Una bomba produce schegge e frammenti che si propagano in uno spazio definito e limitato. Di conseguenza se la deflagrazione avviene a Kiev e noi siamo a Milano, fatti salvi gli ordigni nucleari, possiamo essere tranquilli. Nel mondo digitale le cose però funzionano in modo diverso perché le “schegge” potrebbero con una certa rapidità fare il giro del mondo. È questo ci porta al conflitto tra Russia e Ucraina dove sono state utilizzate anche armi e tecniche di attacco cyber e forse vale la pena fare un po’ di chiarezza.
In primo luogo, si è parlato di attacchi DDoS (Distributed Denial of Service). Si tratta di una forma di aggressione con funzione prevalentemente diversiva: fa molto rumore, attira l’attenzione, ma non produce danni permanenti. Come ho scritto in uno dei miei libri: “Colpendo un obiettivo fisico con un numero sufficiente di bombe tutte uguali finirò per distruggerlo anche se fosse l’Everest. In una guerra convenzionale questa affermazione è sempre vera, in un conflitto cyber è quasi sempre falsa.
Le armi informatiche con la capacità di colpire qualsiasi sistema sono pochissime e il più delle volte non producono effetti permanenti. Uno dei rari esempi di armamento di questo genere sono i cosiddetti attacchi DDos (Distributed Denial of Service) il cui funzionamento è molto semplice. Si tratta di generare una quantità abbastanza grande di traffico dati verso un obiettivo fino a quando non supererà la sua capacità di accettare connessioni. In questo modo esso risulterà indisponibile agli altri utenti. Si tratta di una sorta di bombardamento molto intenso e concentrato, ma appena viene sospeso il sistema tornerà a funzionare normalmente. Di fatto il risultato è temporaneo, come se i voli di un aeroporto riprendessero immediatamente dopo averci riversato sopra migliaia di bombe”.
Dopo “tanto rumore” è stata la volta di un altro tipo di arma: un malware con l’unico e semplice obiettivo di distruggere i dati all’interno dei sistemi senza possibilità di recuperarli. Denominato HermeticWiper ha colpito in Ucraina e sue tracce sono state rilevate anche il Lituania e Lettonia (a proposito di schegge che viaggiano lontano).
Tuttavia sembra che non appartenga a quella categoria di armi che definisco ad alta automazione ovvero quei malware che sono in grado diffondersi in modo autonomo a livello di reti geografiche come Internet. Se fosse stato in grado di farlo nel giro di poche ore sarebbe stato rilevato un tutto il mondo. Questo lascia supporre che sia stato introdotto nei sistemi in modo manuale. Qualcuno è riuscito ad accedere all’interno della rete obiettivo per poi effettuarne l’installazione e la distribuzione. Il tutto mentre i rumorosi attacchi DDoS fungevano da diversivo.
Ipotizziamo quindi che allo stato attuale l’attacco sia localizzato e limitato e non dovremmo essere in pericolo. Possiamo tirare un sospiro di sollievo? Assolutamente no e per tre buone ragioni. La prima: il conflitto è appena iniziato, non sappiamo cosa accadrà e gli arsenali cyber, soprattutto russi, dispongono di ben altre armi. La seconda: allo scontro informatico si sono invitati altri attori come Anonymous e questo potrebbe complicare molto le cose e rendere un po’ più “globale” lo scontro. La terza: chi può affermare con certezza che tra qualche tempo non diventeremo anche noi un obiettivo?
— — — —
Abbiamo bisogno del tuo contributo per continuare a fornirti una informazione di qualità e indipendente.
