1- CYBER BLACKOUT
Marco Magrini per "il Sole 24 Ore"
Sono le 10,12. Un attacco informatico proveniente da un esercito di botnet - decine di migliaia di normali computer, ma infestati da un virus che li comanda a distanza - ha preso di mira il sistema di telecomunicazioni di numerosi Paesi europei. In Spagna, Grecia e Germania, l'accesso a Internet pare compromesso, mentre i collegamenti fra i Paesi cominciano a perdere colpi. Le cyber-squadre di sicurezza dei singoli Stati, i cosiddetti Cert (Computer emergency response team), cercano disperatamente di cooperare, nel tentativo di evitare un crollo dell'intera infrastruttura.
UDO HELMBRECHT
Si, va ammesso: questa non è realtà. È solo un'esercitazione. La prima mai effettuata nel Vecchio continente, orchestrata di recente dall'Enisa, l'agenzia europea per la sicurezza informatica, nata nel 2005 per volontà del Parlamento di Strasburgo. «È stato il primo passo per rafforzare le cyber-difese dell'Europa - dice Udo Helmbrecht, direttore esecutivo dell'Enisa, raggiunto per telefono sull'isola di Creta, in Grecia, dove ha sede l'agenzia - e l'obiettivo era prepararsi a proteggere le imprese e i cittadini da possibili attacchi online alle infrastrutture critiche».
mikko hypponen
Se in un Paese, come ipotizzato nell'esercitazione con 22 nazioni, l'internet smettesse di funzionare, i guai sarebbero consistenti: linee aeree e treni non potrebbero più fare i biglietti, milioni di email non partirebbero, l'amministrazione pubblica andrebbe in tilt: chi più ne ha, più ne metta. Ma il guaio è che le «infrastrutture critiche» vanno ben al di là dell'autostrada elettronica.
DANILO MAURO BRUSCHI In questo mondo, dove la connessione a Internet è quasi un diritto fondamentale dell'uomo, oltre che l'ultima spaccatura fra il mondo ricco e quello povero, tutto ha un indirizzo Ip, l'internet protocol. Non solo le imprese di servizi, ma anche quelle manifatturiere. «Ormai tutto quanto ha un indirizzo Ip - ammette Helmbrecht - perfino i Bancomat. Ma anche qualsiasi settore industriale ha bisogno di mettere i processi in rete, per una questione di efficienza». Un cyber-attacco alla rete elettrica produrrebbe i problemi più gravi: senza corrente, si ferma ben più dell'internet. E il fatto incredibile è che un simile attacco non è affatto impossibile.
spyware
«Stuxnet ha cambiato d'un colpo lo scenario», sintetizza Ottavio Camponeschi, capo del Sud Europa per McAfee, il colosso della sicurezza digitale passato da poco nelle mani di Intel. «Prima c'erano i ragazzini che scrivevano i virus per compiacersene. Poi sono arrivati i criminali che ci hanno fatto i soldi. Oggi, c'è chi usa il malware per fini di spionaggio o di terrorismo». E chi si spinge più in là: «Stuxnet è la prova generale della cyber-guerra del futuro», sostiene Mikko Hypponen, capo della ricerca presso la finlandese F-Secure.
Stuxnet è stato scoperto l'anno scorso. È l'esempio di un malware - malicious software, che non vuol dire maligno, non malizioso - di nuova generazione: talmente sofisticato che, dicono gli addetti ai lavori, non può che averlo finanziato un Governo. Fatto sta che Stuxnet diventa attivo solo quando rileva la presenza di un sistema Scada della Siemens, viceversa è completamente innocuo. Il guaio è che i sistemi Scada per l'automazione industriale, una combinazione di hardware e software che "gira" sotto Windows, servono ad aprire rubinetti, attivare pompe, accendere e spegnere processi industriali. Stuxnet ne aveva solo e soltanto uno nel mirino: l'impianto di Natanz, dove viene arricchito l'uranio in Iran.
Questa è una realtà, non certo un'esercitazione. Grazie a Stuxnet, Natanz e altri quattro impianti iraniani che usano sistemi Scada (nonostante l'embargo internazionale) hanno avuto seri intoppi operativi. Altrove invece, il malware non ha fatto alcun danno. Ma ha ugualmente raggiunto i sistemi Scada di mezzo mondo. Italia inclusa.
La McAfee ha commissionato al Csis, il Center for Strategic and International Studies, un rapporto sugli attacchi digitali alle infrastrutture critiche. Sono stati intervistati i responsabili tecnici di 200 imprese elettriche, petrolifere, del gas e dell'acqua di 14 Paesi. Per farla breve, l'85% delle grandi imprese interpellate ha registrato almeno un'accesso non autorizzato alla propria rete. L'80% ha sperimentato attacchi DDos (così tante richieste di accesso a un server da paralizzarlo).
E il 40% ha scoperto di avere Stuxnet nei propri sistemi. Anche le imprese intervistate in Italia? «Sì, e qualcuna per eradicarlo ha dovuto combattere», risponde Camponeschi, che ovviamente non vuol fare i nomi delle aziende. Anche se, diciamo la verità, le grandi aziende petrolifere ed elettriche italiane non sono molte più di due.
«Stuxnet intendeva colpire un bersaglio molto preciso», minimizza Evgeny Morozov, il giovane autore di The net delusion, nel quale sovverte un'idea diffusa: Internet è più utile ai dittatori che ai rivoluzionari. «Tanto le aziende che le agenzie nazionali della sicurezza, hanno interesse a creare allarme», rimarca. Eppure, a chiedergli se è vero che molte nazioni stanno ammassando "armi" digitali sotto forma di malware, risponde: «Certo che sì».
«Quanto accaduto in Estonia nel 2007 e in Georgia nel 2008 ha alzato il livello di consapevolezza», osserva Helmbrecht. In entrambi i casi, c'era in ballo una disputa (addirittura militare, nel caso georgiano) con la Russia. Il furto di certificati elettronici di pochi mesi fa, sul mercato europeo dei diritti a emettere CO2, ha convinto Bruxelles ad aumentare i livelli di sicurezza digitale, dopo che il mercato è rimasto chiuso per giorni.
«Abbiamo fatto grandi passi avanti», assicura Helmbrecht, che ha guidato per anni la Bsi, l'Ufficio per la sicurezza digitale della Germania federale. «Stiamo organizzando i Cert come vere e proprie digital firebrigades, i vigili del fuoco digitali, per rispondere con rapidità e coordinazione agli attacchi che verranno».
Gli Stati Uniti si sono mossi prima. La direttiva Clinton del '98 è stata aggiornata da Bush nel 2003, in accordo con il Patriot Act post-11 settembre. Il Tesoro deve coordinare la protezione delle banche. Il ministero dei Trasporti è chiamato a difendere strade, ferrovie, aeroporti. E quello del l'Energia tutte le infrastrutture dell'elettricità. Fino a ieri, si temeva un attacco digitale che interrompesse la distribuzione del gas e quindi la generazione elettrica. Oggi, si teme qualcosa di più.
A settembre è convocata una conferenza a San José, in California, fra il Governo e tutte le utilities, sul tema: «Cyber-sicurezza per la distribuzione energetica». L'amministrazione Obama spinge per ammodernare il grid elettrico americano, trasformandolo in uno smart grid: un network fatto di contatori digitali (nei quali l'Italia è all'avanguardia) e sistemi di controllo intelligenti, grazie a un'iniezione di software e microprocessori. In questo modo, la rete diventa più efficiente: si possono gestire le naturali fluttuazioni delle rinnovabili e si risparmia un sacco d'energia e di soldi. «Nonostante le diffuse preoccupazioni sulla vulnerabilità della rete elettrica - si legge nel report di McAfee - le compagnie elettriche e i Governi sembrano decisi a raddoppiare i rischi... Si prevede che, entro il 2015, verranno investiti 45 miliardi sugli smart grid» in tutto il mondo.
Nell'ultimo quarto di secolo, la digitalizzazione ha raggiunto ogni angolo della società. Ma non è finita: la potenza di calcolo e le connessioni in rete hanno ancora ancora spazio per moltiplicarsi. Insieme ai benefici, cresceranno i rischi. Questa è la realtà. Benvenute le esercitazioni.
2 - «BLOCCARE INTERNET? NON È POI COSÌ DIFFICILE»
Marco Magrini per "il Sole 24 Ore"
Tre anni fa hanno partecipato al campionato universitario di hacking: una gara digitale fra esperti di computer di 35 atenei del mondo. «Otto ore di tempo per attaccare le macchine degli altri concorrenti, difendendo al tempo stesso le proprie», ricorda soddisfatto Danilo Mauro Bruschi, professore all'Università di Milano, nonché capo della squadra di otto studenti che alla fine ha vinto il torneo. Un successo accademico, che non si traduce in un successo pratico.
Nel 1995 Bruschi aveva fondato Cert-It, il primo caso italiano di computer emergency response team: «Una sorta di protezione civile per gli attacchi informatici». Non a caso, ai tempi in cui i virus erano più giocosi che nefasti, il Cert dell'Università di Milano era nel circolo capitanato dalla Carnegie Mellon, l'università di Pittsburgh, dove il Darpa (il dipartimento tecnologico del Pentagono che ha inventato l'internet) ha insediato il primo centro di ricerca contro i cyber-virus. Oggi che gli attacchi informatici, più nefasti che giocosi, sono all'ordine del giorno, il Cert della Carnegie Mellon fa da centro di coordinamento della protezione digitale americana, ben rifornito di fondi federali.
«Ancora due mesi fa siamo stati contattati dall'Fbi - racconta Bruschi - per un caso di physhing che ha coinvolto l'Italia. Ma ormai siamo usciti dal giro: per sostenere l'attività, anche con pochi studenti, e per partecipare ai convegni internazionali, ci volevano soldi. E nessuno ci ha mai dato un euro».
In vita sua, Bruschi ha presieduto il Simposio First (il più autorevole forum internazionale sul tema) e ha collaborato a numerosi progetti europei sulla sicurezza cibernetica, inclusa la nascita dell'agenzia europea Enisa che, tre le altre cose, coordina i Cert europei. Nel sito web dell'Enisa si contano otto Cert in Italia, incluso il Cert-It dell'Università di Milano. «Ma in realtà - dice il professore - senza fondi siamo fuori gioco da tre anni».
Gli altri sette computer emergency response team in Italia hanno le origini più disparate. Il Cert-Difesa fa capo all'omonimo ministero, per comprensibili motivi. Poi c'è il Cert del Garr, la rete telematica dell'università italiana. Il Cert-Rafvg della Regione Friuli Venezia Giulia. Il GovCert-It della pubblica amministrazione. Il Sicei-Cert della Conferenza episcopale. L'S20C che fa capo a Telecom Italia.
E l'Enel-Cert che controlla gli attacchi digitali alla rete elettrica nazionale. «Abbiamo una squadra che tiene sott'occhio il network digitale 24 ore al giorno - dice Giovanni Mariani, responsabile della governance tecnologica all'Enel - e un'altra che entra in gioco quando vengono rilevati un'intrusione o un qualsiasi problema».
Bruschi non esclude che anche i servizi segreti possano essersi dotati di un Cert. «In ogni caso - aggiunge - le misure di sicurezza adottate in Italia non sono ai livelli di quelle di Germania e Regno Unito», che di Cert ne hanno rispettivamente 18 e 16. «Nel Bsi tedesco lavorano circa 400 persone, che fra l'altro finanziano squadre di giovani esperti all'estero, con i quali collaborano».
Giovani come gli studenti di Bruschi, che tre anni fa hanno fatto mangiare la polvere (digitale) ai colleghi di altre 34 università. «Basterebbero cinque giovani ben addestrati, a mettere in ginocchio l'infrastruttura di rete di parecchie organizzazioni italiane, anche molto blasonate», sentenzia Bruschi, raggiunto al telefono nel suo dipartimento. Professore, ma ne è sicuro? «Sicurissimo. Certo che devono essere dei giovani in gamba, come quelli che dico io».