La necessità di identificare il responsabile di un attacco cyber, ponendo così in essere il processo di “cyber attribution”, assume notevole importanza soprattutto nell’attuale contesto internazionale caratterizzato da minacce ibride multidimensionali nell’ambito delle quali lo sfruttamento del dominio cibernetico contribuisce ad indebolire le capacità di mantenimento della sicurezza nazionale ed internazionale.
Indice degli argomenti
Processo di attribution: il quadro
L’utilizzo delle tecnologie di informazione e comunicazione (ICT) risulta essere indispensabile per l’esercizio delle normali attività poste in essere all’interno di stati moderni. Il funzionamento degli apparati governativi, le strutture sanitarie, le infrastrutture strategiche, la difesa, i processi di supply chain, nonché l’intera economia, poggiano oggi le proprie basi su sistemi tecnologici notevolmente avanzati, rendendo più efficaci ed efficienti molti settori della vita quotidiana, con enormi vantaggi per l’intera popolazione.
Tuttavia, tale proliferazione tecnologica ha, contemporaneamente, aumentato la superficie di attacco disponibile all’interno del cyberspace[1], funzionale all’esecuzione de azioni dannose che, se compiute, possono provocare enormi conseguenze, anche in considerazione della sempre più stretta e necessaria interdipendenza tra settore pubblico e settore privato.
L’intrinseca natura dello spazio cibernetico, accompagnata dalla carenza di un chiaro quadro normativo internazionale di riferimento e da limitazioni tecniche relative al processo di attribution, permette a determinati attori (States and Non States Actors) in possesso di adeguate capacità tecnologiche, di porre in essere delle cyber operations[2], o cyber attacks[3], al fine di sfruttare le vulnerabilità del quinto dominio a proprio vantaggio, mantenendo un determinato livello di anonimato che rende, inoltre, molto complicato applicare il tradizionale principio della deterrenza utilizzato durante il periodo della guerra fredda.
In tale contesto, il processo di attribution volto ad indentificare il responsabile di un’azione, al fine di verificare se la stessa possa rappresentare una violazione del diritto internazionale e condurre all’applicazione di adeguate contromisure o sanzioni, risulta essere di fondamentale importanza soprattutto se si considera lo strumento cyber quale possibile moltiplicatore di forza di ulteriori IoP (Instruments of Power) utilizzati da attori internazionali (state e/o non state-actors) nell’ambito della cd. hybrid warfare[4].
Il processo di attribution risulta molto importante sia per quanto attiene il perimetro di operatività delle singole aziende, le quali possono subire aggressioni volte a sottrarre know-how industriale o proprietà intellettuale a vantaggio di competitors internazionali in un’ottica di competitività globale, sia per ciò che concerne gli interessi dello Stato ampiamente intesi.
Ciò nel quadro di una sempre maggiore cooperazione tra settore pubblico e settore privato in contesti, come quello della sicurezza e delle infrastrutture critiche, ad esempio, che costituiscono la spina dorsale dell’intero sistema paese.
Rappresentato spesso come sfidante e insidioso, il processo di attribution in esame, è riconducibile a due macro-aree dipendenti tra loro e identificabili come:
- Technical attribution;
- Legal/Political attribution.
Technical attribution
La technical attribution consiste nell’associazione di strumenti utilizzati per condurre attacchi informatici ad un determinato attore, al fine di determinarne la responsabilità.
Una delle principali difficoltà riscontrabili nell’ambito della technical attribution deriva dalla stessa architettura tecnologica di internet (e da come le informazioni vengono trasmesse all’interno della rete), la quale rende il processo di attribution particolarmente complicato.
Dal punto di vista tecnico, l’attribution è strettamente dipendente dai cd. IoC (Indicators of Compromise) intercettati durante attività di analisi forense.
Questi IoC possono essere identificati come malware file hashes, virus signature, domain name, indirizzi IP dei server utilizzati come infrastruttura C2 (Command e Control) eccetera. Tali indicatori di compromissione sono spesso abbinati alle TTP (Tattiche, Tecniche e Procedure) di determinati attori anche se, come tradizionalmente accade nel confronto tra due avversari, sono state sviluppate tecniche di attacco in grado di superare le difese poste in essere per proteggersi da azioni di vario tipo, aumentando così il livello di maturità degli attaccanti ed il vantaggio rispetto agli strumenti difensivi.
Nuove tecniche come i polymorphic malware, metamorphic malware, fileless malware, traffic blending ecc., rendono le tradizionali metodologie statiche per l’identificazione degli IoC non più sufficientemente adeguate.
Inoltre, gli attuali attaccanti usano sempre più spesso tool standardizzati e non personalizzati al fine di rendere più difficoltosa la loro identificazione. Per tali motivi, appare oggi necessario fare affidamento oltre che sulle TTP anche su modelli comportamentali, accompagnati da ulteriori indizi, che permettono di identificare il soggetto che ha posto in essere l’attacco.
Tutte queste contromisure perdono però di efficacia quando l’attaccante pone in essere azioni volte, deliberatamente, ad ingannare l’analista attraverso azioni cd. false flag o mediante l’utilizzo di deception tricks.
Per riuscire a identificare nel modo più efficace possibile gli avversari, le varie organizzazioni, pubbliche e private, oltre a sviluppare sistemi difensivi sempre più performanti, dovrebbero inoltre orientare i propri sforzi alla riduzione dei tempi di rilevamento delle minacce o degli attacchi.
Il rispetto della regola “1-10-60” sviluppata da CrowdStrike, in base alla quale le violazioni dovrebbero essere identificate in 1 minuto, indagate in 10 e risolte in 60, può essere un obiettivo ambizioso, e auspicabilmente perseguibile, per tutte le organizzazioni che, ad oggi, ragionano in termini di giorni per attività di incident response[5].
Tuttavia, anche se gli strumenti tecnici risultano fondamentali per riuscire a risalire all’autore di un attacco, l’attuale, e sempre più evoluta, capacità di nascondere la propria identità conduce alla conclusione che a sostegno di metodologie di investigazione puramente tecniche vada associata anche una corretta e organizzata attività di raccolta informativa multilivello.
A tale scopo nel 2018, lo U.S. ODNI (Office of the Director of National Intelligence) ha emanato una guida per la Cyber Attribution, all’interno della quale vengono identificati alcuni Key Indicators funzionali ad una corretta applicazione del processo di in oggetto identificabili in: Tradecraft, Infrastructure, Malware, Intent e Indicators from External Sources.
A tali indicatori il documento associa anche delle best practice per realizzare l’attribution quali: la ricerca di errori umani, la tempestiva collaborazione, la condivisione di informazioni nonché una rigorosa analisi degli strumenti utilizzati per condurre l’attacco.
Legal/Political attribution
Ulteriore aspetto di particolare rilevanza nell’analisi del processo di attribution è quello politico/legale. Al fine di promuovere la stabilità internazionale, e ridurre il rischio di conflitti derivanti dall’illecito impiego di attività informatiche, gli stati stanno da tempo tentando di comprendere se, e come, il diritto internazionale possa essere applicato anche al cyberspace.
Uno dei principali problemi legati al tema dell’attribution è, infatti, quello relativo all’indagine circa il coinvolgimento, diretto o indiretto, di Stati nell’esecuzione di cyber attacks. Emergono quindi questioni di tipo legale e politico di non facile risoluzione.
Ad oggi, infatti, sebbene esistano norme che disciplinino determinate fattispecie relative a crimini informatici[6], o direttive europee volte a implementare i livelli di sicurezza delle reti o dei sistemi informativi[7], o ancora regolamenti che disciplinano temi quali la privacy e la tutela dei dati personali[8], non esiste una legislazione internazionale che regoli determinate azioni, e segnatamente i cyber attacchi, riconducibili ad attori statali[9].
Sebbene taluni Stati abbiano tentato di approcciare il tema dal punto di vista nazionale[10], è ancora assente un framework normativo internazionalmente condiviso. Ciò incide notevolmente sul processo di attribution in quanto, se non si conosce l’autore dell’attacco, o se non si è in grado di dimostrare la sua responsabilità utilizzando strumenti giuridici chiari e condivisi, risulta impossibile procedere con l’applicazione di contromisure, contribuendo così a delineare il cyberspace come una zona grigia priva di regole definite, con continue prospettive di escalation e con incertezza sulla portata e sulla entità dei futuri attacchi informatici.
Occorre a questo punto chiedersi se un attacco cyber possa costituire un attacco armato e se, in tal caso, le regole previste dal diritto internazionale possano applicarsi anche a tale fattispecie.
Per comprendere ciò è utile ricostruire, seppur brevemente, il quadro normativo previsto dalla Carta delle Nazioni Unite in tema di uso della forza armata[11]. L’articolo 2 paragrafo 4 della Carta delle Nazioni Unite cita l’uso della forza stabilendo che “I Membri devono astenersi nelle loro relazioni internazionali dalla minaccia o dall’uso della forza, sia contro l’integrità territoriale o l’indipendenza politica di qualsiasi Stato, sia in qualunque altra maniera incompatibile con i fini delle Nazioni Unite”. Relativamente a tale articolo, parte della dottrina ha sostenuto che il divieto in esso inserito non copra tutti i casi di minaccia, o uso, della forza ma solo quelli espressamente previsti dallo stesso.
Tale interpretazione restrittiva conduce alla conclusione relativa alla possibilità di usare la forza, con pretesa di legittimità, anche oltre i casi/eccezioni espressamente consentiti dalla Carta ONU (legittima difesa ex Art. 51 e azione espressamente autorizzata dal Consiglio di Sicurezza dell’ONU ex Art. 42).
La maggior parte della dottrina, e una importante parte della giurisprudenza della Corte Internazionale di Giustizia, non condividono, però, tale orientamento, seguendo invece una interpretazione più estensiva della norma, la quale prevede un divieto di carattere assoluto dell’uso della forza.
Tale visione risulta rintracciabile anche nei lavori preparatori della Carta dove si nota la volontà degli estensori di porre un divieto assoluto dell’uso della forza da parte degli Stati. Nel tempo, il divieto in esame è entrato a far parte del diritto consuetudinario e quindi, quanto disposto dall’art. 2 par.4, risulta oggi vincolante per tutti gli Stati in quanto ius cogens, come peraltro rinvenibile nella storica sentenza della International Court of Justice relativa a “Attività Militari e Paramilitari in e contro il Nicaragua” del 27 giugno 1996.
Le uniche eccezioni previste al dettato dell’art. 2 par. 4 sono quelle relative alla legittima difesa, individuale o collettiva, nonché la specifica previsione (fondata concettualmente sul sistema di sicurezza collettiva delle Nazioni Unite) di espressa autorizzazione all’uso della forza, contenuta in una Risoluzione del Consiglio di Sicurezza dell’ONU.
Nel caso in cui si verifichi un attacco armato o un’aggressione diretta, la Carta delle Nazioni Unite prevede, infatti, l’applicazione dell’art. 51 relativo al diritto di legittima difesa. L’articolo stabilisce che “Nessuna disposizione del presente Statuto pregiudica il diritto naturale di autotutela individuale o collettiva, nel caso che abbia luogo un attacco armato contro un Membro delle Nazioni Unite, fintantoché il Consiglio di Sicurezza non abbia preso le misure necessarie per mantenere la pace e la sicurezza internazionale…”.
Il problema risiede nel significato di attacco armato in quanto dalla sua corretta interpretazione deriva l’uso della forza come legittimo o meno.
Nonostante i vari tentativi di rintracciare una definizione all’interno delle varie risoluzioni, e gli sforzi profusi dalla dottrina, ad oggi non esiste una comune caratterizzazione della fattispecie in oggetto.
Risulta comunque chiaro che un’azione, per essere considerata come attacco armato, deve incorporare talune caratteristiche: in primo luogo deve essere un atto che abbia uno scopo offensivo; in secondo luogo dev’essere un’azione posta in essere in violazione dell’art.2 par.4 Carta UN, sempre che non ricorra una causa di esclusione della illiceità.
Ciò posto, un attacco cyber può essere considerato come un attacco armato se sussistono una serie di condizioni.
La Rule 10 del Manuale di Tallin stabilisce che “A cyber operation that constitutes a threat or use of force against the territorial integrity or political independece of an State, or that is in any other manner inconsistent with the purposes of the United Nation, is unlawful”; la Rule 11, invece, descrive il caso in cui una cyber operation configuri uso della forza stabilendo che “A cyber operation consitutes a use of force when its scale and effects are comparable to non-cyber operations rising to the level of a use of force”.
Affinché un attacco cyber possa essere definito come un attacco armato occorre, quindi, che si verifichino conseguenze equivalenti a quelle che si verificherebbero nel mondo fisico a seguito di un attacco armato convenzionale[12]. In questo caso lo Stato vittima dell’azione potrebbe rispondere, attraverso l’uso della forza, agendo in legittima difesa secondo le norme del diritto internazionale e nel rispetto dei principi di necessità e proporzionalità da esso previsti.
In tal caso, però, occorre attribuire l’azione ad uno Stato affinché la vittima possa esercitare il proprio diritto e agire di conseguenza. Infatti, l’obbligo di non ricorrere all’uso della forza, ex art.2 par. 4, incombe sugli Stati quali soggetti giuridici.
È dunque richiesto un legame identificabile, stretto e diretto tra l’atto posto in essere e lo Stato. Qualora si riuscisse a provare tale legame, e si verificassero le condizioni più sopra enunciate, lo Stato vittima potrebbe procedere secondo le norme previste dal diritto internazionale.
Ma cosa accade se l’attacco non fosse riconducibile ad uno Stato ma ad un cd. non state actor? In questo caso occorre provare il legame tra l’attore non statale ed un determinato Stato. Deve sussistere un legame istituzionale tra le due parti tale da poter ricomprendere il soggetto agente (che può comunque mantenere un certo grado di indipendenza) sotto il controllo dello Stato di riferimento[13].
Secondo la giurisprudenza internazionale la dipendenza deve soddisfare determinati criteri; la Corte di Giustizia Internazionale, nella già citata sentenza relativa ad “Attività Militari e Paramilitari in e contro il Nicaragua”, ha parlato di “effective control”, con riferimento al rilascio di direttive da parte degli Stati Uniti verso i Contras relative ad operazioni specifiche[14], mentre nel caso relativo al genocidio in Bosnia la Corte ha parlato di “some degree of authority or control”[15].
Conclusioni
Risulta evidente quale sia il grado di complessità riscontrabile nell’applicare determinate previsioni, già difficilmente attuabili nel mondo fisico, anche nel dominio cibernetico. La questione appare ancora più complicata se si considera la naturale tendenza degli Stati a negare qualunque tipo di connessione tra eventuali proxies e i loro apparati istituzionali.
L’ambiguità della materia, dal punto di vista giuridico, si rivela in parte funzionale agli stessi Stati per operare all’interno del quinto dominio senza particolari restrizioni, sfruttando l’anonimato e la libertà di movimento garantita da determinati sistemi.
Tuttavia, la necessità di definire un chiaro, aggiornato e lineare processo di attribution, derivante dalla combinazione di strumenti tecnico-giuridici, risulta essere di particolare importanza al fine di impedire che il cyberspace, a causa delle sue intrinseche caratteristiche, diventi un luogo dove poter condurre attività illecite non sanzionabili dal punto di vista internazionale, con serie conseguenze per i rapporti tra stati e per gli equilibri geopolitici.
NOTE
- Lo US, Department of Defense Office of General Counsel, Department of Defense Law of War Manual, 2016, definisce il cyberspace come “a global domain within the information environment consisting of interdependent networks of information technology infrastructures and resident data, including the Internet, telecommunications networks, computer systems, and embedded processors and controllers.” ↑
- Lo US, Department of Defense Office of General Counsel, Department of Defense Law of War Manual, 2016, definisce le cyber operations come “Computer and networks used by state and non-state actors to disrupt, deny, degrade, or destroy information and infrastructure”. ↑
- Il Manuale di Tallin definisce il cyber attack come “cyber operation, whether offensive or defensive, that is reasonably expected to cause injury or death to person or damage or destruction to objects”. ↑
- La Hybrid Warfare, può essere definita come l’uso sincronizzato di molteplici Instruments of Power, identificati con l’acronimo MPECI (Militare, Politico, Economico, Civile, Informativo) o DIMEFIL (Diplomatico, Informativo, Militare, Economico,Finanziario, Intelligence, Law Enforcement), all’interno dei quali possono essere ricondotti ulteriori strumenti, come la tecnologia, la criminalità, il terrorismo, la pressione finanziaria, l’intelligence, la disinformazione, adattati per essere impiegati contro specifiche vulnerabilità dell’avversario lungo l’intero spettro delle funzioni sociali (PMESII = Politico, Militare, Economico, Sociale, Infrastrutture, Informativo), al fine di conseguire effetti multipli e sinergici. ↑
- Ibidem ↑
- Si pensi, ad esempio, all’ordinamento penale italiano il quale prevede una serie di reati quali: Frode informatica (art. 640-ter c.p.), Accesso abusivo ad un sistema informatico o telematico (art. 615-ter), Detenzione e diffusione abusiva di codici di accesso a sistemi informatici o telematici (art.615-quater), Diffusione di apparecchiature, dispositivi o programmi informatici diretti a danneggiare o interrompere un sistema informatico o telematico (art.615-quinquies), Intercettazione, impedimento o interruzione illecita di comunicazioni informatiche o telematiche (art.617-quater), Installazione di apparecchiature atte ad intercettare, impedire o interrompere comunicazioni informatiche o telematiche (art.617-quinquies), Falsificazione, alterazione o soppressione del contenuto di comunicazioni informatiche o telematiche (art.617-sexies). ↑
- Direttiva (UE) 2016/1148, cd. Direttiva NIS. ↑
- Regolamento Ue 2016/679, noto come GDPR (General Data Protection Regulation). ↑
- Va ricordato il Manuale di Tallin, testo di riferimento in materia, privo, però, di valore giuridico. Il documento, prodotto da un team di accademici internazionali, ha condotto all’elaborazione di linee guida per l’applicazione delle categorie del diritto internazionale alla cyber warfare e alle cyber operations. ↑
- Vedasi ad esempio la National Cyber Security Strategy del Canada, o la Stratégie internationale de la France pour le numérique del 2017 e la Revue stratégique de cyberdéfense francese del 2018 o ancora la National Cyber Strategy degli U.S.A. del 2018. ↑
- È necessario chiarire che il termine forza, utilizzato all’interno della Carta negli artt. 2 par.4 e 44, fa riferimento alla forza “armata”. Ciò risulta deducibile dal fatto che l’art.44, inserito nel Cap. VII del documento, è connesso alla definizione di forza prevista dagli artt. 41 e 42 dove è qualificata, appunto, come “armata”. Pertanto, in considerazione di una relazione coerente tra tutti gli articoli della Carta, anche il temine “forza” utilizzato nell’art.2 par.4 deve essere inteso come “armata”. ↑
- N. Ronzitti, Introduzione al diritto internazionale, Giappichelli, Torino 2016 ↑
- Tipici sono i casi cinesi e nord coreani di APT che operano sotto le direttive dei rispettivi governi o sono incorporati in strutture istituzionali degli stessi (ad esempio APT1 che risulta essere collegato al PLA e più specificamente al General Staff Department’s (GSD) 3rd Department del People Liberation Army). ↑
- A. Cassese, The Nicaragua and Tadić Tests Revisited in Light of the ICJ Judgment on Genocide in Bosnia, European Journal of International Law, Volume 18, Issue 4, September 2007 ↑
- Ibidem ↑