di Enrique Amestoy (Uruguay)
“Se un governo decide di dover effettuare attacchi informatici nell’interesse nazionale o per questioni di sicurezza, si potrebbe dire che si tratta di una scelta evoluta” sosteneva alcuni mesi fa l’ex ministro delle Forze Armate britannico Nick Harvey. Senza proiettili e senza eserciti convenzionali, le nuove forme di guerra sono potenzialmente più devastanti di quelle tradizionali.
Il XXI secolo, come sempre nella storia dell’umanità, è stato contrassegnato da conflitti bellici di maggior o minore ampiezza. Afghanistan, Irak, Chiapas, la rivolta nel Maghreb, la guerra civile in Siria o l’invasione della Libia sono solo alcuni esempi di guerre convenzionali. Spargimento di sangue, territori conquistati, spazi di potere economico e politico guadagnati o persi in differenti scenari. Si è letto e discusso molto su ognuno di questi avvenimenti. Forse meno conosciute sono le nuove forme di guerra “senza proiettili”.
Il 3 giugno 2012, a Singapore, la conferenza asiatica sulla sicurezza, conosciuta con il nome di Dialogo di Shangri-La, si è chiusa con un monito sulla crescente minaccia della cosiddetta “cyberguerra” e sulla necessità di potenziare la difesa marittima in questi momenti in cui la regione va acquistando sempre maggior importanza a livello mondiale. A questo proposito sono stati portati come esempi gli attacchi degli Stati Uniti all’Iran e i sistematici attacchi ai sistemi di sorveglianza tra Corea del Nord e Corea del Sud. Nelle parole del ministro della Difesa malese, Ahmad Zahih Hamidi: “Il controllo e il dominio dello spazio cibernetico è oggi di importanza primaria sia prima che durante qualsiasi dispiegamento militare”.
Per Nick Harvey, membro del comitato che ha affrontato i nuovi scenari bellici sorti nel XXI secolo, gli attacchi cibernetici con carattere preventivo, attuati per neutralizzare ipotetiche minacce alla sicurezza nazionale, sono una risorsa di cui tener conto, ribadendo nel suo intervento che: “Direi che, se un governo decide che, nell’interesse nazionale o per ragioni di sicurezza, deve lanciare un attacco contro un nemico, allora possiamo dire che si tratta di una opzione evoluta”. Nel suo intervento, poi, il ministro degli affari esteri del Canada Peter Gordon Mackay ha ricordato la necessità di “una stretta collaborazione tra stato e settore privato in questo tipo di scenari, oltre a un accurato lavoro dei servizi di intelligence”, mentre il ministro della difesa malese ha ricordato ai suoi omologhi e agli esperti presenti alla conferenza che, nonostante la cyberguerra sia ormai già in atto, la maggior parte degli Stati sono scarsamente preparati per affrontarla, specie in materia di intelligence.
Nel mese di giugno 2011 la polizia spagnola annunciava di aver smantellato la “cupola” degli “hacktivisti” di Anonymous in azione in Spagna. Stando ai mezzi di informazione, le inchieste avrebbero potuto permettere di appurare anche eventuali rivelazioni di segreti. Durante le perquisizioni erano stati confiscati molti programmi per la creazione di malware e di virus destinati a infettare computer di terzi. “Questa inchiesta rappresenta la prima operazione di polizia condotta in Spagna contro Anonymous e ha precedenti solo negli Stati Uniti e in Gran Bretagna, a causa dei complessi mezzi di sicurezza che i suoi membri prendono per conservare l’anonimato” aveva sottolineato la polizia spagnola. All’epoca si ironizzò molto in rete sul concetto di “cupola” applicato ad una organizzazione di cyber attivisti o cyber aggressori.
Durante la nazionalizzazione degli idrocarburi in Venezuela nel 2003, la destra organizzò uno sciopero petrolifero che paralizzò l’economia del paese per vari mesi. Il PIL registrò una caduta del 15,8% durante il quarto trimestre del 2002, e del 24,9% nel primo trimestre del 2003. Nel settore petrolifero il crollo fu rispettivamente del 25,9% e del 39,3%. Lo stato cercò di riprendere il controllo della sua azienda, ma la “mente” della PDVSA (la compagnia petrolifera statale) era controllata da produttori privati di software esclusivo che lo impedivano. Un intero paese bloccato e assoggettato attraverso il controllo del software.
A febbraio del 2010 la Camera dei Rappresentanti degli Stati Uniti approvava un bilancio preventivo di circa 400 milioni di dollari per il potenziamento del proprio “esercito virtuale” e per nuovi reclutamenti. Lo scorso 26 aprile, poi, la camera bassa nordamericana ha approvato il “Cyber Intelligence Sharing and Protection Act” (CISPA o HR-3523), che autorizza l’interscambio di informazioni sul traffico delle comunicazioni per ragioni di “sicurezza”. Imprese come Microsoft, Facebook, Intel, AT&T o Verizone hanno risolutamente appoggiato questo emendamento alla Legge sulla Sicurezza Nazionale. Sia il SOPA (Stop Online Piracy Act) che il PIPA (Protect IP Act) sono al momento bloccati, ma la loro approvazione legittimerebbe il controllo della rete e rappresenterebbe un grave attacco alle libertà individuali con il pretesto della sicurezza nazionale o della lotta alla pirateria.
L’esercito israeliano, il Tsahal, apporta un contributo decisivo alla sicurezza dell’informazione attraverso i propri centri di investigazione organizzati in spazi collaborativi. La tecnologia nasce e si sviluppa all’interno delle sue unità speciali e secrete: Mamram o unità 8200. Questi centri militari fanno da incubatori per centinaia di esperti che poi si distribuiscono nella cosiddetta “Silicon Valley” israeliana, mantenendo un contatto permanente con l’esercito grazie a periodi di servizio militare obbligatorio. La selezione dei futuri geni avviene molto presto nel ciclo scolastico israeliano, visto che già a partire dai dieci anni gli alunni vengono individuati e selezionati dagli insegnanti per essere orientati verso i licei tecnici che li trasformeranno in “animali informatici” prima di essere inquadrati in queste unità militari speciali.
Nel giugno del 2010 Stuxnet veniva riconosciuto pubblicamente come il worm o virus spia responsabile dell’attacco al programma nucleare iraniano. Mentre la stampa ne parlò diffusamente, il silenzio da parte dei governi israeliano e statunitense fu assoluto. “The New York Times” addossò tuttavia la responsabilità della creazione e diffusione del virus a entrambi i paesi, affermando che in una centrale nucleare a sud di Israele veniva testato un virus con l’obiettivo di sabotare impianti nucleari iraniani. Mahmud Alyaee, segretario generale dei server industriali iraniani, tra cui quelli che servono al controllo delle installazioni nucleari, confermò il 25 settembre 2010 che 30.000 computer installati in zone industriali erano stati infettati con il virus al punto da risultare bloccati. Certamente Stuxnet non è l’unico: viene descritto come facente parte di un gruppo di almeno cinque armi informatiche, tra le quali Duqu, Flame, scoperto un paio di mesi fa, o Gauss, scoperto pochi giorni fa in Medio Oriente, un vorace virus in grado di spiare transazioni bancarie o persino attaccare infrastrutture critiche, sembrano essere tra le più complesse. L’11 agosto 2012 sul portale elmundo.es si leggeva: “Jeffrey Carr, direttore di una piccola impresa di sicurezza (Taia Mundial), ha dichiarato che il governo degli Stati Uniti da sempre monitora le banche libanesi. L’idea è cercare piste sulle attività di gruppi militanti e di cartelli della droga. Carr ipotizza che, probabilmente, Gauss è una variante della tecnologia utilizzata in Flame.”
Lo scenario della guerra cibernetica si fa ancora più complesso quando lo spionaggio e gli attacchi non vengono realizzati solo dai governi: è impossibile sapere quanti siano i ciber-mercenari o gli “sciroccati” che giocano alla guerra, colpiscono sistemi informatici o bloccano computer in tutto il mondo, e in molti casi senza essere collegati a uno Stato, a un’organizzazione o a una strategia bellica alcuna. Rimane tuttavia chiaro che gli Stati devono prendere molto sul serio le nuove minacce, per poter disegnare strategie di difesa nazionale in grado di smantellare questi attacchi non tradizionali. Sul sito del “Centro de Estudios de Software Libre” dell’Uruguay (CESoL) si sottolinea come lo Stato abbia la responsabilità e l’obbligo di vegliare sui diritti dei cittadini. Il metodo di acquisizione e sviluppo di software nello Stato non sfugge a quest’obbligo. Da questo punto di vista, noi pensiamo che tali diritti si possono analizzare intorno a tre grandi argomenti: la produzione di conoscenza, il miglioramento della gestione e la riduzione dei costi.”
I paesi membri del MERCOSUR, in diversi stadi di sviluppo, hanno legiferato sul Software Libero, implementandolo nello stato. La difesa della sovranità nazionale è tema centrale nello sviluppo delle politiche dello stato. Gli appartenenti a CESoL sottolineano “l’importanza geopolitica” di assumere il tema del software pubblico come politica dello Stato da parte dell’Uruguay.
Perchè è importante che lo Stato utilizzi il software libero?
Il software libero ha la peculiarità di non essere un “sistema a scatola nera”. Nel sistema a scatola nera, noi conosciamo solo un pacchetto o un DVD dei vari programmi (come nel caso di Windows, Autocad, Office, un videogioco, il nostro antivirus o i vari programmi utilizzati nei computer di gran parte dei paesi), mentre nulla sappiamo del loro funzionamento: possiamo sapere COSA fanno ma mai COME lo fanno. Nè tanto meno abbiamo accesso a informazioni sulla loro fase di programmazione o cosa fa un certo programma mentre lo utilizziamo (qualsiasi programma, per esempio un elaboratore di testo, potrebbe, a nostra insaputa, analizzare il disco fisso, leggere archivi o indirizzi mail ed eventualmente inviare le informazioni attraverso la rete mentre noi stiamo elaborando un documento).
Il software libero, invece, include, oltre al programma esecutivo (quello per intenderci con estenzione .exe), anche il codice sorgente (tutto quello che i programmatori hanno scritto per generarlo) e permette espressamente di leggere il codice, realizzare qualsiasi tipo di ricerca o modifica così come condividerlo con altri utilizzatori, con o senza modifiche. La creazione e l’utilizzazione di software libero da parte dello Stato permette di conoscere esattamente, e senza dar luogo a equivoci, le funzioni eseguite dal programma stesso. Possiamo analizzarlo, testarne eventuali vulnerabilità, modificarlo, correggerlo, condividerlo con altri organismi statali. Qualcuno pensa forse che i sistemi di difesa “yankee” siano gestiti da programmi creati da terze parti con il sistema della “scatola nera”?
Tutta la macchina bellica attuale è controllata da computer e dai relativi programmi in esecuzione: viene da chiedersi, per esempio, se la sovranità nazionale è garantita, in computer e programmi utilizzati dal ministero della Difesa, da quello dell’Interno o dalla Banca Centrale, se questi utilizzano programmi sviluppati sotto copyright privati. Come ci difendiamo da eventuali attacchi informatici (siano essi di “sciroccati”, multinazionali o eserciti cybernetici) quando usiamo programmi realizzati con il sistema a scatola nera?
Il 20 settembre scorso il mai abbstanza elogiato settimanale Busqueda informava che, dopo quindici anni di assenza dal paese (almeno ufficialmente), la DEA avrebbe aperto suoi uffici in Uruguay. La CIA non ha bisogno di installare uffici nel paese, può spiarci e controllarci attraverso Internet. Eppure si sono creati un’entratura nel paese. Il pretesto: aiutare nella lotta al traffico di stupefacenti. Incidentalmente, le fonti citate dal settimanale se la prendono duramente con i progetti di autocoltivazione di cannabis o di coltivazione e controllo da parte dello Stato.
Chiaramente questo tema dovrà occupare un capitolo a parte, tuttavia viene da chiedersi: sappiamo chi e in che modo ci controlla attraverso Internet? Siamo preparati per respingere attacchi informatici come quelli subiti da Iran e Venezuela? Il problema del controllo del software sviluppato e utilizzato dallo Stato è presente nell’agenda politica? O aspettiamo che sia troppo tardi, come è successo a PDVSA, per prendere le misure adeguate?
Risulta chiaro che ci stiamo muovendo piano (per non dire che non ci stiamo muovendo affatto) e che questo tema non ha posto nella maggior parte delle agende di chi deve prendere decisioni. Appare altrettanto chiaro che non dovremmo continuare a perdere tempo per non trovarci poi a piangere sul latte versato.
Traduzione dallo spagnolo di Giuseppina Vecchia