Oggigiorno le armi informatiche hanno cambiato le relazioni internazionali in modo profondo tanto da essere considerate destabilizzanti, perché sono relativamente economiche, facilmente distribuibili e possono essere utilizzati senza conseguenze per l’aggressore.
Indice degli argomenti
Cyberweapon e weaponizzazione del software: a che punto siamo
Affrontare la loro proliferazione sta cambiando radicalmente la natura delle relazioni fra gli stati e l’assenza di una normativa specifica e universalmente riconosciuta rende il cyberspazio e il mondo analogico un’unica giungla senza regole.
La definizione di cyberweapon
Con la dicitura “cyberweapon” il Tallinn Manual versione 2.0 indica un “mezzo di guerra informatica utilizzato, progettato o destinato a essere utilizzato per causare lesioni o morte di persone o danni o distruzione di oggetti”); la Air Force Instruction 51-401 nel 2018 lo ha definito come “qualsiasi dispositivo, programma per computer o script per computer, inclusa qualsiasi combinazione di software, firmware o hardware destinati a negare, interrompere, degradare, distruggere o manipolare informazioni, sistemi informativi o reti di obiettivi avversari”.
Infine, la Legal Reviews of Cyber Weapons’ nel 2014, lo indicava invece, come “un oggetto progettato e sviluppato o ottenuto per lo scopo principale di uccidere, mutilare, ferire, danneggiare o distruggere“.
Pegasus, Toka e gli altri: ecco perché l’UE pensa a una moratoria sull’uso degli spyware
Come si può constatare quindi, la definizione non è univoca e formalmente definita. Secondo il Centro di difesa informatica cooperativa della NATO di Tallin (CCDCOE) comunque, tutti gli strumenti informatici in grado di condurre “attacchi” come intesi nel Diritto Internazionale Umanitario (IHL), cioè “atti di violenza contro l’avversario sia in offesa che in difesa, dovrebbero essere considerate come armi informatiche. Quindi un malware impiegato per obiettivi militari, paramilitari o di intelligence è un’arma informatica che può nuocere a persone e cose.
Gli esempi di cyberweapon
Malware universalmente riconosciute come cyberweapon avendo provocato disservizi operativi nell’infrastruttura danneggiata sono: Duqu, Flame (malware), Great Cannon, Mirai (malware), Wiper (malware), Pegasus (spyware) e naturalmente Stuxnet nota come la prima di questa serie e l’ultima in ordine cronologico Acidrain apparsa durante il conflitto Russo Ucraino.
Stuxnet
È stato il primo e potente worm informatico progettato dall’intelligence statunitense e israeliana per disattivare una parte fondamentale del programma nucleare iraniano; identificato per la prima volta dalla comunità infosec nel 2010, lo sviluppo su di esso è iniziato probabilmente nel 2005.
Pegasus
È il software-spia di matrice israeliana utilizzato spesso non solo per catturare dei criminali ma anche per silenziare attivisti, giornalisti e dissidenti politici.
Nato come arma digitale in favore delle forze dell’ordine è stato utilizzato in modo tale da violare i diritti umani e attualmente è compreso nella “lista nera” dei sofware non ammissibili negli Stati Uniti proprio per la caratteristica di consentire la violazione della privacy di un individuo.
Dalla guerra, AcidRain: il malware wiper contro l’Internet satellitare europeo
AcidRain
È stato un attacco mirato contro un server Viasat in Italia che gestiva un gran numero di modem, e quindi di comunicazioni internet, in tutta Europa e in Ucraina.
L’attacco è stato programmato prima dell’invasione dell’Ucraina da parte della Russia per degradarne le comunicazioni ed ottenere un vantaggio tattico sul campo di battaglia ma di fatto ha significato un aumento del ritmo della guerra informatica della Russia.
Attacco cyber dalla Russia all’Italia: down siti Senato, Difesa, perché è evento grave
Il significato di weaponizzazione del software
Strumenti informatici quali virus, trojan, spyware e worm in qualità di agenti malevoli possono trasformare un software esistente, un’applicazione, inducendo un comportamento diverso da quello originario al fine di danneggiare qualcosa o qualcuno.
La comunità Infosec in questi casi, descrive questa pratica come l’azione di “armare il software”, ovvero, iniettare codice malevolo in un codice originariamente innocuo, per compiere azioni criminali. A titolo di esempio la campagna di phishing del ZINC/Lazarus Group ad ottobre ha utilizzato proprio software open source appositamente “armato” dopo una prima fase di ingegneria sociale.
Il software “arricchito” in modo malevolo ha divulgato payload a mezzo WhatsApp (versioni malevole di software open source leciti tra cui PuTTY, KiTTY, entrambe client di servizi SSH/telnet e il programma di installazione TightVNC, un software di free remote desktop).
Tutti i rischi del software “arricchito”
Sono stati colpiti diversi settori, tra cui media, difesa e aerospaziale e servizi IT in Stati Uniti, Regno Unito, India e Russia (Fonte Microsoft Threat Intelligence Center).
Il rischio di conversione di software leciti in software malevoli è così consistente che alcune delle aziende che lavorano nel campo della robotica hanno sottoscritto una lettera aperta per “non utilizzare come armi i robot generici per la mobilità avanzata o il software sviluppato che consente la robotica avanzata ……”
Aggiungendo anche un coinvolgimento personale per il futuro: “Quando possibile, esamineremo attentamente le applicazioni previste dai nostri clienti per evitare potenziali armi. Ci impegniamo inoltre a esplorare lo sviluppo di caratteristiche tecnologiche che potrebbero mitigare o ridurre questi rischi”.
Un mercato in forte crescita
I rapporti citati da Cybertalk.org indicano che il mercato delle armi informatiche militari per il periodo di previsione 2022-2029, sta crescendo a un elevato Compounded Average Growth Rate (CAGR) che rappresenta la crescita percentuale media di una grandezza in un lasso di tempo.
Le preoccupazioni per la potenziale disponibilità di armi informatiche/Cyber e/o militari di livello militare sul dark web ha causato anche l’intervento dell’Interpol per voce de segretario Interpol Jurgen Stock: “Qualsiasi arma che vengono utilizzate sul campo di battaglia e domani sarà utilizzata anche dai gruppi della criminalità organizzata”.
Gli strumenti normativi
Fra gli strumenti normativi in tema di legislazione internazionale è utile conoscere il Wassenar arrangement, un accordo tra 41 paesi per disciplinare l’esportazione di tecnologie che possono avere un uso duale, grazie al quale, si evita la vendita a regimi totalitari.
Nel 2013 l’Accordo di Wassenar è stato aggiornato per includere le tecnologie di sorveglianza basate su Internet, utilizzabili in quei paesi dove alcuni diritti umani non sono garantiti.
L’accordo non è purtroppo vincolante e sebbene si sia assistito ad una revisione, non esiste ad oggi una normativa internazionale universalmente riconosciuta.
Nel 2021 comunque il Bureau of Industry & Security (BIS) del Dipartimento del commercio degli Stati Uniti ha emanato un specifica norma che ha modificato le Export Administration Regulations (EAR) e ha creato nuove licenze e requisiti per l’esportazione o il trasferimento di articoli di sicurezza informatica verso paesi non statunitensi.
La norma vorrebbe limitare le attività informatiche dannose, soprattutto per evitare il controllo globale mediante strumenti digitali, ma ha implicazioni significative e aggiunge una notevole complessità. La proposta è divenuta esecutiva da gennaio 2022.
Cyberwar: cos’è, tipologie di attacchi cibernetici e soluzioni per combattere la guerra ibrida
Il commento di Angelo Tofalo
Su questi temi Angelo Tofalo – ingegnere, CEO di AT Agency, già Sottosegretario di Stato alla Difesa e componente COPASIR – spiega che quando al COPASIR si è occupato di tematiche analoghe (periodo vicenda Hacking Team n.d.r.) soprattutto in relazione ai temi dei captatori informatici e degli strumenti di intercettazione digitali (Trojan) ha trovato un forte pregiudizio, coniugato a volte da impreparazione anche da parte di chi, a livello istituzionale, aveva poi il mandato di conoscere e indagare meglio su questi ambiti.
“Spesso il problema dipende anche dal tipo di risorse che una commissione o istituzione può avere a disposizione sia per il controllo tecnico, sia per l’intervento effettivo o per l’applicazione di determinate capacità.
Negli USA, ad esempio, così come in altri paesi gli analoghi comitati nazionali di controllo hanno risorse economiche tali, da potersi permettere sia tecnici competenti, sia attività approfondite nelle diverse aree di interesse.
In questo senso infatti, non è solo importante la tecnologia che si adotta, ma anche l’uso che se ne fa e il connubio di questi due aspetti è cruciale affinché strumenti digitali, che siano Cyberweapon o captatori o strumenti di intelligence, possano essere adottati con successo.
L’iniziativa privata anche in Italia ha prodotto delle tecnologie importanti, ma sarebbe auspicabile che lo Stato avesse risorse e capacità per creare un tavolo tecnico permanente fra intelligence, polizie, mondo accademico e industria per produrre tecnologia sovrana certificata e di cui sia responsabile lo Stato stesso.
Naturalmente tutto ciò nei tempi appropriati, perché, come sappiamo, la tecnologia dopo qualche mese già sembra “invecchiare”. A livello globale c’è una corsa alle armi cibernetiche disponibili su deep web fino a tecnologie sofisticate (vedi gli ambiti guerra russo/ucraina n.d.r.) con attacchi mirati.
Da anni assistiamo sempre più al delinearsi di un blocco occidentale, che ha come capofila gli USA e un blocco orientale, che ha come capofila la Cina, in perenne contrapposizione sul dossier cibernetico e digitale.
Come “Sistema Paese Italia” sono state avviate diverse iniziative, compresa la creazione dell’Agenzia per la Cybersicurezza Nazionale (ACN) e la Legge sul Perimetro Nazionale di Sicurezza Cibernetica, ma certamente è in comunione con l’Europa che queste iniziative si rafforzano in una visione comune di Unione Europea.
Un passaggio importante in Italia è stato quello del DL aiuti articolo 37 (“disposizioni per l’adozione di misure di intelligence di contrasto in ambito cibernetico, in situazioni di crisi o di emergenza a fronte di minacce che coinvolgono aspetti di sicurezza nazionale e non siano fronteggiabili solo con azioni di resilienza, anche in attuazione di obblighi assunti a livello internazionale” n.d.r.).
Un provvedimento che è andato a colmare e riconoscere quello che è una prerogativa dei servizi e delle forze di polizia, ovvero operare ed eventualmente contrastare e/o contrattaccare in ambito cyber, quegli attacchi che presentano un concreto rischio per il nostro Paese.
Anche la NATO, che aveva già riconosciuto l’attacco cibernetico come una azione ostile a cui “rispondere a tono”, si sta orientando verso la possibilità di rispondere con un attacco cinetico a fronte di un attacco cibernetico ma il problema dell’attribuzione (attribuire senza ombra di dubbio il responsabile di un attacco informatico n.d.r.) non permette ancora di stabilire con chiarezza il vero “mandante” e non permette quindi di orientare la risposta verso il reale colpevole.
Certamente il conflitto russo/ucraino ha fornito alla comunità internazionale più di un motivo per riflettere ed agire in questo senso e alla luce di simili sviluppi, forse, l’Organizzazione del Trattato del Nord Atlantico (NATO) potrebbe prendere in considerazione e creare una politica per la difesa informatica collettiva, e potenzialmente reato, ai sensi dell’articolo 5 della Carta della NATO“.