2019: UN BILANCIO DELLE NUOVE E VECCHIE MINACCE CYBER

di Serena Lisi

 

Se il 2018 è stato l’anno di avvento e declino dei ransomware (sequestro di dati digitalizzati e profili per chiedere un riscatto), il 2019 è l’anno delle nuove botnet, robot networks, reti di elaboratori che mantengono attivi in maniera fraudolenta servizi web spesso usati per scopi illeciti. Proprio nell’ultimo mese dell’anno è scattato l’allarme a proposito di una nuova variante di Gold Brute, definito dagli analisti di CybergON (business unit di Elmec Informatica) come l’ultima frontiera delle botnet.

 

Una sorta di insidioso “ritorno al passato”, che conferma il trend già visto nel 2018, segnato a sua volta dal ritorno del phishing, ossia del furto di dati sensibili realizzato per mezzo di inganni quali finte e-mail di istituti di credito, organi ufficiali e associazioni, che richiedono credenziali e informazioni personali e/o aziendali. Anche se il phishing miete ancora molte vittime, è possibile, tuttavia, affermare che ormai è una minaccia nota le cui azioni e finalità sono comprese dalla maggioranza degli utenti della rete, che magari peccano di ingenuità o si ritengono “immuni”, ma che comunque conoscono il meccanismo e i   risultati della frode messa in atto.

 

Diversamente, la minaccia del “nuovo” Gold Brute e, più in generale di tutte le botnet non è ancora stata compresa a fondo, sia dai privati cittadini che dagli imprenditori. In sostanza, la botnet non è altro che una rete di computer o dispositivi informatici infettati da un malware, che accedono ad alcuni servizi di rete all’insaputa del proprietario e degli utenti autorizzati all’uso dei dispositivi stessi. Tali dispositivi, non a caso, sono spesso definiti zombie, poiché vengono controllati subdolamente da un cosiddetto botmaster, ossia da un soggetto che impartisce le informazioni fraudolente da accessi remoti e nascosti.

 

La nuova variante di Gold Brute pare essere particolarmente insidiosa, poiché, tramite i dispositivi infettati, riesce a individuare e sfruttare server che espongono il servizio RDP (Remote Desktop Protocol), in modo da utilizzare credenziali deboli (cioè non protette da sistemi di crittografia e firma crittografica forti) o rubate. Il botmaster che utilizzerà Gold Brute in questa sua nuova versione, dunque, non disporrà solo della cosiddetta potenza di calcolo del dispositivo infettato, ma anche di una molteplicità di credenziali – quindi di identità altrui – ottenute proprio tramite ogni device zombie a propria disposizione nella rete. La particolarità di questa versione del malware consiste nel fatto che esso dispone di più punti di accesso per ogni singolo dispositivo attaccato, per poter eseguire anche solo una parte del codice malevolo, indipendentemente dall’esecuzione del malware stesso per intero: in altre parole, una volta infettata, l’apparecchiatura colpita può far partire sia una che tutte le azioni previste da Gold Brute. Tali azioni vanno dagli attacchi brute force, che permettono di ottenere password di ignari utenti analizzando e provando tutte le possibili combinazioni crittografiche legate alla predetta utenza, fino a trovare quella giusta, all’uso di una library (archivio interno) di password già ottenute, fino all’individuazione pseudocasuale di indirizzi IP di server da utilizzare per attivare i servizi richiesti dal botmaster.

 

La particolarità delle insidie sopra descritte risiede nel fatto che questo nuovo Gold Brute non si avvale di un solo protocollo per compiere i propri attacchi: oltre al già citato RDP per accedere a servizi web che richiedono credenziali, riesce ad utilizzare anche i protocolli SSH (Secure Shell) e Telnet, per l’accesso remoto a connessioni tramite righe di comando. La questione particolarmente difficile da capire per l’utente medio riguarda proprio il binomio inganno – brute force, ossia la dicotomia tra mezzi di persuasione fraudolenta e mezzi di vero e proprio “scasso elettronico”: infatti, Gold Brute si nasconde dietro il file eseguibile javaw.exe, scaricato sul dispositivo attaccato insieme al Java Runtime, ad alcune libraries in formato DLL e ad un archivio ZIP protetto con la password XHr4jBYf5BV2Cd7zpzR9pEGned. Il file eseguibile javaw.exe è solo apparentemente lecito, quando invece contenente due file di testo che attivano le “porte”, ossia gli accessi remoti e le azioni di brute force. Questa combinazione di accesso fraudolento e scasso violento ha finora censito, a detta degli esperti, ben 4 milioni di macchine, che possono avere accesso al milione e mezzo di server già presi di mira entro il giugno scorso dalla vecchia versione di Gold Brute, di per sé già piuttosto insidiosa. La riflessione che emerge da questi ultimi fatti è, dunque, la seguente: le “vecchie” e già note minacce non devono mai essere sottovalutate perché, così come virus e batteri patogeni (da cui spesso prendono ispirazione) che attaccano l’uomo e gli altri esseri viventi, si evolvono continuamente, diventando tanto più resistenti e resilienti quanto più lo sono i sistemi da esse attaccati.

2000-2020: RIFLESSIONI SU VENT’ANNI DI PERCEZIONE DELLA SICUREZZA CIBERNETICA

di Serena Lisi

 

Il nuovo millennio è iniziato all’insegna di molte aspettative, ma anche di molte paure, come ad esempio quella che attanagliò le menti di milioni utenti dei servizi telematici a proposito del cosiddetto Millennium Bug. Con tale nome, era designato un fantomatico malfunzionamento dei datari di dispositivi elettronici quali computer, ATM e telefoni cellulari, che sarebbero dovuti “impazzire” allo scattare della mezzanotte del primo gennaio 2000, in virtù del fatto che molti di essi – a detta dei più apprensivi – non avrebbero riconosciuto il nuovo anno, utilizzando un datario che segnalava l’anno in corso con sole due cifre, le ultime, avendo un formato del tipo gg/mm/aa (numero giorno/numero mese/ultime due cifre dell’anno).

 

Per la prima volta, in tempi non sospetti e ben lontani da quelli dell’attacco del 2007 all’Estonia, e da quelli del 2007 e 2010 all’Iran, la società civile del mondo intero fronteggiava una nuova minaccia che ancora non aveva un nome codificato: il DDoS, Distributed Denial of Services. Se il Millennium Bug avesse colpito così duramente come temuto, infatti, il risultato, seppur accidentale e non doloso, sarebbe stato esattamente un DDoS, ossia una interdizione massiva di servizi, anche primari, come quelli bancari o legati al mondo delle telecomunicazioni, che avrebbero bloccato moltissime attività quotidiane e creato, sempre involontariamente, l’equivalente di attacchi sintattici (cancellazione di informazione) e semantici (creazione o mescolanza errata di informazioni) a banche dati grandi e piccole, fossero esse gestite da comuni cittadini, da enti pubblici o grandi aziende private. Nel 2000 tutto questo non accadde: ci fu soltanto una grande paura e qualche piccolo malfunzionamento o sovraccarico di linee e furono isolati i casi di errore semantico nelle banche dati, riconducibile più che altro a qualche malinteso sulla certificazione di alcune date a doppio zero, talora bizzarramente equivocate tra 1900 e 2000.

 

Tuttavia, la “grande paura” di quel capodanno aveva segnato l’avvento di una nuova epoca e, soprattutto, di una nuova consapevolezza: seppur molto lentamente e superficialmente, alcuni cominciavano a comprendere che la quinta dimensione non era solo un territorio virtuale di libertà, ma era anche il regno dell’incertezza e dell’anarchia e che servivano più adeguate informazioni per tutti ed un framework normativo che tutelasse utenti, produttori e gestori delle comunicazioni in rete. Non a caso, proprio nel 2000 l’Unione Europea cominciò a lavorare alla Convenzione di Budapest, ratificata dal Consiglio d’Europa il 23 novembre 2001.

 

Come spesso accade per le innovazioni tecnologiche, tuttavia, la regolamentazione della materia ha avuto, in questi ultimi venti anni, un’evoluzione molto più lenta e discontinua rispetto al progresso tecnologico. Alcuni esempi sono particolarmente calzanti in questo caso: la normativa dei singoli Paesi europei si è adattata con molta lentezza alla convenzione di Budapest, come dimostra il caso italiano con la legge 48/2008; inoltre, anche a livello globale, seppur contemperata da svariati accordi bi- e multi-laterali e iniziative, l’incertezza in campo normativo e di regolazione continua a persistere, peraltro sostenuta dalla naturale e attestata tendenza all’anarchia e all’entropia del sistema internazionale. Non è un caso che il Wassenaar Arrangement non abbia mai sortito appieno gli effetti desiderati: nato nel 1996 per controllare le esportazioni e l’uso di certi tipi di prodotti – ed in particolare quelli dual use, che possono essere impiegati sia per scopi civili che militari/bellici – e riletto alla luce delle innovazioni cyber nel 2004, conta ormai più di quaranta aderenti, tra Stati ed organizzazioni regionali, ma non riesce ad avere un effettivo controllo su alcune categorie, come quelle immateriali inserite con gli emendamenti del 2013 e riguardanti IP, social networks e bug bounty programs (ricognitori, non sempre così leciti come immaginato, di difetti in programmi e applicazioni).

 

Lo stesso discorso potrebbe essere fatto sia sulla collaborazione russo-americana in materia di difesa cibernetica delle infrastrutture critiche promossa nel framework dei più noti e strutturati accordi START, edizione 2011 (ferma allo stato di bozza da quasi dieci anni) e sul pur encomiabile ed accuratissimo lavoro del Tallinn Manual on the International Law Applicable to Cyber Warfare, che però resta confinato alla cosiddetta sfera de jure condendo, ossia della normativa in fase di formazione e recepimento a livello nazionale ed internazionale, dunque non vincolante né uniformemente condivisa. 

 

Molte altre riflessioni potrebbero essere fatte in materia normativa, a partire ad esempio da quelle ispirate dal GDPR in materia di protezione dei dati personali e sensibili, ma in questa sede appare più opportuno fermarsi agli esempi già citati ed analizzare brevemente un altro aspetto di questo primo ventennio dei XXI secolo, quello della percezione delle minacce cyber a livello operativo. Anche in questo caso, molte sono le osservazioni scaturite dal modo di trattate la “grande paura” creata dal mito del Millennium Bug del 2000. In fondo, però, il tutto può essere ridotto un unico commento finale: oggi come allora, moltissimi enti, anche in questo caso sia pubblici che privati, temono più il danno d’immagine che i danni materiali derivanti da un malfunzionamento o da un attacco. Come accade sistematicamente sin dal 2000, i rapporti Verizon e FireEye rivelano che svariati enti e aziende negano con decisione le proprie vulnerabilità e tendono a nascondere eventuali attacchi o danni subiti, pur cominciando a riconoscere la necessità di aggiornare i propri sistemi e la formazione del personale, nonché l’urgenza di adottare soluzioni resilienti ed in grado di offrire risposte integrate e multilivello alle minacce che devono affrontare quotidianamente.

 

Se, in un così breve discorso, dovessimo stilare un bilancio sommario di questi vent’anni, potremmo dire che la percezione di potenzialità e minacce dell’ambiente cyber si è solo in parte evoluta: siamo tutti più informati, anche grazie a sistemi di comunicazione sempre più veloci e penetranti; ma siamo anche più incerti su quali siano le informazioni vere e quelle distorte e sulla reale entità delle minacce che ci circondando, nonché sull’efficacia dei sistemi di difesa – sempre più sofisticati – proposti dagli esperti di settore. Inoltre, nonostante questa nostra apparente nuova consapevolezza, spesso continuiamo a utilizzare i mezzi cyber con estrema leggerezza, quasi a voler negare ciò che dovremmo aver ormai acquisito come parte del nostro bagaglio culturale di base.

ARTIFICIAL INTELLIGENCE, POLICING SECURITY AND PRIVACY: A DIFFICULT TRADE OFF

by Cristiano Galli

 

A professional burglar breaks into an apartment, swiftly moves to the safe and using acid breaks the locks and steals 3 million AED (roughly 750k euros). In real time, the apartment safety cameras, connected to the centralized Artificial Intelligence Police System, catch the burglar facial print and starts backtracking his movements and pattern of life. The Artificial Intelligence (AI) system tracks the burglar arriving at the airport 48 hours earlier, checking into a hotel room and leaving dressed as a woman with the traditional Arabian abaya. Fourty-seven minutes after breaking into the apartment, police forces storm into the hotel room and arrest the suspect.

 

It looks like a scene from the famous movie Minority Report, in which a hybrid human machine intelligence system was used to prevent crimes by forecasting the future. But actually, this happened last November in the town of Dubai in the United Arab Emirates. In 2019, as stated by Dubai Police officials, 319 suspects were brought to custody with the support of thousands of CCTV cameras under the Oyoon (Eyes) project that employs artificial intelligence.

 

Police officials recently stated: “The cameras cover tourist destinations, public transport and general traffic. They helped arrest 319 suspects in different areas in Dubai through their automatic facial recognition technology. Under the AI network, security cameras across the city relay live images of security breaches to the Central Command Centre. The cameras monitor criminal behavior in three sectors — tourism, traffic and brick and mortar facilities. The project will tackle crimes in the city as using AI and latest technologies will help realize zero crimes in the future. For example, we have 5,000 cameras in the Metros and thousands more in the city. The cameras were able to detect wanted vehicles by identifying their plate number… AI will give surveillance cameras digital brains to match their eyes, letting them analyze live video with no human intervention”.

 

The United Arab Emirates (UAE) has launched its national AI strategy in 2017 in nine sectors: transport, health, space, renewable energy, water, technology, education, environment and traffic. Uniquely, the UAE was the first State to appoint a State Minister for artificial intelligence. Notably, in the specific field of law enforcement, the Dubai Government also adopted the Dubai Police Strategic Plan (2018-2021), in line with a new General Department of Artificial in the Dubai Police, and a summit on AI-led policing “Future Societies 5.0” was announced. Similarly, the Centennial Vision 2057 of Abu Dhabi Police adopted in 2017 equally envisages a strong role for AI in Abu Dhabi and details more than 50 strategic initiatives harnessed by AI for the force. The UAE is reported to have made investments of 33 billion of Dh (9.0 billion of US dollar) in AI in 2017. One of the striking effects of living in the UAE is the constant and enduring perception of security. This pleasant sense of security contributes to a very high standard of living, but comes to a price.

 

Human Intelligence generally follows a sequence known as the sensation-perception-cognition-action information-processing loop. Sensors in our bodies intake data from the physical world (photons for vision, sound waves for hearing, vibrations for proprioception, chemicals for smell and so on). Data is then converted into information in the form of electro-chemical stimuli. That information is then used to think about what to do and then, once different options have been weighted, decisions are made and actions are taken.

 

 

Artificial intelligence works following pretty much the same principles. Machines process data coming from sensors converting them into usable information in order to create a picture of the surrounding world. This information is used to outweigh different options and come up with the best possible solution leading into action.

 

While there are many parallels between human intelligence and AI, there are stark differences too. Every autonomous system that interacts in a dynamic environment must construct a world model and continually update that model. The fidelity of the world model and the timeliness of its updates are the keys to an effective autonomous system.

 

AI systems, like human brains, need a huge amount of sensory information in order to recreate the best possible model of the living environment. In AI applications for public safety these sensory inputs come from thousands of cameras across public and private areas of the country. In the UAE, through a simple phone application, it is possible to connect your home safety cameras to the centralized AI Police System. An Artificial Intelligence System predicting potential law breaking situations constantly monitors your behaviors and pattern of life. This constant big brother over watch is obviously hampering personal privacy. Is this the price to pay to live in a safe and secure environment?

 

It is not a black and white easy answer. We should be aware that our private lives are already highly monitored. Every time we search something on Google, an AI system is collecting information about our interests. Every time we use a smart watch to go for a run, a GPS is tracking our patterns and our biological parameters. Every time we carry a smart phone with us we are giving away our position. It would be hypocritical to expect privacy once we are “connected”. The WEB is an information vacuum. The issue is not whether we can prevent our private information to be collected, but rather what this huge chunk of information is used for.

 

A digitally advanced State in which personal information are used to improve the standard of life could be considered utopian, in reality it is an achievable goal and the UAE are a leading Nation in this field of cultural and technological development.

 

It is an open debate, but the trade off between security and privacy is becoming a relevant issue in the uncertain world in which we are living.

AI WAR OR AI WARFARE?

by Giancarlo Maragucci

 

Today Google is giving more than 540 million results when searching for artificial intelligence (AI), and all over the world many countries and organizations invest billions of US dollars in it. Nevertheless, it is still the initial phase of what could be a new chapter of human kind, where real and electronic lives coexist in symbiosis.

 

Big data, machine learning, deep learning, so many language variations trying to explain that a machine, using a sophisticated algorithm, can manage a lot of information at light speed – and learn from experience – in order to imitate human brain processes and actions. Many applications are already in place in healthcare, banking, education: all implementing some sort of algorithm to help improving the efficiency of the processes.

 

The military community is also working on implementing AI but obviously the pace of introducing AI is slower than other fields, and this is due to the nature of the activities, related to war and warfare, to violence and death.

 

Before elaborating on AI for the military, it is important to define war and warfare, even if both are apparently and instinctively clear.  The term war is still not universally defined even if, in the popular sense, it is a conflict between political groups involving hostilities of considerable duration and magnitude. In social science, certain qualifications are added. Sociologists usually apply the term to such conflicts only if they are initiated and conducted in accordance with socially recognized forms. They treat war as an institution recognized in custom or in law. Military writers, on the other end, usually confine the term to hostilities in which the contending groups are sufficiently equal in power to render the outcome uncertain for a time. We need to agree that war is fight by nature.

 

About 180 years ago, von Clausewitz observed: “war should never be thought of as something autonomous but always as an instrument of policy”, and in 1939 the British Edward Carr divided international political power into three categories: military power, economic power, and the power over opinion. During the Cold War, the United States and its armed forces expanded those categories and developed a four-element schema known as DIME (Diplomacy, Information, Military, Economy). DIME expresses the power of a State (or organization or a Coalition) and it is commonly applied in modern operation planning processes, where all powers collaborate through separated and coordinated lines of effort to reach unanimously the end state. Besides the different views or definitions though, the nature of war remained unchanged through the centuries.

 

Warfare is in a continuous evolving status, where technology and brain process persist to race looking for new systems, sensors, weapons, in order to empower the fighters and the decision makers. New systems mean new training, improved TTPs (Tactics, Techniques and Procedures), in order to achieve new capabilities. The way we fight war, warfare, makes the diffrence every time we have a new tank, or ship or aircraft, and when we change doctrine or organization. Then warfare should define only HOW we fight, but nowadays the term is also associated with one of the 5 domains (air, land, sea, space, cyberspace) intending also WHERE we fight. If space warfare is how we fight in space and cyber warfare is how we fight in the cyberspace, how do we define, for example, Electromagnetic Warfare (EW) and Information Warfare (IW)? In these cases, warfare is associated with the instrument or group of instruments, for example the Electromagnetic Waves or the media systems, so we are defining essentially WHAT (we use for fighting).

 

Unfortunately, war and warfare are often confused and used inappropriately, for instance we hear a lot about generations of war, but it should be described as generations of warfare since we describe the evolution of fighting.

 

Where is then AI standing? AI cannot be considered a new domain (a new WHERE) and all AI applications are empowering present weapon systems, enabling a faster information analysis for more efficient and effective military operations. AI is then enhancing HOW. Till we get to autonomous operations.

 

Scenario: the Commander approves the list of effects on a decision point during the planning process, then the computer decides the actions (kinetic and non-kinetic), what manned and unmanned assets to task and the time to strike. The Commander will be notified about the assessment when mission is accomplished, and the effect achieved. Apparently, what has been described looks very similar to the existing process, maybe with a little of more automation and less human effort, but what about if on the enemy side there is also an AI driven system? In this case, both systems will start a real race in the information environment, trying also to disrupt the enemy’s AI processes with proper counter-AI operations.

 

AI versus AI: how do we call it? And when does it apply? AI will be implemented in many tactical systems, improving accuracy and capacities, but the key functions are mainly two:

         1. Operations Planning and,

         2. Command & Control (C2).

Here the AI will make the difference between the opponents, since the advantage will be measured based on the confidence level of information. Planning and C2 are both dependent on accuracy of information, in terms of intelligence and situation of the operational environment, and wrong plans and/or disrupted C2 can easily lead to mission failure.

 

It is then necessary to define AI Warfare, which could be “the ability to process autonomous decisions at operational and component level in planning and C2 of operations, disrupting enemy planning and actions”. AI warfare could impose own will to the enemy without shooting a single bullet or flying a sortie.

 

Therefore, if war is an act of violence intended to compel the opponent to fulfil our will then AI will probably lead to a possible new Cold War era, a war with no hostilities, where deterrence will not be dictated by the nuclear arsenal but by the fastest and most trained and networked super (maybe quantum) computers.

FORZE SPAZIALI E TECNOLOGIA QUANTISTICA PER IL CONTROLLO DELLA QUARTA DIMENSIONE

di Cristiana Era

 

Negli Stati Uniti il 2019 si chiude all’insegna dell’avviamento della procedura di impeachment per il Presidente Trump che però ha messo a punto una serie di successi che non mancheranno di avere un peso su una sua possibile rielezione, dato che, in caso di condanna, è il Senato che stabilisce se potrà ancora concorrere per le cariche pubbliche o meno. Tra questi successi c’è sicuramente il calo della disoccupazione, ma anche un’economia solida, un mercato azionario in rialzo e diversi obiettivi raggiunti che Trump potrà capitalizzare tra 11 mesi, non ultimi un aumento del budget per la difesa che raggiunge i 738 miliardi di dollari, aumenti e agevolazioni per il personale militare e – soprattutto – la firma in dicembre del provvedimento (il National Defense Authorization Act) che istituisce la Forza Spaziale, già annunciata alla fine di agosto di quest’anno. Viene così creata la sesta Forza Armata degli Stati Uniti, a fianco di Esercito, Aeronautica, Marina, Corpo dei Marine e Guardia Costiera, alla guida del Generale Jay Raymond e composta inizialmente di 16 mila uomini e donne, militari e civili.

 

“Lo spazio è il prossimo terreno di battaglia”, ha dichiarato il Presidente americano lo scorso 29 agosto annunciando la creazione dello Space Command (SPACECOM) il comando operativo che ha l’obiettivo di difendere gli interessi vitali della nazione nello spazio. Bollato da qualcuno come un “revival” della guerra fredda degli anni ’60, la nuova Forza Armata è invece un elemento strategico all’avanguardia, già proiettato verso le problematiche future. Se ne parla forse poco al di fuori degli ambiti strategici o accademici, ma la quarta dimensione, lo spazio, è già al centro della competizione delle maggiori potenze, poiché chi domina nello spazio domina anche sull’economia internazionale, aumenta le capacità militari e controlla la comunicazione. Ma non solo. La maggioranza delle infrastrutture critiche terrestri utilizza infrastrutture spaziali, dalle quali dipende il regolare andamento, solo per citare qualche esempio, del commercio e dei trasporti marittimi, terrestri ed aerei, per non parlare dei sistemi di difesa, la trasmissione dei dati, il monitoraggio ambientale e il meteo.

 

Le infrastrutture dello spazio, dai satelliti ai centri di comando terrestri, sono vulnerabili alle minacce cibernetiche, un aspetto ancora trascurato. Sicurezza spaziale e cybersecurity sono strettamente correlate. In primo luogo le tecnologie satellitari, insieme alle attività spaziali, sono il risultato di varie componenti prodotte a livello internazionale e che naturalmente necessitano di aggiornamenti di sicurezza. Gli aggiornamenti vengono effettuati da remoto e pertanto possono essere intercettati da hacker. Non solo. Molti dei sistemi satellitari in uso forniscono servizi e utilizzano tecnologie dual use, quindi rivolti sia al settore militare che civile, con una conseguente espansione dell’aspetto commerciale. Servizi internet e sistemi di navigazione satellitare vengono forniti dai satelliti. Dunque, grazie alle tecnologie sempre più avanzate e sempre meno circoscritte ad ambiti governativi e militari per via dei costi decrescenti, nuovi attori sono comparsi nello scenario. Ma solo recentemente le applicazioni spaziali in ambito civile hanno preso in considerazione il fattore sicurezza. Il sistema europeo Galileo, in effetti, prevede dei meccanismi di sicurezza. Ma chi sta cercando di vincere la competizione anche in questo campo è la Cina.

 

Nell’agosto 2016, dalla base di Jiuquan, Beijing ha lanciato il primo satellite quantistico – denominato Micius – in grado di trasmettere messaggi criptati a prova di hacker, inizialmente previsti per la comunicazione interna, ma nell’ottica di una futura espansione a livello globale e della creazione del più grande network di comunicazione quantistica, aprendo la strada al dominio cinese nel campo delle comunicazioni, e come strategia di controspionaggio dopo che nel 2013 il caso Snowden portò alla rivelazione delle attività di intelligence americana in Cina. Quindi, lo sviluppo delle tecnologie quantistiche per la comunicazione abbinate al SATCOM (comunicazione satellitare) è in realtà cruciale anche per il settore difesa, oltre che per quello commerciale. E anche se la sicurezza non può comunque essere garantita al 100%, si tratta comunque di un enorme passo in avanti in termini di cybersecurity e non può non attirare l’attenzione anche di Paesi più piccoli ma tecnologicamente all’avanguardia. Nella competizione per lo sviluppo di tecnologia quantistica sono entrati altri Paesi del sudest asiatico, quali Singapore, Giappone e Corea del Sud.

 

La corsa per arrivare primi, dunque, è cominciata da tempo. Al momento sono ancora in corso vari esperimenti che estenderanno l’attività del satellite Micius ben oltre la data prevista, e allo studio di vari Paesi c’è la realizzazione di microsatelliti. Ed è notizia di questi giorni che l’Università delle Scienze e della Tecnologia di Beijing ha realizzato una mini stazione satellitare quantistica in grado di garantire alti livelli di sicurezza nella comunicazione e dalle dimensioni e dal peso ridotti: 80 chili che possono essere collocati all’interno di una vettura familiare. E il 2020 promette di portare nuovi successi in questo campo.

 

Alla luce di quanto detto si può dunque capire meglio le scelte spaziali dell’amministrazione americana, che certamente vedremo competere sempre più aspramente sul predominio dello spazio, così come da tempo assistiamo ai toni accesi sullo sviluppo di altri aspetti della comunicazione, ossia del 5G. In un mondo IoT dove tutto è connesso, anche le strategie nei vari settori (comunicazione, difesa, economia, politica) sono interconnesse e non si può averne una visione globale senza prenderle tutte in considerazione, a meno di non scadere in facili slogan mediatici che parlano ancora di Guerra Fredda.

INNOVAZIONE DIGITALE E CYBERSECURITY: L’ITALIA È IN RITARDO

di Cristiana Era

 

Se fino a qualche anno fa le tematiche di convegni, studi e workshop ruotavano intorno al termine cybersecurity, che in Italia era comunque un argomento per pochi, oggi si parla sempre di più di innovazione digitale o trasformazione digitale. Molte strutture ed organizzazioni stanno procedendo verso la digitalizzazione per una migliore efficienza nei servizi all’utenza o capacità produttiva per soddisfare le esigenze della clientela. Si cerca dunque di muoversi verso un ammodernamento tecnologico per avvicinarsi agli standard di altri Paesi europei, considerando che da questo punto di vista l’Italia è ancora in forte ritardo, attestandosi solo al 24° posto secondo il DESI 2019 (Digital Economy and Society Index) dell’Unione Europea. 

 

 

Il rapporto evidenzia come il nostro Paese sia indietro soprattutto dal punto di vista della dimensione “capitale umano”, intendendosi il basso livello di cultura/alfabetizzazione digitale presente come capacità di utilizzazione degli strumenti digitali e anche come numero di esperti e laureati informatici in senso stretto. Ad oggi il 19% degli italiani non ha mai usato internet (il doppio della media europea) e la maggior parte di coloro che vi accedono lo utilizzano per streaming, gaming e social network.

 

Il fattore culturale va ad incidere anche sul processo di digitalizzazione che di per sé allarga a dismisura la potenziale superficie di attacco, rendendo la cybersecurity uno dei fattori più limitanti della digitalizzazione stessa. Quest’ultima, infatti comporta la necessità di mettere in sicurezza sistemi, software, dati e tutti i device e apparecchiature collegate, assicurandone la protezione nel tempo, quindi con investimenti continui in sicurezza a fronte di minacce che si evolvono continuamente. Purtroppo, nella maggior parte dei casi la sicurezza cibernetica è interpretata come una compliance piuttosto che come fattore di sviluppo che conferisce credibilità e affidabilità ad un ente, una organizzazione o una azienda, garantendo riservatezza, integrità e disponibilità secondo i tre pilastri della CIA Triad:

 

 

 

Qualcosa si sta muovendo, c’è indubbiamente maggiore attenzione, soprattutto in determinati settori, come quello finanziario, in primo luogo perché hanno maggiori disponibilità di risorse, in secondo luogo perché – come i anche i dati del rapporto CLUSIT 2019 confermano – è tra i settori più colpiti dal cybercrime, con attacchi quasi giornalieri, chiaramente per la quantità di denaro che si muove al suo interno, e infine anche perché la trasformazione digitale è agevolata dalle politiche dell’Unione Europea e dall’introduzione dei sistemi di FinTech e mobile banking. Se il settore bancario può diventare un fattore trainante per l’innovazione, tuttavia, rimangono settori cruciali della vita del Paese, in particolare quello sanitario, in cui permangono enormi lacune quanto alla difesa dei dati personali e alla mentalità degli operatori sanitari che non hanno la percezione che la cybersecurity è qualcosa che riguarda la vita quotidiana.

 

La sicurezza è un sistema complesso non un elemento tecnologico e, come ci ha ricordato il Generale Nistri, Comandante Generale dell’Arma dei Carabinieri, essa non ha prezzo ma ha certamente un costo (Intervento all’inaugurazione dell’anno accademico 2017-2018, Scuola Ufficiali dei Carabinieri). Un costo non sempre sostenibile dalle PMI che spesso non hanno mezzi e competenze per adeguare le strutture e il personale al cambiamento digitale: per questo occorre un maggiore impegno da parte delle istituzioni e dell’Unione Europea, sia in termini di educazione digitale del cittadino, sia in termini di maggiori investimenti nell’ICT. E c’è bisogno di fare passi in avanti sull’approccio alla tecnologia, con meno timori per i rischi e maggiore awareness; solo in questo modo il Paese potrà colmare i gap esistenti sui “basics”, ossia sulle regole primarie, le “good practices” che da sole limitano già i rischi. Ad oggi molti degli attacchi subiti avvengono attraverso vulnerabilità che risalgono agli anni ’80.

 

Occorre infine rafforzare i sistemi di prevenzione. In questo ci possono aiutare i sistemi di machine-learning, l’Intelligenza Artificiale, per individuare le anomalie prima che si trasformino in minacce. È un ambito della cybersecurity già in via di sviluppo e sperimentazione con la presenza di aziende italiane specializzate che lavorano a stretto contatto con gli hub universitari. Ma anche in questo occorrono maggiori investimenti e una rete di partner che possano aiutare le aziende e gli enti a garantire la sicurezza, oltre ad una strategia industriale di cybersecurity che purtroppo ad oggi manca totalmente nel nostro Paese.

VOTING VILLAGE: ALLARME CAMPAGNA PRESIDENZIALE 2020

di Cristiana Era

 

Con la campagna presidenziale ormai alle porte, gli Stati Uniti si interrogano sulla sicurezza di tutto il sistema elettorale democratico, a tre anni dallo scoppio del Russiagate che ha rivelato come le vulnerabilità del dominio digitale possano compromettere le fondamenta stesse della democrazia. La democrazia di fonda sul concetto di elezioni libere e trasparenti, e la sua salvaguardia non è questione puramente tecnica di cybersecurity ma di cyberpolitics poiché diventa un rischio politico per ogni sistema democratico (e non solo) a livello globale. Da questo punto di vista, quello a cui potremmo assistere in un anno di campagna elettorale americana è dunque una finestra sul futuro di TUTTE le campagne elettorali, anche nei Paesi tecnologicamente meno avanzati.

 

Si tratta perciò di un problema di sicurezza nazionale, e negli Stati Uniti molti esperti e accademici stanno lanciando il grido di allarme. Un rapporto pubblicato dal Cyber Policy Initiative dell’Harris School of Public Policy, Università di Chicago, descrive una situazione davvero poco rassicurante che dovrebbe far riflettere non solo l’Amministrazione statunitense. Il rapporto descrive i risultati di un esperimento, il “voting village”, che si ripete da oltre tre anni, ossia dall’indomani delle passate elezioni e durante il Russiagate. Il test, portato avanti da un gruppo di hacker del CPI ha evidenziato il significativo livello di vulnerabilità che attualmente caratterizza l’infrastruttura del processo elettorale basata su device e macchinari facilmente penetrabili tramite i quali si può ottenere accesso ai database degli elettori, ai sistemi di voto elettronico, ai codici delle schede elettorali, per non parlare della facilità di intrusione e manipolazione dei siti web per l’election night. Le tipologie di device testate sono state molteplici, variando dai sistemi basati su touch screen ai meccanismi di scannerizzazione ottica, ma il risultato è stato allarmante: tutti sono stati manipolati in modo da alterare il conteggio dei voti, o la struttura della scheda che appare all’elettore, o direttamente il software che controlla l’apparecchiatura.

 

Inoltre è stata rilevata un’altra criticità, quella relativa al fattore umano: anche fra gli esperti di cybersecurity, poche persone hanno familiarità con i sistemi digitali di voto e quindi con le relative problematiche e con i rischi connessi. In altre parole, si rileva ancora una volta una carenza dal punto di vista della formazione, una vulnerabilità che in ambito spazio cibernetico è ricorrente in moltissimi settori, segno che la velocità media di adeguamento istituzionale al cambiamento digitale non tiene il passo con quella dello sviluppo tecnologico.

 

Vulnerabilità tecnologica e umana sono due aspetti principali dei rischi per elezioni democratiche trasparenti nell’era post-moderna, ma non sono le uniche. Entrano in gioco altri elementi, più subdoli, meno percepiti come minaccia: l’uso e l’abuso delle piattaforme social, veicoli primari di interferenza sulle scelte di voto. Come il caso Cambridge Analytica/Russiagate ha ampiamente dimostrato, manipolare milioni di preferenze sul web non è uno scenario virtuale ma reale. E infatti gli esperti di cybersecurity stanno già rilevando attività di intrusione di hacker stranieri in database statunitensi, segno che i black hat si stanno riorganizzando per il 2020. Questa volta con delle differenze. Innanzitutto si parla non solo di hacker russi (che potrebbero non favorire il Presidente Trump, secondo James A. Lewis), ma anche iraniani e nord coreani. Gli iraniani, in particolare, starebbero spostando sul piano cibernetico un braccio di ferro con gli Stati Uniti a fronte dell’inasprirsi della conflittualità tra Washington e Teheran sullo scenario internazionale. Dunque, in queste elezioni più attori statuali stranieri cercheranno di influenzare i risultati elettorali. Inoltre, non più una campagna di disinformazione, ma più campagne coordinate tra loro, originate dall’interno e dall’esterno a fronte di una strategia di attacco che diventa complessa, fluida e dirompente.

 

Ad oggi si sono registrati vari tentativi di intrusione in database che in qualche modo risultano collegati all’apparato elettorale, come ad esempio quelli di organizzazioni, esterne ma di supporto, o contractor per la fornitura di specifici servizi. E anche se intrusioni e attacchi veri e propri sembrano rimanere al momento in stand by, probabilmente in attesa dell’individuazione precisa dei candidati e dello staff a loro collegato, è facile prevedere l’intensificarsi di attività cibernetiche via via che la campagna presidenziale entrerà nel vivo. Il tutto senza che da parte dell’amministrazione americana sia stata intrapresa alcuna politica di controllo e di contenimento nonostante gli allarmi lanciati da più parti dagli esperti di settore.

LA NUOVA DIRETTIVA EUROPEA SUI SERVIZI DI PAGAMENTO: COSTI E BENEFICI

di Serena Lisi

 

Da gennaio 2018 è entrata in vigore la nuova Direttiva Europea sui Servizi di Pagamento, in gergo denominata PSD (Payment Services Directive, EBA 2018/389). In base alle sue disposizioni tutti gli Stati Membri devono emanare una normativa per l’adeguamento dei servizi di pagamento on-line – o meglio – dell’autenticazione necessaria per l’autorizzazione dei medesimi. In particolare, tutti gli istituti bancari degli Stati europei si sono dovuti adeguare, a partire dal 14 settembre 2019, alle norme tecniche per la cosiddetta Strong Customer Authentication (SCA), così come elaborate dalla Banca Centrale Europea che, in sostanza, ha introdotto l’uso della “firma digitale forte” per la già citata autorizzazione di pagamenti e forniture di servizi attraverso siti web ed app, così come previsto dalla direttiva PSD2 (2015/2366) sul commercio digitale. La firma digitale forte è un particolare tipo di firma elettronica qualificata, basata su metodi di crittografia asimmetrica, ossia sull’accesso al servizio prescelto attraverso l’uso di due chiavi, una pubblica (nota a ricevente ed emittente dell’autorizzazione) ed una privata (nota solo all’emittente dell’autorizzazione, cioè all’utente del servizio); in particolare, la chiave privata della firma forte qui descritta sarà una cosiddetta OTP (One Time Password), ossia una parola-chiave “usa e getta” generata da un apposito dispositivo o software.

 

La particolarità della direttiva in questione, tuttavia, non risiede nel fatto che la chiave usata per autorizzare i già citati pagamenti e servizi sia one-time e generata casualmente, ma piuttosto nel fatto che essa debba essere generata non già da un dispositivo esterno e dedicato (specifico per lo scopo), ad esempio una chiavetta-token, bensì da una app da installare direttamente su uno dei dispositivi, come ad esempio il proprio smartphone o tablet, utilizzato per svolgere le operazioni di pagamento; la one-time-password potrà essere anche ricevuta (quasi sempre a pagamento) tramite sms sul proprio dispositivo mobile. Nell’intenzione delle Autorità regolatrici europee e dei legislatori nazionali, ivi compresi quelli italiani, tale accorgimento servirebbe a proteggere tutti i dispositivi e tutti i tipi di operazioni di pagamento svolte dall’utente comune che, sempre più spesso, si affida al cosiddetto IoT (Internet of Things), ossia ai propri dispositivi mobili, per svolgere transazioni di ogni genere. Secondo le autorità competenti, infatti, la maggioranza degli utenti possiede altri dispositivi, come laptop e computer fissi, direttamente connessi al proprio smartphone o tablet su cui andrà installata la app generatrice di OTP, rendendo il sistema più sicuro.

 

La realtà dei fatti, tuttavia, è spesso differente da quanto descritto nei report degli esperti: spesso, i dispositivi posseduti da un singolo utente non sono così strettamente interoperabili, ossia compatibili tra loro, come ritenuto dai legislatori: si pensi ad esempio a chi usa uno smartphone con sistema android ed un laptop con sistema operativo linux/MAC OS/Ubuntu, ovvero diverso da Microsoft e dal MAC proprietario: senza addentrarsi in dettagli tecnici, è possibile affermare non tutte le funzioni andranno a sistema come previsto e non tutte le app “gireranno” in maniera convenzionale, creando rallentamenti operativo-adattivi e disagi per l’utente.

 

Per l’utente comune, inoltre, ci si interroga sull’effettiva sicurezza del nuovo metodo di cifratura e firma delle autorizzazioni alle transazioni elettroniche descritte sopra. Come è noto, in ambiente cyber, vengono sempre più spesso distinte la sicurezza assoluta di un metodo di cifratura, praticamente irraggiungibile, poiché, prima o poi, tutti i codici possono essere violati (è solo questione di tempo e potenza di calcolo a disposizione dell’attaccante), dalla cosiddetta sicurezza computazionale, ossia quella sicurezza che si raggiunge utilizzando metodi di cifratura e chiavi difficili da violare in tempi brevi, come sono ad esempio quelli che servono per svolgere un’operazione di pagamento. Dal punto di vista computazionale, dunque, i sistemi OTP di nuova generazione sono più sicuri di quelli vecchi nella misura in cui le app che li generano dispongono di più moderni e complessi algoritmi atti a generare i codici per la cifratura. Tuttavia, anche queste nuove app nascondono insidie non indifferenti.

 

La prima insidia può sembrare ovvia, ma va ad intaccare il grado di sicurezza computazionale del metodo stesso: sia i siti delle banche adibiti al download delle app, sia le app stesse non risultano user friendly, ossia di facile impiego, per tutte quelle persone che non sono native digitali, vale a dire per tutti la popolazione di età media od avanzata, in primis pensionandi e pensionati, che spesso sono anche coloro che hanno maggiori riserve finanziarie (anche grazie al vecchio sistema di pensione retributiva, oggi non più in vigore). Costoro, talora già disorientati dal ripetersi di cambiamenti normativi sull’uso del contante, non sempre accolgono di buon grado l’utilizzo di nuovi metodi di pagamento. Una parte di questi soggetti, infatti, non è così disposta a cambiare i vecchi dispositivi, ancora funzionanti seppur obsoleti, né a scaricare continui aggiornamenti di sistema e software, indispensabili per il corretto e veloce funzionamento delle app generatrici di OTP. Altri utenti, in particolare quei professionisti titolari di ditta individuale, in possesso di più conti così come previsto dalla normativa vigente, ma non in possesso di cellulare di servizio (non sempre scaricabile come bene strumentale), si trovano ad avere più conti in più banche e a dover scaricare – almeno in Italia – una moltitudine di app, giacché ogni banca dispone della propria: questa categoria di utenti dichiara spesso di trovar più difficoltoso gestire tante app nel proprio dispositivo mobile, piuttosto che i diversi token fisici, che potevano essere tenuti al sicuro con maggior facilità.

 

Un secondo problema, infatti, riguarda proprio la sicurezza del dispositivo su cui i generatori di OTP sono installati: è esposto sia a furti fisici, che a clonazioni e a furto di dati, dato che, ad oggi, pochi utenti installano un adeguato antivirus su device quali smartphone (di solito addirittura privi di protezione) e tablet (di solito coperti, secondo il rapporto Verizon 2019, da antivirus più blandi di quelli usati per altri elaboratori).

 

Infine, un problema molto insidioso, già segnalato in altri casi è il seguente: può accadere che utenti inesperti non siano in grado di riconoscere le pagine e gli store ufficiali per il download delle app, da copie fake fatte arrivare sulla schermata del telefonino attraverso un’azione fraudolenta di re-indirizzamento dell’url o di vero e proprio cybersquatting (furto di uno spazio web o porzione di spazio altrui) ad opera di veri e propri cyber criminali o di cyber bulli.

 

Un caso simile, seppur non in ambiente finanziario, è stato visto nel 2017, quando alcuni enti pubblici furono obbligati a collegare la propria posta elettronica ed altre funzionalità ad operazioni di autorizzazione a mezzo di firma complessa, da realizzare, appunto, tramite l’uso di una app generatrice di OTP, disponibile sui più noti store. A fianco della app ufficiale, era stata creata una fake-app, in grado di rubare dati e credenziali da smartphone e tablet dei malcapitati utenti, che si vedevano coinvolti in acquisti all’estero mai fatti o in viaggi mai prenotati e compiuti da sconosciuti: la app falsa si differenziava solo per il colore dell’icona su cui cliccare per aviare il download (verde acqua anziché azzurra); diversi furono i casi di furto di dati e frode, che si susseguirono per circa due settimane, finché le competenti autorità non riuscirono a porre fine al fastidioso inconveniente.

 

Da quest’ultimo punto di vista, dunque, la sicurezza computazionale del nuovo sistema OTP non deve essere letta in termini “matematici” ed assoluti, ma deve essere contemperata anche con il grado medio di esperienza e le capacità effettive degli utenti che se ne servono. Un monito, quest’ultimo, da non trascurare anche in questo caso: anche se non sarebbe possibile il ripetersi identico di una situazione quale quella del 2017, il rischio di violazione o intrusione a danno siti ufficiali esiste sempre e non va sottovalutato.

CYBERSECURITY IN THE EMIRATES. BALANCING THE RIGHT FOR PRIVACY AND THE NEED TO PROTECT

by Cristiano Galli

 

From a sociological perspective, the United Arab Emirates (UAE) is an isolated case in the global scenario. Founded in 1971 from the enlightened vision of a small group of Arab rulers, the Country has seen an astonishing economic, cultural and technological development in a very short time. In just less than fifty years, little and isolated Bedouin communities turned into one of the world most technologically advanced and multicultural socioeconomic entities. Currently the UAE is permeated by the outcomes of the digital transformation. Its population’s personal information is collected, monitored and supervised by powerful Artificial Intelligence-based platforms and by easy access digital interfaces, in order to maximize effectiveness of the public administration and Government procedures. All possible personal needs are accessible through phone applications that deliver official documents in eye blink time span.

 

Such an invasive approach to personal information clashes with the western cultural approach to privacy, but indeed it is counterbalanced by UAE’s need to protect its homeland and to provide its citizen and expats with a safe and secure environment. UAE’s social structure is peculiar. Only 11% of the Emirates’ population is actually composed of Emirate citizens, the remaining 89% is an heterogeneous composition of expats from all over the world.

The highly digitalized public administration requires a strict and modern approach to cybersecurity and the UAE is a leading nation in this field. The national Telecommunication Regulatory Agency (TRA) – based on global exponential increase in cyber-related incidents and associated cost (estimated in 608 billion USD in the 2014-2017 timeframe) – has developed an integrated and synergic cybersecurity strategy. The strategy is deemed to secure the UAE’s interests beyond economic losses. Minimizing direct financial, client, reputational and service impact is the core purpose of this strategy.

 

Strategy development has leveraged on 3 key sources of insight:  Global Industry Reports (more than 50 global indices and publications have been analyzed), experts (a panel of experts with deep knowledge on cybersecurity topics has been engaged globally) and the reference from 10 benchmark countries (benchmark has been created analyzing the cyber ecosystem of the 10 world leading countries in cybersecurity).

 

The UAE’s Vision for Cybersecurity has been introduced in 2019 “to create safe and resilient cyber infrastructure in the UAE that enables citizens to fulfill their aspirations and empowers businesses to thrive”.

The Strategy is based on 60 initiatives across 5 pillars, as depicted in the figure below:

 

 

The Cybersecurity laws and regulation pillar will entail the creation of a legal framework to address all types of cybercrimes and of a regulatory framework to secure existing and emerging technologies. A highlight should be posted on the priority of supporting protection for SMEs (Small and Medium Enterprises). Three key initiatives will ensure the implementation of essential cybersecurity standards, mandate cybersecurity implementation certificate for government suppliers and building a one-stop portal to support SMEs in standard implementation.

 

The Vibrant cybersecurity ecosystem pillar will be tackled through initiatives aimed at tapping into the internal and global cybersecurity market, driving demand, supporting business, facilitating access to finance and business development. Specific effort will be devoted to culture, mindset and skills development through educational plans and citizen awareness through information campaigns. Twelve reward programs will be delivering money and benefits to entities and individuals in order to promote cyber-healthy behaviors. Capability-building will be achieved with an integrated effort among local and international universities in order to encourage students to pursue cybersecurity oriented careers.

 

The National Cyber Incident Response Plan will be implemented in order to promote a strong and swift coordinated response to cyber incidents. The Plan is based on a single point contact streamline incident detector and reporting. Inter-agency intelligence sharing will promote effective and active monitoring of cyber threats. An advisory service will be in place to support cyber protection of third party agencies and entities.

 

The Critical Infrastructure Protection pillar will be achieved safeguarding assets in 9 critical sectors: energy, ICT, government, electricity and water, finance and insurance, energy services, health services, transportation, food and agriculture. The Protection Plan will hinge on world-class risk management standards and strong processes for reporting, compliance and response.

 

The Partnership pillar will be pursued by mobilizing the whole ecosystem through local and global engagement of public and private sectors, academia and international consortia.

 

The Cybersecurity Strategy and related plans and activities will be supervised by 9 governance vehicles. Nine sector committees will supervise and monitor the CIIP Program while other two National Government organizational structures will support the implementation of the National Incidence Response Plan. The National Incident Response Committee (NRC) will supervise the Incident Response Program, while the Cyber Intelligence Unit (CIU) will enable intelligence sharing among different agencies.

 

TRA will monitor strategy implementation using two strategic and seventeen operational KPIs (Key Performance Indicators) and will strictly monitor progress through periodic National Cybersecurity Strategy progress updates.

The UAE’s commitment to ensure a safe and secure cyber environment to its citizens and residents is aggressively tackling the globalized threat to the cyber domain. No state entity could consider maintaining credibility and competitiveness in a globalized world without a serious, viable and realistic cybersecurity strategy.

 

The UAE’s own vision inside the 21st Century global market and economy calls for this kind of engagement. That’s what the 21st century citizens should expect from their own countries if they want to live in a safe and secure environment and thrive with their businesses. The balance between the “need for privacy” and the “need for protection” is shifting towards privacy reduction. Only sharing personal information could enable governments to provide an effective protection against cyber threats of any kind.

BASSI RISCHI ED ALTI GUADAGNI: IL CASO NORDCOREANO E I LIMITI DELLA CYBER DETERRENZA

di Serena Lisi

 

Da circa un anno, presso il NATO Cooperative Cyber Defence Centre of Excellence di Tallinn, si studiano i diversi risvolti di un tema complesso e talora trascurato, quello della cyberdeterrence. Nello scorso decennio, questo argomento era stato liquidato da molti esperti della materia, europei e non, come un problema quasi marginale, poiché ritenuto legato esclusivamente al paragone tra la mentalità dell’era bipolare e della corsa all’armamento nucleare, in cui la dottrina della massive retaliation e della second strike capability caratterizzava la strategia globale dei più importanti attori dello scenario internazionale.

 

Oggi, invece, docenti come Jeff Knopf del Middlebury Institute of International Studies teorizzano l’avvento di una quarta era della deterrenza, diversa dalle tre correnti teorico-strategiche già identificate da Robert Jervis, teoria sviluppatasi in un contesto caratterizzato da una conflittualità asimmetrica, in cui la dinamica first-second strike non è più contemplata. Come esaustivamente espresso da Aaron F. Brantly del Virginia Polytechnic and State University negli Atti della Decima Conferenza sui Conflitti Cyber, organizzata nel 2018 dal  NATO Cooperative Cyber Defence Centre of Excellence di Tallinn, nelle prime tre correnti teorico-strategiche, la leva che muoveva la deterrenza era il fatto che, ad ogni azione di un attore sarebbe corrisposta una “rappresaglia massiccia”, ossia molto più che proporzionale negli effetti e nei mezzi impiegati ad opera della controparte. Due erano i corollari di tale teoria: le grandi Potenze, come gli Stati Uniti e l’Unione Sovietica, avevano creato un equilibrio simmetrico, basato, in un primo tempo, sulla corsa agli armamenti ed alle conquiste non solo in campo  tecnologico, ma anche territoriale e politico – quest’ultimo in materia di alleanze e zone di influenza – e, in un secondo periodo sulla necessaria cooperazione in materia di disarmo e riconversione; inoltre, il rapporto costi-benefici di ciascuna azione era caratterizzato da altissimi rischi e scarsi guadagni. Nella quarta era della deterrenza, nata con l’avvento della cosiddetta “quinta dimensione”, ossia del dominio cyber, invece, lo scenario è asimmetrico, popolato da attori di diversa natura, statali e non, finanche singoli individui agenti per propria iniziativa e non già su mandato di entità di qualsivoglia natura ed il rapporto costi-benefici varia da caso a caso.

 

Per questo motivo, non è possibile rifarsi ad una teoria della deterrenza classica, soprattutto in casi come quella della Corea del Nord, che rivolge attacchi cyber di media e bassa portata tecnologica e strategica ai danni di altri Paesi, primo fra tutti la Corea del Sud, con il solo scopo di sottrarre denaro, in valuta reale e virtuale, da poter utilizzare per finanziare programmi militari e in materia di energia nucleare. Questo tipo di attacchi hanno un costo relativamente basso ed una probabilità di riuscita, e quindi di guadagno, molto alta, poiché sono basati su due principali tecniche: la prima è utilizzata per attaccare istituti di credito ed operatori monetari “classici”, che lavorano cioè con valute reali, e consiste nel violare i codici SWIFT (Society for Worldwide Interbank Financial Telecommunication) delle vittime, per poter compiere le operazioni illecite; la seconda serve invece per agire con le criptovalute e consiste nel “rapire” le identità di ignari miners, sfruttando la potenza di calcolo di questi operatori – o meglio, dei loro computer – per guadagnare crediti. Secondo gli ultimi report di FireEye, azienda statunitense specializzata in cybersecurity, svariati attacchi sono compiuti dal gruppo APT38, notoriamente legato all’intelligence nordcoreana seppur operante in maniera autonoma. Secondo gli ultimi report di FireEye, l’APT38 opererebbe soprattutto nel settore delle valute reali, seguendo uno schema simile, eppur innovativo rispetto a quello utilizzato da gruppi come TEMP.Hermit, avvezzo a compiere operazioni di cyber espionage nei comparti difesa ed energia. La caratteristica principale di APT38 risiede nell’aggressività e immediatezza con cui distrugge le prove e le tracce delle avvenute violazioni, nonché dei propri collegamenti con entità statali e para-statali nordcoreane. In breve, il gruppo non opererebbe secondo la tattica del cosiddetto mordi e fuggi del ladruncolo di strada o del criminale comune, bensì seguendo una strategia dettagliata e pazientemente calibrata tipica degli attori statuali operanti al tempo della Guerra Fredda senza, però, dover affrontare gli stessi rischi di insuccesso di questi ultimi. Anche se le azioni di APT38 sono eseguite in un click, come tutte quelle proprie della dimensione cyber, esse confondono le controparti, perché decontestualizzano le strategie classiche e, proprio per questo, le rendono innovative, tanto da trovare difficile anche la semplice pianificazione di una possibile risposta, cosa fondamentale per mettere in atto una strategia della deterrenza. APT38 non è certamente l’unico gruppo legato alle cyber incursioni nordcoreane, ma è certamente il più emblematico, poiché esplica bene una parte, fino ad oggi poco compresa, delle teorie di Mary Kaldor sui nuovi conflitti a bassa intensità, che rischiano di trasformarsi in uno stillicidio giocato su suolo economico ancor più distruttivo, talora anche più sanguinoso, delle guerre combattute con mezzi e iter normativi convenzionali. Il paradosso dei nostri tempi, infatti, risiede proprio nel fatto che, come prescritto dal Consiglio di Sicurezza delle Nazioni Unite, la risposta ad un attacco dovrebbe rispondere al principio di minima proporzionalità, ancor più difficile da applicare in contesti e conflitti caratterizzati da alti gradi di asimmetria e foriero di ulteriori limiti per l’elaborazione di eventuali strategie basate sulle teorie della deterrenza