Gli esperti della “saiberuor”

La guerra cibernetica è il nuovo mantra dei venditori di insicurezza. Ma firewall e antivirus non hanno niente a che vedere con la guerra, che è fatta di pallottole di Andrea Monti PC Professionale aprile 2017

C’era una volta, negli anni ’90, la paludata sicurezza dei sistemi informativi, fatta di signori di mezza età, in giacca e cravatta, che spiegavano come gli hacker cattivi fossero tutti in fila dietro la porta del modem, pronti a compiere apocalissi inenarrabili, dagli spegnimenti delle centrali elettriche a quelli dei motori degli aerei.

Poi, nei primi anni duemila, è arrivata la “informescion sechiuriti” per proteggere la “praivasi”, fatta di signori – sempre in giacca e cravatta – ma un po’ più giovani e disinvolti, che spiegavano come gli hacker cattivi erano sempre lì, dietro la porta del modem, per rubare dati sensibili e account bancari.

Da qualche tempo, infine, signori di varia età, ma sempre in giacca e cravatta, parlano di “saiberuor” e di guerra cibernetica, annunciando la creazione di centri di competenza, comandi strategici, partnership istituzionali e quant’altro per contrastare gli hacker cattivi (questa volta pagati dai governi canaglia) sempre lì, in fila dietro la porta del modem e – oramai – morti di freddo e di fame per tutto il tempo trascorso.

I venditori di insicurezza sono disperatamente a caccia di nuovi modi per vendere i soliti antivirus, firewall, IPS, antispam ecc. ecc. e le loro interfacce pubbliche e private subiscono acriticamente – e a volte in modo interessato – queste “novità” puramente di facciata, che però consentono di occupare (o di rivendicare) un posto al sole che altrimenti sarebbe spettato ad altri o addirittura nemmeno istituito.

La situazione è seria.

Sono passati oltre vent’anni da quando si cominciò a parlare pubblicamente di sicurezza e di guerra informatica, ma il tempo sembra essersi fermato e ancora oggi politici e amministratori – coloro cioè che hanno il potere di orientare e condizionare le scelte industriali dei produttori di hardware e software – sono ancora molto lontani dal capire di cosa si stiano occupando. Questo è vero, in modo particolare, per la “saiberuor” o – come ama dire qualcuno – la “guerra cibernetica”, nuovo terreno di conquista per schiere di commerciali in cerca di raggiungere il budget trimestrale delle vendite.

Che il settore sia estremamente confuso lo si capisce già dalla scelta delle parole. Aggettivi come “Cyber” (che si dovrebbe scrivere con la “i” perché è una parola italiana), “cibernetico”, e “virtuale” sono tutt’altro che sinonimi e hanno poco o nulla a che fare con le attività offensive dirette a paralizzare i sistemi di controllo di strutture, impianti e veicoli o con quelle dirette a distruggere o rendere inservibili dati e informazioni. Guardata da questa prospettiva, infatti, tutto il vapourware che ammanta la retorica politica e commerciale della “saiberuor” si dirada, e si comprende bene che non siamo di fronte, come invece amano ripetere gli interessati, a un “nuovo campo di battaglia”.

Il tema, non meno importante e certamente sgradevole da affrontare in termini espliciti, è piuttosto capire come utilizzare nuovi strumenti per raggiungere i soliti obiettivi strategici: paralizzare, distruggere (anche vite umane), controllare. E a questo punto vengono spontanee un paio di domande: quali esperienze e competenze hanno i soliti venditori per spiegare alla forze armate come dovrebbero fare a fare la guerra? Come si può pensare che in un ambito regolato dalla Legge di von Moltke (nessun piano resiste all’impatto con il nemico) bastino l’acquisto di qualche pezzo di ferro e dei corsi di formazione tecnica, per creare in quattro e quattro otto un nuovo sistema offensivo? Questa carenza culturale ha già prodotto un danno irreversibile all’architettura di un sistema offensivo che includa anche l’utilizzo di strumenti ICT: la qualificazione dello “spazio cibernetico” (qualsiasi cosa voglia dire) come specifico e autonomo teatro di battaglia. E a questo punto non mi sorprenderebbe che qualcuno arrivasse a teorizzare la creazione di un battaglione di assaltatori su Second Life (a proposito, esiste ancora?).

Per dimostrare la correttezza della tesi sostenuta in questo articolo, proviamo ad avere un approccio più pragmatico, ma certamente meno “affascinante” e dunque meno vendibile, al tema dell’utilizzo offensivo delle tecnologie di comunicazione elettroniche.

Ipotizziamo di dover agire contro le infrastrutture di un Paese, per limitarne o azzerarne le capacità produttive, organizzative e reattive. Ragionando a grandi linee, si dovrebbe partire dalle componenti fisiche: mappatura dei data-centre e dei loro grandi utenti, delle centrali energetiche e delle torri delle antenne cellulari. Per poi acquisire informazioni sulla catena di fornitura di hardware e software, individuando componenti e software potenzialmente vulnerabili usati dalle infrastrutture critiche e capacità di banda dei servizi di rete. E poi, ancora, saggiare le capacità di risposta provocando incidenti minori. Parallelamente, sarebbe indispendabile acquisire informazioni su “chi” fa “cosa”: chi sono i responsabili dei sistemi informativi, dove vivono, cosa fanno, di quali responsabilità sono stati incaricati (informazioni più facilmente ottenibili grazie all’obbligo di schedatura degli amministratori di sistema previsto dal Garante dei dati personali).

Con queste informazioni (e sempre fatta salva la Legge di von Moltke) sarebbe possibile organizzare azioni mirate dagli effetti devastanti. Ora, come è facile capire, nulla di quanto ho descritto in questo ipotetico esperimento ha qualcosa a che vedere con il “virtuale” o con il “cyber”. Al contrario, siamo di fronte ad azioni e conseguenze estremamente concrete e che devono far mettere in conto, a chi le compie, che potrebbe essere responsabile dell’uccisione di altri esseri umani, anche se non li vede da vicino. Ciò significa, dunque, che affermare di volere “arruolare gli hacker” per combattere il nemico e difendere la patria è un’affermazione semplicistica che rivela quanta poca conoscenza abbia – chi fa queste affermazioni – del mondo hacker.

Per fare la guerra ci vogliono militari addestrati a usare le armi, comprese quelle informatiche. Non degli smanettoni che hanno dedicato la vita a capire come funzionano le cose.

Possibly Related Posts: