IL VALORE DI UNA FIRMA

di Serena Lisi

 

Nelle ultime settimane, media nazionali e locali di alcune regioni italiane (Toscana, Emilia Romagna, Lazio e Sicilia) hanno riportato numerosi casi di frodi a clienti di grandi aziende nazionali che forniscono e distribuiscono energia elettrica e gas. Si tratta, di norma, di un illecito che  coinvolge privati cittadini creando, nella maggior parte dei casi, disagi e danni d’immagine ed economici alle vittime, ma che potrebbe invece comportare più gravi conseguenze se l’illecito fosse compiuto da criminali o terroristi anziché da lavoratori disonesti e se servisse a celare un cosiddetto attacco semantico, (ossia un attacco cyber che non cancella, ma rimescola e confonde i dati telematici) ai database di infrastrutture critiche del settore energetico, perpetrato per scopi strategici come, a suo tempo,  accadde nel 2007 con lo storico black out  estone.

 

L’atto di frode viene compiuto ovunque secondo un clichè ricorrente: ignari clienti ritrovano la propria utenza dirottata  proditoriamente verso un altro gestore e vengono avvertiti del passaggio da una falsa bolletta, mensile anziché bimestrale, indicante la chiusura del precedente contratto con un fittizio conguaglio delle spese a favore della malcapitata vittima, che crede così di essere in credito di un certo numero di euro con l’azienda di riferimento e di non dover pagare alcunché. Molti frodati hanno dichiarato di non aver notato la dicitura “chiusura contratto” sulla finta bolletta, vista la piccola dimensione dei caratteri con cui tale indicazione è scritta. Nel giro di un paio di mesi, molti utenti si sono visti tagliare l’utenza di luce, gas o entrambi, perché dichiarati morosi dall’azienda con cui avevano, in principio, stipulato il contratto, giacché, dopo aver ricevuto il falso conguaglio, non hanno poi trovato alcuna bolletta in cassetta postale, mail o domiciliata, presso la propria banca e, dunque, non hanno pagato per un paio di mesi il costo delle utenze citate. Alcuni, più fortunati, hanno notato la situazione anomala prima di essere danneggiati dal taglio delle utenze e quindi hanno potuto sporgere regolare denuncia e sanare la situazione prima che essa arrecasse loro danno.

 

In tutti i casi, sanati e non, la sostanza della truffa è sempre la medesima: ignoti dipendenti corrotti hanno violato le banche dati digitali delle aziende presso cui lavorano ricorrendo ad un utilizzo illegale dei dati dei clienti. In alcuni casi, i dati sono stati venduti a soggetti concorrenti da dipendenti che hanno violato la banca dati dell’azienda presso cui lavorano; in altri casi, invece, il concorrente sleale ha pagato dipendenti o soggetti terzi per violare le banche dati di altre aziende ed acquisire nominativi ed estremi matricolari, come ad esempio i cosiddetti POD numbers dei contatori elettrici, per poter effettuare il passaggio.

 

Quello che ha messo in allarme i nuclei investigativi della Polizia Postale e dei Carabinieri non è stata, tuttavia, la semplice violazione delle  banche dati, la cui penetrabilità è nota, nonostante i passi avanti compiuti da soggetti pubblici e privati in materia di sicurezza e tutela dei cosiddetti dati sensibili e delle infrastrutture critiche. Ciò che colpisce nella vicenda è il prosieguo della medesima, nonché la modalità con cui la truffa è stata perpetrata e perfezionata. Infatti, il semplice furto dei nominativi dei clienti e del loro POD/numero matricolare non sarebbe dovuto, in teoria, bastare per perfezionare il passaggio di utenza dal punto di vista burocratico. Tale passaggio di utenza, per essere effettivo, deve essere accompagnato da un contratto, regolarmente sottoscritto dal titolare dell’utenza e completo di indicazioni anagrafiche e residenza, fisica e fiscale del predetto soggetto.

 

I contratti, invece, non riportano informazioni veritiere sui dati, che vengono letteralmente inventati in tutto e per tutto, dal numero di carta d’identità al luogo e data di nascita, dal recapito telefonico a residenza e indirizzo, fisico e virtuale, di recapito della nuova bolletta: tali indirizzi, se fisici, corrispondono spesso a stradine di campagna o di montagna di piccoli paesi; se elettronici o domiciliati, invece, i recapiti corrispondono a istituti bancari esistenti o provider di posta elettronica reali, ma scritti con una sintassi errata. Queste falsificazioni costituirebbero già reato (falso ideologico, punito ai sensi dell’art. 481 e seguenti del Codice Penale). Nei casi citati, tuttavia, al reato di falso ideologico, si aggiunge il falso materiale (art. 476 e seguenti), poiché tutti i contratti riportano firme palesemente false. I contratti sono digitalizzati, ossia scansionati ed immessi, sotto forma di file .jpeg o . pdf, nel database dell’azienda destinataria del cambiamento. Il paradosso  consiste nel fatto che le firme autografe false non possono essere controllate né riscontrate perché i database dove sono raccolti i contratti non dispongono di un sistema di raccolta, controllo e confronto automatico degli specimen di firma autografa, né di un pin, una chiave o un token o una password da accoppiare al pod/codice identificativo del cliente.

 

Non è ancora quantificabile, per le aziende colpite, il costo di un simile attacco in termini di danno economico e d’immagine e quale sia, al giorno d’oggi, il valore di una firma, digitale o autografa che sia; più nello specifico, resta da valutare quanto sia importante la corretta identificazione degli utenti dei pubblici servizi e quanto accurata sia la cura della sicurezza delle infrastrutture critiche nel nostro Paese. Già da una decina di anni numerosi esperti in molti convegni hanno catalizzato l’attenzione su questo argomento. Ma sorgono numerosi dubbi anche sulla reale consapevolezza del problema di fronte a episodi quali attacchi di hacker a database di ospedali (il più famoso quello semantico al Gradenigo del 2013) e la scarsa attenzione data alla violazione di banche collegate a infrastrutture critiche come quelle del settore energetico o delle telecomunicazioni, solo perché tali violazioni sono compiute per scopi definiti, con molta leggerezza di “semplice concorrenza sleale”. Come più volte affermato da Mary Kaldor, le nuove guerre post-moderne, a bassa intensità, sono collegate alle attività economiche ancor più dei conflitti antichi e, sempre più spesso, utilizzano forme di violenza strutturale occulte e difficilmente riconoscibili.

DRONE REVOLUTION

by Cristiana Era

 

Forget the nice radio remote-control helicopters you used to buy to your children just few years ago for Christmas or for birthdays. Those were just toys. Today we live in the age of drones, in which we have been thrown almost unnoticeably. In less than a decade the remote-control technology has radically changed and it is now approaching its full “operational” development stage. The Unmanned Aerial Vehicles (UAVs) are gradually revealing their multidimensional capacity as dual-use tools. As it was for internet at its embryonic stage, until recently drone technology was restricted to the military environment and few connoisseurs. Largely employed in areas of crisis, like Afghanistan and Iraq, to target terrorist groups or as reconnaissance and information gathering, until recently remote controlled aerial vehicles did not find a widespread civil use.

 

But sooner or later, any dual-use device is naturally moving towards an open space as its applications in civil society becomes more and more attractive for businesses. And for the public sector as well, given the significant array of public services in which drones are being employed: from disaster relief support, to aerial security surveillance, from shipment of life-saving medicines to crops irrigation, from missing people search to film shooting and city traffic control. And, of course, their equipment of sensors, high-resolution cameras and GNSS (Global Navigation Satellite System) make drones an excellent versatile tool for intelligence, data collection and analysis in real time.

 

This process, though, does not come without side effects. Restricted and sensitive environments are by nature endowed with high standards of security, but once technology applications are extended to the open market, security is no more a foregone pivotal element. The hyper-connected world – the IoT (Internet of Things) – offers a number of examples of security-deficient devices, from smartphone apps to vehicle automation systems. Drones are no exception. So, if in places like Rwanda, where it can takes hours before an ambulance can reach the hospital from a village while they are able to deliver blood and plasma sacs in less than fifteen minutes and save lives, or like Thailand where they can fly through strict passages inside a cave and provide crucial support to rescue squads looking for a missing soccer team, drones are also a growing security concern for government authorities, either from a military or a civil perspective.

 

As Iraq confirmed, the threat is actually a “clear and present” danger. The Islamic State has resort to an extensive use of drones to target American soldiers on the ground and several government agencies (DARPA, among them) are sponsoring special projects on ways and means to neutralize drones carrying explosive devises. What American troops experienced on the ground in distant and critical areas is actually an example of what we can expect to happen domestically in the near future. Terrorists do not need an expensive Predator or Reaper-like drone to carry on an unexpected and devastating attack in a crowded spot, be it a stadium, a mall, a beach or any sort of gathering place. A simple off-the-shelf quadcopter, easily bought on internet for a few hundred euros and eventually loaded with explosive or with toxic material will suffice. Furthermore, many of the ready available drones can easily avoid detection due to the plastic material they are made of.

 

Terrorists are not the only malicious actors who can get the most from UAV technology. Common criminals have successfully exploited these devices to drop down drugs and other kinds of illegal items inside detention facilities or to facilitate jail breakout. And there is more: these little mobile and flying devices can be used for espionage, not just as a plain spy tool but also by its being hacked, since at this stage – and like many applications of the IoT – drones are not designed to offer a high level of security. Control of a drone can be an easy task, and if it is connected to a wireless system of a company, this can have a negative impact and interfere with the network, in addition to the loss of data inside the drone itself; or it can fly over a crowded place and through the wireless connection steal personal data of all those who are connected.

 

And besides the intent of malicious individuals or groups, let’s think of a fleet of small quadcopters crossing the airplanes lanes. It is not a hypothetical issue: several cases of drones causing incidents with civilian aircrafts have been reported and have forced the American FAA (Federal Aviation Administration) to address a pressing need for drone circulation rules and public safety preservation. If a small UAV can be “swallowed up” by the engine of a crossing aircraft causing the latter to crush, imagine what a bunch of them can do to compromise aerial circulation.

So far, drones have not developed their full potential. Their flying autonomy and – as we have already mentioned – device security are low. For the latter, we should not expect a big development in the short time. Device security requires significant investments and, again, small commercial UAVs are not conceived to be endowed with a high protection from hacking activities. On the first issue, instead, the private sector is already working on development of specific long-lasting batteries and progress on that will be reached very soon, especially because the commercial exploitation of drones is rising with expected significant revenues. The attention on commercial exploitation of UAV is so high at present, that several companies, like Ehang, Volocopter and Uber, are already competing on the development of AAV (Autonomous Aerial Vehicle) prototypes, the first step towards the unmanned flying taxis.

 

The overall expansion of drone technology will likely take place at a fast pace, as it happened for any dual-use device. And again, like everything connected to cyberspace and IoT, it will come with a number of unresolved security issues and with a legislative gap that will require to be filled soon but that will also entail a trade-off between business and security needs. Furthermore, the possible connection between UAV and AI (Artificial Intelligence) in future applications will open the floor to a number of ethical, legal and security debates as well. In conclusion, the rapidity of the IoT technology evolution – and its practical application in goods and services sectors – compared to the long bureaucratic time-span of the legislative and political system to keep the pace with a changing virtual-and-real society will create a potentially dangerous vacuum in terms of rule of law in a world in which the machine will increasingly acquire new autonomous capabilities with less and less control by human beings.

LA NUOVA NORMATIVA EUROPEA IN MATERIA DI PRIVACY: I RISVOLTI IN MATERIA DI CONSERVAZIONE DEI DATI DIGITALI

di Serena Lisi

 

Il 25 maggio 2018 è entrato in vigore, in tutti i Paesi europei, il regolamento UE 2016/679 in materia di privacy e tutela dei dati sensibili. Il regolamento è entrato direttamente in vigore negli Stati membri, dato che si tratta di fonte normativa comunitaria, alla quale la legislazione interna di ciascuno Stato si è adeguata senza l’emanazione di decreti attuativi o altro tipo di provvedimento interno. I contenuti del regolamento possono essere integrati da ciascuno Stato, ma la ratio di questo provvedimento è che tutti i membri dovranno seguire una linea di condotta comune, che renda più omogeneo ed elevato il livello di protezione dei dati personali, poiché l’UE è stata definita come spazio comune di sicurezza, libertà e garanzie.

 

Molti cittadini si domandano che cosa significhi questa novità ed in cosa consista il cambiamento, soprattutto in materia di sicurezza informatica. Oggi, infatti, gran parte della vita quotidiana, anche quella di coloro che vengono definiti analfabeti digitali, è in realtà proiettata in rete, anche senza un espresso consenso: si pensi, ad esempio, a chi dispone di uno o più conti bancari, chi usufruisce di buoni pasto di nuova generazione o a chi è inserito nei pur incompleti (e talora frammentari) archivi del sistema sanitario nazionale. La domanda è legittima, poiché il regolamento disciplina il trattamento dei dati di persone fisiche viventi e non di persone giuridiche ed anche l’entrata in vigore del regolamento è stata largamente pubblicizzata in molti Paesi, inclusa l’Italia.

 

In realtà, la pubblicità dell’evento non ha spiegato esattamente nè la portata delle innovazioni nè la loro reale efficacia. L’Unione Europea stessa aveva definito questo regolamento come un modo per far sì che il trattamento dei dati personali fosse al servizio dell’uomo. Ma l’evidenza dei fatti ci dimostra che i pur importanti cambiamenti introdotti non sono esattamente all’altezza delle aspettative. Si parla in primo luogo di trattamento automatizzato dei dati con nuovi limiti, nel senso che, ogni volta che tali dati verranno processati, il titolare dei medesimi dovrà esprimere il proprio consenso; suddetto titolare avrà diritto all’oblio, ossia alla cancellazione di ciò che lo riguarda da archivi fisici ed elettronici, che peraltro devono essere resi sicuri attraverso procedure che li rendano accessibili solo a soggetti qualificati e riconoscibili e resilienti, ossia capaci di resistere ad intrusioni o, ove ciò non sia possibile, facili da ripristinare o riportare in condizioni di sicurezza; il consenso al trattamento dei dati citati dovrà essere breve, conciso ed espresso in maniera trasparente (ossia senza clausole occulte) e diretta, ma dovrà anche riportare le cosiddette specifiche, ossia ambito e scopo per cui le informazioni vengono processate; è infine diventato obbligatorio segnalare le violazioni (data breach).

 

I problemi che questo nuovo impianto normativo presenta sono purtroppo numerosi. Innanzitutto, nonostante sia obbligatorio segnalare le violazioni, nella prassi non è così semplice farlo: alcuni dei nostri sistemi, infatti, appaiono complessi per coloro che non sono nativi digitali. Inoltre, sia per ciò che riguarda l’obbligo di segnalazione dei reati che per ciò che riguarda la conservazione dei dati, il digital divide (sia interno ad ogni Paese che tra Paesi membri) resterà comunque evidente: coloro che risulteranno più svantaggiati saranno, come di consueto, persone fisiche poco pratiche del mondo digitale e persone giuridiche afferenti a piccole realtà, come ad esempio le PMI. Queste ultime, in particolare, avranno nuovi obblighi ma non potranno godere, se non in maniera indiretta (garanzie per i clienti e i lavoratori ivi impiegati, intesi come persone fisiche) di maggiori tutele, a fronte della necessità, spesso non supportata dalle infrastrutture pubbliche,  di aggiornare i propri sistemi di gestione e conservazione dei dati. Inoltre, anche per ciò che riguarda il consenso informato, le novità non sempre sono al passo con la prassi: in un Paese come l’Italia, ad esempio, il  nuovo consenso informato non è così chiaro come dovrebbe essere e, per coloro che fanno già parte di una banca dati, si limita ad essere un avviso relativo al diritto di recesso – e quindi di cancellazione – dalla banca dati. Discorso analogo è quello del diritto all’oblio: è facile esercitare tale diritto con soggetti qualificati e che operano nel rispetto della legge. Ma non è altrettanto semplice agire in quei settori, peraltro ancora scarsamente regolamentati, dove le informazioni circolano con estrema facilità, come ad esempio i social networks,  dove chiunque, ivi compresi gli amici, possono postare dati che ci riguardano senza il nostro esplicito consenso. Vero è che, al giorno d’oggi, anche i social networks si stanno adeguando al rispetto del cosiddetto diritto all’oblio, ma è anche vero che, spesso, i nostri dati vengono letteralmente venduti (o comunque ceduti) a terzi, seppur in forma anonima, prima che ci sia possibile esercitare il diritto citato. Infine, sempre per parlare di diritto all’oblio, in un Paese come l’Italia, è assai difficile riuscire a ricomporre una normativa organica a proposito di illeciti e crimini informatici: molto spesso, tali crimini vengono codificati nel contesto di preesistenti articoli del codice penale o trattati come aggravanti di altri reati, ma non costituiscono un corpus organico.

 

Un ulteriore problema riguarda tutti quei provvedimenti degli organi nazionali di garanzia in materia di  videosorveglianza, amministrazione di sistema, fidelity cards, uso di dati biometrici e tracciamento flussi bancari: i singoli regolamenti nazionali non vengono aboliti dal nuovo regolamento europeo, ma dovranno essere aggiornati alla luce del medesimo. Appare paradossale che un settore così delicato non sia stato regolamentato dall’Unione, anche perché, soprattutto in materia bancaria, l’UE ha spesso agito per dare linee di condotta comuni, come nel caso di Basilea3. In tutto questo panorama, infine, numerosi dubbi sono sollevati dalla creazione di una nuova figura, il Data Protection Officer (DPO), che andrà a sostituire il Privacy Officer  quale figura preposta alla sicurezza dei dati personali. In Paesi come l’Italia, questa figura potrebbe essere esternalizzata e questo costituirebbe un ulteriore problema, soprattutto per gli enti pubblici, ove le procedure di selezione sono lunghe e talora poco aderenti alle reali necessità del soggetto promotore della selezione. La sicurezza in rete dovrebbe essere il risultato di un processo di formazione e responsabilizzazione dei cittadini e non la semplice risultante di un nuovo inquadramento normativo  proveniente da una fonte superiore: non è un caso che, con la normativa già in vigore, siano aumentati anziché diminuiti i casi di cellulari ed altri dispositivi mobili colpiti da ramsomware, ossia da malware (software malevoli) informatici che chiedono un riscatto (in bitcoin o denaro tradizionale) a utenti che temono di veder diffusi indebitamente i propri dati personali “rapiti”, ossia sottratti con l’inganno.

 

 

IL GIOCO PERICOLOSO DEI RANSOMWARE

di Serena Lisi

 

Il 28 luglio 2018, a poco più di due mesi dall’entrata in vigore del nuovo regolamento europeo  2016/679, testate nazionali, locali e diffuse via web diffondono la notizia di un nuovo, ennesimo attacco alla privacy degli utenti di internet e social network, nonché proprietari di dispositivi mobili, in primis di smartphone, tablet e altri computer portatili. L’attacco è stato perpetrato attraverso una e-mail o tramite SMS ed MMS (Messaggi Multimediali) o ancora messaggi inviati tramite app dei social network (un esempio è il famosissimo Messenger di Whatsapp). Il contenuto del messaggio incriminato è un link che, se aperto dall’utente, mostra un video pornografico. L’oggetto del suddetto messaggio riguarda la password, non meglio identificata, dell’utente che, preso da una iniziale perplessità, continua a leggere pensando che la parola-chiave menzionata sia riferita all’account di posta stesso (privato o di lavoro) oppure ad un conto postale, bancario e affini. Durante la lettura, la vittima scopre che, in effetti, una delle sue password, quella della posta che sta leggendo (o del suo account principale collegato ai social network su cui riceve riceve la minaccia), è stata effettivamente sottratta e che la “controparte” chiede un vero e proprio riscatto (ransom), il più delle volte in bitcoin, affinché quella password non venga utilizzata per far sì che gli spazi personali (posta ed altro) ad esse correlati diventino un vero e proprio trampolino di lancio per la diffusione di un video che riprende l’utente intento nell’aprire il video pornografico accessibile tramite il link-esca contenuto nel messaggio. Il messaggio spiega che tramite il link  pornografico aperto è stato effettuato un accesso alla webcam della vittima, che viene ripresa mentre guarda, suo malgrado, il video porno inviato.

 

La realtà dei fatti è, però, più semplice, come spiegato anche nel forum della Polizia Postale dedicato ai reati telematici (https://www.commissariatodips.it/profilo/commissariato-di-ps-on-line.html). La password dell’account di posta è stata effettivamente reperita, magari tramite dark web, tra quelle più recenti (può trattarsi di quella attuale o della penultima), ma essa non può dare la possibilità di accedere al controllo di dispositivi quali telecamere e microfoni; la password  è stata carpita in un momento precedente all’invio del messaggio incriminato ma non è sufficiente, di per sè, ad accedere alle app e hardware collegati al dispositivo. Il link al video pornografico, al più, può dare accesso alla galleria di immagini collegata a posta e social network e bloccare il sistema per un overflow, ossia inondazione di immagini e dati. Tecnicamente, l’accesso a telecamere e microfoni  tramite il furto di password e link di posta elettronica è possibile ma, almeno n quest’ultimo caso, ciò non è accaduto, perché il ricatto era basato sulla paura e parziale disinformazione delle vittime e non su una struttura robusta del malware. In breve, questo ransomware sfruttava quello che in etologia è chiamato mimetismo mülleriano, ossia fingeva di essere qualcosa di più pericoloso di ciò che è in realtà: chi ha ricevuto il messaggio, in sostanza, credeva di essere oggetto della cosiddetta revenge porn, una forma di vendetta (con ricatto) basata sulla diffusione di immagini pornografiche presso i propri contatti privati e di lavoro.

 

In casi come questi, il problema non risiede solo nella violazione della privacy delle persone fisiche, oggetto della nuova normativa europea. Tale violazione spalanca la porta a reati ancora più gravi e preoccupanti, come la violazione di segreti di azienda o di archivi di enti pubblici. Italia e Paesi europei sono solo le ultime vittime di questo sistema di ricatto e riscatto, ormai noto agli esperti da più di tre anni: sviluppatosi come gioco pericoloso tra adolescenti in cerca di riscatto, notorietà o vendette private contro coetanei e adulti, i ransomware, ossia i codici malevoli che conducono a richieste di riscatto per furto di dati e/o identità, hanno colpito in tutto il mondo: dagli Stati Uniti all’Estonia, dalla Russia alla Cina. Gli attacchi più noti al grande pubblico sono stati White Rose, citato anche sul sito del DIS, l’attacco ad Atlanta, l’attacco allo spazio iCloud e Mirai.

 

White Rose è un ransomware della famiglia di Infinite Tear, così come lo sono Black Ruby e Zenis. Tutti questi codici malevoli agiscono principalmente sui sistemi Windows ed accedono con vari metodi al desktop o altri spazi del device colpito bloccando file di svariate estensioni (moltissime) attraverso una vera e propria operazione di encryption, ossia di cifratura. I target file vengono resi inutilizzabili perché ne viene cambiata l’estensione: ad esempio, Infinite Tear cifrava numerosissimi tipi di file aggiungendo una ulteriore estensione alla fine della denominazione degli stessi, del tipo .JezRos, in modo che l’utente si ritrovasse di fronte a file del tipo .doc.JezRos anziché .doc, .docx, jpeg, e via dicendo. I vari tipi di ransomware della famigli di Infinite Tear riportano, in luogo dell’apertura dei file compromessi, un messaggio che richiede il riscatto. A differenza di altri ransomware, il messaggio è scritto in un inglese accettabile, con linguaggio falsamente poetico ed evocativo, ma privo degli errori vistosi che saltano agli occhi negli ultimi attacchi del 2018. In breve, questa famiglia di codici è creata con cura e attenzione da personaggi esperti.

 

Anche l’attacco ad Atlanta ha funzionato come un denial of service. Il pericolo derivava dal fatto che i computer bloccati erano quelli dell’amministrazione cittadina, contenenti i dati dei cittadini, ma anche altre informazioni ed accessi ad ulteriori funzionalità dei pubblici servizi. E anche in questo caso, è stato richiesto un riscatto per “liberare” dati e funzionalità.

 

Diversamente, l’interesse del grande pubblico per iCloud è dovuto al fatto che ad essere colpiti sono stati i dispositivi Mac, funzionanti fondamentalmente con un sistema operativo Linux e non con Windows: il Cloud che raccoglieva i dati degli utenti Mac colpiti veniva criptato e reso inaccessibile richiesto con l’automatica richiesta di riscatto per lo sblocco.

 

Al contrario dei precedenti malware citati, Mirai ha creato scompiglio proprio perché nel 2016 ha realizzato in concreto quello che l’attacco di luglio 2018 non avrebbe mai potuto compiere: ha preso di mira le password di svariati utenti ed ha ottenuto l’accesso a dispositivi di vario tipo (in pratica, all’intero Internet of Things, IoT), prendendo il controllo di telecamere, monitor, webcam, microfoni e altro ancora e, tramite botnet (connessioni-pirata), ha trasformato i dispositivi in veri e propri computer zombie.

 

Sul come difendersi non esiste una risposta univoca, ma si possono sicuramente usare alcune accortezze basilari ma spesso trascurate: aver cura delle proprie password ed eseguire sempre il log out  da posta, social network ed altre app collegate alla rete; prestare attenzione ai permessi (richiesti o automatici) di varie app, come ad esempio l’accesso automatico alla propria galleria di immagini e foto (una app come Whatsapp lo fa); non aprire o cliccare links sconosciuti o dubbi; non farsi prendere dal panico al primo messaggio minaccioso ricevuto, facendo attenzione anche al linguaggio (ed alla grammatica del medesimo) con cui esso è scritto; non collegare la propria posizione lavorativa (e quindi l’eventuale comunicazione di segreti di ufficio) a quella privata. Le accortezze qui riportate sono solo la base di una  più complessa cultura e cura della sicurezza globale, ma sono il punto di partenza dal quale ogni cittadino medio dovrebbe trarre spunti di riflessioni sul proprio operato ed uso dei dispositivi internet in suo possesso.

L’EUROPA CYBER E’ PRONTA?

di Serena Lisi

 

In Europa, la prima metà degli anni 2000 è trascorsa alla ricerca di una costituzione per l’Unione Europea, definita proprio allora come “spazio di libertà, giustizia e sicurezza”. Il progetto tramontò definitivamente tra 2007 e 2009, anni in cui è stato ratificato e reso operativo il Trattato di Lisbona che, tra le altre cose, ha sancito la cessione di alcune competenze in materia di sicurezza ai singoli Stati ed alle organizzazioni regionali (in primis la NATO). In quegli stessi anni, molti Paesi europei, tra cui l’Italia, cominciavano a prendere in più seria considerazione il Wassenaar Arrangement sui dual-use device, nato nel 1996 come corollario degli accordi START post guerra fredda. I dual-use devices sono strumenti che possono essere impiegati sia per un uso civile che per scopi strategico-militari e richiedono un trattamento particolarmente cauto proprio in virtù della loro natura. Sia l’Unione Europea che la NATO, in quanto persone giuriche ed organizzazioni regionali, hanno sottoscritto il Wassenaar Arrangement. Tale sottoscrizione sembrava indice di una precisa volontà di creare un quadro normativo organico ed unitario, sia alla luce della stipula della Convenzione di Budapest sul Cybercrime (2001), che delle nove categorie merceologiche del Wassenaar Arrangement (che in virtù della sua natura politico-economica ben sposava l’adesione dell’UE).

           

Tuttavia, né il framework europeo in materia di cyber security né la normativa dei singoli Stati sono risultati altrettanto organici quanto invece sarebbe stato opportuno. Che la normativa degli Stati potesse risultare complessa e cavillosa, specialmente in Paesi come l’Italia (sistema di civil law – misto), non dovrebbe stupire. È invece più difficile comprendere limiti e dubbi del framework europeo, giacché esso rappresenta, appunto, una normativa-quadro, una serie di linee-guida, che facilmente avrebbe potuto riassumere ed integrare categorie quali quelle già enumerate nel Wassenaar Arrangement, ossia: materiali speciali ed equipaggiamenti correlati; semi-lavorati; elettronica; computer/processori; telecomunicazioni e infosec; sensori e laser; navigazione e avionica; industria marittima; propulsori e ingegneria aerospaziale. Diversamente, dal 2000 ad oggi la normativa-quadro è stata incentrata su alcune aree (o materie) politiche che, però, restano necessariamente generiche, poiché per loro natura possono contenere moltissime fattispecie giuridiche ed economiche, sia astratte (temi normativi) che concrete (esempi su cui applicare la normativa), senza mai fare chiarezza sulle categorie di mezzi cyber coinvolte. In breve, è come se l’Unione Europea avesse voluto regolare il traffico stradale senza citare i mezzi utilizzati e le strade percorse dai conducenti che debbono rispettare il codice della strada. Le materie nel framework europeo sono state a loro volta divise in quattro macro-aree in occasione dell’adozione del cosiddetto cybersecurity package (13 settembre 2017): Le quattro macro-aree sono: resilienza, che comprende il rafforzamento dell’Agenzia per la Sicurezza Europea (ENISA), la creazione di un mercato unico digitale, l’implementazione della direttiva sulla sicurezza delle reti e dei sistemi informativi e il progetto per una efficiente risposta alle emergenze; l’area delle relazioni “esterne”; quella della cyberdefence (termine volutamente lasciato in lingua originale perché già abbastanza generico in originale, nonché parzialmente sovrapposto ad alcune categorie della prima area); l’area del crimine informatico.

 

Sicuramente, le macro-aree rappresentano una importante risorsa per le singole strategie nazionali, ma una strategia senza un concreto ed organico sostegno normativo non può essere efficace e rappresenta, anzi, una sorta di sovrapposizione con l’opera di organizzazioni regionali quali la NATO. Lo sviluppo del nuovo cybersecurity package sarà graduale, come mostrato dallo schema riportato di seguito estratto dalla pagina ufficiale dedicata dall’ENISA al tema (https://epthinktank.eu/2018/01/03/enisa-and-a-new-cybersecurity-act-eu-legislation-in-progress/). Attualmente, siamo solo al secondo step su nove e ciò non dipende soltanto dalla struttura del processo decisionale in seno all’Unione Europea, ma anche al fatto che l’UE non ha un testo normativo, vista la prematura fine del progetto di promulgazione di un testo costituzionale unico.

Un indicatore chiaro di tale mancanza è rappresentato dal complesso scenario dei CERT (Computer Emergency Response Team) nazionali, europeo ed extra-europei. I CERT nazionali, benché condividano alcuni punti cardine, sono spesso difformi e poggiano su basi normative profondamente variabili da Stato a Stato, il che comporta non solo una differenza nei tempi di reazione, ma anche nelle fasi di deterrenza. E’ infatti vero che il CERT deve rappresentare, in primis, una risposta alle emergenze, una sorta di “unità di crisi cibernetica”. Ma è anche vero che la loro efficacia è strettamente connessa all’efficacia di altre misure, connesse ai concetti di “deterrenza” e di “sanzione”. Fino a pochissimi anni fa, rifacendosi ad un linguaggio preso a prestito dagli anni della guerra fredda, si usava dire che non può esistere una deterrenza cibernetica, perché, in caso di attacco cyber, il cosiddetto first strike è quello decisivo. Ciò è ancora vero, in parte. Ma, se vogliamo parlare di uno spazio di “libertà, giustizia e sicurezza”, quale l’UE si è auto-definita, non possiamo fermarci a parlare di realpolitik  e di cosiddetti major e high crimes, ma dobbiamo piuttosto pensare ai cambiamenti che l’avvento della quinta dimensione ha portato nella vita quotidiana dei cittadini europei. E al concetto di cittadinanza sono legati anche i concetti di normativa (ove i termini “deterrenza” e “sanzione” hanno un significato esplicito) e di territorialità . Il quesito che l’UE dovrebbe, a questo punto porsi, è quello di come legare questi due concetti, così specifici e concreti, allo spazio cyber, che è invece virtuale e tendenzialmente anarchico. Le basi erano state poste con l’adesione dell’UE al Wassenaar Arrangement che, come l’UE, aveva natura strategica ed economica. Ma queste basi debbono essere consolidate, poiché, in caso contrario, l’Unione Europea rischia di restare sempre e solo “pronta a partire”, senza però decollare quale attore importante nel mondo della cyber security.

CINA E CYBERPOLITICS. UNA PROSPETTIVA

di Serena Lisi

 

Fin dagli Anni ‘80, le cosiddette tigri asiatiche hanno suscitato l’attenzione di economisti ed analisti, sia per il loro crescente peso economico e politico sullo scenario internazionale che per le contraddizioni insite nella loro storia e cultura. Ai giorni nostri, la “tigre” per eccellenza è senza dubbio la Repubblica Popolare Cinese, attore politico ed economico di primo piano, come già evidenziato in un report proposto lo scorso anno da The Independent, in cui appare chiaro quale sia, su scala mondiale, l’enorme volume di affari di questo stato che, tra le altre cose, fa parte del gruppo BRICS (Brasile, India, Russia, Cina, Sudafrica).

 

 

Il fatto che la Cina sia inserita nel gruppo dei Paesi BRICS non è un caso: a prima vista, l’elemento più importante pare essere costituito dal fatto che a livello mondiale il suo volume di affari segue quello degli Stati Uniti, ed è decisamente superiore a quello dell’eterna “alleata-rivale” Russia. Ma il vero fulcro della questione può essere individuato nel fatto che la Cina ha un posto molto particolare all’interno del gruppo BRICS: è stata la Cina, ad esempio, a spingere per l’ingresso del Sudafrica nel gruppo e a sostenere la cessione di fondi a suo favore per l’avvio di politiche di aggiornamento di cultura e infrastrutture del settore digitale. Decisioni prese alla luce del fatto che la Cina già da dieci anni investe acquistando terreni nel continente africano, ove porre le proprie infrastrutture digitali per poter usufruire di una vera e propria “arma” strategica, lo spazio elettromagnetico. È ormai noto a livello globale il cosiddetto slot problem legato alle difficoltà di inviare in orbita nuovi satelliti geostazionari (ogni satellite ha bisogno di uno spazio angolare, cioè di un angolo di visuale entro il quale lanciare il proprio segnale e l’orbita terrestre, ellittica, ha ovviamente uno spazio limitato). La Cina, così come altri Paesi, sta cercando di aggirare questo problema utilizzando lo spazio elettromagnetico e satelliti “in orbita bassa” (tra i 300 e i 2.000 km di altitudine) per rimbalzare segnali di vario genere da un capo all’altro del globo, senza dover ricorrere all’acquisto di ulteriori posizioni in orbita geostazionaria. In questo senso, il sodalizio cinese con il continente africano rappresenta un turning point strategico, anche in virtù della morfologia fisica del territorio stesso, in larga parte pianeggiante, che permette l’agevole installazione di idonei ripetitori e infrastrutture.

 

È facile spiegare come mai la Cina si sia imbarcata in una simile avventura e quale connessione abbia questo fatto con la politica nazionale sulla cyber security. In primo luogo, la Cina ha scelto una forma di indipendenza dal “circuito internet globale” che si differenzia dalle soluzioni scelte da altri due Paesi (guarda caso sempre dei BRICS) controcorrente, come la Federazione Russa ed il Brasile: la prima ha puntato principalmente sull’uso di software, app e motori di ricerca non globalizzati (si veda il caso Yandex); il secondo ha scelto di creare il proprio cavo sottomarino (in realtà al servizio di tutti i BRICS, con vantaggi, quindi, anche per la Cina) per collegarsi all’Europa e al resto del mondo, senza dover fruire dell’infrastruttura statunitense con le sue “backbones” nell’Atlantico centrale e del nord.

 

 

La Cina, invece, forse favorita dal proprio regime autoritario, ha scelto una soluzione che parte dall’infrastruttura per finire alle app (alcune delle più note app globali sono bloccate e vengono sostituite da versioni cinesi: Facebook, Twitter, Instagram, Pinterest, Tumblr, Snapchat, Picasa, WordPress.com, Blogspot, Blogger, Flickr, SoundCloud, Google, Google+, Google Hangouts, Youtube e Vimeo non funzionano). Tale soluzione prevede, naturalmente, anche l’esistenza di una apposita struttura statale, sia burocratica che normativa, adatta a gestire e controllare azioni e iniziative nel contesto dell’aleatorio spazio cibernetico. Proprio in questo contesto, emerge una delle contraddizioni citate in apertura: la struttura burocratico-amministrativa per la gestione delle politiche di cyber security è caratterizzata da una struttura gerarchizzata ed anche rigorosa, ma i mezzi per implementare tali politiche sono i più svariati e l’applicazione può essere molto flessibile, quasi arbitraria, come nel caso della criticatissima delazione “segreta” che ogni cittadino può mettere in atto ai danni di coloro che violino le regole d’uso di internet prescritte dal regime. Tale delazione “segreta” è possibile proprio in virtù della già citata struttura burocratico-amministrativa: al servizio del Ministero per la Sicurezza di Stato (MSS) si trova il Centro per la Valutazione della Sicurezza delle Tecnologie dell’Informazione (CNITSEC), che cura il Database Nazionale delle Vulnerabilità della Sicurezza Informatica (CNNVD), dentro il quale confluiscono tutte le minacce al sistema nazionale.

 

La struttura istituzionale è poi sostenuta da una aggiornata dottrina strategica e da una nuova normativa: il Libro bianco della Difesa della Cina è del 2015, mentre la Network Security Law risale al 2017 e, in tale contesto, operano la Forza di Supporto Strategico (SSF) e l’Unità 61398 della PLA (People’s Liberation Army), preposte allo svolgimento di PSYOPS e di operazioni di intelligence, da collocarsi nell’ambito della cosiddetta “difesa attiva” (o proattiva) descritta nei documenti strategico-normativi.

 

Tutta la struttura, naturalmente, funziona grazie a fondi statali ottenuti dall’ordinaria tassazione su popolazione ed attività, con un bilancio ben preciso e studiato in dettaglio fin dall’inizio del millennio, cosa che fa la differenza rispetto a democrazie europee quali l’Italia, che solo da pochi anni hanno un budget per la cyber security, peraltro ritagliato da altri capitoli di spesa, dopo anni di iniziative a “euro zero”. In un noto discorso, Winston Churcill disse che la democrazia era il peggio regime politico esistente, ma l’unico possibile. A molti anni di distanza, possiamo aggiungere una postilla: la democrazia è un sistema così presuntuoso che esso valuta come malevole le soluzioni intraprese nel contesto di altri regimi, senza valutarne le potenzialità in contesti socio-economici diversi o, peggio, etichettandole come “di nicchia”. La Cina è un Paese esteso, economicamente potente e sovrappopolato, un attore da non sottovalutare, né da relegare al ruolo di “avversario” da un lato o di “partner economico” dall’altro.

RIFLETTERE SUL DOMINIO CIBERNETICO PER RIPENSARE AI DOMINI CLASSICI

di Cristiano Galli

 

Già da qualche tempo il concetto di “multi domain battle” (Kimmons 2016, Palazzo, A. & McLain III, D. P. 2016) ha introdotto nel pensiero militare una profonda riflessione sul significato stesso del termine “dominio”. Come sintetizzato perfettamente da Frank Hoffman e Michael Davies nello scritto del 2013 “Joint Force 2020 and the Human Domain: Time for a New Conceptual Framework?”, l’ormai accettato utilizzo dei costrutti concettuali dei quattro domini classici: terra, mare, cielo e spazio con l’aggiunta dell’ultimo nato e forse più peculiare spazio cibernetico, “crea una cornice di riferimento che definisce la preparazione e la condotta del conflitto. Ogni istituzione e servizio militare sviluppano la dottrina e le piattaforme specificamente disegnate per operare o manovrare nell’ambito del proprio dominio dominante. Poca preparazione viene fatta per la condotta del conflitto al di la di questo costrutto limitante”.

 

L’affermazione di Hoffman e Davies è tanto vera quanto la costante applicazione di un pensiero limitante che vede ogni Forza Armata continuare a ragionare in una logica esclusiva e non integrativa di domini separati che si integrano solamente nel momento in cui la realtà della guerra moderna, così complessa e olistica, le porta a scendere sul “campo di battaglia”. Senza una preparazione dottrinale e di pensiero coerente le Forze Armate si trovano costantemente ad adattare in fase tattica la condotta del conflitto ad una situazione cognitivamente priva di chiarezza strategica, operando in uno stato di costante disallineamento fra ends, ways e means.

 

Riflettere sul significato del più giovane dei domini, lo spazio cibernetico, ci può aiutare a ripensare i domini classici, ma soprattutto ci può aiutare a sviluppare un nuovo modo di pensare allo significato stesso di “dominio”.

 

Lo spazio cibernetico (cyberspazio) è il dominio caratterizzato dall’uso dell’elettronica e dello spettro elettromagnetico per immagazzinare, modificare e scambiare informazioni attraverso le reti informatiche e le loro infrastrutture fisiche. A differenza dei domini classici, è un ambiente artificiale frutto per eccellenza dell’attività umana e rappresenta la quinta dimensione della conflittualità.

 

La natura artificiale del cyberspace lo rende, di per sé, più che un dominio a se stante, un vero e proprio “strato” trasversale a tutti gli altri domini fisici, ma soprattutto la caratteristica che lo contraddistingue è proprio la dimensione “umana”. Per la prima volta un dominio operativo, al di là della propria natura fisica, mette l’uomo al centro del sistema. Il cyberspace non esisterebbe nemmeno se non fosse legato all’agire, cognitivo ed emotivo, dell’elemento umano al suo interno.

 

Questo è sicuramente l’elemento rilevante su cui ragionare. Prendendo in prestito una definizione dalla dottrina della Pubblicazione AJP 3.10, la funzione InfoOps è descritta come “una funzione dello staff  a staff mirata ad analizzare, pianificare, valutare e integrare le attività informative per generare gli effetti desiderati sulla volontà, la comprensione e le capacità degli avversari”.

 

Ci rendiamo subito conto che agire sulla volontà, la comprensione e le capacità degli avversari significa, a tutto tondo, agire sulla dimensione della cognizione umana che comprende proprio l’agire nella sua versione più olistica. In ogni dominio operativo l’elemento essenziale è proprio caratterizzato dall’elemento umano. E’ l’uomo che percepisce i segnali che derivano dai propri sensi, è l’uomo che processa questi segnali in percezioni ed è l’uomo che, sulla base della realtà virtuale creata da queste percezioni, attiva tutti i processi emotivi e cognitivi che portano alle decisioni ed alle conseguenti azioni. Tutti questi processi avvengono pertanto nel centro operativo dell’essere umano: il cervello. È il cervello che genera la realtà, più o meno oggettiva, sulla base della quale si generano collaborazioni, cooperazioni, conflitti e guerre. La vera dimensione operativa diventa pertanto la dimensione cognitiva, da intendersi quale massima espressione dell’attività cerebrale più elevata dell’homo sapiens.

 

Partendo dal costrutto classico della strategia che vede mezzi e modi al servizio dei fini, possiamo riflettere sul fatto che il fine ultimo di ogni operazione militare è proprio nella capacità di influenzare la dimensione cognitiva di un  potenziale avversario. Mezzi e modalità debbono pertanto essere orientati a questo fine strategico. Come nel costrutto dell’intelligenza emotiva di Daniel Goleman, le competenze intra-personali (conoscenza, comprensione e gestione di sé) ed inter-personali (conoscenza e comprensione dell’altro e gestione delle relazioni sociali) costituiscono gli elementi fondanti per poter gestire in maniera efficace ogni forma di relazione umana. Perché dovrebbe essere diverso quando si parla della più complessa e potenzialmente distruttiva forma di relazione, il conflitto?

 

Si tratta pertanto di ripensare la cornice concettuale propria delle dimensioni operative puntando ad una convergenza mono-dimensionale nella quale lo spazio cognitivo – da intendersi quale sintesi di sensazione, percezione, comprensione, volontà ed azione o comportamento – diventi un unico spazio all’interno del quale ristrutturare la dottrina, i processi decisionali e le capacità operative.

 

L’evoluzione di pensiero passa necessariamente dalla ricerca e dalla capacità di fare sinergia con i campi scientifici che si occupano della materia. Le neuroscienze cognitive, il neuro-marketing, la neuro-economia, insieme alle scienze sociali sono settori che, grazie all’evoluzione tecnologica, ci stanno mettendo nelle condizioni di addivenire ad un nuovo livello di consapevolezza rispetto alle modalità con le quali i nostri cervelli funzionano, influenzando ogni forma delle nostre relazioni sociali.

 

Lo spazio cibernetico non è atro che un prodotto della cognizione umana che, per la prima volta, ha generato un network globale nel quale ogni forma di intelligenza individuale si sta fondendo in una vera e propria forma di “intelligenza collettiva”.

 

La sfida del futuro diventa pertanto proprio la capacità di acquisire consapevolezza e conseguentemente dominare questa dimensione dell’agire umano. I domini classici: terra, mare, cielo e spazio ed il dominio cibernetico si devono pertanto fondere in un unico dominio cognitivo nel quale ogni operazione militare, cinetica e non cinetica, deve avere, come fine ultimo, quello di influenzare l’agire dell’avversario in modalità funzionali ai propri obiettivi strategici.

CYBERBIOSECURITY: RISK CONVERGENCE FOR LIFE SCIENCES

di Massimiliano Passalacqua

 

Cartoons, comics and videogames was a favorite activity for many teenagers during the 80s, and the term “cyber” was strictly related to futuristic Japanese anime, American comics, manga and sci-fi movies. Almost forty years later everything is “cyber”: cyber-security, cyber-sports, cyber-law, cyber-porn, cyber-jihad; there are 400 English entries listed on Wiktionary with the prefix “cyber”. This is an ongoing process, where technology is gradually building the IoT, the Internet of Things, a demi-god entity made of billions of items and devices embedded with electronics and sensors, interconnected to each other and continuously exchanging information.

 

The Internet of things is the natural consequence of the extraordinary technological progress of recent years, where astonishing computing power met awesome mobile and sensor technologies at ridiculously cheap costs.

 

Cyberspace is turning into an intricate realm, made of digital, virtual and physical objects; in cyber-physical systems, (CPS) – even though Phygital is the new trending portmanteau – physical and software components are deeply intertwined, each operating on different spatial and temporal scales, exhibiting multiple and distinct behavioral modalities, and interacting with each other in a myriad of ways that change with context (US National Science Foundation definition).

 

The outcome of these systems’ failures and malicious use could be catastrophic.

Here comes the security policy, a written document outlining how to protect an institution or a company from threats, including computer security threats, and how to handle situations when they do occur.  A security policy must identify all company assets as well as all the potential threats to those assets. Biology and biotechnology – just like any other human activity – entered the digital age, and the frontier between biology and cyberspace is becoming increasingly unclear.

 

The recent use of DNA as a substrate to inject malware into a computer system is a case in point (Ney, P. et al, 2017, Computer Security, Privacy, and DNA Sequencing: Compromising Computers with Synthesized DNA, Privacy Leaks, and More). On the other side, security policies concerning these sciences have not kept the pace with change. As a computer-controlled industry, risks are present in every step of the biotechnology workflow; yet, despite this overwhelming evidence, operators involved in biotechnology supply chain do not take any precautions during their daily activities. This is partly associated with the perceived reputation of academic institutions or biotech companies.

 

However, as Wachinger undelined in 2013, limited exposure to cyberbiosecurity (CBS) incidents also shapes the perception of these risks. Most policies are still based on sample containment, but it is easy to read DNA sequences or to make molecules out of publicly available sequences from bioinformatics databases.

 

Most projects have a cyber dimension, introducing a new category of risk.

Security policies in life science fall into two categories:

  • Biosafety procedures, designed to prevent exposure to pathogens and accidental release of biological agents. Measures of this kind are represented by protective clothing, sterilization procedures, airlock devices in which dust, particles and biological agents are prevented from leaking out by maintaining the room at a lower pressure than the surroundings.

  • Biosecurity policies on the other side are usually associated with travel, supply chains, terrorist The term was first used by environmental and agricultural communities, eventually the prevention of the intentional removal of biological materials from research laboratories was included in response to the threat of biological terrorism.

 

Breaches can be accidental (e.g. traveler bringing contaminated material) and intentional (e.g. bioterrorism).

 

A key component of biotechnology risk analysis is gene synthesis, which can be used to develop biological weapons via genomic sequences of pathogens. Therefore, cyberbiosecurity aims at understanding emerging risks at the cyberspace and biology frontier, developing fitting policies. Most people have basic sense of how to manage their own cybersecurity, same should be true for life sciences.

 

More resilient and secure (ruling out safety as an already acquired skill) organizations and processes in life sciences can be built through:

  • Employees are trained on the bio-safety aspects, and the same should be done on the cyber-biological risks.

  • Awareness development about the different infrastructural, cyber, cyber–physical vulnerabilities, besides the supply chain and biological processes.

  • Risk analysis. Identification of exposures not covered by the existing bio-safety/security policies. Examples of CBS risks can be found in bioinformatics databases, which could be corrupted altering sequences and annotations, thus delaying a research program or resulting in the uncontrolled production of infectious agents and toxic products. Regulatory approval and research could also be postponed due to discrepancies between the physical characteristic of the product and test data. The operation of a facility could be compromised through the injection of nefarious products, either via shipment interception or electronic orders tampering. After the risks have been identified, prioritization should follow, evaluating potential impacts and probability of occurrence.

  • Policy upgrade: implementing appropriate security policies detecting and preventing incidents that could jeopardize life sciences assets.

 

Now that DNA sequencing, synthesis, manipulation, and storage are increasingly digitalized, there are more ways than ever for nefarious agents both inside and outside of the community to compromise security.

 

Once life sciences organizations and institutions implement CBS policies, a new culture of CBS awareness will start to spread out across the industry; That will be the starting point for cooperation with regulators on developing ad hoc policies, thus preventing the nefarious use of genome editing technologies.

 

 

Massimiliano Passalacqua is a business lawyer & business economist, specialist in New Technologies and Environment.

A Trusted Adviser focused on anticipatory strategic advisory, decoding Regulations Research and Megatrends from challenges into opportunities.

 

LA CONQUISTA DEL TERRITORIO CIBERNETICO: LO STATO ISLAMICO E L’UTILIZZO DEL WEB

di Roberto Mugavero [1], Valentina Maddiona [2], Valentina Sabato [2]

 

Nonostante l’impressione comune, l’utilizzo della Rete da parte dello Stato Islamico (IS) a fini propagandistici non è una novità: sebbene in modo più discreto, è Bin Laden a svolgere il ruolo di pioniere in questo ambito, utilizzando Internet come canale comunicativo già nel 1997 per l’attività promozionale di Al- Qaeda. Sarà poi Al- Zawahiri a riconoscerne ulteriormente l’importanza nel 2005, affermando come “più di metà della battaglia è nei media”, e localizzando così il teatro operativo nel quale lo Stato Islamico ha voluto primeggiare: il mondo informatico.

 

La guerra del Califfato è divenuta così una guerra allo stesso tempo sia psicologica sia di informazione: IS si rivela infatti sempre più assimilabile a un brand, attorno al quale ruota una campagna di marketing, attuata in larga parte sui social network, che cerca di renderlo attraente a differenti target di popolazione. Alcune ricerche spiegano come, al fine di soddisfare i bisogni dell’uditorio, le agenzie di comunicazione del Califfato abbiano costruito delle vere e proprie narrative, in questo caso interpretazioni contestuali dell’ideologia salafita, mirate a soddisfare proprio i bisogni del pubblico.

 

Le tematiche preponderanti all’interno della campagna propagandistica sono suddivisibili in quattro macrocategorie. La prima, maggiormente conosciuta, è rappresentata da valori religiosi, come ad esempio il concetto di Tawhid, ovvero l’unicità di Dio, o il credo nei sei pilastri dell’Islam, denominati Iman; il secondo tema prevalente è il manifesto relativo agli obiettivi che si pone lo Stato Islamico, di cui la restaurazione dell’antico Califfato è divenuto l’emblema, e viene costantemente descritto con chiari intenti di propaganda strategica improntati a richiamare l’attenzione sul benessere all’interno dello stesso. La condotta comportamentale da attuare e mantenere per essere un jihadista modello è il terzo tema su cui si impernia la propaganda, e definisce quindi ciò che è lecito fare o meno per essere un valido combattente. Questa narrativa è altamente attraente per i giovani adulti, in quanto permette un’identificazione nell’immagine eroica del guerriero che si immola per salvare gli oppressi, e che quindi trasmette la sensazione di poter emulare le gesta di figure cavalleresche quali Maometto e Saladino, combattendo per la salvaguardia del popolo. In ultimo, si nota come l’identità di gruppo e le sue caratteristiche più salienti siano sempre presenti per rafforzare il senso di coesione; uno su tutti il concetto di Umma, ovvero di comunità globale dei musulmani sunniti salafiti, che funge infatti da vero e proprio “collante” ideologico, improntato a ricostruire un senso di appartenenza in opposizione alla frammentazione geografica dei musulmani dislocati in vari paesi del mondo, per spingerli a ricongiungersi allo Stato a cui realmente appartengono.

 

Questi temi vengono utilizzati in maniera differente in base al tipo di pubblico a cui ci si rivolge. Non è un caso che il materiale audio e video a cui gli Stati occidentali sono sottoposti sia intriso di brutalità e violenza, perché deve spaventare e indurre un senso di sconfitta verso il nemico, oppure allo stesso tempo cerca di instillare un senso di indignazione e quindi indurre reazioni impulsive a livello militare e operativo da parte dei governi stessi. Al contrario, in Siria e nei paesi limitrofi, è maggiormente propagandato un messaggio di amore e solidarietà, e di volontà di ricostruire uno stato islamico che integri al suo interno ciascun musulmano sunnita, soddisfando ogni sua necessità. Pull factors spesso utilizzati sono la presenza di un sistema sanitario e di quello educativo, o la presenza di beni di consumo estremamente desiderati.

 

Se il motto di IS è “stabilire ed espandersi”, si può dire che questo sia stato applicato alla lettera proprio nel mondo virtuale. Oggi, grazie all’attività coordinata di ben 41 agenzie di comunicazione, il Web viene saturato di messaggi e video strutturati su un modello narrativo occidentale; la spettacolarizzazione delle immagini e l’immediatezza del messaggio, rendono queste clip efficaci, grazie anche al minore ostacolo linguistico che impongono, richiedendo basilari conoscenze della lingua inglese o araba. Questa attività è gestita nella realtà da un certo numero di soggetti, non più di duemila, che svolgono il ruolo di disseminatori, cioè di “diffusori” della propaganda. Molto spesso inoltre il materiale diffuso non riguarda la semplice propaganda ufficiale, ma anche quella prodotta dai supporters, soggetti non militanti che appoggiano la causa jihadista, come immagini, poesie, musica e ulteriori video.

 

L’utilizzo di canali di comunicazione virtuali non è utile solo a fine propagandistico, bensì anche tattico, in quanto molto spesso la manipolazione di informazioni è utilizzata per “disinformare” il nemico, distogliendo la sua attenzione e cogliendolo di sorpresa al momento propizio. Inoltre, l’IS si serve di gruppi hacker jihadisti, quali i più noti sono il Caliphate Cyber Army (CCA) l’Islamic State Hacking Division (ISHD) e lo United Cyber Caliphate (UCC). Tra le loro maggiori attività si annoverano le pubblicazioni di kill list di soggetti occidentali, civili e militari, rivolte a combattenti “lonewolves” attivi sul territorio che vogliano perpetrare attacchi mirati. Tuttavia, osservando le modalità di attacco utilizzate dai terroristi islamici negli ultimi anni, è chiaro come questi non dispongano di risorse infinite, ricorrendo anche a quella che in letteratura è chiamata “low technology” ove vi è l’utilizzo di materiali e strumenti di comune portata per compiere un attentato; questo modello di azione si riverbera anche sul settore informatico dove, le ultime novità in materia di cyberwarfare, si basano sull’utilizzo di attacchi DDoS (Distributed Denial of Service) e sull’impiego della rete per mantenere l’attività di propaganda in un momento di estrema instabilità territoriale. Di forte preoccupazione è però anche la minaccia di attacchi ransomware e di furto di identità, in particolare nell’ambito dell’aviazione civile, considerato per questo un settore a rischio.

 

Come ben noto, Twitter è il social network maggiormente utilizzato dal Califfato, che allo stesso tempo però si serve anche di altre piattaforme, come Facebook, Instagram, Tumblr, Ask.Fm e Paltalk, mentre per la messagistica istantanea si affida maggiormente a Telegram, più che a Whatsapp, per la difficoltà che la prima presenta nell’essere decriptata, e quindi “intercettata”. Secondo la “Relazione sulla politica dell’Informazione per la Sicurezza 2017” però, è cresciuto l’utilizzo di piattaforme criptate per poter comunicare e fare proselitismo, lasciando pensare che sia una inevitabile conseguenza della massiccia attività di controllo e difesa svolto sulle piattaforme social più comuni. Nonostante l’utilizzo di questi mezzi informatici, è ben noto come il reale motivo di allerta in realtà siano gli hub di radicalizzazione dislocati sul territorio.

 

È dunque in un’ottica di convergenza, ovvero di commistione tra differenti canali comunicativi, che si concretizza la strategia dell’IS. Mediante l’utilizzo congiunto di social network, blog, chat, siti web, piattaforme videoludiche, reti televisive e materiale letterario IS porta avanti la sua cyber jihad.

 

E’ di tutta evidenza quindi come, questi meccanismi di narrazione e di guerra psicologica, possano portare molte persone, soprattutto in condizioni di fragilità, disagio e disadattamento, ad intraprendere azioni contrarie ai loro interessi senza alcun apporto o implementazione di forze fisiche o coercitive esterne.

 

Comprendere i poteri persuasivi della propaganda e della comunicazione è perciò oggi centrale per gli sforzi internazionali contro le nuove minacce asimmetriche. In questo la massima urgenza è costituita dal comprendere le tattiche narrative del reclutamento terroristico e della propaganda. Ciò allo scopo di poter sviluppare idonee capacità e tecniche per destabilizzare, sfruttandone debolezze e criticità, tali strumenti manipolativi con un approccio al problema nel quale l’obiettivo finale non è più vincere una battaglia militare ma piuttosto vincere una battaglia di idee.

 

 

[1] DIE – Dipartimento di Ingegneria Elettronica – Università di Roma “Tor Vergata”, CUFS – Centro Universitario di Formazione per la Sicurezza – Università della Repubblica di San Marino

[2] OSDIFE – Osservatorio Sicurezza e Difesa CBRNe

 

RISCHIO CYBER E VULNERABILITÀ DELLE INFRASTRUTTURE CRITICHE CBRNE

di Roberto Mugavero1, Stanislav Abaimov2, Valentina Sabato3

 

Negli attuali scenari di rischio, in cui la minaccia assume sempre più la connotazione asimmetrica, gli attacchi cyber stanno diventando la tipologia predominante di eventi ai danni delle Infrastrutture Critiche (IC) ed in particolare di quelle in cui vi è la presenza di agenti CBRNe (Chimici, Biologici, Radiologico-Nucleari ed esplosivi).

 

La Direttiva Europea 114/08, definisce infrastruttura critica (IC) ogni struttura, impianto o parte di esso, situata negli Stati Membri che rivesta un ruolo centrale nel sistema Paese. Sono IC tutti quei siti che erogano servizi la cui interruzione e/o sospensione potrebbe produrre un impatto significativo per uno o più Stati Membri. In tale prospettiva, un evento ai danni di una IC CBRN potrebbe avere effetti trasversali sulla società in considerazione del fatto che potrebbe colpire contestualmente la cittadinanza, l’economia del Paese e la società nel suo complesso (fiducia del pubblico, interruzione della vita quotidiana, ecc).

 

Il primo attacco cyber ai danni di una IC CBRNe si è avuto a metà degli anni ’90 ma il problema emerse nella sua complessità solo nel gennaio del 2002 quando la centrale nucleare Ohio’s Davis-Besse fu vittima di un evento cyber a causa del quale il sistema di monitoraggio fu disconnesso dalla rete per cinque ore con l’impossibilità di controllare il corretto funzionamento della struttura. Negli ultimi quindici anni si è assistito ad un progressivo aumento del numero di attacchi informatici tanto che si sta diffondendo la convinzione che nel futuro questi saranno il principale vettore di attacco alle Infrastrutture Critiche colpendo i loro sistemi di backup o interferendo con i loro sistemi di controllo e acquisizione dei dati (SCADA). I più diffusi software di gestione della sicurezza informatica non sarebbero sempre in grado di soddisfare gli standard di sicurezza necessari per proteggere una IC CBRN a causa dell’uso di piattaforme e protocolli poco affidabili e ciò potrebbe rappresentare una concreta minaccia per la sicurezza della comunità. In tale ottica, diventa fondamentale monitorare in modo puntuale e costante queste strutture e per farlo si necessita di sistemi e tecnologie di sicurezza che siano contestualmente non invasivi e con elevati livelli di resilienza e impenetrabilità.

 

Il ruolo della sicurezza cyber cresce esponenzialmente nel settore CBRN poiché in caso di evento le aziende subiscono ingenti perdite economiche e il livello di rischio per la vita umana, la sicurezza nazionale e l’ambiente è incalcolabile. Per tali motivi, le attività di Risk Management nelle IC CBRN hanno una elevata sofisticazione e sovente non è di semplice realizzazione l’implementazione di sistemi capaci di comunicare con l’architettura hardware esistente con un conseguente notevole aumento degli investimenti nonché un cambiamento nelle policy aziendali e governative.

 

Tutti i sistemi tecnologici presenti in tali strutture sono strumenti sensibili progettati per operare in ambienti in cui sono presenti sostanze e agenti pericolosi e pertanto devono garantire un elevato grado di affidabilità, rispetto dei protocolli di sicurezza in campo informatico, per l’ambiente e gli operatori, una corretta gestione dei dati, dei tempi e delle performance di produzione. Aumentare la sicurezza degli operatori e l’efficienza dei processi produttivi non va di pari passo con una minore vulnerabilità agli attacchi da parte dei sistemi informatici poiché questi sono connessi ad un network di gestione che aumenta notevolmente le possibilità di attacco tanto alla parte hardware che a quella software e anzi si registra la nascita di nuovi vettori di attacco.

L’attuale configurazione dei sistemi ITC di protezione delle Infrastrutture Critiche potrebbe quindi non fornire le necessarie garanzie di sicurezza poiché potrebbe essere richiesto un nuovo approccio: 

 

  1. IC non connesso a Internet

    a. Attualmente le IC sono sempre connesse alla rete.

  2. Maggiore uso di firewall e sistemi di rilevamento delle intrusioni

    b. I firewall attuali non sempre sono sufficienti per proteggere la rete dalle violazioni.

  3. Utilizzo di sistemi di più difficile comprensione per gli hacker

    a. Generale tendenza a sviluppare sistemi ICT di più facile gestione per gli utenti/operatori/ingegneri

    b. Maggiore inclinazione a rendere pubblici dati e informazioni che possono aiutare i malintenzionati a comprendere il funzionamento di una determinata IC.

  4. Uso di sistemi ICT complessi e con architetture innovative al fine di evitare/minimizzare le possibilità di questi di essere infettati da malware comuni

    a. I sistemi operativi più diffusi (MS Windows, Linux, Unix) che vengono utilizzati per creare le infrastrutture ICT per le workstation sono vulnerabili al malware “standard”.

  5. Gli obiettivi degli hacker sono lo spionaggio aziendale/industriale e le frodi fiscali

  6. Le vulnerabilità rilevate nei sistemi ICT devono essere corrette non appena viene rilasciato l’aggiornamento dei protocolli di sicurezza.

    a. Spesso le IC dispongono di sistemi ICT sofisticati e complessi il cui aggiornamento può non essere facile e pertanto la manutenzione può comportare la riconfigurazione del sistema e un fermo macchina di ore o settimane.

 

Prima che il concetto di globalizzazione investisse trasversalmente ogni settore, i sistemi informatici di protezione delle IC avevano come unici obiettivi la persistenza e la sicurezza e pertanto si basavano su codici e standard prioritari a cui avevano accesso solo una ristretta cerchia di operatori,  facevano largo uso di sistemi SCADA che rendevano la vita degli hacker particolarmente complessa e lavoravano in ambienti completamente isolati (logicamente e fisicamente) tanto che non erano necessari sistemi di protezione ICT poiché la sicurezza fisica le rendeva sufficientemente protette da attacchi esterni mentre oggi le Infrastrutture Critiche sono soggette ad una serie di vulnerabilità che possono essere così riassunte:

  • Grande uso di hardware, sistemi operativi e protocolli Internet commerciali (IPv4, SNMP, telnet, ecc.)

  • Uso di applicazioni open source.

  • Larga disponibilità in rete di guide, casi d’uso e manuali su applicazioni software e protocolli di sicurezza utilizzati nelle IC

  • Collegamento diretto o indiretto delle reti di IC a reti locali e pubbliche per favorire anche il controllo remoto delle IC da tablet e smartphone

  • IC CBRN sempre più vulnerabili a causa del lungo ciclo di vita delle sofisticate apparecchiature elettroniche

  • Possibilità di accesso remoto (cablato e wireless) sempre più diffuso nei sistemi ICT e SCADA

 

In questo, il perseguire di una sempre maggiore facilità di accesso e gestione di sistemi complessi per gli operatori, la massima trasparenza nei confronti del cittadino/utente nonché una più efficiente ed efficace condivisione della conoscenza, sta facendo venire meno la capacità di rendere realmente sicuro e protetto il delicato settore delle IC informatizzate anche in relazione al settore CBRNe. Il futuro delle strategie nazionali ed internazionali in tema di security dovrà quindi saper tenere conto di ciò, anche alle luce dei nuovi scenari di minaccia terroristica, presentando una serie di proposte per incrementare la prevenzione, la preparazione e la risposta ai diversi livelli di competenza.

 

1 DIE – Dipartimento di Ingegneria Elettronica – Università di Roma “Tor Vergata”, CUFS – Centro Universitario di Formazione per la Sicurezza – Università della Repubblica di San Marino

2 CNIT – Consorzio Nazionale Interuniversitario per le Telecomunicazioni

3 OSDIFE – Osservatorio Sicurezza e Difesa CBRNe