Esperti di “saiberuor”

Saiberruor

Ho letto un articolo molto interessante su PcProfessionale che vi ripropongo per contribuire aad incrementare la consapevolezza dei rischi che corriamo tutti noi a mettere in mano della rete tutti i nostri dati. La situazione è seria. La guerra cibernetica è il nuovo mantra dei venditori di sicurezza. Ma firewall e antivirus non hanno niente a che vedere con la guerra, che è fatta di pallottole.

[amazon_link asins=’8861141412,B006WQLH7G,B00B9AX7XC,B00NOLOTVS,B0053XTW5S,B00415VI6U,B004UC9V8Q’ template=’ProductCarousel’ store=’giugio-21′ marketplace=’IT’ link_id=’1eb2d799-2e39-11e7-98bf-1396f9750d92′]C’era una volta, negli anni ’90, la paludata sicurezza dei sistemi informativi, fatta di signori di mezza età, in giacca e cravatta, che spiegavano come gli hacker cattivi fossero tutti in fi la dietro la porta del modem, pronti a compiere apocalissi inenarrabili, dagli spegnimenti delle centrali elettriche a quelli dei motori degli aerei.
Poi, nei primi anni duemila, è arrivata la i11formescio11 sechi11riti per proteggere la praivasi, fatta di signori – sempre in giacca e cravatta – ma un po’ più giovani e d isinvolti, che spiegavano come gli hacker cattivi erano sempre li, dietro la porta d el modem, per rubare dati sensibili e account bancari.
Da qualche tempo, infine, signori di varia età, ma sempre in giacca e cravatta, parlano di saiberuor e di guerra cibernetica, annunciando la creazione di centri di competenza, comandi strategici, partnership istituzionali e
quant’altro per contrastare gli hacker cattivi  sempre lì, in fila dietro la porta del modem e – oramai – morti di freddo
e di fame per tutto il tempo trascorso.
I venditori di insicurezza sono disperatamente a caccia di nuovi modi per vendere i soliti antivirus, firewall, IPS,
antispam, eccetra eccetra, e le loro interfacce pubbliche e private subiscono acriticamente – e a volte in modo interessato – queste novità puramente di facciata, che però consentono di occupare (o di rivendicare) un posto al sole
che altrimenti sarebbe spettato ad al tri o addirittura nemmeno istituito.
LA SITUAZIONE È SERIA
Sono passati oltre vent’anni da quando si cominciò a parlare pubblicamente di sicurezza e di guerra informatica, ma il tempo sembra essersi fermato e ancora oggi politici e amministratori – coloro cioè che hanno il potere di orientare e condizionare le scelte industriali dei produttori di hardware e software – sono ancora molto lontani dal capire di cosa si stiano occupando.
SaiberruorQuesto è vero, in modo particolare, per la cyberwar o – come ama dire qualcuno  – la “guerra cibernetica”, nuovo terreno di conquista per schiere di commerciali in cerca di raggiungere il budget trimestrale delle vendite.
Che il settore sia estremamente confuso lo si capisce già dalla scelta delle parole. Aggettivi come cyber (che si  dovrebbe scrivere con la “i” perché è una parola italiana), “cibernetico”, e “virtuale” sono tutt’altro che sinonimi e hanno poco o nulla a che fare con le attività offensive dirette a paralizzare i sistemi di controllo di strutture, impianti e veicoli o con quelle d irette a distruggere o rendere inservibili dati e informazioni. Guardata da questa prospettiva, infatti, tutto il vaponuare  che ammanta la retorica politica e commerciale della “saiberuor” si dirada, e si comprende bene che non siamo di fronte, come invece amano ripetere gli interessati, a un “nuovo campo di battaglia”. Il tema, non meno importante e certamente sgradevole da affrontare in termini espliciti, è piuttosto capire come utilizzare nuovi strumenti per raggiungere i soliti obiettivi strategici: paralizzare, distruggere anche vite umane, controllare.
E a questo punto vengono spontanee un paio di domande: quali esperienze e competenze hanno i soliti venditori per spiegare alla forze armate come dovrebbero fare a fare la guerra?
Come si può pensare che in un ambito regolato d alla Legge di von Moltke («nessun piano resiste all’impatto con il nemico») bastino l’acquisto di qualche pezzo di ferro e dei corsi di formazione tecnica, per creare in quattro e quattro otto un nuovo sistema offensivo?
Questa carenza culturale ha già prodotto un danno irreversibile all’architettura di un sistema offensivo che includa anche l’ utilizzo di strumenti ICT: la qualificazione dello “spazio cibernetico” (qualsiasi cosa voglia dire) come specifico e autonomo teatro di battaglia.
E a questo punto non mi sorprenderebbe che qualcuno arrivasse a teorizzare la creazione di un battaglione di assaltatori su Second Life. Per dimostrare la correttezza della tesi sostenuta in questo articolo, proviamo ad avere un approccio più pragmatico, ma certamente meno affascinante e dunque meno vendibile, a l tema dell’ utilizzo  offensivo delle tecnologie di comunicazione elettroniche.
Ipotizziamo di dover agire contro le infrastrutture di un Paese, per limitarne o azzerarne le capacità produttive, organizzative e reattiva.

Ragionando a grandi linee, si dovrebbe partire dalle componenti fisime: mappatura dei data centre e dei loro grandi utenti, delle centrali energetime e delle torri delle antenne cellulari. Per poi acquisire informazioni sulla catena di fornitura di hardware e software, individuando componenti e software potenzialmente vulnerabili usati dalle infrastrutture critiche e capacità di banda dei servizi di rete. E poi, ancora, saggiare le capacità di risposta  provocando incidenti minori.
Parallelamente, sarebbe indispensabile acquisire informazioni su “chi” fa “cosa”: chi sono i responsabili dei sistemi informativi, dove vivono, cosa fanno, di quali responsabilità sono stati incaricati (informazioni più facilmente ottenibili grazie all’obbligo di schedatura degli amministratori di sistema previsto d al Garante dei dati personali).
Con queste informazioni (e sempre fatta salva la Legge di von Moltke) sarebbe possibile organizzare azioni mirate dagli effetti devastanti. Ora, come è facile capire, nulla di quanto ho d escritto in questo ipote tico esperimento ha qualcosa a me vedere con il “virtuale” o con il “cyber”. Al contrario, siamo di fronte ad azioni e conseguenze estremamente concrete e me devono far mettere in conto, a chi le compie, che potrebbe essere responsabile dell’uccisione di altri esseri umani, anche se non li vede da vicino. Ciò significa, dunque, che affermare di volere “arruolare gli hacker” per combattere il nemico e difendere la patria è un’affermazione semplicistica che rivela quanta poca conoscenza abbia – chi fa queste affermazioni – del mondo hacker.
Per fare la guerra ci vogliono militari addestrati a usare le armi, comprese quelle informatiche. Non degli smanettoni
che hanno dedicato la vita a capire come funzionano le cose.