Da tema specialistico è diventato un argomento di cronaca mainstream, quasi quotidiana, trattato spesso insieme alle vicende di natura militare o geopolitica. Parliamo della cyberwar (detta anche cyberwarfare), che può essere definita come l’attività diretta a scagliare attacchi informatici da parte di gruppi affiliati a nazioni, con l’obiettivo di colpire altre nazioni. Si tratta quindi di un’effettiva guerra tra eserciti digitali, condotta utilizzando le armi tipiche del crimine informatico.
Queste possono essere divise in due grandi gruppi. Del primo fanno parte strumenti purtroppo familiari a un numero sempre maggiore di persone. Ne sono esempio tipico le mail di phishing, inviate per indurre il destinatario a compiere azioni che consentano a un software malevolo di introdursi nei sistemi di un’azienda. Di solito si tratta di un ransomware, che cripta o esfiltra i dati e chiede alla vittima un riscatto in denaro per poterli liberare. Altro esempio di strumento tipico è il botnet, utilizzato per ottenere un cosiddetto DDoS (Distributed Denial of Service), che consiste nell’interrompere un online offerto da un’azienda o da un ente. Sempre tipico, infine, è un software configurato per fare cyber espionage, attività che normalmente precede un attacco e che consiste nel raccogliere informazioni strategiche per lo scopo da raggiungere.
Il secondo gruppo riguarda invece il software malevolo creato ad hoc. L’esempio più famoso nella storia è del 2010 e riguarda Stuxnet, un worm disegnato da un gruppo di hacker legato agli Stati Uniti ai quali fu chiesto di sabotare le centrifughe delle centrali nucleari iraniane, nelle quali si presumeva venisse prodotto uranio da utilizzare in armi nucleari.
Le ricadute della cyberwar
Oltre che come episodio più celebre, il sabotaggio alle centrali iraniane viene ricordato perché diretto a un’infrastruttura critica dalla quale dipendeva la produzione di energia elettrica per il Paese. Quando accade qualcosa di simile, le conseguenze si riflettono direttamente sui cittadini, che subiscono disservizi in svariate forme. Sempre a titolo di esempio, citiamo quanto è capitato nel 2007 agli abitanti dell’Estonia, quando il governo decise di spostare la statua di un soldato risalente ai tempi dell’URSS. L’evento scatenò una raffica di attacchi DoS (Denial of Service) che durò mesi, mettendo ripetutamente fuorigioco i siti istituzionali, quelli di informazione e di alcune banche.
La necessità di difendersi
I momenti di tensione internazionale incrementano il rischio di attacchi informatici, poiché gli attaccanti lavorano sul terreno digitale a supporto delle armate convenzionali. È frequente, quindi, che azioni contro le infrastrutture critiche – centrali elettriche, oleodotti, acquedotti – o contro le banche (magari per non permettere loro di erogare contante dai bancomat) precedano i movimenti di truppe. In questi momenti è quindi essenziale che enti e aziende rafforzino le proprie misure protettive, lavorando in primo luogo sulle classiche best practice di sicurezza.
Quelle che seguono sono sei regole d’oro da osservare attentamente soprattutto in fase di prevenzione:
1. Approntare un piano di backup e di ripristino dei dati cruciali e sensibili
2. Isolare dalla rete i backup critici
3. Utilizzare esclusivamente software che provenga da fonti e canali certificati
4. Gestire le utenze secondo il principio del “privilegio minimo”
5. Non cliccare su link contenuti in e-mail provenienti da indirizzi sconosciuti o non usuali
6. Non aprire gli allegati contenuti in e-mail del tipo appena visto, o che propongano un contenuto non pertinente alle attività ordinarie dell’azienda o dell’ente
A queste regole di base vanno aggiunte misure specifiche e relative agli Stati con i quali si vivono i momenti di tensione. Un strumento utile è, per esempio, il blocco preventivo delle connessioni provenienti da indirizzi IP a bassa reputazione o non legati alle consuete attività. O ancora, il blocco delle subnet di quegli Stati, quando non siano fondamentali per il business aziendale.
In un contesto di cyberwar l’obiettivo è chiaro: installare punti di controllo sui ponti che ci collegano al resto della rete. Molto spesso le attività di business delle aziende sono collegate a precise aree geografiche: è quindi opportuno selezionare e autorizzare solo quelle con le quali sono in corso le stesse attività. Inoltre, è importante lavorare su policy stringenti relative alle whitelist, abilitando in uscita il traffico solo verso siti rilevanti per il business dell’organizzazione. Ciò, in pratica, si traduce nell’apertura del protocollo HTTP e HTTPS solo a soggetti e siti selezionati. E ancora, è opportuno chiudere la rete di notte, lasciando aperti solo i canali vitali; o chiuderla in alcuni momenti verso i fornitori, per evitare che un attacco alla supply chain possa procurare danni anche gravi all’azienda.