Il documento esplora il concetto di cyberwar come un nuovo dominio di conflitto, in cui stati e hacker utilizzano attacchi informatici per causare danni a livelli tale da influenzare opinioni pubbliche e infrastrutture critiche. Viene discusso il ruolo degli hacker, le diverse armi informatiche e alcuni storici eventi di cyberwar, come l'attacco DDoS all'Estonia del 2007 e il virus Stuxnet. Inoltre, si evidenzia come anche il potere dei social network stia trasformando le strategie di guerra e propaganda.

1. Cyberwar: Il QuintoDominiodella Guerra

2. Il Mondo è unaimmensa reteChe supera tutte le barriere create dagli uomini e dalla natura: attraversa gli oceani unisce gli stati e soprattutto consente di svolgere la quasi totalità delle attività quotidiane…Apparaticonnessi ad Internet (mld.)Fonte: Cisco Systems

3. Chi sonogli hacker?Il termine Hacker è stato coniato dal MIT per identificare un gruppo di programmatori entusiasti radunatisi attorno al Tech Model Railroad Club. Indicauno stile di vita creativo da parte di individui in grado di risolvereproblemicomplessi in modoelegante…Ancheconosciuti come Smanettoni!

4. E i cracker?Poichéviviamo in un mondoimperfetto, iltermine Hacker con il tempo ha perso la connotazionepositiva in favore di unaaccezionenegativa: ovveroindividuichesfruttano la propriaabilità con il computer per compiereazioniillecite…In origineeranochiamatiCracker!

5. Definizione di CyberwarSi definisceCyberwarunaazionecondotta da unostatofinalizzata a penetrare i computer o la rete di un altranazione con lo scopo di causaredanni o distruzione.Richard A. Clarke, Cyber War (Maggio 2010)Le Cyberwar sono le guerre combattute non con eserciti reali, ma con eserciti di programmatori e Hacker che si infiltrano nei sistemi informatici di una nazione avversaria per rubare informazioni e/o creare danni temporanei o permanenti.

6. La cyberwar è ilquintodominiodellaguerra…

7. Riconosciutaanche dal PentagonoJuly 15 2011The U.S. military can fight on land, in the air, at sea and in space. Now it has a strategy for operations in a new domain: cyberspace.William Lynn Segretarioalladifesa

8. Dove sicombattono le Cyberwar?Il Cyberspazioequivalealla rete, la scacchieraimmensacheuniscetuttoilpianeta.

9. Come sicombattono le CyberwarI computer siconnettono in rete edoffronoserviziagliutentimedianteappositi software o programmi.A volte i programmicontengonoerrori di programmazione (vulnerabilità) chepossonoesseresfruttati per alterareilfunzionamento del programmaoppureottenereaccessoillecito al computer

10. Ma anchegliutenticontribuiscono…Purtroppo i programmi non sonogliunici a contenereerrori. Troppospessoanchegliutentiapronobuchi di sicurezza con comportamentipocoattenti. ClassicoEsempio? Il PhishingScopriilparticolarefuoripostoInserisci la password nelpostosbagliato..

11. Tipologie di armiAnch’io!Anch’io!Anch’io!DDoS: Distributed Denial of ServiceEquivale a sovraccaricare di richieste un sistema (ad esempio un sitoistituzionale) sino a renderloinutilizzabiledagliutentileciti. Spessovieneeffettuato da reti di macchinecompromesse e controllate dal nemico.A secondadell’intensitàpuòesseredimostrativo o crearenotevolidanni in caso di interruzione di serviziprimari.Il mioruolo è quello di prendere I contenuti dal serverBuongiornoiosono un Client!Anch’io!Li voglioanch’io!Ragazzi, sietetroppi non riesco a soddisfaretutte le richieste!Buongiornoiosono un server Il mioruolo è quello di renderedisponibilicontenutiagliutenti

12. Estonia 2007: Il primo caso di CyberwarL’attacco DDOS contro l’Estonia iniziato nel 2007 è considerato il primo atto di Cyberwar.In quella circostanza una ondata senza precedenti di attacchi DDOS coinvolse i principali siti del paese incluso il Parlamento, Banche, Ministeri, Giornali ed Emittenti Televisive con notevoli impatto ed eco per l’opinione Pubblica Locale.L’attacco avvenne in concomitanza di una querelle tra Russia ed Estonia per lo spostamento della statua del Soldato di Bronzo di Talline le salme dei caduti in guerra appartenenti all’Armata Rossa.

13. Tipologie di armiOriginaleDefacementDefacciamento: Medianteunavulnerabilitàsientra in un sistema e si cambia la pagina a propriopiacimentoinserendomessaggi di propaganda o denigratori.Se silimitaalla “semplice” modificadellapagina ha unoscopodimostrativo ma puòaverepesanticonseguenze in termini di immagine. DefacedEsempio: defacciamento del sito Blackberry UKLuglio 2011

14. Tipologie di armiSfruttamento di vulnerabilità.L’attaccantesfruttaunavulnerabilità per entraredirettamente e illecitamentein una base dati per sottrarre o cancellare le informazionicontenute. E’ un attaccodistruttivo!

15. Tipologie di armiRAT (Strumento di ControlloRemoto)Con la complicitàindirettadellavittimal’attaccanteinstalla un software malevolotramiteilquale assume ilcontrollo del computerremoto.E’ un attaccooffensivo. Al computer della vittima possono essere sottratti dati o addirittura il computer può essere utilizzato per effettuare attacchi.

16. Ratti e Cavalli di TroiaIl software malevoloconsenteall’attaccante di propagarsinella rete avversaria con scopidifferenti (furto di credenziali, furtodi dati, danneggiamenti, sempliceesplorazione, etc.).EccoperchésonoanchechiamatiCavalli di Troia

17. Reti di macchinecompromesseGli attaccanti sono in grado di controllare in questo modo centinaia di migliaia di computer che vengono chiamati BOT o Zombie.Si affittano al mercato nero per effettuare attacchi distribuiti (ad esempio il DDoS)

18. I Rattisonoportatori di infezioniE la sicurezzainformatica non faeccezione!L’allegatoinstalla un software malevolo3L’attaccantecontrollail software malevolo41… Chesipropagainesorabilmente…Oral’attaccantepuò “passeggiare” nella rete avversaria…56L’attaccanteinviauna mail checontiene un allegatomalevolo2L’utenteapre la mail e cliccasull’allegato (oppure segue il link malevolo)

19. Il CasoStuxnetAlla fine del 2010 il panorama dellasicurezzamondiale è scosso da un fulminea cielsereno…Un virus informaticocheinfetta i Sistemi di Controllo Siemens utilizzati per l’arricchimentodell’Uranio…

20. Un nemicosubdolo….Il Virus altera il normale ciclo di funzionamento per i convertitori di frequenza utilizzati nei SIstemi di Controllo Industriale. Stuxnetagisce per convertitori di frequenze operanti a cicli elevati (tra 807 Hz e 1210 Hz), variando la frequenza (e quindi la velocità di funzionamento del motore) per brevi periodi su scale di mesi, alterandone il comportamento e di fatto sabotando l’infrastruttura. Le caratteristiche rendono il virus di fatto invisibile e i suoi effetti sono assimilabili a quelli di un normale malfunzionamento!

21. Peccato per le stranecoincidenze (1)Studiando il virus i ricercatori hanno scoperto che:Il 70% delle infezioni erano concentrate in Iran

22. Peccato per le stranecoincidenze (2)Il virus nasconde al suo interno alcune strane coincidenze:Myrtus;9 maggio 1979;24 giugno 2012.

23. Il MirtoMyrtus è il nome di un file all’interno di Stuxnete richiama apparentemente il Mirto. Questa pianta ha per gli Ebrei un significato particolare in quanto richiama il nome di Ester, una eroina ebraica del V secolo a.C. le cui gesta sono descritte nel Libro omonimo. Ester, il cui vero nome era Hadassa (termine che in ebraico significa esattamente Mirto) divenne la sposa del sovrano Assuero (riconosciuto dagli storici con Serse I il re di Persia, ovvero il moderno Iran), ed ha il merito di avere evitato una congiura perpetrata dal perfido consigliere del re Haman, avente come scopo la distruzione del popolo Ebreo. Da allora è stata istituita la festa del Purim, corrispondente al Carnevale Ebreo, e soprattutto nella tradizione giudaica Ester è vista come strumento della volontà di Dio per impedire la distruzione del popolo giudaico.

24. 9 maggio 1979Tre ricercatori Symantec hanno scoperto che il virus contiene al suo interno uno strano indicatore consistente in una stringa numerica “19790509” con cui il virus marchia la macchina infetta. Questo strano indicatore ha un duplice scopo: indicare che il computer è stato infettato, oppure, se già presente, impedire l’infezione.La sequenza in questione può essere letta come una datasecondo la notazione anglosassone corrispondente al 9 maggio 1979. Questa è considerata una data storica per la comunità ebraica in Iran poiché in quella data è stato ucciso HabibElghanian, uomo d’affari israeliano leader della comunità Ebraica in Iran. In seguito all’evento cominciò l’esodo di 100.000 membri della comunità.

25. 24 giugno 2012.Non potevano mancare i Maya: gli stessi ricercatori hanno scoperto che il virus Stuxnet è programmato per “spegnersi” il 24 giugno 2012. Qale Evento?Il termine della fase dei quarti di finale dei campionati europei di calcio del 2012?

26. L’evento astronomico della cosiddetta “Grand Cross“, ovvero l’incrocio tra Plutone in Capricorno e Uranio in Ariete?

27. L’inizio della fine del mondo del 21 dicembre 2012 secondo il calendario Maya?La prima Cyber Arma del 21° SecoloSecondo i ricercatoriStuxnet ha richiesto 10 anni di sviluppoed è statoconcepito con lo scopo di ritardareilprogrammamilitareIraniano.Si ritiene che il famigerato virus, sia stato sviluppato da un team composto da Israeliani e Americani (con la collaborazione indiretta degli ingegneri tedeschi di Siemens) presso il complesso israeliano di Dimona, nel bel mezzo del deserto del Negev.http://www.nytimes.com/2011/01/16/world/middleeast/16stuxnet.html

28. Sarà un caso…Ma sia il Segretario di Stato Americano Hilary Clinton, sia il direttore uscente del Mossad, MeirDagan, hanno confermato separatamente (rispettivamente il 10 e 7 gennaio 2010) la propria convinzione di un ritardo nei piani di sviluppo nucleare dell’Iran. Ma mentre Hilary Clinton ha fatto riferimento alle sanzioni pilotate dagli USA, MeirDaganha annunciato al Knessetl’improvviso insorgere di difficoltà tecnologiche in grado di ritardare la preparazione di una bomba iraniana sino al 2015.

29. Il Paziente 0

30. Ma la storia non finirà quiLa tecnologia alla base di Stuxnet può essere utilizzata per alterare qualsiasi Sistema di Controllo Industriale:Reti Elettriche;Missili Nucleari;Trasporti….C’è chi sostiene che il Virus sia già sul mercato nero…

31. Unadichiarazione di CyberwarPer vendicarei danni di Stuxnet all’Iran un sedicente Hacker Iraniano attacca la sede italiana di una autorità di certificazione e utilizza i certificati rubati per intercettare la posta elettronica di dissidenti del proprio paese.Il messaggio con cui rivendicailgestocostituisceunavera e propriadichiarazione di Cyberwar verso USA e Israele

32. Guerre Reali e Guerre VirtualiNon contento ripete l’exploit contro una Autorità di certificazione Olandese. In pochi giorni si rilascia più di 500 certificati tra cui: CIA, Mossad, Facebook, Microsoft, etc.Perché Proprio un’azienda Olandese?11 Luglio 1996: Massacro di Sebrenica – 10 Luglio 2011: Attacco all’autorità di certificazione Olandese

33. Il caso RSAIl 17 Marzo 2011 RSA, unadellepiùimportantiaziende di sicurezzaal mondo, annunciachealcuni Hacker sonoriusciti ad entraredentro i propri server. Sebbene non siastatodettoesplicitamentequalidatisonostatirubati, la comunità di sicurezzasi è subitoallarmata…

34. Il caso RSARSA produce le famosechiavette di autenticazioneSecurIDutilizzate da più di 40 milioni di utenti in tuttoilmondo

35. Vi ricordanoqualcosa?Le chiavettevengonoutilizzatetutte le volte chesivuoleautenticare un individuo in maniera “forte”: esserproduconodifattiuna password che cambia ogni 30/60 secondi e puòessereutilizzataunavolta sola in combinazione con un PIN.Il maggiorClienteItaliano? Unicredit!

36. Il motivodell’attaccoForsel’obiettivodell’attacco non era RSA, ma i propriclienti, tra cui spiccano i principalicontractors dellaDifesastatunitense.Se gli hacker fosseroriusciti a rubare i codicidellechiavettesarebbero in teoria in grado di clonarle… edentrare di conseguenza in tutti i sistemiprotetti da questatecnologia…

37. E difatti…

38. Ecco come sonoentrati…La mail piùfamosa del 2011!Questetecnicheunavoltavenivanoutilizzate per piccolefrodi, orasonoarmi di Cyber-guerra!

39. E come hannoottenutoil PINMa iltentativo di attaccoall’NSA è andatofallito…

40. Chi ha effettuatol’attacco?Sebbene non confermatoda evidenzedirettesidice chedietrol’attacco ci sia la Cina…Esempio di un attacco ad unaUniversità Americana apparsodurante un documentario

41. Ma non è stato un casoIsolato12 organizzazioni legate allaDIfesaattaccateduranteil 2011.

42. HacktivismMa le Cyberwar non sonocombattutesolamentetranazioniavversarieHactivism

43. HactivismNelcorso del 2011 I GruppiLulzSec e Anonymous sisonoresiprotagonisti di azioniClamorosecontrogoverni, agenzie di sicurezza e istituzioni private attirando a sè la polizia di mezzo mondoedaltrigruppi di hacker avversari.

44. Attacchiclamorosinella prima metà 2011Sony, Visa,MastercardVariGoverni (tra cui alcunisitilegati al Presidente del ConsiglioItaliano)

45. Cyberguerre e primavera ArabaGli Anonymous hannoancheattaccato i siti di Tunisia e SiriaScatenando le ire di Hacker Siriani e Turchichesisonoprontamentevendicati.

46. E l’Italia?AlcuniattacchiDDoS a varisitipiù un clamoroso (anche se forsefalso) attaccoalla Cyber-PoliziaItalianaed un defacciamento ad un contractor.

47. Cyber War e Social NetworkIl Latovirtualedellaguerradiventeràfondamentale, sia per operazionibelliche, che per operazioni di Intelligence e PropagandaPer questaultimaattivitàil campo di battagliapreferitosono i Social Network.

48. La Spiache mi amava(e mi twittava…)Vi sonogiàdiversiesempi di spionaggio sui Social Network.I casipiùfamosi? Anna Chapman (veraspiarussa), Robin Sage (un meroesperimento di sicurezza) e @Primoris Era (studentessa in cerca di emozioniforti)

49. Le guerre sispostano sui Social Network?Probabilmentesi dal momentocheilPentagono ha avviato un progetto per unamassicciaoperazione di monitoraggio e controllodei social network con lo scopo di “To track “purposeful or deceptive messaging and misinformation” in social networks and to pursue “counter messaging of detected adversary influence operations”Ovvero:“Tracciaremessaggiintenzionali, ingannevoli o di disinformazione sui social network e contrastare le operazioninemiche di influenza delleopinioni”.

50. L’utentemediocome puòdifendersi?Non èdettoche un utentemediosiaunapedina per le Cyberwar. Cisonocomunquealcunebuonenorme per limitarele vulnerabilitàumane:Teneresempre un comportamentoresponsabile in rete: non accettarecaramellevirtualidaglisconosciuti(non aprire mail sospette da destinatari non noti, non seguire link non fidati);Utilizzare un computer con un programma antivirus e mantenerloaggiornato;Usare I Social Network con prudenza (attenzionealleimpostazioni di privacy e allerichieste di amiciziaallegre).