L’orlo dell’abisso

Una volta ogni due o tre anni, negli USA viene pubblicato un libro che profetizza la fine del mondo per mano degli hacker. Da quando Dan Verton ha pubblicato il primo libro di questa serie (Black Ice, 2002), questa è diventata ormai una consolidata tradizione, più o meno come il tacchino a Thanksgiving. Hollywood ha persino prodotto alcuni film su questo tema. Quest’anno è il turno di:

Cyber War: The Next Threat to National Security and What to Do About It

Di Richard A. Clarke e Robert Knake

Non ho ancora letto questo libro (e non credo che lo leggerò) ma credo che sia il caso di parlare ancora una volta di questa ipotesi catastrofica.

Quanto è grave la situazione?

La situazione della sicurezza informatica, intesa come sicurezza nazionale, è molto diversa in USA ed in Europa. Gli stati Uniti, infatti, hanno una surreale ed inquietante tendenza a delegare ad attori privati delle incombenze che dovrebbero chiaramente essere affidate ad enti pubblici per ovvie ragioni di standardizzazione e di gestibilità. Questo fa si che gli Stati Uniti siano più vulnerabili del vecchio continente a vari tipi di attacco.

Per esempio, ogni paese europeo, compresa l’Italia, ha un suo gestore della rete elettrica che spesso dipende dall’amministrazione pubbica e che è quasi sempre sotto la supervisione dell’amministrazione militare per quanto riguarda la sicurezza. In altri termini, la rete elettrica viene considerata, da sempre, una risorsa cruciale per la sicurezza nazionale e viene difesa nel modo opportuno.

Negli Stati Uniti la rete elettrica è frammentata in centinaia di “isole” gestite da operatori privati che quasi non si parlano tra loro e che considerano la sicurezza esclusivamente come una voce di costo a bilancio. In altri termini, negli USA la rete elettrica è considerata “cruciale” (e difesa) più o meno quanto un supermercato.

Nonostante questo, non è affatto vero che la situazione della loro o della nostra sicurezza nazionale digitale sia grave come viene spesso descritta in questi libri. In particolare, in questi testi vengono spessi presentati ed analizzati degli scenari di attacco che sono a dir poco fantascientifici.

Ad esempio, è tradizione che questi testi contengano almeno un capitolo in cui un hacker “cattivo” prende il controllo di qualche sistema d’arma militare restando comodamente seduto in una stanza d’albergo a migliaia di chilometri di distanza ed operando semplicemente con un notebook ed un modem a 14.400 kb/s. Peccato però che nessun sistema d’arma di questo tipo sia raggiungibile da Internet. Per essere precisi, nessun sistema d’arma militare è “operabile” dall’esterno del veicolo che lo trasporta. Ovvero: non si può lanciare un missile da una nave senza salire a bordo della nave semplicemente perchè la centrale di controllo non ha nessuna connessione con la sala radio (che è l’unico sistema della nave che ha accesso al mondo esterno). Lo stesso vale per aerei e carri armati. Ovviamente, anche per operare il sistema d’arma da bordo del veicolo sono necessari password e chiavi fisiche di opportuna robustezza.

Questo “tabù” è rimasto inviolato in tutto il mondo sin dalla fine della seconda guerra mondiale ed è stato infranto solo negli ultimi 4 o 5 anni da alcuni tipi di “unmanned vehicles” (aerei senza pilota e cose simili) che, peraltro, sono ancora allo stato sperimentale.

La generazione nascente di veicoli militari senza pilota, tuttavia, fa un un uso piuttosto pesante di tecniche crittografiche e di altri sistemi per garantire che il nemico non possa prendere il controllo del sistema. In altri termini: i nostri ingegneri non sono i coglioni che si vorrebbe fare credere.

Detto questo, va anche detto che la situazione della sicurezza digitale, sia a livello militare che a livello civile, è piuttosto curiosa e per certi aspetti schizofrenica. A fronte di una generale buona attenzione nella implementazione dei sistemi critici, esiste un livello di sciatteria veramente inquietante nella implementazione e nella gestione di molti sistemi considerati, a torto od a ragione, non critici.

Per esempio: negli uffici delle forze armate e di tutti gli organi decisionali di tutti i governi occidentali, i personal computer sono normalmente considerati delle “commodities” senza importanza, al punto che non è raro trovarli pieni di immagini pornografiche e di virus (la recente vicenda dei supervisori della SEC ne è un buon esempio). Ovviamente, un virus che riesca a colpire i sistemi usati dai vertici della catena decisionale di una nazione rappresenta un pericolo gravissimo, anche dal punto di vista militare.

In questo senso, è vero che l’Occidente è del tutto impreparato ad affrontare una eventuale guerra digitale. Resta però tutto da dimostrare che i Cinesi, gli Indiani od i Russi si trovino in una posizione migliore e/o che rappresentino realmente un pericolo.

Una cosa è riuscire ad intrufolarsi negli account di posta di alcuni utenti ed amministratori di Google, ben altra cosa è riuscire ad accedere alla rete interna delle forze armate.

Che contromisure si possono prendere?

In realtà, la “cura” a questo “male” è la stessa che viene consigliata da decenni ai normali utenti privati ed alle aziende: contattare dei consulenti e farsi aiutare ad implementare un sistema di difesa adeguato.

Un esempio per tutti: la stragrande maggioranza di questi sistemi “non critici” è protetto solo da una coppia username/password. Per definizione, un sistema di autenticazione completamente “immateriale” come questo è attaccabile da remoto (via Internet). Ci vuole veramente poco per sostituire questo sistema con un sistema di autenticazione a due fattori (username/password più “chiavetta USB” crittografica) invulnerabile agli attacchi da remoto.

Conclusioni

Libri come quelli che ho citato vengono pubblicati (praticamente sempre) da ex-esperti di sicurezza al servizio del governo USA (e/o dell’industria militare americana) ed hanno evidentemente lo scopo di giustificare il fiume di soldi spesi (o bruciati) dai governi nelle attività di difesa e di intelligence (tra cui il lauto stipendio di questi specialisti).

Francamente, questi autori non godono di una elevata stima tra gli osservatori di questo settore. Basta fare un giro sul web per trovare critiche piuttosto aspre nei loro confronti. Per quanto mi riguarda, non posso fare altro che associarmi a queste critiche.

Penso però che dovreste leggere almeno uno dei testi citati. In questo modo potrete farvi una vostra idea di queste minacce e/o della buona fede di questi autori.

Alessandro Bottoni

Comments
3 Responses to “L’orlo dell’abisso”
  1. kingofgng scrive:

    Bah, ho una lista praticamente infinita di libri da comprare su Amazon che va da “Upgraind and Repairing PCs” di Scott Mueller a “The Art of Game Design: A book of Lenses”. E certa spazzatura come quella in oggetto NON E’ inclusa :-P

    Però però… non sono completamente d’accordo sulla non “coglionità” di chi realizza i sistemi militari (critici o meno) visto il relativamente recente caso dei feed video dei droni “Predator” ritrovati negli hard disk dei ribelli in Medioriente. I feed non erano cifrati e quelli li hanno “carpiti” via DVB-S. Se questo non è essere coglioni di certo è un caso clamoroso che da da pensare.

    La malafede degli “scrittori” di certe porcherie è ovviamente conclamata. Personalmente mi ricordo del “più grande attacco hacker della storia” spacciato come tale da un consulente del Pentagono. In realtà era l’ennesima variante del trojan Zeus e una botnet dotata di numeri modesti rispetto alle schifezze che sono in circolazione oggigiorno….

    • Beh, i predator erano nati come ricognitori (disarmati) e concepiti per combattere l’Armata Rossa (che, ovviamente, non aveva nessun bisogno di piratare le trasmissioni dei predator avversari per conoscere il suo terreno di battaglia).

      Solo un esercito irregolare, privo di propri mezzi di osservazione, come quello afgano/talebano, può trarre un significativo vantaggio da questa falla.

      Gli UAV veri e propri (armati) NON hanno falle di questo genere. Sono stati sviluppati protocolli sicuri per proteggere le loro comunicazioni sin dalla metà degli anni ’90.

  2. kingofgng scrive:

    E peggio mi sento allora. Cioè questi qui impiegano UAV ricognitori che trasmettono in chiaro consapevoli del fatto che la forza nemica (organizzata o meno poco importa, anzi è peggio) potrebbe trarne vantaggio?

    O sono dei grandissimi “coglioni”, magari con il beneplacito di chi comanda, oppure nemmeno hanno pensato alla possibilità. E quindi andrebbero licenziati in tronco…

Lascia un commento

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...

%d blogger cliccano Mi Piace per questo: