Scienza e tecnologia

Agenzia Nazionale di CyberSecurity, hacking e terrorismo: le parole hanno un peso

Women Target

 

 

Le giornaliste arabe vittime dell'attacco cyber del software governativo israeliano Pegasus

In questi giorni molti media italiani sembrano aver scoperto l'acqua calda rincorrendo le altisonanti dichiarazioni di molti politici a capo di istituzioni pubbliche, riguardo il fatto che esistano molti e diversi "pericoli" legati all'utilizzo di massa e sempre più diffuso della rete internet da parte di imprese, istituzioni governative e cittadini del nostro paese.  Appare abbastanza divertente osservare quanto politici e amministratori come Luca Zingaretti, presidente della Regione Lazio, si arrampichino sugli specchi definendo un banale virus, il "malware" che ha colpito i server regionali, come "il più grande attacco hacker in Italia".  Di questo malware,  il "ransom software" che ha colpito i server della Regione Lazio abbiamo parlato  in questo articolo.

Abbiamo anche riportato alcuni retroscena che ipotizzano una classica "triangolazione" (azione utilizzata spesso nel mondo hacking) nata con la violazione dei server dislocati a Cagliari, di proprietà di una azienda privata fornitrice di sistemi e software per la Regione Lazio (la  Engineering Spa), che sembra essere stata l'origine del problema. Le indagini della Polizia Postale sono comunque in corso e tutti attendiamo di conoscere quali saranno gli sviluppi della vicenda. 

Intanto Engineering respinge qualunque ricostruzione che la accosti a questa vicenda, con una pesante nota nei confronti di Repubblica.it che riportiamo in questo link

Engineering Sardegna

La sede della Engineering Spa a Cagliari in una mappa estratta dal sito web dell'azienda

 

L'unica cosa certa finora  però  è che la Regione Lazio avrebbe dovuto avere un piano di risposta agli incidenti di questo tipo, con  adeguati sistemi di backup e anche ambienti di disaster recovery  "ridondanti" e protetti attraverso un SOC (Security Operation Center) degno di questo nome, in modo da poter ripristinare il tutto in brevissimo tempo.  Anche perchè quella Regione rientra nel "perimetro nazionale di sicurezza cibernetica" previsto dalla Direttiva europea NIS  e dovrebbe avere una propria struttura interna deputata alla CyberSecurity in grado di mantenere livelli adeguati e "misure minime di sicurezza informatica dichiarate "dall'AgID (Agenzia per lItalia Digitale) per le Amministrazioni Pubbliche del nostro paese che, almeno sulla carta, esistono dal 2016  in quanto definite con precise linee guida.  

Stiamo tutti imparando, a nostre spese, quanto un malware, uno spyware o un ransomware, al pari di qualsiasi altro virus o attacco informatico,  possa essere molto pericoloso. Sopratutto quando sfrutta meccanismi che non sono mai soltanto tecnici e informatici e riesce a far danni maggiori quando diventa frutto dell'errore umano.  Molti degli errori, dietro questa ennesima violazione dei sistemi informatici di un ente pubblico sono, senza ombra di dubbio, errori umani.  

E il fattore umano è sempre la componente più debole di qualsiasi difesa contro attacchi cyber che utilizzino tecniche di  "social-engineering". 

I danni peggiori di un cyber-attacco arrivano poi quando l'utente colpito non solo non è stato in grado di prevenire e respingere, ma nemmeno riesce a rimediarvi a posteriori. Se dopo un attacco non si è in grado di  circoscrivere e mitigare i danni si può soltanto attendere la conta dei corpi sul terreno da parte del nemico. 

Prevenire, identificare, circoscrivere e mitigare danni. Sono termini di guerra. Ma  non sono cosa semplicissima da progettarsi in tempi di pace, quando si è sempre più deboli.  Questa  "debolezza"  propria del fattore umano è frutto  anche dell'ignoranza di chi prenda decisioni all'interno degli enti pubblici. Ignoranza intesa come non conoscenza di quel che si dovrebbe governare o gestire.

Che si affianca talvolta alla superficiale disattenzione o mancanza di cautela da parte di chi svolgendo funzioni più operative, con le necessarie competenze tecniche, accetti comunque di affrontare, in modo suicida e ad armi impari, molti temi legati all'ICT. Nel nostro paese, pur di non scontentare la  parte politico/decisionale, attiva in quel momento, si compiono azioni tecniche sempre miopi e di breve respiro. Azioni dettate spesso dall'emergenza. 

Attivare meccanismi e infrastrutture NDIS (Network Intrusion Detecting System) in una Amministrazione Pubblica è invece un processo complesso tutt'altro che emergenziale. Si tratta di creare infrastrutture costose e vitali che resteranno "invisibili" agli occhi dei cittadini e del bacino elettorale di riferimento del politico e amministratore di turno. Qualcosa che costa molto e, quando funziona perfettamente, lo fa senza far rumore. Nulla, in apparenza, risulta visibile all'esterno. Azioni e processi infrastrutturali di questo tipo sono di lunga durata e sempre  ben poco spendibili a livello di immagine o consenso immediati. Si deve poter disporre di volontà politiche e visione d'insieme oltre a molti denari dei contribuenti, che devono esser spesi bene, con lungimiranza e cognizione di causa.  

Non si tratta solo di progettare e creare  costose infrastrutture materiali e immateriali in ambiti di costante evoluzione e obsolescenza tecnologica. Ci si deve dotare anche di risorse umane. Personale con adeguate competenze informatiche che sia in grado di  svolgere compiti di gestione e monitoraggio costante attraverso tali infrastrutture.  E mantenere nel tempo ambienti remoti e sistemi di sicurezza in grado di prevedere e anche mitigare gli effetti del prossimo "cyber-pericolo" in arrivo.

Perchè ci sarà sempre, sulla rete, una minaccia cibernetica imminente o un attacco che non si riuscirà a prevenire.  Molto difficile che tutto questo sia oggi realizzabile nel "deserto digitale"  e nella soffocante mole di burocrazia che circonda la pubblica amminsitrazione. Risulta difficile anche pensarlo e progettarlo in qualsiasi ente pubblico del nostro Paese.  

Diventa impossibile realizzare qualsiasi cosa destinata a durare, in ambito ICT,  dopo tanti anni di "spending-review" e logiche di bilancio pubbliche che hanno previsto, sopratutto negli Enti locali di qualsiasi dimensione, ogni anno, il decurtamento percentuale rispetto le spese dell'anno precedente destinate alla vita "ordinaria" delle proprie infrastrutture.  Spending review imposta a tutta la Pubblica Amministrazione dal rispetto di patti di stabilità e normative europee.

Significa che finora, quando si è parlato di informatica nella PA,  si è sempre tentato di organizzare il classico pranzo di nozze, con ben pochi denari e  servendo solo fichi secchi.   Quindi scopriamo l'acqua calda anche noi asserendo che, decenni di riduzione di spese per l'ordinaria amministrazione, senza grossi investimenti infrastrutturali, hanno ridotto la maggioranza delle nostre amministrazioni pubbliche locali,  Province, Regioni, Comuni, Sistemi sanitari regionali e anche sedi periferiche di enti, agenzie governative o amministrazioni centrali, ad un immenso "colabrodo" che fa acqua da tutte le parti. Non soltanto dal punto di vista della sicurezza informatica.  

Ma probabilmente, i politici nazionali  al governo in questo paese, non hanno un grande  interesse nella soluzione di tanti piccoli problemi diffusi nei sistemi ICT e nella "periferia" informatica dell'impero. Un backup che non funziona in una Regione o in un Comune viene visto soltanto come un motivo in più  per attuare  un depauperamento costante delle opportunità a livello locale. Ogni emergenza porta a soluzioni di accentramento ulteriore, da parte di una Amministrazione Centrale che sottrae risorse, funzioni, poteri e fondi periferici per destinarli a livello centrale. 

Questo oggi è ancor di più evidente con i fondi  multimiliardari del PNNR.  Il "Piano di Resilienza" nazionale contiene alcune voci che appaiono come panacea di tutti i mali causati dalla carenza ultraventennale di una adeguata digitalizzazione dei servizi pubblici di questo paese.

Ma quelle stesse voci,  osservate più attentamente, si rivelano per quello che sono. Un progressivo ritorno alla centralità dello stato, con il ritorno di funzioni e servizi in capo alle amministrazioni centrali. Con buona pace di tutti i "federalismi" o le "autonomie" di questo paese. 

Osservato sotto questa logica non appare quindi tanto strano tutto questo clamore a sostegno del gridare "al lupo, al lupo, hacker." da parte di Zingaretti. Esso rappresenta uno splendido sincronismo "emergenziale" con il recente varo dell'Agenzia per la Cybersicurezza Nazionale 

Nonostante l'Italia, da anni e secondo molte fonti, sia tra i dieci paesi al mondo più colpiti dal cyber-crime (LINK)  è solo grazie al clamore mediatico di quest'evento in Regione Lazio che finalmente molti politici, insieme alla maggioranza dell'opinione pubblica Italiana, scoprono all'improvviso quanto si sia oggi tutti inermi, impauriti e indifesi se posti di fronte ai "cyber-criminali cattivi" appostati appena fuori dal nostro giardino.  

Un altro interessante aspetto che è utile ribadire è legato al fatto che mai come in questi ultimi anni si sia assistito ad un utilizzo massivo delle tecnologie della rete in Italia. Tecnologie finalmente a disposizione di tutti che sono anche una rappresentazione perfetta di certo substrato culturale e popolare di una massa che diventa sempre meno esperta, intelligente o anche semplicemente attenta e curiosa di approfondire qualsiasi tematica. Ancor meno esperta o curiosa verso qualsiasi argomento abbia letteratura ufficiale e si basi su fondamenti scientifici o tecnologici.

Detto senza troppi peli sulla lingua, proliferano, su tanti e diversi fronti anche dove meno te li aspetti, i "tuttologismi" da social-media di massa. E il mondo della comunicazione li segue a ruota. Legando il cavallo dove il padrone (o l'audience del più ignorante influencer o no-vax di turno) ritiene debba stare. 

Tutto questo nostro agire e pensare, in era di tecnologie digitali e comunicazione in rete, si riduce sempre più a questo approccio frettoloso, superficiale, disattento e anche incosciente.  Spesso addirittura arrogante e anche ignorante, nel senso che ignoriamo, l'intero eco-sistema digitale che ci circonda tutti. E con esso la moderna società civile che dovrebbe esprimerlo.

Ecco perchè noi tutti, come persone, insieme ai nostri rappresentanti nelle istituzioni che sono altrettanto ignoranti par nostro, usiamo spesso la rete internet, il web, i social network, e infinite altre tecnologie e strumenti digitali e della comunicazione, senza avere la minima cognizione di causa rispetto cosa rappresentino, cosa contengano, chi li gestisca o cosa ci sia dietro. 

Salvo poi lamentarci e far la conta dei danni quando tutti i buoi siano scappati o i nostri dati vengano violati.

Quindi, direi si debba innanzitutto  aprire gli occhi e constatare quanto, dietro la rete internet, esista un mondo intero, un vero e proprio  ecosistema, fatto di attività, idee e azioni lecite e anche illecite. Tutte prosperano in mutuo interscambio  grazie a due fattori fondamentali: le economie occidentali rese sempre più virtuali dai mercati finanziari e la ricerca ossessiva di posizioni dominanti, nello scenario mondiale, da parte di operatori economici,  lobbies  rappresentanti portatori di interessi e classi dirigenti governanti le democrazie o pseudo-democrazie dei paesi più industrializzati. 

Tutto si muove in rete, per il dominio dell'altrui territorio dentro  scenari tecnologici frenetici e dominati dalla finanza e dai mercati. Non me ne vogliano i complottisti ma purtroppo non esiste nessun "nuovo ordine mondiale" organizzato da combattere.  L'unico vero "complotto" è la banale esistenza di masse  ignavi, moltitudini sempre più ampie di utenti/consumatori  che, anche attraverso la rete,  ogni giorno, si pongono al servizio di un "capitalismo di mercato".  Governato non da un'elite di pochi e potenti ricchi  "Illuminati" ma dal caos e dalla corsa al profitto che ci coinvolge e domina, in qualche modo, tutti.  E in questo caotico complotto globale non organizzato che troviamo gli individui, divenuti collettività di utenti della rete, rappresentare l'ennesimo "parco buoi" che agita qualsiasi listino di Borsa prima del suo default. 

Un parco buoi fatto di persone da muovere come pedine per  alimenta il sistema economico, produttivo e finanziario. Un parco buoi/utenti di tal tipo diventa naturale terreno di coltura per le affascinanti teorie di complottismo. Terreno fertile in cui muoversi con il fare superficiale e ignorante che è proprio dell'approccio di tutti noi alle tecnologie e alla rete internet di cui prima ho parlato.  E' questo il motivo per cui, da più parti, sentiamo molti politici per un banale virus ransomware che ha infettato i server della Regione Lazio, invocare l'intervento dei servizi segreti italiani, dell'Interpol e addirittura dell'FBI.

Ecco che qualcuno si affretta a dichiarare anche come, dietro questo importante "data-breach" ci sia l'oscura mano di potenze straniere,  i cui governi lavorano da tempo nell'ombra, finanziando azioni mirate di "cyber-crime" sempre più organizzate e  dirette contro le democrazie del blocco occidentale. 

Immediato è anche il riferimento alle recenti dichiarazioni del presidente americano Joe Biden che, insieme ai paesi Europei della Nato, ha mosso verso la  Cina identiche accuse per difendere gli interessi di stato e militari statunitensi.

Interessi che evidentemente coincidono con quelli dell'Unione Europea e anche con gli interessi economici della più grossa azienda americana di software per l'eGovernment globale (ovvero la Microsoft). Azienda  che ha in mano i sistemi di molti governi di  tutto il mondo e che, a marzo di quest'anno, si è vista violare ben 250mila  server di posta MS-Exchange distribuiti globalmente. Violazione di cui, peraltro, ancora non si conoscono e comprendono entità e gravità reali.

E diventa quindi facile anche per tutti noi, che fin dal secondo dopoguerra "vogliamo sempre fà l'Americani", iscrivere questo piccolo episodio "regionale" nel calderone di ipotesi futuristiche che parlano della nuova guerra fredda tra superpotenze.  

Tutto, ora e sulla rete, comincia ad apparirci  una minaccia e tutto diventa congeniale alla creazione di un clima di "Cyber-INSICUREZZA" adeguato per il futuro.  Ma, se anche così fosse, dovremmo andare a verificar bene responsabilità e cause. E forse scopriremo che questo allarmarsi inutile dei nostri politici sarebbe una ulteriore scoperta di "acqua calda". 

A proposito di responsabilità e cause, che concorrono a formare la nostra moderna "cyber-insicurezza,  vorrei farvi solo un esempio.

Quelle  moderne logiche di   "triangolazione" utilizzate nel mondo hacking per far perdere le proprie tracce informatiche, spostando dati e informazioni attraverso diversi server e diversi software, inaccessibili o dislocati in vari luoghi nel mondo,   non devono scandalizzarci troppo.  Non è certo una "bad-practice"  inventata o utilizzata solo dai pellerossa cattivi di questo film western all'italiana.

Anzi, la triangolazione a scopo di occultamento delle informazioni probabilmente, è una pratica antica, pre-digitale, che piace parecchio anche ai cowboy e agli sceriffi.  Da sempre infatti, molte imprese e multinazionali Hi Tech che operano con fondi governativi e fanno ricerca e sviluppo di tecnologie strategiche per la difesa, operano anche nel commercio e nell'export  mondiale di beni e tecnologie che sono frutto di brevetti ad alto valore aggiunto sia industriale che, sopratutto,  militare.  Queste stesse imprese, per poter estendere i propri mercati e realizzare profitti in virtù di logiche che sono finanziarie e capitalistiche, fanno di tutto per ovviare alle diverse leggi internazionali che dovrebbero controllare e regolamentare il commercio e l'export dei "dual-use ".

Ovvero dovrebbero evitare proprio quella vendita di tecnologie bi-valenti verso dittature, "stati-canaglia", paesi in guerra o nazioni i cui governi siano considerati non affidabili e soggetti ad embargo. Per evitare che i loro governanti  possano utilizzare tecnologie civili per scopi militari.

Eppure soltanto nell'Unione Europea, secondo fonti ufficiali come gli "EU dual-use report" analizzati da osservatori indipendenti (LINK) si stima che negli ultimi 5 anni le regole del "dual-use" siano state ripetutamente violate da oltre un migliaio di imprese, generando un giro d'affari di decine di miliardi di euro. Ovviamente, non stiamo parlando solo di export di armamenti perchè molte sono le violazioni nel settore del software e dell'hi-tech. 

Questa triangolazione produce lo scambio delle informazioni su tecnologie software e brevetti, che da illegali vengo rese legali, anche grazie all'uso della rete. Essa è ovviamente una tecnica utile,  in primis per esportare e commercializzare armi di tipo convenzionale,  prodotte per essere assemblate e vendute in modo distribuito e delocalizzato. Ma queste tecniche rendono oggi ancor più semplice  la vendita di tutte quelle nuove e preziose armi tecnologiche definite come cyber-weapons.  Perchè si tratta di tecnologie e software che, per loro intrinseca natura, nascono "multi-use"  in quanto vengono progettate proprio per  mascherarsi e proteggersi  dai tentativi di individuazione da parte delle tecnologie e strumenti di monitoraggio altrui e per sconfiggere  e violare le contro-misure elettroniche di protezione dell'avversario". 

Sono quindi considerati armamenti cibernetici  le tecnologie e i tanti software di intrusione e spionaggio elettronico appositamente progettati dalle aziende per i governi, le forze armate e le agenzie di intelligence dei rispettivi paesi. Compreso il nostro e quelli dei nostri alleati.

E, per noi cittadini e comuni mortali, tutti gli "armamenti"  cibernetici o meno diventano infinitamente più pericolosi quando finiscono nelle mani sbagliate. 

L'uso "disinvolto" che le intelligence di stato possono fare dei dati informatici (non solo nelle dittature ma in qualsiasi democrazia occidentale)  rappresenta per tutti noi un pericolo di cui vediamo, per ora,  solo la punta dell'iceberg contro cui, probabilmente, ci schianteremo a breve. Una minaccia di Stato che può essere coordinata e anche deviata, può diventare molto più pericolosa, per la società civile, del semplice attacco hacker "random" che riesca ad installare, praticamente alla cieca,  un malware nel pc di uno sprovveduto in smart-working e da lì arrivi ad infettare i server dell'Organizzazione pubblica a cui questi si sia connesso. 

La nota vicenda del software israeliano Pegasus  rappresenta certamente  un esempio calzante di quanto intendo.  L'uso di un sistema di  cyber-difesa, creato per un governo occidentale, che permette il controllo delle persone in modi che definire disinvolti è un eufemismo. 

Un software, questo Pegasus, spyware prodotto dall’azienda israeliana Nso, dimostratosi altamente efficace e  in grado di violare i dati informatici attraverso le reti di comunicazione globali usate per il roaming dai cellulari di ognuno di noi. Che viene  progettato per i servizi segreti di un paese "amico" dell'occidente  e  poi ceduto, attraverso i classici  meccanismi del "dual-use infringement"  ad altri servizi segreti di paesi ben poco amici e ancor meno attenti ai diritti civili. 

Non pensate però di mettervi troppo comodi sul divano per poter seguire questa "spy-story" moderna.  Perchè la sceneggiatura dei nuovi western a tinte "pulp", come nelle migliori web-serie digitali per il web, come vedrete, muta continuamente e li trasforma in film cyber-horror.  Questa vicenda, legata a Pegasus, di cui conosciamo realmente ben poco, ci offre un esempio di quello che possiamo definire  "cyber-terrorismo di stato" da parte di cattivi cowboy. Ed è una vicenda dove,   guarda caso, le  poche misure di difesa ci vengono offerte proprio dai pellerossa buoni che combattono il sistema.

In questo caso i pellerossa sono Hacker. Fanno parte  del collettivo  Amnesty Tech.  Tutta gente che, lavorando con Amnesty, l'associazione per la difesa dei diritti umani, ha messo a punto un software gratuito e scaricabile online, cheche si chiama MST Mobile Verification Toolkit, e permette a tutti di  sapere se lo spyware abbia attaccato anche il proprio smartphone Android o iOS. 

Ecco, sono certo che di terrorismo cyber sentirete parlare ancora dopo il clamore mediatico in Italia intorno ai server della Regione Lazio. Ma non so quanto sentirete invece parlare di Cyber-terrore di Stato. Perchè non ho visto poi tanti media nostrani riportare la recente notizia dell'emittente staunitense NBC secondo cui proprio quel software Pegasus, oltre che per spiare i telefoni di 50mila VIP in tutto il mondo, sarebbe stato utilizzato dai servizi segreti di alcuni stati medio-orientali anche per estrarre foto intime e private dai telefoni di giornaliste e attiviste, alcune della Tv  Al Jazeera, ritenute ostili dai propri governanti.  

Le foto di queste donne sono state poi pubblicate in rete e associate a profili falsi sui diversi social, con l’obiettivo di creare una gogna mediatica e di distruggere la loro reputazione. Tutte azioni queste di "cyber-terrorismo" che violano ii diritti civili di persone ignare e, trattandosi di donne, dovrebbero indignarci quanto il peggiore atto di stalking. Direi quindi non abbia molto senso, parlare di uso fraudolento delle nuove tecnologie per poi fermarsi alla foce dell'ultimo attacco cyber ma sia necessario nuotare sempre anche un poco controcorrente. Per andare a verificare chi possa aver iniziato ad avvelenare i fiumi, dalle sorgenti fino a valle.

E soprattutto chi sia alla fine a guadagnarci di più grazie al commercio dei veleni.  Ecco perchè, se tutte queste parole possono avere ancora un peso, quando sentiamo alcuni nostri politici parlare, spesso a vanvera,  di "Cyber-Terrorismo", sarebbe sempre interessante ricordare a loro e a tutti quanto sia triste, ma anche profetica,  l'analogia insita nel binomio che associa terrorismo e cyber-terrorismo.  Nonostante siano trascorsi molti decenni abbiamo in tanti, per fortuna, ancora buona memoria. E rende tristi quelli più anziani fra noi, pensare all'epigone  contemporaneo del termine che ci riporta ad un  "Terrorismo di Stato" che tante vittime ha fatto durante gli anni di piombo e ancora più avanti. Anni di guerra fredda, che si spingono ben oltre.