La rete è ormai divenuta il nuovo terreno privilegiato su cui si scaricano le tensioni geopolitiche globali. Attori prominenti dello scacchiere sono sicuramente Russia e Cina, noti per sostenere organizzazioni che attaccano i sistemi di altre nazioni, ma i due Paesi non sono certo i soli a essere attrezzati con strategie di cyberwarfare.
Gli effetti di questa escalation, però, lungi dall’essere soltanto un “affare” politico, possono condizionare la vita di tutti: basti pensare alla disinformazione spinta dalla Russia che ha portato all’elezione di Donald Trump, oppure agli attacchi che giornalmente sono rivolti a centrali elettriche, o impianti di trattamento di gas, o ai petabyte crittografati da software ransomware ogni anno.
A ciò si aggiunge che, proprio a causa di questo scontro continuo, Internet non è più – e sempre meno lo sarà – un territorio senza confini: gli Stati sono ormai lanciati a costruire barriere anche nel cyberspazio, in nome della sovranità digitale.
Cyber war, l’Occidente rischia un nuovo 11 settembre: ecco perché
E la cyberwarfare non si limita ai (relativamente) pochi casi che conquistano le cronache: per avere un’idea, o meglio una rappresentazione grafica del continuo conflitto in corso, è interessante osservare le heat map dei produttori di software nel campo della sicurezza.
Il conflitto tra Cina e Taiwan
Nel mese di dicembre 2021 – a conclusione di un anno molto intenso dal punto di vista degli attacchi cyber – si sono intensificate le attività diplomatiche tra occidente e Cina relativamente a Taiwan, territorio che la Cina considera proprio nonostante un governo indipendente da oltre settant’anni. Esperti in cybersecurity hanno avvisato di un attacco potenziale della Cina a Taiwan per indebolire le sue difese disseminando confusione mediante il blocco di servizi fino a bloccare infrastrutture critiche del paese e aprire la strada a un’occupazione armata.
La Cina è sorgente costante di attacchi attraverso Internet nei confronti di Taiwan, in particolare dei siti governativi e delle compagnie produttrici di semiconduttori che sostengono l’economia dell’area.
Anche l’Unione Europea ha rafforzato i legami diplomatici con Taipei nell’ultimo anno, proprio sui temi del cyberwarfare e della cybersecurity. D’altronde le relazioni tra l’Unione Europea e la Cina sono da sempre state complesse e negli ultimi anni la pandemia le ha peggiorate portando l’Unione a rafforzare i legami con Taiwan. Nel mese di novembre 2021 la Commissione Europea ha inviato una delegazione ufficiale a Taiwan composta da membri del comitato speciale su Interferenze straniere e disinformazione, al fine di discutere la collaborazione su temi come la disinformazione e i cyberattacchi.
Queste attività da parte dell’Unione Europea e degli Stati Uniti sono fortemente criticate da Pechino e viste come un’ingerenza interna al paese. Allo stesso tempo sottolineano come lo scontro tra nazioni si sia spostato sempre più nel mondo digitale.
Internet non è più senza frontiere
Tutti noi siamo abituati a vedere Internet come un mondo digitale senza frontiere, ci indigniamo quando si parla del grande firewall cinese che filtra i contenuti della rete, ma la natura geopolitica di molti attacchi, spesso effettuati da organizzazioni che sono solo formalmente non finanziate da governi, sta inevitabilmente introducendo concetti di confine nei nostri sistemi. Internet, insomma, non è più quella prateria senza barriera che abbiamo esplorato negli anni Novanta e la necessità di difendersi da attacchi stranieri sta accelerando il processo di creazione di barriere geografiche nel cyberspazio.
La corsa alla sovranità
Ne è un esempio lampante il piano triennale della Pubblica Amministrazione che prevede, per la PA centrale, la costituzione del cosiddetto Polo Strategico Nazionale (PSN) al fine di assicurare la sovranità sui dati della PA all’interno di un perimetro di sicurezza sotto controllo governativo.
La diffusione di firewall cosiddetti NextGen o di livello 7, ovverosia strumenti capaci di decidere se far passare una connessione non solo in base agli estremi della comunicazione ma anche del suo contenuto, sta favorendo la creazione di regole basate sul GeoIP, ovvero sulla posizione geografica stimata di un particolare indirizzo pubblico (se volete provare verificate il vostro indirizzo); diventa così accessibile a tutti, e non solo al grande firewall cinese, la funzione di bloccare le connessioni da un’intera nazione con una semplice regola.
La prima volta che ho usato le regole basate su GeoIP nel 2012 fu per bloccare le connessioni SSH provenienti dalla Cina da cui ricevevamo giornalmente centinaia di tentativi di accesso. Col senno di poi fu la prima frontiera digitale che ho contribuito a creare.
Ma nel continuo evolversi delle partite tra guardie e ladri, oggi è puerile pensare di poter bloccare gli attacchi limitandosi a escludere una particolare nazione. Gli attacchi volti a prendere il controllo di host in rete serve appunto per coordinare attacchi che provengano da più sorgenti, è quello che è successo a inizio anno presso la mia Università, dove riceviamo milioni di connessioni sulle porte BGP provenienti da varie nazioni (incluso Stati Uniti, Germania, Cina) e che sono chiaramente coordinati per effettuare un attacco DoS.
Le frontiere si stanno formando autonomamente, come effetto collaterale dell’attuazione di contromisure a sempre nuovi attacchi, lasciando ai protocolli https e http il compito di mantenere quell’universalità che la prima generazione di Internet ci aveva abituato ad apprezzare.
Resta da capire come si possa gestire la complessità nelle interazioni che queste dinamiche introducono, l’uso della crittografia come mezzo di tutela che allo stesso tempo rende difficile entrare nel merito di una comunicazione al fine di determinarne la pericolosità. Sarà sempre più spesso compito dei CISO trovare il giusto bilanciamento tra sicurezza e tutela della riservatezza, ma molte organizzazioni fanno già uso di tecniche DPISSL per ispezionare i flussi crittografati SSL.
Conclusioni
Come è avvenuto nel caso che ha interessato la regione Lazio, il blocco dei sistemi porta non solo all’interruzione dei servizi, ma anche al malcontento dei cittadini e alle critiche all’organizzazione, contribuendo a destabilizzare un sistema governativo.
Nei prossimi anni dovremo abituarci a micro-interruzioni dei servizi che usiamo dovute ad attacchi che hanno avuto successo, ricordando che la maggior parte degli attacchi fallisce quotidianamente.
I sistemi disegnati per bloccare queste minacce stanno disegnando confini digitali senza che ce ne accorgiamo, e sarà difficile disegnarli su una cartina come siamo abituati durante le lezioni di geografia.
