala molto piccola, ma ha la possibilità di distruggerli con un clic. Il secondo tipo di vulnerabilità le definisco "situazionali", e sono quelli che potrebbero essere definite come "mali necessari" o compromessi.

Un esempio riguarda la necessità delle organizzazioni di doversi confrontare con l'obsolescenza, e questo produce una condizione in cui si accetta di non rimuovere delle vulnerabilità tecnologiche note anche se esiste il correttivo. Questo perché il cambiare qualcosa a livello hardware, o nel software di un sistema, ha la pessima abitudine di avere un'infinità di effetti collaterali sugli altri componenti che funzionano appoggiandosi ad essi. Spesso si tratta di applicazioni utilizzate per svolgere le attività fondamentali. Per esempio, il software che gestisce la pianificazione dell'attività di uno o più ospedali normalmente è sviluppato per funzionare con uno specifico sistema operativo: prima di installare le correzioni si devono fare dei test e, se hanno esito negativo, diventa necessario modificare il software o cambiare il sistema stesso. Ci vogliono tempo e soldi. In certi casi si decide di non fare alcunché e accettare il rischio. La terza categoria è quella delle debolezze "tecnologiche".

Le vulnerabilità connesse alla tecnologia, infine, si possono ricondurre all'hardware, al software e ai protocolli. Alle prime due categorie appartengono quelle legate a lacune di progettazione o programmazione (i bug) che spesso determinano errori nei controlli o funzionamenti anomali; la terza riguarda le regole che definiscono per esempio le modalità di comunicazione tra i sistemi qualora non prevedano misure di sicurezza oppure presentino errori concettuali. Si tratta di un vero e proprio "mare magnum" se pensate che nel 2020 sono state rilevate 18.055 nuove vulnerabilità riferibili ai soli software (state certi che non sono tutte) e nei primi 18 giorni del 2021 siamo già a quota 563. Di conseguenza si possono realizzare migliaia di "armi" personalizzate, che diventano miliardi se mettiamo insieme tutte i quattro tipi di vulnerabilità. Inutile che vi rammenti che la "parte del leone" tocca alla specie bipede dominante su questo pianeta.

I più letti

avatar-icon

Alessandro Curioni