Uno degli aspetti inediti dell’invasione dell’Ucraina è che nella narrazione del conflitto vengono coinvolti con ruoli attivi e passivi un grande numero di soggetti.
Lo scontro cyber tra Russia, Ucraina, Occidente: le diverse tattiche
Da Bellingcat al crowdfunding: coinvolgimento attivo e passivo nel conflitto
Un coinvolgimento passivo è quello permesso dall’agenzia investigativa Bellingcat che ha creato una mappa cliccabile dell’Ucraina con filmati, immagini e informazioni su azioni di guerra. Tutti i contenuti sono geolocalizzati ed è possibile individuare il punto dove è stato raccolto. Ad esempio, è possibile visualizzare il filmato di un soldato ucraino con arma anticarro e telecamera e quindi il filmato dell’utilizzo dell’arma contro un mezzo russo. Nel futuro ogni soldato sarà quindi dotato non solo di armi ma anche di telecamere per mostrare gli effetti delle sue armi.
Un coinvolgimento più attivo è quello permesso dal crowdfunding dell’esercito e della difesa civile mediante criptovalute oppure la diffusione di notizie sull’invasione che viola la censura imposta dalla dittatura di Putin inserendo le notizie nei referaggi di Yandex, il Google russo.
Altri coinvolgimenti attivi prevedono l’invio di mail con notizie sull’invasione e sui combattimenti a migliaia di indirizzi russi. Un aspetto ironico della situazione è che queste azioni sono una delle possibili applicazioni della dottrina Gerasimov, il teorico russo della guerra ibrida, che prevede di utilizzare le infrastrutture informatiche per diffondere notizie che confondano la popolazione e indeboliscano la struttura di comando di una nazione.
Un altro aspetto ironico è che in questo caso vengano diffuse notizie vere, o comunque più vicine alla realtà, di quelle false che la dottrina Gerasimov prevedeva. Avevo ipotizzato in un precedente contributo che una delle ragioni della mancanza di cyber attacchi distruttivi fosse la capacità di riusare ai propri fini le infrastrutture informatiche dell’Ucraina. In realtà, sono ora le infrastrutture informatiche russe ad essere usate contro la Russia stessa. È ancora non verificabile l’efficacia di queste strategie social perché forse buona parte della popolazione russa non ha ancora accesso facile e prolungato al mondo del web e questo limita l’audience di messaggi di posta elettronica e recensioni ma indubbiamente abbiamo di fronte fenomeni nuovi e con impatti ancora tutti da valutare.
L’ampio panorama della “protestware”
Ma vi sono altri modi oltre a produrre referaggi che in realtà nascondono informazioni per diventare soggetto attivo nel conflitto. Ad esempio, un gruppo di più di cento programmatori polacchi, basati in Polonia ma non solo, ha recentemente prodotto e reso disponibile uno strumento per inviare in modo casuale ad utenti russi messaggi con informazioni sull’invasione. Lo strumento utilizza un database con alcuni milioni di numeri di telefono ed indirizzi e-mail e permette di inviare messaggi predefiniti o prodotti dall’utilizzatore. Il gruppo di programmatori si è dato il nome di Squad303 che è quello di un gruppo di aviatori polacchi che hanno combattuto con la RAF nella battaglia di Inghilterra nella Seconda guerra mondiale. Attualmente, lo strumento viene eseguito su 16 server stando alle dichiarazioni di un portavoce del gruppo ed un aumento dei server porrà problemi economici per cui è facile prevedere anche in questo caso il ricorso a crowdfunding.
Azioni anche discutibili
Nel panorama di quello che il MIT chiama protestware abbiamo anche azioni molto più attive ma contemporaneamente più discutibili come quello di inserire malware in strumenti open source, in particolare nelle versioni aggiornate di questi strumenti. Il malware si attiva e danneggia il sistema su cui è scaricato quando scopre che il sistema su cui sta operando è localizzato in Russia.
Tipicamente il danno è dovuto alla cancellazione dei file sul sistema. Il modulo software trasformato in un wiper è node-ipc una libreria che permette di aggiungere ad altri strumenti open source funzionalità di comunicazione tra processi e di elaborazione mediante reti neurali. Il modulo node-ipc non è l’unico che ha un comportamento di wiper in base allo stato o all’indirizzo IP del nodo su cui opera, lo stesso comportamento è stato scoperto in almeno altri venti moduli.
Conclusioni
Due considerazioni sono possibili a questo punto su questa istanza del protestware. Innanzitutto, azioni come queste sono preoccupanti perché indicano che spesso sistemi critici incorporano librerie ed altri moduli open source che sono totalmente gestiti da singole persone che sono libere di modificarli a loro piacere.
Questa è una grande criticità perché il supporto agli strumenti può mancare improvvisamente. Inoltre, come evidenziato nel passato dalla vulnerabilità di log4shell, spesso il fatto che un certo strumento utilizza una qualche libreria non è noto nemmeno a chi lo strumento ha sviluppato perché la libreria critica è incorporata in un’altra che a sua volta è incorporata in un’altra e così via. Fragilità di questo genere devono essere considerate una vulnerabilità in sé perché impediscono di prevedere se e come un sistema potrà essere attaccato. A conferma della criticità, il governo federale USA ha varato recentemente regolamenti e direttive che impongono di conoscere tutti i moduli che compongono un qualsiasi sistema utilizzato dagli uffici governativi. Purtroppo, un requisito simile non è mai stato previsto dalle norme e dalle direttive europee.
La seconda considerazione è che cancellare file in un sistema ha degli impatti che dipendono dallo specifico sistema. In un caso la cancellazione può essere solo una noia per l’utente, in altri casi può portare al blocco del sistema con un effetto domino su altri sistemi con impatti su uomini e cose non prevedibile. Quindi forse il termine protestware è inadeguato perché gli effetti possono essere molto più devastanti di quelli di una protesta e altre azioni di supporto alla resistenza ucraina sono preferibili.
Quel che è indubbio è che la dottrina Gerasimov ipotizzava una popolazione confusa e manipolata mediante fake news mentre stiamo assistendo a reazioni più attive e meno controllabili dall’esterno
