(QUESTO ARTICOLO È TRADOTTO DA Google dal norvegese)
Nel gennaio 2010, gli ispettori dell'Agenzia internazionale per l'energia atomica (AIEA) hanno iniziato a sospettare che qualcosa non andasse nell'impianto iraniano di arricchimento dell'uranio a Natanz. Più vicino all'estate, un nuovo virus informatico è apparso presso VirusBlokAda, un'oscura società di antivirus in Bielorussia. Ci sarebbe voluto sei mesi ed esperti di sicurezza dei dati di diversi paesi prima che la connessione potesse essere finalmente stabilita Stuxnet e i problemi in Iran. Questa è stata la prima volta che un'arma digitale è stata scoperta in uso. "Benvenuto nella guerra informatica", ha dichiarato Ralph Langner nel post sul blog che alla fine ha rivelato come funzionava Stuxnet.
Un atto di guerra. Stuxnet è stato fondamentalmente un atto di guerra, secondo l'autore Kim Zetter. Allo stesso tempo, il virus è stato probabilmente utilizzato per evitare un’escalation con le armi convenzionali. In una situazione di tensione in cui gli israeliani stavano diventando sempre più nervosi e spingevano per attacchi aerei contro le installazioni in Iran, Stuxnet è diventato un compromesso che ha reso i negoziati ancora una possibilità. Il virus si è scagliato contro i sistemi di controllo industriale per sabotare lentamente ma inesorabilmente le centrifughe utilizzate per arricchire l’uranio, guadagnando così più tempo. Il risultato fu di circa 1000 centrifughe rotte. Zetter ipotizza che il programma nucleare iraniano potrebbe essere stato ritardato di circa 18 mesi.
Kim Zetter ha svolto una ricerca impressionante e racconta in modo esauriente la scoperta di Stuxnet, le infrastrutture vulnerabili e lo sviluppo delle armi digitali. Ancora è Conto alla rovescia per il giorno zero non del tutto riuscito in formato libro. Zetter ha cercato di combinare la storia della tecnologia con una narrazione più simile a un thriller incentrata sugli esperti di sicurezza che hanno decostruito Stuxnet, ma si perde nei dettagli. Spesso non riesce a contestualizzare le numerose informazioni fattuali in una narrazione più ampia lungo il percorso, e molte delle informazioni appaiono quindi distaccate e ripetitive. Sembra che semplicemente non sia riuscita a decidere quale libro scrivere. Con un editing leggermente più serrato, questa storia avvincente avrebbe potuto dare il meglio di sé. Per coloro che vogliono familiarizzare con il funzionamento delle armi digitali odierne, potrebbe comunque valere la pena leggere il libro.
Rendi tutti vulnerabili. La guerra digitale è fondamentalmente diversa dall’uso delle armi convenzionali. Un documento segreto del Pentagono del 2003 mostra che l’esercito americano stabilirà che la guerra informatica sarà la quinta area di competenza, dopo la terra, il mare, l’aria e le forze speciali. I vantaggi potenzialmente possono essere molteplici: gli obiettivi possibili per gli attacchi digitali sono molteplici, la distanza geografica non rappresenta un ostacolo, i costi sono relativamente bassi e può essere più appetibile per una popolazione stanca di inviare truppe all’estero. Ma la guerra digitale presenta anche aspetti altamente problematici. Per attaccare un sistema informatico è necessario conoscere le falle di sicurezza del sistema per poter programmare virus che sfruttino queste falle. Una falla nella sicurezza che non è nota al produttore del software e che quindi non è stato possibile riparare tramite un aggiornamento del software, viene chiamata "giorno zero". Per costruire un arsenale di armi digitali, la NSA sta accumulando scorte zero giorni per tutti i sistemi possibili.
Il problema durante la raccolta zero giorni, è che rendi vulnerabili tutti gli utenti di computer. Prima o poi qualcun altro scoprirà le stesse falle di sicurezza e le utilizzerà, siano essi altri stati, hacker criminali o persone che vogliono rubare segreti commerciali. "È un modello che si basa sul mantenere tutti vulnerabili in modo che solo pochi eletti possano essere attaccati – paragonabile a negare un vaccino a un'intera popolazione in modo che alcuni individui possano essere infettati da un virus", afferma Zetter in Conto alla rovescia per il giorno zero. Poiché le armi digitali non sono limitate dalla geografia, possono finire per diffondersi in tutto il mondo, incluso il paese che per primo ha utilizzato l’arma. Una delle particolarità delle armi digitali è che quando attacchi con esse, rinunci anche al codice dell'arma. Quindi chiunque potrà usarlo in seguito. Ralph Langner ha stimato che ci sarebbero voluti circa sei mesi dal momento in cui si sapeva che Stuxnet aveva visto un attacco in cui qualcun altro aveva copiato il codice Stuxnet.
Controllo digitale delle armi? Sebbene Zetter svolga un lavoro approfondito nel documentare e presentare la storia delle armi digitali, solleva solo le discussioni che ovviamente devono essere affrontate in misura limitata. Qui parliamo di un metodo che colpisce i sistemi che tutti utilizzano, comprese le funzioni vitali come gli ospedali, anche se non sono il bersaglio previsto. Può diventare molto più imprevedibile e difficile definire cosa debba essere considerato un danno accidentale derivante da un attacco militare quando si utilizzano armi digitali. Zetter afferma che Stuxnet potrebbe aver accidentalmente causato esplosioni di gas in altre parti dell'Iran a causa di un problema di compatibilità. Stuxnet era molto sofisticato e adattato agli obiettivi che avrebbe colpito. Se Stuxnet causasse tali effetti indesiderati, come colpirebbero le armi digitali meno sofisticate? E quale responsabilità hanno gli sviluppatori originali quando altri attori creano attacchi copione basati sul codice che hanno creato?
Anche il controllo delle esportazioni è un argomento delicato quando si parla di armi digitali, ma questo argomento non viene affrontato da Zetter. Trovare buchi di sicurezza nei software e creare semplici virus è qualcosa che anche gli adolescenti possono fare nella stanza dei ragazzi e delle ragazze. Dove si traccia il confine tra ciò che è un'arma e ciò che non lo è? Recentemente c'è stata una protesta nella comunità della sicurezza informatica perché un tentativo di includere la conoscenza delle falle di sicurezza nelle norme di Wassenaar, che regolano il commercio internazionale delle armi, influenzerebbe lo scambio di conoscenze e la ricerca che è proprio finalizzata a chiudere tali buchi per rendere software più sicuro. La conoscenza delle falle di sicurezza è una parte essenziale della programmazione e difficilmente può essere regolata dalla legge allo stesso modo di un’arma fisica. È del tutto difficile immaginare che sarà sostenibile cercare di mantenere aperte le falle di sicurezza, ma limitarne la conoscenza ai militari e ai servizi di intelligence. In ogni caso, è un dibattito che dovrebbe svolgersi all’aperto, e non nei corridoi dei militari e dei servizi segreti.
tori@toriaarseth.no
