Computer Network Operations

Centro Militare di Studi Strategici
Rapporto di Ricerca 2012 STEPI AF-SA-22
Le Computer Network Operations (CNO). Evoluzione dottrinale ed organizzativa nelle Forze Armate dei principali paesi Europei.
Prof. Gerardo IOVANE
data di chiusura della ricerca: Ottobre 2012
INDICE
Le Computer Network Operations (CNO). Evoluzione dottrinale ed organizzativa nelle Forze Armate dei principali paesi europei.
SOMMARIO PARTE GENERALE / ANALITICA / PROPOSITIVA Capitolo 1 - Introduzione Capitolo 2 - Classificazione delle C.N.O. Capitolo 3 - Approccio dei principali paesi Europei. Capitolo 4 - Implicazioni Giuridiche. PARTE SPECIALISTICA / DI SUPPORTO / BIBLIOGRAFICA Capitolo 5 - Computer Network Attacks. Capitolo 6 - Computer Network Defense: strategie difensive contro la minaccia cibernetica. Conclusioni Bibliografia NOTA SUL Ce.Mi.S.S. e NOTA SULL' AUTORE
pag.
pag.
pag. 22 pag. 33 pag. 41
pag. 53
pag. 104 pag. 115 pag. 118 pag. 124
CNO_20121107_1304.doc
T.Col. (A.M.) Monaci ing. Volfango
CNO_20121107_1304.doc
ii
T.Col. (A.M.) Monaci ing. Volfango
SOMMARIO
Lincessante
progresso
tecnologico,
specie
nel
camp o
informatico
delle
telecomunicazioni, ha drasticamente modificato la maggior parte delle nostre azioni quotidiane. Molti dei servizi erogati da aziende pubbliche o private, il cui prodotto finale puo annoverarsi tra i beni primari (acqua, elettricita, ecc.) sono oggi controllate da calcolatori, o meglio da reti di computer per il controllo automatico. La forte interconnessione di queste infrastrutture critiche rappresenta a tutti gli effetti un nodo cruciale: dal loro grado di sicurezza, infatti, dipende la sicurezza di centinaia di migliaia di cittadini. Levoluzione tecnologica ha portato con se un progresso anche nelle tecniche illegali finalizzate a sfruttare eventuali vulnerabilita. In questo studio, par tendo dai risultati ottenuti nei Rapporti di Ricerca del CeMiSS del 2008, 2010 e del 2011, rispettivamente sulla Cyberwarfare ed il Cyberspazio1, sui Rischi per lInfrastruttura Informatica per la Difesa2 e sui Sistemi di Supporto alle Decisioni 3, si intende
esplorare il nuovo scenario del cyberspace ed, in particolare, quello delle Computer Network Operations (CNO) e, di conseguenza, la necessita di ciascun governo di porre in essere metodologie e strategie finalizzate ad un duplice scopo: lo sfruttamento delle CNO
1
Rapporto di Ricerca Ce.Mi.S.S. " Cyberwarfare e Cyberspace: aspetti concettuali, fasi ed applicazione allo scenario nazionale ed allambito militare - Gerardo Iovane http://www.difesa.it/SMD/CASD/Istituti_militari/CeMISS/Pubblicazioni/News206/200801/Pagine/Cyberwarfare_e_Cyberspace_aspet_9342militare.aspx (ultima visita 2012 Nov 06) 2 Rapporto di Ricerca Ce.Mi.S.S. "I rischi per l'infrastruttura informatica della Difesa. Individuazione delle risorse organizzative necessarie al contrasto dell'attacco informatico per l'attivazione di strutture dedicate all'anti-hacker intelligence" - Gerardo Iovane http://www.difesa.it/SMD/CASD/Istituti_militari/CeMISS/Pubblicazioni/News206/201102/Pagine/I_rischi_per_linfrastruttur_12446intelligence.aspx (ultima visita 2012 Nov 06) 3 Rapporto di Ricerca Ce.Mi.S.S. "Sistemi di Supporto alle Decisioni basati su metodologie avanzate di pianificazione, (modelli matematici della complessita, soft -computing) per usi di Stato Maggiore." - Gerardo Iovane http://www.difesa.it/SMD/CASD/Istituti_militari/CeMISS/Pubblicazioni/News206/2012-04/Pagine/iovane.aspx (ultima visita 2012 Nov 06) CNO_20121107_1304.doc
Author:
come strumento di cyberwarfare di tipo offensivo e la protezione della Global Information Grid (GIG) o anche delle smart net, ovvero delle reti informatiche interconnesse per il controllo automatico, che interessano gli ambiti piu svariati, da quello militare o governativo a quello economico. Come noto ad oggi, le guerre vengono ormai combattute su piu fronti e gli Stati devono utilizzare le risorse a disposizione per contrastare tutte quelle operazioni finalizzate allinterruzione o alla compromissione dei sistemi informativi, appunto le CNO. In questo studio presenteremo dapprima una classificazione delle CNO fornendo alcuni cenni storici sulla loro evoluzione; verranno quindi analizzate le soluzioni dottrinali ed organizzative delle Forze Armate dei principali paesi europei. Un sezione sara inoltre dedicata alle implicazioni giuridiche delle CNO e, quindi, alla conseguente necessita di aggiornare il quadro normativo per tenere il passo del progresso in ambito cyberwarfare. .
CNO_20121107_1304.doc
Author:
Parte GENERALE / ANALITICA / PROPOSITIVA
CNO_20121107_1304.doc
Author:
1
erano incentrate
Introduzione
LEra dellInformazione ha significativamente modificato le modalit di svolgimento di molte delle nostre azioni quotidiane, con un conseguente incremento della rapidita con cui la conoscenza viene trasferita da un capo allaltro del globo4. Nei campi applicativi piu disparati, il progresso tecnologico dei dispositivi ha reso non solo piu efficiente lo svolgimento di azioni specifiche ma, al contempo, ne ha radicalmente modificato le infrastrutture di riferimento. Da tale processo di trasformazione non e esente lambito militare, dal momento che computer e reti di computer hanno profondamente modificato la natura del warfare. Infatti, la maggior parte delle strategie di warfare dei secoli scorsi sulloccupazione fisica dei territori, con conseguente ingente
approvvigionamento di armi, dispiegamento di forze navali, aeree e terrestri a protezione delle coste e deli spazi aerei per il raggiungimento della superiorita sul campo di battaglia contro i rispettivi avversari. Gli eventi degli ultimi decenni hanno gradualmente ma significativamente modificato questo paradigma, favorendo cosi la transizione dallera industriale del warfare allera della cyber defence warfare5. Sarebbe infatti impensabile, ad oggi, immaginare di controllare ad esempio una battaglia aerea usando modelli fisici come avveniva durante la battaglia dInghilterra della Seconda Guerr a Mondiale, o tentare di coordinare una missione aerea usando penne e telefoni. In definitiva, dallamministrazione alla logistica al comando e controllo, la information technology ha profondamente modificato il modo di condurre le operazioni belliche (warfare). Anche le industrie civili operanti in settori critici hanno dovuto rinnovarsi e mettersi al passo con lera digitale, affinche le loro azioni fossero piu veloci, efficaci ed economiche. Ad oggi le reti di computer (computer networks) controllano la creazione e distribuzione di energia elettrica, gli acquedotti, il traffico aereo, ferroviario e stradale e le transazioni
4
Richard A. Lipsey, Network Warfare Operations: Unleashing the Potential, CeCenter for Strategy and Technology, Air War College, Air University, November 2005. 5 John Bumgarner, Computers as Weapons of War, IO Journal, Maggio 2010. CNO_20121107_1304.doc
Author:
finanziarie di ogni tipo; in piu tali reti stanno incrementando esponenzialmente il loro grado di connettivita, essendo connesse alla rete internet. Il risultato che ne consegue e un mondo sempre piu interconnesso e, di conseguenza, la possibilita di una notevole varieta di strategie di warfare semplicemente a colpi di elettroni. Non e un caso, infatti, che proprio il governo degli Stati Uniti nel 2009 abbia classificato il cyberspace come strategicamente importante per la sicurezza nazionale, affiancandolo di fatto agli altri quattro domini di guerra: terra, mare, aria e spazio. Il presente studio intende fornire un quadro di riferimento aggiornato sullevoluzione dottrinale ed organizzativa delle Computer Network Operations come soluzioni adottate dai principali paesi europei e mondiali per consentire alla Forze Armate di contrastare in maniera efficace la minaccia cibernetica. Saranno oggetto principale di studio le Computer Network Operations, di cui sara fornita una classificazione, una cronologia dellevoluzione nel contesto internazionale e gli aspetti giuridico-legali ad esse correlati.
1.1 Introduzione al mondo cibernetico

La crescente dipendenza della societa moderna dalla tecnologia e la crescita costante delle reti digitali hanno reso indispensabile la definizione di strategie di difesa dello spazio cibernetico (cyber defense). Questo crescente bisogno, pero, si e spinto ben oltre la prevenzione dei furti di identita, la diffusione di malware e, piu in generale, la perpetrazione di attacchi di tipo informatico (hacking, cracking). Come gia evidenziato nel precedente Rapporto di Ricerca Sistemi di supporto alle decisioni basati su metodologie avanzare di pianificazione, (modelli matematici della complessita, soft computing) per usi di Stato Maggiore6 del 2011, cio ha favorito ladozione di metodologie proprie della Teoria della Complessita, della Teoria dei Giochi, di approcci di logica sfumata (Soft Computing) e di Sistemi di Supporto alle Decisioni (Decision Support Systems), finalizzate alla protezione delle infrastrutture critiche di una nazione.
Rapporto di Ricerca Ce.Mi.S.S. "Sistemi di Supporto alle Decisioni basati su metodologie avanzate di pianificazione, (modelli matematici della complessita, soft -computing) per usi di Stato Maggiore." - Gerardo Iovane http://www.difesa.it/SMD/CASD/Istituti_militari/CeMISS/Pubblicazioni/News206/2012-04/Pagine/iovane.aspx (ultima visita 2012 Nov 06) CNO_20121107_1304.doc
Author:
Va inoltre osservato che la necessita di cyber warfare da parte delle Nazioni mondiali non si limita allambito militare ma include, tra gli altri, lo spionaggio industriale cibernetico e le odierne intrusioni nei sistemi pubblici di controllo del traffico aereo, dellelettricita o di altre reti di servizio pubblico e delle transazioni bancarie, da cui il bisogno di strategie di intelligence congiunte da parte dei governi e del settore privato. Per una corretta comprensione degli aspetti della cyber warfare, occorre specificare alcuni termini di uso comune. Con il termine Electronic Warfare ci si riferisce in genere ad attacchi a reti di computer con utilizzo di energia elettromagnetica, avendo come obiettivi i circuiti elettronici nemici; il termine Information Warfare implica invece lutilizzo di tecniche di information technology finalizzate ad ottenere un vantaggio competitivo su un avversario. Le influence operations indicano invece la collezione di informazioni sullavversario per ottenerne un vantaggio. Piu in generale, i suddetti termini possono essere ricondotti alla piu ampia categoria delle information operations, ovvero limpiego integrato di capacita di electronic warfare, operazioni su reti di computer, operazioni psicologiche e di sicurezza, utilizzate per influenzare, interrompere o usurpare il potere decisionale avversario, umano o automatizzato, garantendo allo stesso tempo la protezione del proprio. Con lacronimo CONOPS, concept of operations, ci si riferisce in genere ad un comunicato, verbale o grafico, che definisce in maniera chiara e concisa gli obiettivi specifici di un comando di forze congiunte e le modalita di utilizzo delle risorse. In merito alle Information Operations (IO), il CONOPS identifica tre differenti elementi operativi: influence operations, electronic warfare operations e network warfare operations. La figura 1 mostra un diagramma gerarchico delle IO delle forze aeree statunitensi.
CNO_20121107_1304.doc
Author:
Figura 1. Gerarchia delle information operations della U.S. Air Force7.
Le network warfare operations differiscono dalle influence e dalle electronic warfare operations nellutilizzo di capacit basate sulle reti di manipolare informazione per il raggiungimento degli obiettivi della missione; in questo ambito, con il termine reti non si indicano soltanto le reti di computer, ma vengono inclusi anche tutti quei sistemi atti a trasmettere o ricevere informazioni, come sistemi di telecomunicazioni, reti radio, collegamenti di informazioni tattiche digitali e sistemi SCADA8 (Supervisory Control And Data Acquisition) per il controllo di infrastrutture critiche come reti energetiche, reti di trasporti e simili.
Richard A. Lipsey, Network Warfare Operations: Unleashing the Potential, CeCenter for Strategy and Technology, Air War College, Air University, November 2005. 8 http://it.wikipedia.org/wiki/SCADA CNO_20121107_1304.doc
Author:
1.2 Nato-UE - Cyberthreat: una sfida da affrontare insieme

Cyber Security has become the hot issue both for the EU and for NATO and will remain such in the years to come, Gilles de Kerchove dOusselghem, EU Counter-Terrorism Coordinator, ASD Conference, Istanbul 6 Ottobre 2011. La natura distribuita degli attacchi, propria delle operazioni di cyber terrorism, rende indispensabile la cooperazione tra le nazioni giacch una singola nazione, pur profondendo il massimo sforzo in termini di infrastrutture e strategie di cyber defense, non puo sentirsi al sicuro senza la sottoscrizione di protocolli di collaborazione in caso di attacchi in ambito cyberspace. Come sottolineato in precedenza, la distinzione tra militare e civile sta sfumando sempre piu, rendendo indispensabile che i singoli domini nellambito di una Nazione debbano inter-operare per essere poi totalmente integrati nella cyber intelligence. Dal momento che tutte le infrastrutture di una nazione possono essere danneggiate e fatte oggetto di cyber attacks, soltanto la collaborazione tra Nazioni puo dare luogo ad una difesa efficace; per questo, ladesione alle iniziative delle Organizzazioni Internazionali (NATO, EU, ecc.) di cui facciamo parte e imprescindibile. Allo stato attuale e opinione comune che la sicurezza del cyber-spazio sia una delle nuove sfide alla sicurezza comune e che ciascuna Organizzazione Internazionale debba dotarsi di capacita specifiche e specialistiche per farvi fronte9 . Per quanto concerne, ad esempio, la NATO, e utile riportare alcuni dei momenti chiave nella definizione delle strategie di cyber defense. Lo Strategic Concept 2010, a tal proposito, si ripropone di sviluppare ulteriormente le proprie capacita di prevenzione, rilevamento, difesa e recupero da cyber-attacks. Il North Atlantic Council (NAC) ha avuto mandato dai Capi di Stato, al meeting di Lisbona 2010, di rielaborare la NATO Cyber Defense Policy; il Cyber Defense Policy Committee (DPPC) ha emesso infatti due documenti, entrambi approvati dal NAC a livello di Ministri della Difesa: NATO Cyber Defense Policy e Cyber Defense Action Plan.
G. Grasso, Cyber Warfare & Cyber Intelligence NATO-EU: una sfida da affrontare insieme, IWC 2011
CNO_20121107_1304.doc
Author:
Tra i principi fondamentali allinterno dei suddetti documenti troviamo: la prevenzione e resilienza, da preferire alla reazione; la non duplicazione degli sforzi; la condivisione dellinformazione e sicurezza.
In questi documenti vengono inoltre indicate le seguenti strategie di governance: sviluppo delle capacita di cyber defense proprie della NATO, definit e dalle autorita militari in base alle decisioni prese dal NAC e specificate nel NATO Defence Planning Process; La responsabilita diretta degli alleati sui Common Information System (CIS) nazionali, con il requisito che questi siano affidabili e sicuri nelle loro connessioni con il proprio CIS NATO; Lelaborazione dei requisiti minimi di cyber defense equivalenti e compatibili con quelli del CIS NATO in un processo di governance condiviso con gli Alleati; La certificazione NATO del raggiungimento dei requisiti minimi.
Sempre con lobiettivo di coordinare gli sforzi congiunti dei Paesi membri in ambito cyber defense, la NATO ha: Istituito il Cyber Defense Management Authority/Board (NCDMA) per la
pianificazione strategica, la supervisione e la guida della cyber war, il coordinamento centralizzato di tutti i servizi di cyber defense per il CIS NATO e la gestione delle interazioni con gli Alleati; Ha attribuito alla Consultation, Command and Control Agency (NC3A) gli aspetti tecnici e implementativi della cyber defense, dalla identificazione dei requisiti operativi ed il relativo ottenimento; Ha avviato il Computer Incident Response Capability Technical Center (NCIRCTC), responsabile della fornitura dei servizi di cyber security NATO. Tale centro opera direttamente in caso di incidenti e dissemina le informazioni relative ad essi ai gestori dei sistemi di sicurezza ed ai loro utilizzatori;
CNO_20121107_1304.doc
Author:
Ha assegnato alla nuova Emerging Security Challenges Division (ESCD) il coordinamento degli approcci NATO al terrorismo ed il supporto agli alleati per lo sviluppo di politiche coerenti di risposta ad altre minacce trasversali, come cyber attack, minacce energetiche e la proliferazione di armi di distruzione di massa;
Ha accreditato il Cooperative Cyber Defense di Tallin, Estonia, come Centro di Eccellenza, con i compiti di addestramento, ricerca e sviluppo, miglioramento delle capacit e della cooperazione e scambio di informazione ed esperienze tra gli alleati.
Per quanto concerne invece la Comunita Europea, particolare importanza ha rivestito il Forum europeo degli Stati membri (EFMS), in occasione del quale sono state promosse le discussioni e gli scambi tra autorita competenti sulle best pratices in materia di sicurezza e resilienza delle infrastrutture TIC (Tecnologie dellInformazione e della Comunicazione) per la definizione di: Un insieme minimo di capacita e servizi di base con relative raccomandazioni strategiche; La valutazione del grado di sicurezza informatica attuale dellEuropa; La definizione di incentivi, sia dal punto di vista economico che regolamentare, per favorire la sicurezza e la resilienza; Lorganizzazione di esercitazioni paneuropee; Lanalisi delle priorita da trattare in un quadro internazionale.
A tal fine sono inoltre stati promossi il Partenariato pubblico-privato europeo per la resilienza (EP3R) ed i Partenariati strategici di dimensione internazionale, entrambi atti a favorire ed incentivare la cooperazione su questione strategiche della politica dellUnione Europea. Vale la pena, infine, riportare alcuni dei piu importanti enti europei in materia di cyber security, come riportato nel seguito.
CNO_20121107_1304.doc
10
Author:
ENISA10 European Network Information Security Agency EDA11 European Defence Agency CERT Computer Emergency Response Team EISAS12 European Information Sharing and Alert System
Nata nel 2004 con sede a Creta, la ENISA e una piattaforma di scambio di informazioni e best pratices tra istituzioni UE, autorita nazionali ed imprese. La EDA ha avviato iniziative per lo sviluppo delle Cyber Defence Capabilities e per il miglioramento delle attuali architetture. Esiste un CERT delle istituzioni dellUE ed un CERT per ogni stato membro (entro il 2012).
E il sistema europeo di condivisione della cyber intelligence e di allarme per il grande pubblico.
1.3 Procedure per la gestione ottimale delle computer networks

Nellidentificazione delle procedure di gestione delle reti informatiche che controllano le infrastrutture critiche13, i governi devono necessariamente affidarsi a personale competente in materia. Negli scorsi anni, a seguito di discussioni di tavoli tecnici, esperti di settore ed ufficiali di differenti reparti, alcuni governi hanno identificato una serie di misure necessarie per una corretta gestione delle reti informatiche. In questo paragrafo vengono riportate le procedure individuate in un contesto locale (lo stato del Minnesota) che ben si applicano alle esigenze di efficienza e sicurezza di un governo nazionale.
10 11
http://www.enisa.europa.eu/ (ultima visita 2012 Nov 6 ) http://www.eda.europa.eu/ (ultima visita 2012 Nov 6 ) 12 http://www.enisa.europa.eu/activities/cert/other-work/eisas_folder/EISAS_finalreport.pdf (ultima visita 2012 Nov 6 ) 13 Rapporto di Ricerca Ce.Mi.S.S. " La strategia globale di protezione delle infrastrutture e risorse critiche contro gli attacchi terroristici" - Roberto Setola http://www.difesa.it/SMD/CASD/Istituti_militari/CeMISS/Pubblicazioni/News206/201202/Pagine/Lastrategiaglobal.aspx (ultima visita 2012 Nov 6 ) CNO_20121107_1304.doc
11
Author:
Le procedure migliori per la gestione dei sistemi informatici possono essere raggruppate in tre gruppi14: 1. Corretta gestione dei sistemi informatici: 2. Gli inventari dovrebbero identificare in maniera chiara lequipaggiamento hardware e software con utilizzo degli standard di riferimento; Documentazione di policies, procedure e ambienti operativi; Monitoraggio dellutilizzo di policies e procedure; Revisione ed aggiornamento periodico di policies e procedure.
Mantenimento ed uso dei sistemi informatici da parte di staff esperto: Stima dellesperienza tecnologica dello staff; Reclutamento e mantenimento dello staff tecnico; Addestramento continuo dello staff; Addestramento degli utenti; Supporto agli utenti.
3.
Sicurezza dei sistemi informatici: Policies di sicurezza basate su analisi dei rischi; Gestione degli account utente con profilazione degli utenti; Impiego e monitoraggio di firewall e antivirus; Sviluppo di un piano di recupero da disastro e procedure di back-up; Testing del piano di sicurezza; Utilizzo di professionisti esperti per la pianificazione, il monitoraggio ed il rafforzamento della sicurezza.
Lutilizzo di pratiche ottimali permette di definire in maniera chiara i requisiti per lottimizzazione delluso ed il controllo dei rischi dei sistemi informatici. Nel seguito verranno analizzate le tre suddette categorie.
14
Program Evaluation Division, Managing local government computer systems: a best practices review, Office of the Legislative Auditor, State of Minnesota, 2002 CNO_20121107_1304.doc
12
Author:
1.3.1 Procedure per la gestione ottimale delle computer networks Per una corretta gestione dei sistemi di computer occorre produrre e manutenere correttamente gli inventari delle componenti e delle policies di utilizzo del sistema. Gli inventari dovrebbero identificare in maniera chiara lequipaggiamento hardware e software con utilizzo degli standard di riferimento Chiunque gestisca un sistema informatico deve conoscere la lista completa delle componenti hardware e software; e necessario, quin di, un inventario aggiornato per il tracciamento delle componenti in possesso ed uso, che comprenda le risorse e le configurazioni del sistema. Una corretta documentazione degli acquisti software contribuisce ad una migliore gestione delle licenze. Il massimo sforzo va profuso nella standardizzazione del sistema: lutilizzo di standard nellacquisto di nuove risorse hardware e software e garanzia di compatibilita degli stessi con il resto delle componenti in dotazione nel sistema15. Infine, ladozione di standard facilita il supporto agli utenti in quanto lo staff tecnico deve manutenere un insieme minore di tipologie di componenti. Documentazione di policies, procedure e ambienti operativi La manutenzione e lamministrazione dei sistemi informatici deve es sere affidata a programmi di gestione documentati, contenenti policies e procedure che specifichino le modalita di gestione delle risorse hardware e software delle computer networks ed il supporto, laddestramento, la sicurezza ed il controllo degli acces si utente. I programmi di gestione sono una risorsa essenziale per il miglioramento della produttivita, il mantenimento della stabilita del sistema e la riduzione dei costi operativi attraverso la limitazione dei guasti. Per una maggiore efficienza, i programmi di gestione devono essere allineati ai requisiti tecnologici, contenendo procedure che siano applicabili e non eccessivamente restrittive.
15
Gartner Research, Desktop PC Life: Four Years For The Mainstream, TechRepublic, 19 Dicembre 2001 .
CNO_20121107_1304.doc
13
Author:
Il costo ed il livello di dettaglio dei programmi di gestione dovrebbero essere proporzionati alla complessita del sistema ed ai requisiti specifici. Sebbene la responsabilita per la definizione delle policies e delle procedure potrebbe variare in base alle competenze, per un governo che si affida al proprio staff per la gestione delle reti informatiche ciascuna delle figure deve dare il suo contributo, da chi definisce le policies, allo staff tecnico fino agli utenti finali. Dal momento che la gestione delle reti di computer richiede decisioni sullallocazione delle risorse e compromessi tra le necessita dello staff tecnico e quelle degli utenti, un governo locale deve coinvolgere i suoi dirigenti nelladozione delle policies delle reti informatiche. Monitoraggio dellutilizzo di policies e procedure Deve essere assicurata ladesione degli utenti alle policies e le procedure definite; cio puo avvenire attraverso il monitoraggio degli utenti al fine di evitare luso scorretto dei computer/sistemi, tale da creare impatti negativi sul sistema complessivo. Un esempio classico e la restrizione presente in molte reti informatiche (banche, alcune aziende, ecc.) di scaricare dal Web programmi software non espressamente consentiti, o addirittura limpossibilita di accesso ad alcune pagine web. Revisione ed aggiornamento periodico di policies e procedure La gestione delle reti di computer prevede la revisione e laggiornamento periodico delle policies e delle procedure16. In particolare, le policies di sicurezza, affinche siano efficaci, richiedono un costante aggiornamento a causa della continua evoluzione dei fattori di rischio. E inoltre utile che il parere degli utilizzatori del sistema, ottenuto ad esempio attraverso interviste, contribuisca alla gestione del sistema per il suggerimento di modifiche o lidentificazione di problematiche specifiche.
16
Richard Mackey and Jonathan Gossels, Mastering Fundamentals: Part 3, Information Security Magazine, 2000.
CNO_20121107_1304.doc
14
Author:
1.3.2 Mantenimento ed uso dei sistemi informatici da parte di staff esperto Per garantire performance ottimali, le computer network richiedono staff specializzato nella gestione ed amministrazione dei sistemi informatici; per un utilizzo efficiente e responsabile, inoltre, e necessario che gli utenti siano addestrati e supportati nellutilizzo. Stima dellesperienza tecnologica dello staff La competenza del personale IT (Information Technology) deve essere nota: sofisticati servizi tecnologici richiedono un alto livello di esperienza dello staff. Nella definizione dei requisiti dello staff tecnico, i governi locali devono tenere in considerazione fattori come la complessita e la sofisticazione dei sistemi informatici, le dipendenza da provider esterni, la dimensione della giurisdizione, il grado di centralizzazione del sistema ed il numero di utenti17. Reclutamento e mantenimento dello staff tecnico E necessaria una completa conoscenza delle pratiche di reclutamento e mantenimento dello staff tecnico; ad esempio, stage o partnership con altre istituzioni contribuiscono al reclutamento di potenziali impiegati. I governi locali che affidano la gestione delle reti informatiche a personale interno devono competere con il settore privato nel reclutamento di personale qualificato, con tutte le difficolta che ne conseguono (diverso inquadramento professionale, minore capacita di offerte economiche sostanziose, ecc.). Addestramento continuo dello staff La velocita con cui la tecnologia evolve richiede che il processo di addestramento del personale sia un processo continuo. Per laggiornamento dello staff devono essere definite le fonti di informazione; il CERT (nel caso specifico si tratta del Centro di Coordinamento della Carnegie Mellon University), ad esempio, fornisce una varieta di risorse on-line per la sicurezza. E necessario che il personale consulti quotidianamente le risorse di aggiornamento affinche siano noti i nuovi sviluppi nel campo delle reti informatiche e sia cosi possibile intraprendere le misure necessarie.
17
Gartner Research, Distributed Security Staffing Levels, Research Note TG-06-4474, 17 Novembre 1998
CNO_20121107_1304.doc
15
Author:
Addestramento degli utenti I governi locali devono assicurare che il personale deputato alla gestione dei sistemi informatici possieda un adeguato piano di addestramento del personale che utilizzera il sistema. Un corretto e ben organizzato addestramento degli utenti permette di: risparmiare una notevole quantita di tempo, che gli utenti avrebbero altrimenti speso nello sperimentare lutilizzo degli applicativi; incrementare la produttivita attraverso la minimizzazione della rielaborazione dei processi; ridurre le richieste di supporto dello staff IT; rendere gli utenti consci dei requisiti di sicurezza del sistema, sia nelle sue componenti singole che nella sua interezza. Supporto agli utenti Unitamente a processi di addestramento degli utenti, i governi locali devono garantire anche lofferta di un appropriato livello di supporto agli utenti. I nuovi utenti avranno necessita di supporto nella loro fase iniziale, mentre gli utenti esperti dovranno essere supportati in caso di utilizzo di nuove applicazioni o modifiche al sistema18 . Il piano di supporto deve includere informazioni dettagliate su cosa sar supportato (dispositivi hardware e applicativi software) e su come tale supporto sara fornito (metodi di risoluzione di problemi tecnici). E necessaria la definizione di differenti tipologie di supporto, dal momento che ciascun utente ha una propria capacita di apprendimento e richiede supporto in tempi diversi in unottica di profilazione e personalizzazione delle attivit di learning.
18
Justice Management Division, The Department of Justice Systems Development Life Cycle Guidance Document Chapter 11: Operations and Maintenance Phase, U.S. Department of Justice, Marzo 2000. CNO_20121107_1304.doc
16
Author:
1.3.3 Sicurezza dei sistemi informatici Eventuali carenze nella sicurezza ed affidabilita dei sistemi informatici minano lefficacia e la credibilita dei governi e contribuiscono ad un notevole incremento dei costi di sistema. Una corretta gestione dei sistemi informatici include la conoscenza ed il controllo dei rischi, necessario sia in caso di gestione interna che nel caso essa sia deputata a collaborazioni tecnologiche intergovernative. Policies di sicurezza basate su analisi dei rischi Le policies di sicurezza vanno definite sulla base dei rischi identificati. Il rischio e funzione del valore delle risorse informatiche, della vulnerabilita di sistema, delle probabilita di essere attaccati e dei costi che si e disposti ad affrontare19; ad esempio, un sistema informatico molto costoso che sia connesso alla rete Internet e di utilizzo governativo e caratterizzato da un fattore di rischio molto alto. Le minacce alla sicurezza possono provenire sia dallesterno che dallinterno dellistituzione considerata e possono minare le proprieta fisiche o la disponibilita e lintegrita delle informazioni20 presenti. Ad esempio, laccesso ad allegati di posta elettronica senza alcuna protezione dai malware informatici puo mettere a rischio lintera rete informatica ed informativa. Per questi motivi e necessaria una accurata fase di analisi dei rischi di sistema, che contribuira nella identificazione delle vulnerabilita e nello sviluppo delle strategie di sicurezza. Lanalisi dei rischi richiede inoltre di prendere in considerazione anche le attivita ed i sistemi dei provider esterni con cui si collabora, dal momento che minacce alla sicurezza potrebbero essere convogliate attraverso servizi esterni. Una corretta definizione delle policies di sicurezza, basata sullanalisi dei rischi, consente di prevenire laccesso non autorizzato al sistema, i furti e le alterazioni n el sistema informativo.
19 20
Gary C. Kessler, Gary Kesslers Musings About Network Security, Vermont Telecom News, Luglio 2001. Rapporto di Ricerca Ce.Mi.S.S. " Sviluppo nell'ambito nazionale del concetto di ''Information Assurance'' relativo alla protezione delle informazioni nella loro globalita'." - Arije ANTINORI http://www.difesa.it/SMD/CASD/Istituti_militari/CeMISS/Pubblicazioni/News206/201101/Pagine/Sviluppo_nellambito_nazionale__12341globalita.aspx (ultima visita 2012 Nov 6 ) CNO_20121107_1304.doc
17
Author:
Le politiche e le procedure di sicurezza devono specificare cosa puo accadere di negativo, le misure per ridurre le probabilita di attacchi, come rilevare e reagire ad eventuali falle nella sicurezza e chi sara responsabile di ciascuna di queste attivita 21. Gestione degli account utente con profilazione degli utenti E necessario specificare quali tipologie di utenti possono avere permessi di accesso e/o modifica di computer o dati caratterizzati da diversi gradi di sicurezza. Una corretta profilazione degli utenti permette di stabilire, in maniera univoca, i permessi relativi ad operazioni che potrebbero influire sulla sicurezza del sistema, come le modifiche hardware, linstallazione o la rimozione di software, le attivita non specificamente previste, luso di servizi di rete specifici (internet e posta elettronica), la trasmissione di informazion i in rete, le modifiche di configurazione, ecc. Lutilizzo di chiavi di accesso (password) rappresenta soltanto un primo livello di autenticazione degli utenti; sistemi ad alto rischio, come quelli governativi, caratterizzati da alta riservatezza delle informazioni e ad alto rischio di attacco, necessitano dellimpiego di ulteriori metodologie di autenticazione, dalle password multiple alla identificazione biometrica, oltre a meccanismi di cifratura dei dati. Impiego e monitoraggio di firewall e antivirus Le computer network di qualsiasi dimensione sono vulnerabili ad attacchi esterni ed interni. Un primo livello di protezione consiste n ellassicurarsi che gli utenti utilizzatori dei sistemi, in possesso delle autorizzazioni del caso, adoperino regolarmente software antivirus e firewall. Un firewall e un dispositivo hardware o unapplicazione software posizionata tra la rete Internet e la computer network con la funzione di prevenire gli accessi non autorizzati. Linstallazione di tali dispositivi e un primo passo indispensabile per incrementare il grado di sicurezza di una rete; il passo successivo consiste nel tenere aggiornate queste componenti.
21
Si veda anche: "Dottrina interforze nazionale per la Protezione delle Forze" (PID interim-3.14) Staff dello Stato Maggiore della Difesa http://www.difesa.it/SMD/Staff/Reparti/III-reparto/Dottrina/Pagine/PID_interim-3.14.aspx (ultima visita 2012 Nov 6 ) CNO_20121107_1304.doc
18
Author:
In particolare, un programma antivirus va aggiornato ogni giorno sulla base delle nuove minacce che vengono diffuse in rete; i firewall, inoltre, necessitano spesso di patches di aggiornamento (generalmente rilasciate dagli stessi produttori, sono aggiornamenti per la correzione di errori riscontrati dopo il rilascio) per operare correttamente. Esiste inoltre la possibilita di impiegare appositi applicativi per il rilevamento delle intrusioni, capaci di rilevare i tentativi di accesso non autorizzato alla rete; questi programmi vanno inseriti in un piu ampio framework di sicurezza informatica, in quanto il loro utilizzo risulta inefficace senza monitoraggio ed analisi costanti22. Di fatto, pero, bisogna riconoscere che neppure cio e sufficiente; infatti, lunica tecnica efficace, ad oggi, per proteggersi o la produzione di hardware proprietario (mentre si continua a comprare hardware di produzione asiatico con backdoor di accesso semplice) o produrre filtri hardware/software proprietari da agganciare a risorse hardware prodotte da Paesi terzi, come quelli asiatici. Detto in altre parole, si ritiene che lunico modo di contrastare il crescente potenziale di minaccia sia lo sviluppo di tecnologie hardware/software nazionali; ci poiche se e vero che per meglio comunicare c bisogno di un linguaggio comune, ovvero di standard, evidente che per proteggersi c bisogno di armi non note ad altri, ovvero di cosiddetti zero day, cio di strumenti non conosciuti fino al giorno zero in cui si verifica un attacco in grado di manifestare la nuova risorsa.
Sviluppo di un piano di recupero da disastro e procedure di back-up Una delle pratiche essenziali per la corretta gestione di una computer network e lesistenza di un piano di recupero da d isastro, ovvero un piano per garantire il funzionamento dei servizi informatici in caso di emergenza.
22
Peter Mell, Intrusion Detection: A Guide To The Options, TechRepublic, 6 Novembre 2001.
CNO_20121107_1304.doc
19
Author:
Il piano di recupero da disastro deve essere accuratamente documentato; nel seguito si riportano alcune attivita chiave per lo sviluppo di un piano di recupero: Assicurare il supporto di manager esperti nella stesura del piano; Identificare le componenti da recuperare, che necessitano di funzionamento a lungo termine; Assegnare un indice di priorita alle operazioni per determinare lordine di ripristino; Determinare le procedure di backup elettronico dei dati, che includano: o o o o o Elaborare un piano di backup e recupero dei dati; Documentare le tecnologie utilizzate (ad esempio, uso di una rete privata virtuale); Sviluppare un prospetto di pianificazione delle operazioni di backup dei dati; Utilizzare la memorizzazione off-site; Fornire le procedure di sicurezza idonee per il backup dei dati;
Creare un piano completo che comprenda la lista delle figure responsabili di ciascuna operazione; Sviluppare procedure di test; Installare strumenti di backup dei dati elettronici; Verificare che i dati siano collezionati e possano essere recuperati come previsto dal piano; Riesaminare, riallineare e validare il piano in caso di modifiche allinfrastruttura; Riesaminare, riallineare e validare le procedure di backup quando le tecnologie cambiano.
La memorizzazione dei dati di backup off-site permette la disponibilita dei dati quando richiesto, anche in caso di incendio o altri disastri allinfrastruttura informatica. Le procedure di backup e ripristino dei dati devono essere parte di un piano piu ampio per garantire le funzionalita principali di una rete di computer in caso di interruzione; e necessario identificare quali tipologie di incidenti possono verificarsi (guasti energetici, incendi, malfunzionamenti hardware), misurare limpatto di ciascuna di queste evenienze sui vari processi funzionali, impostare un ordine di priorita per il ripristino delle funzionalita di sistema e definire le misure necessarie al ripristino del sistema informatico.
CNO_20121107_1304.doc
20
Author:
Testing del piano di sicurezza Gli amministratori di sistema devono continuamente monitorare e periodicamente verificare che le procedure di sicurezza rispondano ai requisiti identificati. A causa della continua evoluzione tecnologica e, di conseguenza, del progresso anche nelle tipologie di Cyber Network Attack (CNA), sebbene siano state corrette le falle nella sicurezza identificate nella fase iniziale, una continua fase di testing permette di identificare e correggere le nuove vulnerabilita. Come molte ricerche dimostrano, la procedura di testing delle procedure di sicurezza risulta piu efficace quando effettuata da personale che non conosce il sistema informatico, ovvero esterno al gruppo di lavoro e quando i test avvengono senza la consapevolezza da parte degli utenti23. Utilizzo di professionisti esperti per la pianificazione, il monitoraggio ed il rafforzamento della sicurezza Tutto il personale incaricato della gestione di una computer network deve essere specificamente formato e possedere esperienza adeguata per poter correttamente pianificare le procedure di sicurezza, monitorarle regolarmente e intraprendere le appropriate contromisure in caso di minacce alla sicurezza del sistema. Data la continua evoluzione delle minacce informatiche, assume particolare rilevanza il continuo aggiornamento del personale tecnico24.
23
Computer Science and Telecommunications Board, Cybersecurity Today and Tomorrow: Pay Now or Pay Later, National Academy Press, 2002. 24 Program Evaluation Division, Managing local government computer systems: a best practices review, Office of the Legislative Auditor, State of Minnesota, 2002. CNO_20121107_1304.doc
21
Author:
2
2.1 Introduzione alle CNO
componenti:
Le CNO (Computer Network Operations)
Come gia accennato nel precedente capitolo, le Computer Network Operations (CNO) possono essere annoverate tra le Information Operations (IO), che consistono nelle azioni poste in essere allo scopo di influenzare le informazioni ed i sistemi informativi avversari in difesa dei propri; quando le IO sono condotte in tempi di crisi o conflitto allo scopo di ottenere o promuovere obiettivi specifici nei confronti di specifici avversari, le IO vengono anche indicate come Information Warfare (IW) e prevedono lutilizzo integrato di cinque
operazioni psicologiche (Psychological Operations, PSYOPS); operazioni di sicurezza (Operations Security, OPSEC); espedienti militari (Military Deception, MILDEC); lElectronic Warfare (EW); Computer Network Operations (CNO);
vi sono inoltre distruzione fisica (physical destruction) ed altre misure appropriate, supportate da intelligence, diniego di informazioni, influenza, degrado o distruzione delle capacita informative avversarie. Ognuna delle suddette componenti puo essere impiegata indipendentemente, ma il loro uso integrato permette di neutralizzare o sfruttare i sistemi informativi nemici in maniera coordinata. Tutte queste operazioni sono finalizzate ad uno scopo comune: l Information Superiority, ovvero il grado di dominanza nel dominio informativo che permette di condurre operazioni senza opposizione efficace (o comunque di efficacia notevolmente ridotta).
CNO_20121107_1304.doc
22
Author:
La Information Superiority richiede misure di IW sia offensive che difensive; la IW di tipo offensivo mira al degrado o lo sfruttamento dei sistemi informativi nemici, e deve includere sia metodi tradizionali, come attacchi di precisione o distruzione delle capacita di comando e controllo avversarie, sia metodi non tradizionali come intrusione elettronica allinterno di una rete informativa e di controllo avversaria allo scopo di influenzare, confondere o ingannare i poteri decisionali militari avversari25. Le CNO possono essere utilizzate sia per sfruttare sistemi avversari (offensive CNO) sia per proteggere i propri (defensive CNO); in generale, le CNO sono operazioni militari o con strategie pseudo militari con impiego di sistemi e tecnologie informatiche per linterruzione, il diniego, il degrado o la distruzione di informazioni residenti in computer o reti di computer, o per la distruzione delle reti di computer stesse, sia in tempi di pace che in contesti di conflitto. Le CNO possono essere paragonate allimpiego dellarco da guerra prima della battaglia di Crcy del 1346: larco lungo, un arco di legno disegnato a mano e tenuto verticalmente dagli arcieri medievali inglesi, era gia stato inventato ed utilizzato in battaglia. Fu il tipo di uso di questarma nota da due secoli, da parte degli Inglesi guidati da Eduardo III, a fare di essa unarma decisiva contro le forze francesi: a fare la differenza fu la nuova modalita dimpiego, che ne rese schiacciante la superiorita derivante dal suo utilizzo. La tecnologia informatica si e evoluta tanto da renderne decisivo limpiego in molto contesti, compreso quello militare o della Difesa26. Il nodo fondamentale e che la tecnologia esiste, ed ognuno in possesso di un comput er e delle capacita di utilizzarlo al meglio puo avvantaggiarsi dalluso stesso di questa tecnologia. Lindustria privata e ormai leader nelle applicazioni dei sistemi informatici; le applicazioni sono imperfette e le imperfezioni implicano vulnerabilita, come nel caso di difetti di progettazione o errori di implementazione. Che tali vulnerabilita siano intenzionalmente create o meno conta poco; esse possono essere (e vengono) sfruttate per ottenere vantaggi sugli avversari.
25 26
Joint Chiefs of Staff, Joint Vision 2010, Washington D.C., Luglio 1996 Juan Carlos Vega, Computer Network Operations Methodology, Naval Postgraduate School of Monterey, California.
CNO_20121107_1304.doc
23
Author:
Allo stato attuale, riuscire a scovare ed avvantaggiarsi di falle allinterno di infrastrutture informatiche e una minaccia (cyber threat, minaccia cibernetica) che coinvolge tutti gli Stati ed e potenzialmente distruttiva, dal momento che alle reti informatiche e alla loro interconnessione e deputato il controllo delle risorse piu importanti.
2.2 Le CNO
Il cyberspazio e decisamente la nuova frontiera delle operazioni militari; le CNO sono operazioni informative mirate a distruggere, interrompere, negare o degradare le operazioni avversarie. Le CNO sono classificate in tre tipologie principali: Computer Network Attack (CNA), Computer Network Exploitation (CNE) e Computer Network Defense (CND); questultima, la CND, e un fattore altamente indicativo delle capacita di CNA e CNE. Lobiettivo primario delle operazioni di CND e la protezione di informazioni e sistemi critici che formano quellinfrastruttura informativa cui ci si riferisce con il termine cyberspazio. La CND consiste nel dissuadere, prevenire, proteggere, rilevare, recuperare, ristabilire e rispondere. Con CNA si intendono tutte le azioni con utilizzo di reti informatiche per linterruzione, il diniego, il degrado o la distruzione delle informazioni presenti nei computer o nelle reti informatiche e delle reti informatiche stesse avversarie. CNE, infine, include tutte quelle operazioni e linsieme delle capacita di intelligence condotte attraverso limpiego di computer o reti informatiche per lottenimento di dati da sistemi informatici automatizzati o reti informatiche avversarie. CNE e CNA differiscono in un fatto sostanziale: la CNE, intesa come capacit, non influisce realmente sulla rete avversaria, ma fornisce a dei potenziali attacchi o attaccanti le informazioni necessarie per lottenimento di informazioni dalla rete obiettivo. Le informazioni e le infrastrutture informatiche dei sistemi di computer interconnessi sono generalmente dette reti e, di solito, sono esse stesse parti di una struttura connessa di dimensione maggiore note come griglia informativa globale (Global Information Grid, GIG). La GIG, quindi, e linsieme complessivo interconnesso di capacita informative e processi associati; fra questi e incluso lelemento umano, che coordina e pone in essere unampia varieta di attivita associate alla gestione e al processamento delle informazioni.
CNO_20121107_1304.doc
24
Author:
E proprio rispetto a questo ultimo punto, ovvero al fattore umano ed alla complessit, che lo studio del 2011 del CeMiSS sui Sistemi Avanzati di Supporto alle Decisioni27, come il SACS (Sistema Avanzato di Controllo, Supervisione e Sviluppo del Territorio), ha voluto dare risposta. Le CNO possono includere contemporaneamente componenti di attacco, difesa e sfruttamento delle informazioni e vengono usualmente classificate in CNO di natura offensiva o difensiva. Le CNO di natura offensiva sono caratterizzate da attacco e sfruttamento dei sistemi avversari e, allo stesso tempo, difesa e protezione dei punti di accesso o di intrusione potenziale da parte di una rete nemica durante lattacco. Le CNO di natura difensiva, al contrario, implicano la protezione della propria rete dai tentativi di attacco o sfruttamento. Tra le tecniche di CND sono annoverati i tentativi di attacco e sfruttamento della propria rete al fine di identificare eventuali debolezze e vulnerabilita: tali operazioni sono note come penetration testing e possono avere come obiettivo la propria rete o una rete amica/alleata. La Computer Network Defense, quindi, puo essere anche definita come linsieme delle misure volte a neutralizzare i tentativi di CNA e CNE, ovvero quelle attivita finalizzate alla ricerca, lattenuazione e la prevenzione delle vulnerabilita cibernetiche delle reti. E utile a questo punto chiarire una sostanziale differenza tra CND e cyber security, dal momento che le due cose sembrano avere la stessa finalita, ed in effetti esse differiscono nel seguente punto: mentre la cyber security mira alla definizione di strategie di difesa nel caso di attacchi esterni alle proprie risorse, la CND comprende la ricerca delle proprie vulnerabilita. Per spiegare con un esempio questa differenza, potremmo pensare ad una citta che debba difendere le strutture al suo interno: mentre la cyber security entrerebbe in gioco in caso di attacchi esterni, la CND non aspetterebbe il verificarsi di attacchi volti a rilevare eventuali vulnerabilita, ma ricercherebbe essa stessa tali vulnerabilita e le correggerebbe. La storia della cyber intelligence e, piu nello specifico, delle CNO, puo difficilmente essere riferita ad un momento specifico del passato, sebbene ci siano stati degli accadimenti che hanno fortemente condizionato le iniziative militari di tutte le nazioni per la difesa delle proprie risorse. Ad esempio, quando nel 2008 la Russia sferro un attacco militare contro la Georgia, il governo georgiano fu anche oggetto di un altro tipo di attacco:
27
25
Author:
lattacco digitale. Su un sito temporaneo ospitato dal servizio di hosting di Goggles blog, infatti, il Ministro degli Esteri georgiano affermo Una campagna di cyber warfare da parte della Russia sta seriamente danneggiando molti siti georgiani, incluso quello del Ministero degli Esteri. Come e facile immaginare, la Russia nego di aver mai orchestrato questi attacchi, ma cio ovviamente assume scarsa importanza rispetto alle implicazioni: la cyber warfare era stata utilizzata in congiunzione con un attacco militare tradizionale. I Computer Network Attacks hanno anche il potere di causare danni molto seri direttamente collegabili agli attacchi stessi. Cio accadde, ad esempio, quando nel 2007 lEstonia, paese membro sia della NATO che della Unione Europea (European Union, EU), fu fatta oggetto di "uninvasione digitale" di dimensioni enormi: laccesso ad internet dellintera nazione fu compromesso. Siti di informazione, banche e comunicazioni governative furono resi irraggiungibili a causa di un attacco tramite una botnet, cioe di una rete di computer che, consapevolmente o meno, erano stati organizzati in un insieme distribuito di attaccanti. Sebbene le botnet non siano assolutamente una novita dal momento che altri episodi di attacco attraverso botnet si erano gia verificati, questo accadimento assunse un connotato di maggiore rilevanza in quanto fu il primo caso in cui una singola nazione fu scelta come obiettivo di questi attacchi. Il punto cruciale e che lEstonia fu resa incapace di utilizzare internet non solo allinterno della propria nazione , ma anche verso il mondo esterno, compromettendo contemporaneamente la possibilita di comunicare allesterno cosa stesse accadendo. E utile a questo punto analizzare il contesto in cui tale episodio si e verificato, in quanto cio fornisce una misura precisa di come la minaccia cibernetica debba essere affrontata con la consapevolezza che non sempre sara chiaro chi sia l'avversario e, ancora piu, se esso sia un altro stato o piu stati insieme, o NSA Non State Actors, o aziende private, o semplici individui organizzati in gruppi attaccanti. Per capire le ragioni dell "attacco digitale allEstonia" occorre ricostruire lo scenario storico in cui si verifico. Il 27 Aprile 2007 il governo estone aveva finalmente deciso di rimuovere la statua di bronzo sovietica nella citta di Tallin, sua capitale, costruita per commemorare i soldati caduti alla fine del secondo conflitto mondiale. Per molti cittadini estoni la statua rappresentava un simbolo delloppressione da cui si erano liberati 16 anni prima ottene ndo lindipendenza. Il governo russo, di contro, ammoni lEstonia circa la rimozione della statua, ma questa fu comunque rimossa e spostata in un cimitero militare. Sembrerebbe quindi chiaro, a questo punto, quale fu la risposta del governo russo.
CNO_20121107_1304.doc
26
Author:
Eppure non ando esattamente cosi. Dopo la rimozione della statua, centinaia di messaggi pervenirono alla bacheca elettronica russa invocando una qualche reazione. Coloro che concordavano con questa linea, semplicemente copiarono delle righe di codice informatico da siti di hackers. Il risultato fu il coinvolgimento di cittadini russi consapevoli e molti altri cittadini inconsapevoli in altri stati del mondo (attraverso le botnet), con attacchi mirati a sovraccaricare di richieste e rallentare il traffico della rete internet in Estonia; gli hackers piu organizzati attaccarono specifici siti internet, rimpiazzando i contenuti originali con altri da essi inseriti. Lattacco coordinato fu mosso il 9 Maggio. Alle 10 dell8 Maggio il traffico internet in Estonia era regolare, fatto salvo per alcune avvisaglie di attacchi nei due giorni precedenti. Alle 23 (mezzanotte in Russia) il traffico dati verso lEstonia era gia aumentato di un fattore di 200, e circa un milione di computer stava effettuando laccesso ai siti estoni. Fortunatamente per lEstonia, quattro dei piu esperti in cyber defense del quartier generale del Computer Emergency Response Team (CERT) alla Carnegie Mellon University erano in attesa dellattacco. Grazie alle loro capacita, essi riuscirono a di rottare parte del traffico prima che esso raggiungesse la rete internet estone e, dopo due settimane di attacchi continui, tutto si concluse. Il governo russo nego ogni coinvolgimento e, a tutti gli effetti, non si puo dire che lattacco sia partito dagl i Stati Maggiori russi, sebbene il coinvolgimento di qualche membro del governo sembrerebbe probabile. Il punto e che non ha grossa importanza chi abbia davvero architettato lattacco, quanto il fatto che sia davvero possibile e neanche troppo complesso effettuare cyber attacks compromettendo unintera nazione.
I passati episodi di cybercrime hanno inoltre contribuito a sensibilizzare governi ed aziende private circa la necessita di proteggersi dai cyber attacks. Un caso in tal senso e rappresentato dallattacco della Contea Marocchina nel Queensland, in Australia. In questo caso tale Vitek Boden, ex impiegato della Hunter Watertech, azienda australiana che si occupava di installare sistemi SCADA per il controllo delle acque di scarico per la contea marocchina, decise di vendicarsi del licenziamento subito, a suo giudizio ingiusto. Boden, infatti, grazie alle sue capacita ed alle informazioni ottenute nel periodo in cui lavorava per la contea, effettuo diversi attacchi ai computer che controllavano il flusso e le valvole di scarico della contea marocchina in Australia. Tali attacchi causarono la fuoriuscita di circa 800.000 litri di acque di scarico nei fiumi, nei parchi e nelle proprieta dellarea circostante.
CNO_20121107_1304.doc
27
Author:
Dopo tali accadimenti, lingegnere civile responsabile dei sistemi di scarico della contea marocchina del Queensland pubblico una serie di raccomandazioni, tra le quali: Le comunicazioni radio comunemente usate nei sistemi SCADA sono solitamente insicure o impropriamente configurate; I dispositivi ed il software SCADA dovrebbe prevedere controlli sia logici che fisici per assicurare la sicurezza e validare lidentita di chi li utilizza; I sistemi SCADA devono memorizzare tutti gli accessi, specialmente quelli che riguardano la connessione a e da siti remoti. Cio fornisce un chiaro esempio delle conoscenze necessarie per garantire una corretta protezione in materia di cyber security. Ad oggi, le tipologie di minacce cibernetiche sono notevolmente aumentate e possiedono capacita ed implicazioni molto maggiori e piu complesse rispetto ai suddetti esempi28.
2.3 Classificazione delle CNO

Come ampiamente osservato, le CNO sono operazioni che prevedono lutilizzo di sistemi informatici per attaccare e sfruttare le informazioni, i processi e le reti di computer avversarie; in particolare, cio che caratterizza le CNO rispetto ad altre metodologie e il mezzo attraverso il quale esse operano, ovvero hardware e software. In definitiva, le CNO sono operazioni con uso di sistemi informatici per condurre operazioni militari (o pseudo tali), che hanno effetti paragonabili a quelle sul campo di battaglia. Dal momento che il successo delle CNO dipende dallintelligence e dalla preparazione rispetto a ciascuna situazione specifica, in una fase preliminare alle operazioni e utile usare metodi di preparazione, come lIntelligence Preparation of the Battlefield (IPB). Affinche le CNO siano efficaci, nella fase preparatoria occorre: Effettuare una ricognizione della rete obiettivo; Mappare gli attributi come sistema operativo, architettura e specifiche versioni di servizi, mantenendosi in ascolto per sfruttare eventuali vulnerabilita note; Acquisire lobiettivo identificando e selezionando i sistemi chiave; Effettuare una lista prioritaria dei punti di ingresso potenziali.
28
B. Lockridge, Reggie Barnett, Cyber Defense, 11 th Annual Freshman Conference, University of Pittsburgh.
CNO_20121107_1304.doc
28
Author:
2.3.1 CNA (Computer Network Attack) I CNA sono progettati per negare, interrompere, degradare o distruggere sia le informazioni presenti nei computer che le reti di computer stesse; solitamente i CNA mirano ad intaccare la confidenzialita, la disponibilita e lintegrita delle informazioni. Negazione lo scopo di questa tipologia di attacchi la negazione dellaccesso alle informazioni. Una delle tecniche piu comuni e il cosiddetto attacco DOS (Denial of Service), che ha come obiettivo linterruzione della disponibilita delle informazioni ad utenti autorizzati per un determinato intervallo temporale. Interruzione si basa sul principio che: gli attaccanti potrebbero riprogrammare in maniera surrettizia i computer nemici per interrompere i processi che controllano29. Alcuni esempi tipici in questa categoria di attacchi sono la forzata interruzione dellenergia elettrica in una data area attraverso la riprogrammazione dei computer che controllano la distribuzione dellenergia stessa. Un generico attacco di interruzione introduce disordine ed inibisce leffettivo utilizzo delle informazioni nei sistemi informatici oggetto dellattacco. Degrado Questa tipologia di attacchi mira alla riduzione delle capacita di elaborazione dati (throughput) dei sistemi informatici, ottenuta obbligando lavversario ad usare comunicazione e mezzi di elaborazione meno efficienti, rallentando i suoi cicli logistici e decisionali. Un attacco di degrado introduce, in effetti, una certa latenza allinterno di un sistema, ad esempio attraverso la canalizzazione delle informazioni su sistemi meno sicuri e/o meno veloci. Distruzione Come il nome stesso suggerisce, tali attacchi sono i piu potenti fra i CNA. Un tipico CNA di tipo distruzione puo prevedere lutilizzo di virus e/o altro codice malevole per la distruzione di una rete di computer e le sue risorse software ed hardware.
29
William J. Bayles, The Ethics of Computer Network Attack, Settembre 2003.
CNO_20121107_1304.doc
29
Author:
2.3.2 CNE (Computer Network Exploitation) I CNE consistono nella collezione delle operazioni di intelligence finalizzate all ottenimento di dati dai sistemi informativi automatici (Automated Information Systems, AID) o dalle reti avversarie. Lottenimento e la manipolazione delle informazioni sono asserviti allaccrescimento del potere informativo, proprio o dei propri alleati, circa il campo di battaglia, minando al contempo quello del nemico. Gli obiettivo delle CNE sono comando, controllo, comunicazioni, computer, intelligence, sorveglianza e ricognizione (C4ISR); in particolare, lo scopo e lInformazione, mentre il mezzo e lo sfruttamento del mezzo trasmissivo. Le CNE consistono quindi nellatto deliberato di infiltrarsi allinterno di un sistema informativo avversario allo scopo di minarne le capacita di decision making ed incrementando quelle di intelligence proprie e dei propri alleati. Le CNE permettono da un lato di estrarre le informazioni di intelligence dalle reti nemiche grazie alle quali e possibile migliorare le proprie capacita presenti e future, dallaltro lato esse permettono anche di iniettare informazioni opportunamente adattate allo scopo di degradare le abilita nemiche di corretta osservazione e analisi della scena di battaglia: Estrazione consiste nel catturare flussi di dati in transito su una rete o ottenere laccesso a file memorizzati nei sistemi nemici; a tal fine e indispensabile riuscire ad accedere ai collegamenti ed i nodi della rete obiettivo. Le CNE di tipo estrazione sono tecniche passive (di ascolto), in quanto mirano ad ottenere conoscenze ed intelligence in possesso del nemico attraverso losservazione delle informazioni memorizzate nei computer avversari; in una fase successiva, tali informazioni possono essere usate per iniettare nuove informazioni. Iniezione implica linserimento di flussi di dati o file attraverso la manipolazi one delle informazioni avversarie. Le CNE di tipo inezione sono tecniche attive (di_modifica), dal momento che una dalle finalita di tale operazione puo essere la distorsione della percezione nemica del campo di battaglia. Lattacco ad una rete puo avvenire sia nella spazio fisico che nel cyberspazio: nel primo caso, vengono utilizzate risorse hardware o software atte alla raccolta e memorizzazione di informazioni, nel secondo caso invece si ottiene laccesso non autorizzato alla rete dallesterno, o dall'interno.
CNO_20121107_1304.doc
30
Author:
2.4 Il dilemma strategico

In un estremo tentativo di sintesi di quanto finora osservato, si puo affermare che la difficolta maggiore dei paesi NATO allo stato attuale ed in tale contesto consiste nella capacita di sfruttare le proprie capacit di CNO nellambito militare e, al tempo stesso, proteggere il sistema informativo globale. Spinte dagli Stati Uniti, le nazioni NATO stanno sviluppando dottrine e capacita finalizzate allo sfruttamento del cyberspace a scopi militari, con particolare attenzione alle CNO nella pianificazione militare. Al contempo, queste nazioni sono molto attente al sistema informativo interconnesso della societa post-industriale, allo scopo di mitigare i rischi risultanti, sia con azioni unilaterali che congiunte. Il dilemma, quindi, consiste nel tentativo contemporaneo di sfruttamento e limitazione delle CNO; tale paradosso puo essere affrontato da almeno due punti di vista differenti. Il primo prevede la identificazione delle fonti di rischio connesso alle CNO con il crimine organizzato, il vandalismo elettronico, lo spionaggio industriale ed il terrorismo. In tale contesto, le nazioni sono fortemente interessate a trovare in maniera coordinata una strategia internazionale capace di assicurare fedelta e sopravvivenza delle reti informative; in tal senso, questo e chiaramente un gioco non a somma zero. Il secondo punto di vista e diametralmente opposto e identifica, infatti, le CNO come un problema a somma zero. IO e CNO sono percepite come strumenti di coercizione strategica; sebbene sarebbe poco realistico tentare di controllare le CNE come strumenti di ottenimento di intelligence, i CNA che effettivamente intaccano la condifenzialita, lintegrita o la disponibilita dei sistemi informativi potrebbero in linea te orica essere considerati sistemi darma e riportati, di conseguenza, al controllo delle armi o alle leggi del conflitto armato. Il contrasto tra questi due differenti approcci trova riscontro, ad esempio, nel dibattito che la Russia sta effettuando circa la necessit di approcci di controllo delle armi per le IO e le CNO.
CNO_20121107_1304.doc
31
Author:
Nella bozza di risoluzione UNGA 53/70 la Russia invita gli stati membri delle Nazioni Unite a promuovere in maniera multilaterale le considerazioni dei rischi esistenti e potenziali connessi al campo della information security e auspica progressi nello sviluppo di principi internazionali per incrementare la sicurezza dei sistemi informativo e di telecomunicazioni e per contribuire a combattere la criminalitaed il terrorismo informativo30 .
30
Russia, Developments in the field of information and telecommunications in the context of information security, bozza di risoluzione 53/70, Assemblea Generale delle Nazioni Unite CNO_20121107_1304.doc
32
Author:
Approcci dei principali paesi Europei
Pur in uno sforzo sempre crescente di sviluppare proprie capacita di intelligence in materia di CNO, le nazioni europee continuano ad oggi a dover fare riferimento agli Stati Uniti. Lesercito statunitense, infatti, fu la prima Forza delle Forze Armate USA a pubblicare una dottrina sulle IO gia nel 199631. Nella successiva pubblicazione US Joint_Publication 3-1332, lInformation Superiority (IS) veniva vista come pietra ango lare della dottrina statunitense del 21-esimo secolo e definita come la capacita di raccogliere, processare e disseminare un flusso ininterrotto di informazioni nello sfruttamento o la negazione delle capacita avversarie di fare lo stesso, allinterno di questo framework, la JP3-13 fu improntata alla definizione dellimportanza di un uso integrato delle IO in tutti gli aspetti delle operazioni militari33. IncentivatI dalle iniziative americane, gli stati europei hanno iniziato a vedere le CNO come una componente fondamentale delle loro operazioni militari, sebbene forti differenze nelle definizioni e nelle limitate risorse da investire abbiano portato ad una integrazione graduale e poco ordinata34.
31
LTC Garry J. Beavers and LTC Stephen W. Shanahan, Operationalizing IO in Bosnia Herzegovina, Military Review, Vol. LXXVII n. 6 dicembre 1997 32 JP 3-13, Information Operations, 13 February 2006 http://www.dtic.mil/doctrine/new_pubs/jp3_13.pdf (ultima visita 2012 Nov 06) 33 Dipartimento della Difesa, Joint Doctrine for Information Operations, Stato Maggiore degli Stati Uniti, Washington D.C., 9 Ottobre 1998. 34 Dr. Andrew Rathmell, Strategic and Organisational Implications for Euro-Atlantic Security of Information Operations, Final Reporto of NATO Individual Fellowship, 2001. CNO_20121107_1304.doc
33
Author:
Nella Strategic Defense Review (SDR) dellInghilterra, 1997, le IO e le CNO venivano definite come attivita militarI di importanza crescente35, riconoscendo come la digitalizzazione potesse portare dei vantaggi, sebbene cio avrebbe creato una maggiore dipendenza da CNA. Dopo una breve sperimentazione delle proprie capacita di CNO nella campagna del Kosovo, il Ministero della Difesa britannico osservo: le nostre capacita di condurre IO devono essere ulteriormente sviluppate36. In una bozza dottrinale del 2001 il Joint Doctrine and Concepts Centre britannico definisce le IO come la componente militare per influenzare la percezione nemica e sottolinea la necessita di campagne di IO integrate coordinate di governi. La Francia ha sempre affiancato la Gran Bretagna nello sviluppo di capacita di CNO, sebbene non vi siano stati annunci pubblici sullo sviluppo di una dottrina ufficiale del governo francese in materia di CNO. Cio nonostante, due centri di ricerca appaiono essere i nodi centrali francesi in materia di IO: il CELAR (Centre d'Electronique de lArmement37), specializzato negli studi di teniche di IW e la Ecole de Guerre Economique38, interessati ad applicazioni di IO e CNO che comprendono vulnerabilita elettroniche, psychological warfare e information security. Lopinione della Germania sullimportanza delle CNO nel warfare moderno fu originariamente cristallizzata in una bozza dal titolo First Position of the German MoD on InfoOps. Successivamente, altri contributi sottolineavano limportanza di sviluppare capacita di manipolazione, interruzione, compromissione, ecc delle informazione e dei sistemi informativi avversari39.
35 36
Ministero della Difesa, Strategic Defense Review, The Stationary Office, 1998. Ministero della Difesa, Kosovo, Lessons from the Crisis, The Stationary Office, 2000. http://www.publications.parliament.uk/pa/cm199900/cmselect/cmdfence/347/34718.htm#a53 (ultima visita 2012 Nov 06) 37 http://www.hyper-rf.com/Hyperfrequences/Entreprises/technopoles/Le-Celar.html (ultima visita 2012 Nov 06) 38 http://www.ege.fr/ (ultima visita 2012 Nov 06) 39 Susanne Jantsch, Comparative Approaches to Critical Infrastructure Protection German Approach, 22nd National Information Systems Security Conference, Ottobre 1999, Washington D.C. CNO_20121107_1304.doc
34
Author:
3.1 La situazione attuale
Albania Il Ministro della Difesa albanese nel 2010 ha istituito lInterinstitutional Maritime Operational Center (IMOC), responsabile di emergenze civili, controllo aerospaziale e sviluppo delle capacita di cyberdefence. Il governo albanese vede i cyber attacks come una minaccia emergente ma, ad oggi, non e stata ancora identificata una strategia di cyber warfare nazionale. Il 13 Giugno 2011 lagenzia statunitense per lo sviluppo internazionale ha lanciato lAlbanian Cyber-Security Program, uniniziativa volta a migliorare le capacita di previsione e contromisura agli incidenti nel cyberspazio 40.
Austria Il Ministero della Difesa austriaco nel White Book del 2008 pone la cybersecurity tra i punti chiave della propria strategia difensiva; nello stesso documento vengono presentati piani di ristrutturazione degli uffici di gabinetto per listituzione di un comparto cibernetico. Recentemente, allinterno del documento Shaping Security in a New Decade del marzo 2011, vengono affrontate le minacce odierne, cybersecurity inclusa: una organizzazione di intelligence militare austriaca, lAbwehramt, si occupa principalmente di electronic defence e malware protection41.
40
USAID launches the Albanian cyber-security program, United States Agency for International Development, 13 Giugno 2011. 41 Benjamin S. Buckland, Fred Schreier e Theodor H. Winkler, Democratic Governance and the Challenges of Cyber Security, DCAF Horizon 2151 Working Paper 1, Geneva Centre for the Democratic Control of Armed Forces. http://genevasecurityforum.org/files/DCAF-GSF-cyber-Paper.pdf (ultima visita 2012 Nov 06) CNO_20121107_1304.doc
35
Author:
Danimarca La dottrina militare danese identifica il cyberspace come campo di battaglia militare ma non fornisce dettagli sulle concrete capacita tecniche ed operative. La strategia difensiva danese essenzialmente difensiva e focalizzata sulla protezione dei sistemi informatici militari da intrusioni o interruzioni, senza fornire un approfondimento esplicito pubblico sullo sviluppo di capacita offensive o meccanismi di contromisura. Nel Danish Defence Agreement 2010-2014 viene evidenziata la necessita di istituire una unita per le CNO; la Danish Defence Commission ha raccomandato lo sviluppo delle capacita in materia CNO per la protezione delle risorse tecnologiche informatiche delle Forze Armate dai cyber attacks. Va sottolineato, inoltre, che lesercito danese possiede la terza azienda di Electronic Warfare, i cui scopi sono linterruzione o lintrusione nei sistemi di comunicazioni nemici. La Danimarca, infine, partecipera alla Nordic Resource Network, volta al miglioramento delle strategie di cyberdefence42. Estonia Lincidente del 2007, documentato nei paragrafi precedenti, ha catalizzato le attenzioni del governo estone sulle politiche e le capacita di cyberdefence. Dopo lincidente, infatti, fu istituito il Cyber Security Strategy Committee, presieduto dal Ministro della Difesa in collaborazione con il Ministero degli Esteri, degli Interni, dellEducazione e della Ricerca, della Giustizia e dellEconomia. Lobiettivo primario della strategia consiste nella riduzione delle vulnerabilita nel cyberspace, nella prevenzione dei cyberattacks e nel recupero immediato delle infrastrutture critiche in caso di attacchi. A tal fine, sono stati identificati i seguenti scopi strategici: stabilire un sistema multi-livello di misure per la sicurezza, ampliare lesperienza nella information security, istituire riforme legislative e f avorire la cooperazione internazionale; il raggiungimento di tali obiettivi deve avvenire anche attraverso la NATO, di cui lEstonia e paese membro, in particolare attraverso il NATO Cooperative Cyber Defence Centre of Excellence43, istituito proprio a Tallin nel 2008 per promuovere la collaborazione degli stati, lo scambio di informazioni e la ricerca nel campo della cyber security.
42
Denmark Country Report, European Network and Information Security Agency, 2011. http://www.enisa.europa.eu/activities/stakeholder-relations/files/country-reports/Denmark.pdf (ultima visita 2012 Nov 06) 43 http://www.ccdcoe.org/ (ultima visita 2012 Nov 06) CNO_20121107_1304.doc
36
Author:
LEstonia, infine, ha creato anche un Dipartimento di Protezione delle Infrastruttur e Critiche, che conduce valutazioni di rischio, raccoglie informazioni sulle infrastrutture critiche e propone misure difensive per contrastare i cyberthreats (minacce cibernetiche) 44. Francia Nel White Paper on Defence and National Security del 2008, il Ministero della Difesa identifico la minaccia di attacchi cibernetici su larga scala contro le infrastrutture critiche come un fattore di fondamentale importanza per la sicurezza nazionale, tale da rendere necessarie nuove strategie di cyberdefence. Nello stesso documento, il cyberspace e definito come unarea in cui la sovranita francese deve essere espressa nella sua massima forma, attraverso una strategia allo stesso tempo difensiva ed offensiva. La massima autorita per la cyberdefence in Francia e la National Agency for the Security of Information Systems, la cui missione include il rilevamento e la reazione ai cyberattacks, la prevenzione delle minacce cibernetiche con supporto alla ricerca ed allo sviluppo e linterazione informativa con il governo e le infrastrutture critiche. Le diverse forze armate francesi possiedono reparti di electronic warfare, mentre le strategie offensive sono in carico ai servizi di intelligence. Nel Febbraio 2011, la Network and Information Security agency ha rilasciato la dottrina ufficiale cibernetica francese, nella quale vengono identificati quattro obiettivi nel cyberspace: diventare un potere globale nella cyberdefence, garantire la sovranita informativa e la liberta decisionale, assicurare le infrastrutture critic he e mantenere la privacy nel cyberspace45. Germania Di recente la Germania ha definito una nuova strategia in materia di cybersecurity pianificando la creazione di due nuove organizzazione per contrastare i cyberthreats; il governo tedesco, infatti, istituira un centro nazionale di cyberdefence supervisionato dal Ministero degli Interni. Questo nuovo centro raccogliera informazioni da diverse agenzie
44
Estonia Country Report, European Network and Information Security Agency, 2011. http://www.enisa.europa.eu/activities/stakeholder-relations/files/country-reports/Estonia.pdf (ultima visita 2012 Nov 06) 45 Dfense et scurit des systmes dinformations: Stratgie de la France, National Network and Information Security Agency, 2011. CNO_20121107_1304.doc
37
Author:
governative, incluse polizia federale e agenzia di intelligence per gli esteri; non manchera, inoltre, il contributo dellindustria. La nuova dottrina tedesca prevede: la protezione delle infrastrutture critiche; la messa in sicurezza dei sistemi informatici; la costituzione del National Cyber Response Centre e del National Cyber Security Council; il rafforzamento degli aspetti legislativi; la promozione delimpegno internazionale; la garanzia di protocolli di information technology affidabili e sicuri; laddestramento di una forza di cyber war46.
Il National Cyberdefense Centre e il principale referente per le strategie di cyber security tedesche; esso fara rapporto al Federal Office e non sara dotato di capacita offensive. La struttura sara inizialmente composta da sei impiegati dellagenzia di sicurezza tedesca BSI e due dal German Office for the Protection of the Constitution (lagenzia di intelligence interna) ed, infine, dal Federal Office of Civil Protection and Disaster Assistance (BBK); a questi, nel prossimo futuro, si aggiungeranno altre risorse provenienti dalla Federal Police, il Federal Office of Criminal Investigation, la Bundesnachrichtendienst (il Servizio Informazioni Federale), Bundeswehr (le Forze Armate della Germania) ed il Customs Criminal Investigation Office (ZKA). Il National Cybersecurity Council sara responsabile del coordinamento delle tecniche di difesa e delle politiche cibernetiche; nel suo staff saranno presenti rappresentanze militari. Ad oggi, le unita military e le agenzie di intelligence tedesche possiedano gia al loro interno delle componenti che si occupano di cyber warfare. Lagenzia di sicurezza tedesca BSI sta investendo fortemente sulla ricerca e lo sviluppo delle capacita nel cyberspace. Il Department of Information and CNOs, allinterno dellUnita di Ricognizione Strategica del Bundeswehr, e guidato da un Generale di Brigata dellAeronautica, con un personale di 76 militari del dipartimento informatico del Bundeswehr e sviluppera le capacita sia offensive che difensive47.
46 47
Cyber Security Strategy for Germany, Ministero Federale Tedesco degli Interni, 2011. . John Goetz, Marcel Rosenbach e Alexander Szandar, National defense in cyberspace, Der Spiegel, 11 Febbraio 2009.
CNO_20121107_1304.doc
38
Author:
Italia LItalia e in piena fase di formulazione delle sue strategie cibernetiche e di miglioramento delle sue capacita di difesa. Le diverse forze armate includono unita di electronic warfare responsabile in materia di intelligence, sorveglianza, acquisizione del target e ricognizione48. Inoltre, la sezione Telematica dellArma dei Carabinieri e preposta alla lotta contro il cyber crime ed il terrorismo49. Infine, tra gli altri attori dello scenario italiano del cyberspace ci sono il Centro di Innovazione della Difesa e la Divisione di Information Security del Ministero della Difesa. Il DIS, lAISE e lAISI si stanno organizzando per rispondere alle nuove esigenze territoriali ed ai riferimenti normativi emergenti a partire dalla L.133/2008 e successive emanazioni in tema di cybersecurity.
Regno Unito Come espresso nel documento del 2009 Cyber Security Strategy of the United Kingdom, lapproccio britannico si prefigge tre scopi primari: la riduzione dei rischi, le opportunita di exploiting ed il miglioramento delle strategie di risposta agli incidenti cibernetici. La riduzione dei rischi nel cyberspace implica la riduzione delle vulnerabilita e la mitigazione dellimpatto degli incidenti cibernetici. Il Regno Unito si dotera di risorse di intelligence, promuovera politiche governative e prendera parte in maniera attiva contro gli avversari. Infine, il miglioramento delle strategie di risposta comportera laccrescimento delle capacita e della consapevolezza, lo sviluppo di dottrine e politiche mirate, il progresso delle strutture di governante e deicision-making ed il potenziamento delle capacita tecniche ed umane50.
48 49
Chapter Four: Europe, The Military Balance, vol. 111 2011 Italy Country Report, European Network and Information Security Agency, 2011. http://www.enisa.europa.eu/activities/stakeholder-relations/files/country-reports/Italy.pdf (ultima visita 2012 Nov 06) 50 Cyber Security Strategy of the United Kingdom, UK Office of Cyber Security, 2009. CNO_20121107_1304.doc
39
Author:
Come sottolineato dal National Security Strategy del 2010, gli attacchi ostili nel cyberspace britannico da parte di altri stati, ed il cyber crime su larga scala, devono essere considerati tra le massime priorita per la sicurezza nazionale: per i quattro anni dal 2009 al 2013, infatti, il Regno Unito ha stanziato 650 milioni di sterline per le suddette iniziative51. Il Cyber Security Operations Centre inglese e responsabile dello sviluppo delle capacita offensive e difensive; tra i suoi compiti principali vi e il monitoraggio dello sviluppo e dello stato di salute dei sistemi informatici governativi, lanalisi dei trend ed il miglioramento delle capacita di cyberdefence. Il centro e operativo dal 2011 e, nel suo pri mo anno di attivita, e stato finanziato dal Quartier Generale delle Comunicazioni, dal Consiglio dei Ministri, da agenzie di sicurezza e dalle forze dellordine52. A coordinare le politiche governative e le strategie con lUfficio di Presidenza del Consig lio dei Ministri e invece lOffice for Cyber Security and Information Assurance, che si occupa essenzialmente di supportare leducazione e la consapevolezza in materia di cyber security e promuovere la cooperazione internazionale; il Regno Unito ha pianificato di investire 1.06 miliardi di sterline in quattro anni per la cyber security53.
51 52
A Strong Britain in an Age of Uncertainty: The National Security Strategy, UK Prime Ministers Office, 2010. UK House of Lords, vol. 714, part n. 134, 11 Novembre 2009. http://www.publications.parliament.uk/pa/ld200809/ldhansrd/text/91111w0004.htm (ultima visita 2012 Nov 06) 53 Eleanor Keymer, UK recruits cyber experts to protec t key networks, Janes Defence Weekly, 6 Febbraio 2011. CNO_20121107_1304.doc
40
Author:
Implicazioni Giuridiche
4.1 Terminologia nella legislazione internazionale

In accordo alla definizione presente nel Dictionary of Military Terms54, i CNA sono azioni intraprese con utilizzo di reti di computer al fine di interrompere, negare, degradare o distruggere le informazioni residenti allinterno di computer o reti di computer , o i computer e le reti stesse. La NATO mutua questa definizione allinterno del Glossary of Terms, aggiungendo pero che i CNA rientrano nelle tipologie di cyber attack55; purtroppo, il glossario non contiene affatto una definizione di cyber attack. Da un punto di vista non legislativo, con il termine CNA vengono identificate le operazioni di CND, CNE, ed altre attivita nel cyberspace. In ambito legale, di contro, il termine attack ha due accezioni specifiche allinterno di due diversi ambiti legali governativi in scenari di crisi o conflitti. In entrambi i casi, il termine attack rappresenta il limite che divide la legalita di specifiche operazioni cibernetiche ed, in alcuni casi, la legalita delle strategie di risposta ad esse. Nel seguito si tentera di approfondire le due differenti prospet tive, quella legale e quella non legale, al fine di giungere ad un compromesso sulla terminologia: sebbene le due categorie parlino lingue diverse, entrambe troveranno giovamento nellessere bilingui 56.
54
Dictionary of Military and Associated Terms, Dipartimento della Difesa degli Stati Uniti, 8 Novembre 2010. http://www.dtic.mil/doctrine/new_pubs/jp1_02.pdf (ultima visita 2012 Nov 06) 55 NATO Glossary of Terms and Definitions, NATO Standardization Agency, 2010 56 th Michael N. Schmitt, Attack as a Term of Art in International Law: The Cyber Operations Context, 4 International Conference on Cyber Conflict, NATO CCD COE Publications, 2012.
CNO_20121107_1304.doc
41
Author:
Infine, anche se non oggetto di questa ricerca riteniamo utile evidenziare che nello scenario internazionale si stanno affermando altri due nuovi profili che rientrano nel contesto della cyber diplomacy ovvero il profilo del cyber ambassador e cyber evangelist. Il primo similmente allambasciatore di uno Stato in una dimensione extraterritoriale svolge funzioni di rappresentanza e di diplomazia internazionale, mentre il secondo in analogia ai passi biblici ed in contrasto alle figure dellhacker e del cracker svolge la funzione di evangelizzatore nel contesto cyber.
4.2 Larchitettura legislativa

Nella legislazione internazionale governativa i conflitti sono trattati in due differenti corpi legislativi: lo jus ad bellum e lo jus in bello: il primo contempla i casi in cui gli Stati, come strumento della propria politica nazionale, possono fare ricorso alla forza; in particolare, definisce il principio generale di proibizione delluso della forza da parte degli Stati e le eccezioni ad esso, ad esempio per il diritto di autodifesa o in caso di mandato del Security Council delle Nazioni Unite. Lo jus in bello, al contrario, attiene alle modalita con cui gli Stati e le loro forze armate possono fare ricorso alla forza e verso chi e cosa57. Le norme di jus in bello, anche dette leggi del conflitto armato o leggi u manitarie internazionali, trovano applicazione in situazioni di conflitto armato indipendentemente dal fatto che il Paese abbia adito alla forza in conformita allo jus ad bellum. I due corpi legislativi sono motivati da obiettivi e scopi profondamente diversi. Lo jus ad bellum mira al mantenimento di relazioni pacifiche allinterno della comunita internazionale attraverso la definizione di criteri stringenti in termini di diplomazia, sanzioni economiche e contromisure. Va sottolineato in particolare il diritto di azione in caso di autodifesa da attacco armato (armed attack) o difesa in aiuto di un altro Stato (collective self defence). Al contrario, le leggi umanitarie internazionali mirano a minimizzare i danni nel caso in cui un conflitto armato sia o superfluo per il raggiungimento effettivo di legittimi scopi militari o eccessivo in relazione ad essi, stabilendo limiti legislativi alla condotta degli attacchi. Non deve quindi sorprendere che al termine attack vengano associati differenti obiettiv i e scopi, sulla base del corpo legislativo di riferimento. Nellarticolo 51 dello jus ad bellum
57
U.N. Charter, articoli 2(4), 42 & 51.
CNO_20121107_1304.doc
42
Author:
dello United Nations Charter viene stabilito il diritto imprescindibile di ciascun individuo o gruppo di individui allautodifesa in caso di attacco armato ad un paese membro della Nazioni Unite, fino a che il Security Council non abbia posto in essere le misure necessarie a mantenere la pace e la sicurezza delle nazioni. Cio costituisce a tutti gli effetti uneccezione allarticolo 2(4), che invita tutti gli stati membri ad astenersi dalluso della forza contro lintegrita territoriale o lindipendenza politica di u na nazione, o a qualsiasi azione che contrasti con gli scopi delle Nazioni Unite. In un tentativo di sintesi dei suddetti due articoli, decisamente contrastanti ed apparentemente inconciliabili, uno stato e autorizzato alluso della forza, senza violare i principi espressi dallarticolo 2(4), se e solo se esso e vittima di un attacco armato, come sancito dallarticolo 51; il meccanismo di autodifesa non prevede unautorizzazione ex-ante del Security Council. Lequivoco fondamentale sulla legislazione in materia di cyberwarfare viene alimentato poi dalla non univocita di interpretazione del termine attacco armato, che puo rientrare o meno nei termini di legalita sanciti dai corpi legislativi a seconda dello status dellobiettivo dellattacco e di come tale attacco sia stato condotto. In particolare, il termine attacco armato puo assumere connotati internazionali quando esso avviene tra nazioni, o non internazionali quando il conflitto coinvolge uno stato ed uno o piu gruppi armati organizzati. Appare quindi evidente che non vi sono restrizioni specifiche allutilizzo di strategie di autodifesa in risposta ad operazioni qualificabili come attacchi armati; ad esempio, le cyber operations devono rispettare il principio di necessita dello jus ad bellum, secondo il quale luso difensivo della forza e giustificato solo nel caso in cui misure meno forti non siano sufficienti; devono inoltre rispettare anche il principio di proporzionalita dello jus ad bellum, che permette solo quel grado di utilizzo della forza per una difesa efficace58. Luso della forza nel cyberspace, infine, deve osservare i requisiti di imminenza ed immediatezza, che limitano rispettivamente le strategie di risposta in attesa e, conseguentemente, successive ad un attacco. Le suddette considerazioni, unitamente ad una corretta interpretazione del significato legale del termine uso della forza, verranno affrontate nel Tallin Manual (o Manual on the International Law Applicable to Cyber Warfare), che si prevede verra pubblicato nel 2013.
58
Military and Paramilitary Activities in and against Nicaragua, 1986, Legality of the Threat or Use of Nuclear Weapons, 1996. CNO_20121107_1304.doc
43
Author:
Il punto cruciale per la comprensione dei casi in cui sia permesso luso della forza e quindi fortemente dipendente dalla interpretazione dellaggettivo armato. La International Court of Justice ha riconosciuto lesistenza di un gap normativo nel Nicaragua Judgement, affermando che vi sono misure che non costituiscono attacco armato ma possono comunque richiedere luso della forza e distinguendo tra forme piu gravi di uso della forza ed altre meno gravi. La stessa Corte cita, a titolo di esempio, la fornitura di armi e di supporto logistico ad un gruppo ribelle in un altro stato come non equivalente ad un attacco armato contro quello stato. Il quadro normativo risultante e il seguente: tutti gli attacchi armati rientrano nei casi di uso della forza, ma non tutte le configurazioni di uso della forza devono essere considerati attacco armato. Di conseguenza, una nazione potrebbe essere costretta a dover fronteggiare cyber operations classificabili come uso della forza ma essere allo stesso tempo non autorizzata a rispondere in quanto le stesse operazioni non siano sufficientemente forti da poter essere considerate attacco armato. In questi casi, la nazione obiettivo dellattacco puo rispondere legalmente, ad esempio con proteste diplomatiche o sanzioni economiche, rispondere con cyber operations che rientrino nelle misure legittime, o ancora rivolgersi al Security Council, legittimato ad intervenire in casi di minacce alla pace o atti di aggressione59. In effetti la definizione di attacco armato rappresentava una soluzione bilanciata per lapprensione generale delle nazioni verso luso unilaterale della forza e la paura di non avere strumenti legislativi di difesa in caso di attacco, fin tanto che le minacce che necessitavano di meccanismi di autodifesa come eccezione allillegittimita delluso della forza erano rappresentate da operazioni militari classiche. Lavvento delle cyber operations ha ovviamente implicato la necessita di ridefinire i limiti di tali definizioni principalmente perch esse appaiono difficilmente riconducibili al termine armato, sebbene gli effetti da esse derivanti siano potenzialmente anche piu distruttivi. Ad oggi, sebbene la comunita internazionale non abbia ancora raggiunto consenso unanime sulla riconcettualizzazione del termine attacco armato nel contesto della cyber warfare, esso pu essere interpretato comprensivo di tutti quegli atti che risultino in conseguenze analoghe a quelle causate da azioni militari classiche originariamente
59
United Nations Charter, art. 39 e 42.
CNO_20121107_1304.doc
44
Author:
previste dal termine attacco armato. In questa definizione assurge a ruolo chiave linterpretazione del termine conseguenze, in relazione a due diversi fattori: le l imitazioni nelluso della forza sancite dallarticolo 2(4) ed il divieto di fare ricorso a forza unilaterale dello United Nations Charter. Il significato classico del termine armato corrisponde a equipaggiato di armi, incluse armi da fuoco o armi preparate ad attivarsi o esplodere. Considerando inoltre laccezione del termine uso della forza dellarticolo 2(4) senza ricorso allaggettivo armato, si puo concludere che possono essere considerate conseguenze di un attacco armato tutte quelle azioni che causano morte o infortunio (incluse malattie o sofferenze serie) ad individui o danneggiamento e distruzione di oggetti. Ma qual e la soglia minima di danno affinch unazione possa essere definita attacco armato? Nel caso del Nicaragua la Corte Internazionale di Giustizia ha tentato di fornire una soluzione in tal senso, definendo ad esempio un mero incidente di frontiera come non sufficientemente grave da essere considerato un attacco armato;
sfortunatamente, il tentativo non sembra aver avuto successo nel senso che non risultano correttamente definiti i criteri di giudizio. In effetti tentare di fornire una definizione quantitativa del termine attacco armato e, a tutti gli effetti, un problema mal posto; e molto piu utile , invece, focalizzarsi sulla natura qualitativa delle conseguenze di unazione ai attacco armato. Le definizioni ad oggi presenti nel quadro normativo internazionale sono certamente non coerenti con la crescente dipendenza della nostra societa dai computer e le reti di computer; fortunatamente, le leggi internazionali non sono statiche e, via via che i governi accresceranno le loro conoscenze sulle Computer Network Operations, la comunita internazionale sara capace di dotarsi di strumenti legislativi piu aggiornati, cio poiche considerati sia gli effetti che i relativi usi le tecnologie internet possono considerasi dei sistemi darma o sistemi ad essi assimilabili.
CNO_20121107_1304.doc
45
Author:
4.3 I cyber attack secondo la Legge Umanitaria Internazionale

Il termine attacco armato allinterno dello jus ad bellum, cosi come analizzato nel precedente paragrafo, viene utilizzato con accezione differente nellambito della Legge Umanitaria Internazionale, seconda la quale al concetto di attacco sono legate una serie di protezioni legali, generalmente connesse al principio di distinzione: tutte le parti coinvolte in un conflitto devono in ogni momento distinguere tra popolazione civile e combattenti e tra obiettivi civili e militari, in accordo alle loro operazioni verso obiettivi militari. Sebbene il principio di distinzione sia espresso in termini di operazioni militari, non tutte le tipologie di operazioni militari vengono prese in considerazione da questa norma. Si pensi, infatti, alle operazioni non distruttive dirette alla popolazione civile, come la distribuzione di volantini o il broadcasting alla popolazione: queste risultano a tutti gli effetti operazioni legittime, purche non vi siano conseguenze fisiche ai loro obiettivi. Va inoltre sottolineato come il principio di distinzione sia inserito nell articolo 48 del Protocollo Aggiuntivo I, cioe prima dellarticolo 49, che definisce gli attacchi. Larticolo 51 e piu descrittivo, in quanto stabilisce che la popolazione civile debba essere protetta dai pericoli derivanti dalle operazioni militari, sen za che questo pero implichi la possibilita di attaccare singoli cittadini o intere popolazioni civili, condurre un attacco che non abbia un obiettivo militare, attuare rappresaglie sulla popolazione civile, lanciare attacchi le cui possibilita di danni collaterali siano eccessive rispetto ai vantaggi militari attesi, trattare piu obiettivi militari come un unico obiettivo quando questi sono chiaramente separati e distinti in una concentrazione di civili, ed infine usare metodi o mezzi di warfare che non siano chiaramente identificabili come legittimi o non o che abbiano effetti non controllabili60.
60
Relating to the Protection of Victims of International Armed Conflicts, articolo 51(4), 8 Giugno 1977
CNO_20121107_1304.doc
46
Author:
Gli articoli successivi attengono invece a proibizioni o restrizione connesse agli attacchi; il piu importante di essi proibisce lattacco di obiettivi civili, stabilendo una serie di precauzioni che devono essere adottate per evitare il danneggiamento della popolazione civile. In sintesi, questi articoli proibiscono la conduzione di attacchi verso obiettivi e popolazione civile ma, in assenza di un criterio definitivo per qualificare una data azione come attacco, la conduzione di operazioni militari che non rientrino nella definizione legale di attacco consentita. Come fare allora ad identificare loccorrenza di un attacco? Larticolo 49 concorre a risolvere questo dilemma, riferendosi ad atti di violenza contro avversari, sia in difesa che in offesa; il concetto chiave in questa frase non e la parola avversari, ma la parola violenza: larticolo 49 regolamenta infatti non solo gli obiettivi militari ma anche quelli civili, identificando come condizione essenziale la presenza di violenza. Daltro canto, il termine violenza allinterno del Protocollo Aggiuntivo I e affrontato in maniera precisa, identificando come atti di violenza tutte quelle azioni che denotano forza fisica.
4.4 Le CNO nel quadro normativo

In relazione alloggetto di questo studio, le CNO, resta ancora da risolvere una questione: le cyber operations non includono necessariamente luso della violenza. In accordo alla Carta delle Nazioni Unite, nel Protocollo Aggiuntivo del 1977 non vi era una specifica menzione alle azioni capaci di causare danno senza luso della violenza. Tuttavia, apparve chiaro da subito come il punto cruciale non fosse la violenza dellatto in se. Circa cinquantanni prima, infatti, lutilizzo di armi chimiche e biologiche era gia considerato un attacco a tutti gli effetti di legge 61, in quanto strumenti capaci di danni significativi. Secondo questa logica, gli atti di violenza sono semplicemente associabili a tutti quegli strumenti il cui uso proprio o improprio causa conseguenze regolamentate dal quadro legislativo.
61
1925 Geneva Protocol for the Prohibition of the Use in War of Asphyxiating, Poisonous or Other Gases, and of Bacteriological Methods of Warfare, 7 Giugno 1925. CNO_20121107_1304.doc
47
Author:
Inoltre, il trattato va interpretato nel suo contesto ed in ragione dei suoi obiettivi: ad unattenta lettura delle proibizioni e delle restrizioni p resenti nel Protocollo Aggiuntivo I, infatti, risulta chiaro che non si considerano atti violenti in se, ma le cui conseguenze sono di natura violenta. Ad esempio, sono proibite tutte le azioni volte a terrorizzare la popolazione civile 62. Il principio di proporzionalita definisce unazione in luce della conseguente perdita di vite civili, ferite ai cittadini, danni ad obiettivi civili o combinazione di questi elementi come conseguenze di un attacco63. Un altro principio fondamentale e la ricerca continua di risparmiare la popolazione civile64 , sia nella scelta delle armi e le tattiche da impiegare, sia nel preferire obiettivi che causino il minor danno alla popolazione civile e nelle operazione aeree o marine65. Le medesime restrizioni si applicano agli obiettivi speciali, come le dighe e le centrali nucleari, proibendo di fatto attacchi che possano causare perdite significative tra la popolazione civile o diffusi, significativi e duraturi danni allambiente naturale, in tal modo pregiudicando la salute o la sopravvivenza della popolazione66. Sulla base delle misure legislative precedenti, si puo concludere che larticolo 49 definisce gli attacchi sulla base degli aspetti delle operazioni militari che condizionano piu direttamente la salvezza della popolazione civile e lintegrita degli obiettivi civili67. A questo punto e possibile derivare laccezione del termine attacco nel contesto delle CNO attraverso un processo di induzione: gli attacchi possono essere definiti come le operazioni che causino (o che erano intese a causare, ma non hanno avuto successo) morte o ferimento di individui o distruzione o danneggiamento di oggetti.
62 63
Relating to the Protection of Victims of International Armed Conflicts, articolo 51(3), 8 Giugno 1977 .... articoli 51(5)(b) e 57(2)(a)(iii). 64 .... articolo 51(1). 65 .... articolo 57. 66 .... articolo 55(1). 67 Commentary on the Additional Protocols of 8 June 1977 to the Geneva Conventions of 12 August 1949.. CNO_20121107_1304.doc
48
Author:
Nellaccezione di ferimenti rientrano le malattie causate da un CNA, come il danneggiamento del sistema idrico e la consegue nte contaminazione dellacqua potabile, o comunque tutte quelle azioni che producono serie sofferenze non giustificabili dalle necessita militari. Il termine distruzione include quelle operazioni che, pur non causando danni fisici, rendono inefficace un obiettivo, come nel caso di CNA che causano linterruzione della operativita di un computer o di una rete di computer. In base alle precedenti osservazioni, il concetto legale di attacco allinterno della Legge Umanitaria Internazionale non differisce m olto dallinterpretazione che esso ha nel contesto dello jus ad bellum; di conseguenza, e possibile fare ricorso a CNOs verso sistemi civili purche i danni causati non siano tra quelli citati dalla Legge Umanitaria Internazionale e non trovi applicazione nessuna delle proibizioni specifiche della legge stessa. In occasione della 37th International Conference of the Red Cross and Red Crescent Society del 2011, lInternational Committee of the Red Cross (ICRC) ha presentato un approccio leggermente differente, facendo notare come allinterno dellarticolo 49 il termine atti di violenza facesse riferimento alla forza fisica. Di conseguenza, le CNO che fanno uso di virus, worm (tipo di virus capace di replicarsi e consumare memoria), ecc., che causano danno fisico alle persone o agli oggetti al di la dei programmi informatici o i dati obiettivo dellattacco, possono essere qualificati come atti di violenza nel senso indicato dalla Legge Umanitaria Internazionale68.
68
International Committee of the Red Cross, International Law and the Challenges of Contemporary Armed Conflicts, Ottobre 2011. CNO_20121107_1304.doc
49
Author:
Nello stesso documento viene poi specificato che le cyber operations non ricadono nella definizione di attacco fin tanto che esse non causino distruzione fisica o i loro effetti siano reversibili; per chiarire questa frase, e utile riportare nel seguito la traduzion e di uno stralcio del documento in questione:
se cio implica che un attacco contro un obiettivo civile debba essere considerato legittimo nei suddetti casi, allora non trova fondamento nelle leggi vigenti secondo il punto di vista dellICRC. In base alla Legge Umanitaria Internazionale, gli attacchi possono essere diretti solo verso obiettivi militari, mentre gli obiettivi che non rientrano in tale definizione sono da considerarsi civili e non dovrebbero essere attaccati. La definizione di obiettivi militari non dipende dalla tipologia di warfare usata e deve essere applicato sia ai mezzi fisici che non; il fatto che una cyber operation non porti alla distruzione dellobiettivo e non rilevante. In base allarticolo 52 (2) del Protocollo Aggiuntivo I, possono essere attaccati solo quegli oggetti che forniscano un contributo effettivo alle azioni militari e la cui distruzione, totale o parziale, la cattura o la neutralizzazione offrano un vantaggio militare ben preciso. Facendo riferimento non solo alla distruzione o alla cattura ma anche alla neutralizzazione degli oggetti, questa definizione implica che non ha alcuna importanza se tale neutralizzazione avvenga tramite distruzione o in qualsiasi altro modo"69 .
Il fatto che lICRC faccia esplicito riferimento alla Legge Umanitaria Internazionale riflette il panorama giuridico: non vi puo essere alcun dubbio sul fatto che un attacco contro un obiettivo civile sia illegittimo e che i metodi o i mezzi utilizzati per lattacco non facciano alcuna differenza dal punto di vista legale, sia in caso di obiettivi civili che per gli obiettivi militari. Il riferimento al termine neutralizzazione, inoltre, esplicita chiaramente come il fatto che un vantaggio militare sia considerato un obiettivo militare non scaturisce direttamente dal danno fisico allobiettivo. Tali norme sono fondamentali non soltanto per i partecipanti al Protocollo Aggiuntivo I, ma anche per tutti gli altri stati in quanto esse riflettono la giurisdizione internazionale.
69
International Committee of the Red Cross, International Law and the Challenges of Contemporary Armed Conflicts, at 37, Ottobre 2011. CNO_20121107_1304.doc
50
Author:
4.5 Conclusioni
Avendo analizzato il divario terminologico tra la comunita dei tecnici e quella legislativa, allo stato attuale non appare soddisfacente un corretto inquadramento delle Computer Network Operations come attacchi nel contesto della Legge Umanitaria Internazionale. Il punto cruciale consiste nella possibilita che anche attacchi di tipo non distruttivo e che non mettano a rischio fisico individui o obiettivi possono pero comportare conseguenze serie. Sulla base dellattuale quadro legislativo, appare evidente la necessita di addivenire a norme che definiscano piu chiaramente i termini della cyber warfare nella legislazione internazionale; ogni altra considerazione e da riferirsi a norme future. Va certamente detto che un termine legale puo vedere ampliato o modif icato il suo significato giuridico con ladozione di nuovi trattati, la creazione di norme specifiche o con lemergere di nuovi scenari nel contesto cui esso e riferito. Sta di fatto che vista la gravit dei danni provocabili da una cyber offensive action non ce da meravigliarsi se in risposta ad un cyber attacco violento si possa ipotizzare di rispondere con un attacco nucleare.
CNO_20121107_1304.doc
51
Author:
Parte SPECIALISTICA / DI SUPPORTO / BIBLIOGRAFICA
CNO_20121107_1304.doc
52
Author:
Computer Network Attacks
Il volume, la sofisticatezza e la distribuzione dei Computer Network Attacks sono in continua crescita, specie per gli attacchi con motivazioni politiche70. Ad esempio, nellarco di una sola settimana, circa 1200 siti web statunitensi, inclusi alcuni appartenenti alla Casa Bianca e ad altre agenzie governative, sono stati oggetto di attacchi di tipo denial of service (negazione di servizio) o defacing (defacciamento, modifica della homepage o anche altre pagine di un sito web) con immagini pro-Cina. Gli attacchi del 2011 hanno raggiunto dimensioni enormi grazie allimpegno coordinato di gruppi di hackers, che hanno impiegato chat room protette da password e altre tecnologie per coordinare il lancio di un attacco congiunto verso obiettivi americani.
5.1 Tipologie di attackers

Una delle informazioni piu importanti affinche si possano implementare strategie di risposta efficienti e la conoscenza della fonte dellattacco. Sebbene sia molto complicato identificare in maniera univoca lattacker, e estremamente utile conoscere almeno a quale categoria esso appartenga. Nel seguito verranno descritte le principali categorie di attackers con alcuni cenni storici. Minacce Interne Come molti casi testimoniano, gli addetti ai lavori (o ex) scontenti costituiscono la fonte principale di attacco in quanto a crimini informatici. Cio e dovuto principalmente al fatto che non sia richiesta loro una eccessiva abilita o conoscenza dei CNA: essi, infatti, nella maggior parte dei casi conoscono perfettamente i sistemi che vogliono attaccare. Questa
70
Michael Vatis, Cyber Attacks: Protecting Americas Security Against Digital Threats, ESDP 2002 -04.
CNO_20121107_1304.doc
53
Author:
conoscenza puo permettere loro laccesso illimitato alle risorse, allo scopo ad esempio di danneggiare i sistemi o di rubare dati. Un caso esemplificativo riguarda la Guardia Costiera statunitense: nel 1998 unimpiegata, usando le sue capacita e la password di un collega, riusci a cancellare dati dal database del personale della Guardia C ostiera71. Limpiegata fu scoperta, condannata a 5 mesi di reclusione e 5 mesi di arresti domiciliari e fu condannata a restituire 35.000 dollari come indennizzo. Un altro caso ha riguardato la famosa rivista economica Forbes: lintrusione nei sistemi informatici da parte di un ex impiegato causo il crash di quasi meta dei server delle reti di computer societarie, oltre alla cancellazione definitiva di tutti i dati in essi presenti. I danni stimati furono di circa 100.000 dollari. Gruppi Criminali Gruppi di individui appartenenti al crimine organizzato stanno sempre piu avvicinandosi al mondo delle CNO; in particolare, vi e stato un aumento esponenziale dei casi di intrusione cibernetica a scopo economico. Nel 1999, ad esempio, i membri di un gruppo chiamato Phonemasters furono condannati per aver effettuato accessi non autorizzati in computer federali. Essi, infatti, riuscirono ad ottenere laccesso ai computer dellMCI (Istituto Superiore di Innsbruck), di Sprint (un provider di servizi telefonici ed internet), della AT&T, di Equifax (unagenzia economica) e persino del National Crime Information Center (NCIC) dellFBI. Grazie a tecniche di dumpster diving (letteralmente rovistare nei rifiuti), a partire da vecchie rubriche telefoniche e manuali tecnici essi riuscirono ad ottenere le credenziali di accesso ai sistemi dagli impiegati. Cio porta ad una riflessione sulla necessita di formare in maniera specifica i dipendenti per proteggersi da tecniche basate su social engineering. Programmatori di virus I programmatori di virus possono potenzialmente apportare danni maggiori degli hackers. Le statistiche ottenute da interviste agli addetti ai lavori evidenziano come la maggior parte degli amministratori di reti (comprese quelle governative) consideri i virus e gli altri tipi di codice malizioso come la principale minaccia alle loro reti72.
71
72
Laura DiDio, U.S. Coast Guard Beefs Up Security After Hack, 22 Luglio 1998. Richard W. Walker, Feds Say Virus Threats Keep Them Awake at Night, Government Computer News, 20 Agosto 2001. CNO_20121107_1304.doc
54
Author:
Mediamente, ogni giorno decine di nuovi virus vengono disseminati in rete ed il numero di virus conosciuti ha ormai superato il milione dal 200873. A contribuire alla loro diffusione vi e non solo laumento del numero di programmatori capaci di scrivere virus molto pericolosi, ma anche la proliferazione di reti di computer molto veloci.
Servizi di Intelligence I servizi di intelligence dei diversi Paesi fanno sempre piu frequentemente ricorso a strumenti di CNO per la raccolta di informazioni e lo spionaggio governativo. Il fenomeno, tuttavia, non riguarda solo i tempi piu recenti. Risale infatti al periodo tra il 1986 ed il 1989 uno dei primi esempi in tal senso: una rete di hackers della Germania Ovest riusci a penetrare diversi computer militari, scientifici e aziendali negli Stati Uniti, nellEuropa Occidentale ed in Giappone, riuscendo a rubare password di accesso, programmi ed altre informazioni che furono poi vendute alla Russia74. Cio accadeva oltre 20 anni fa, in unera che puo oggi essere considerata preistoria per internet e le reti di computer. Con il progresso tecnologico e la diffusione delle reti di computer, le intrusioni di computer per i servizi di intelligence costituiscono oggi uno strumento fondamentale per acquisire dati sensibili governativi e del settore privato. Information Warfare Come ampiamente documentato nei capitoli precedenti, limpiego di tecniche di information warfare da parte di forze militari contro infrastrutture strategiche o critiche rappresenta ad oggi la minaccia piu' temuta per la sicurezza della nostra Nazione. Ciascuna nazione sta lavorando allo sviluppo, alla dottrina, lorganizzazione e le competenze in materia di information warfare; appare chiaro, infatti, che anche laddove un paese non possa competere in termini di forze militari canoniche, le computer network operations sono uno strumento che annulla questo divario, permettendo laccesso alle risorse piu importanti di una nazione. Non deve sorprendere, quindi, la pubblicazione ad opera di due ufficiali militari cinesi di un libro in cui si invita allutilizzo di misure non
73
Number of known computer viruses exceeds 1 million, PRLOG Press Release Distribution. http://www.prlog.org/10814398-number-of-known-computer-viruses-exceeds-1-million.html (ultima visita 2012 Nov 06) 74 Clifford Stoll, The Cuckoos Egg, New York: Pocket Books, 1989. CNO_20121107_1304.doc
55
Author:
convenzionali, compresa la propagazione di virus informatici, per contrastare il potere militare americano75. Sebbene gli Stati Uniti siano il principale bersaglio di tali attacchi, non e esente lEuropa occidentale, come testimoniano gli atta cchi ai server web della NATO da parte di hacker simpatizzanti per la Serbia durante il conflitto in Jugoslavia76. In tale occasione, hackers dalla Russia ed altri paesi filo-sovietici attaccarono una serie di siti web di molti paesi europei grazie a mail infette da virus ed altri strumenti informatici; diverse organizzazioni in Gran Bretagna subirono perdite di dati e database. Una delle caratteristiche piu preoccupanti dellInformation Warfare attiene alla natura stessa del web: la facilita con cui e possibile mascherare lorigine degli attacchi, permettendo cosi ad una nazione, non direttamente coinvolta in un conflitto, di prendervi parte senza che cio diventi necessariamente pubblico. Terroristi E noto che le organizzazioni terroristiche usano in maniera massiva la rete internet per formulare piani, diffondere messaggi propagandistici, raccogliere fondi e comunicare in maniera sicura; le CNO forniscono loro uno strumento per la distruzione o il danneggiamento di sistemi critici, sia governativi che relativi alla popolazione civile, come accadde nel caso di un gruppo dal nome Internet Black Tigers, che condussero con successo un attacco di tipo DoS (Denial of Service) ai server governativi dellambasciata dello Sri Lanka, oppure nel caso degli attacchi da parte di simpatizzanti zapatisti alle pagine web del presidente messicano Ernesto Zedillo, della Casa Bianca, del Pentagono e della borsa di Francoforte77. Un rapporto del governo canadese riferisce lintenzione della Irish Republican Army (un gruppo terroristico irlandese) di usare le CNO contro la Gran Bretagna. Riguardo lattacco di gas nervino (di tipo sarin) del 1995 contro il sistema metropolitano di Tokyo, vi sono forti sospetti che lautore, Aum Shinrikyo, abbia usato le sue competenze informatiche nello sviluppo di unarma cibernetica da usare contro interessi giapponesi ed americani; sebbene non vi siano prove in tal senso, la necessita di proteggere le proprie nazioni dalla interruzione su larga scale delle proprie infrastrutture critiche spinge a considerare nella giusta dimensione questi fenomeni.
75
Kevin Anderson, Cyber-Terrorists Wield Weapons of Mass Destruction, BBC News, 22 Febbraio 2000. http://news.bbc.co.uk/2/hi/sci/tech/specials/washington_2000/648429.stm (ultima visita 2012 Nov 06) 76 Institute for Security Technology Stuidies, Cyber Attacks During the War on Terrorism: A Predictive Analysis, 22 Settembre 2001. 77 Dorothy E. Denning, Information Warfare and Security, Ethics and information Technology Vol. 1 numero 3, 1999. CNO_20121107_1304.doc
56
Author:
Riguardo ai recenti eventi, i gruppi che probabilmente hanno effettuato il maggior numero di attacchi, dimostrativi e non, sia negli Stati Uniti che nel resto del mondo sono certamente quelli di matrice islamica e cinese. Nonostante cio, la conoscenza delle loro organizzazioni risulta ancora incompleta. Sebbene sia complicato dimostrare che Al_Qaeda sia direttamente coinvolta in CNA o che stia sviluppando significative capacita di Information Warfare, vi sono alcune forti indicazioni di un loro coinvolgimento in molti degli episodi di cyber crime degli ultimi anni. E il caso, ad esempio, degli attacchi informatici del gennaio 2002: lFBI ricevette infatti molti rapporti che indicavano il coinvolgimento di agenti Al Qaeda nel tentativo di ricavare informazioni sugli impianti nucleari e le infrastrutture critiche presenti nei siti governativi. Appare inoltre certo che tali organizzazioni terroristiche usino le nuove tecnologie anche per le comunicazioni: durante le battaglie con le truppe e le coalizioni americane nel Marzo 2002 i combattenti di Al_Qaeda si tenevano in contatto attraverso il Web negli spostamenti da una grotta allaltra78. Hacktivism Hacktivism e un termine che deriva dallunione dei termini hackinged activism, ad indicare che le forme dellazione diretta tradizionale dei gruppi a ttivisti sono rimpiazzate dalle loro equivalenti elettroniche/informatiche. Le attivita degli hacktivisti consistono in attacchi con motivazioni politiche a pagine accessibili pubblicamente o server di posta elettronica per la diffusione di messaggi politici. Sebbene la maggior parte di questi attacchi non arrechi danno ai sistemi operativi o alle reti di computer, attraverso linterruzione dei servizi viene comunque compromessa la liberta di comunicazione. Uno di questi gruppi, soprannominato Electronic Disturbance Theater, promuove iniziative di disordine civile per supportare lagenda politica del movimento zapatista in Messico. Nel 1999, sostenitori di Kevin Mitnick, famoso hacker condannato per numerosi reati informatici, riuscirono a penetrare nella pagine del Senato ed alterarne i contenuti; durante il World Economic Forum del 2002, diversi membri del movimento anti-capitalismo ed anti-globalizzazione lanciarono attacchi DoS.
78
Brian Williams, Afghan Foes Used Web, Had Money to Burn, Feds Say, 19 marzo 2000.
CNO_20121107_1304.doc
57
Author:
Il rischio reale e che le crescenti divisioni in molti degli stati mondiali portino ad una polarizzazione delle masse, generando cosi due diverse fazioni ed una rete di attivismo capace di impiegare le CNO per attaccare qualsiasi nazione. Recreational Hackers I crackers, anche detti recreational hackers, sono nati come una particolare tipologia di hackers che penetrano le reti di computer semplicemente per il brivido emotivo nel riuscirci o per vantarsene sulle comunita online. Mentre diversi anni fa le attivita di cracking richiedevano notevoli capacita e conoscenze informatiche, oggi vi sono a disposizione svariati script e protocolli informatici nel Web che possono essere utilizzati anche da non esperti. Sebbene gli attacchi di cracking possano apparire innocui allinizio, essi possono comportare conseguenze molto serie. Un esempio noto risale gi al 1997, quando un giovane uso il suo personal computer per penetrare nella rete telefonica dellarea di Worcester, in Massachussets. Lattacco causo linterruzione del servizio telefonico a 600 utenti, dei servizi di emergenza del 911 e del controllo dellilluminazione dellaeroporto di Worcester per circa sei ore79. Le successive indagini dei servizi segreti americani portarono alla luce lesistenza di una vulnerabilita, sfruttabile attraverso la semplice pressione di quattro tasti, in circa 22.000 apparecchiature telefoniche in tutta la nazione. Sebbene lattacco sia stato portato da un giovane senza alcuna organizzazione alle spalle, cio dimostra come lattacco ai fulcri della comunicazione possa avere degli effett i a cascata devastanti su diverse infrastrutture (trasporto, servizi di emergenza e telecomunicazioni) e possa essere ottenuto da un singolo individuo che usa semplicemente il suo personal computer. Si comprende perico che oggi i crackers rappresentano la minaccia piu significativa per le infrastrutture critiche.
79
Dorothy E. Denning, Information Warfare and Security, Ethics and information Technology Vol. 1 numero 3, 1999.
CNO_20121107_1304.doc
58
Author:
5.2 Tipologie di attacks

Un cyber attack e un attacco da computer a computer al fine di rubare, cancellare o alterare le informazioni o distruggere o impedire le funzionalita di un computer o una rete di computer obiettivo. Esistono tre differenti tipologie principali di attacco: 1. Intrusione non autorizzata, che consiste nellintrusione illegale allinterno di un computer per mezzo di diverse tecniche di hacking, oppure nellutilizzo dallin terno della rete di funzionalita per le quali non si possiede legittima autorizzazione. 2. Virus distruttivi o worm, capaci di diffondersi nelle reti informatiche attraverso la posta elettronica, i programmi p2p (peer to peer), i social network o altri software di scambio di dati; essi possono causare la perdita di funzionalita di alcune parti di una rete di computer. 3. Attacchi di tipo Denial of Service (DoS), che attraverso unampia gamma di tecniche sono finalizzati a bombardare il computer obiettivo di richieste al fine di sovraccaricarlo e compromettere le sue capacita di gestione del servizio. Nel seguito verranno descritti sinteticamente le tipologie di Computer Network Attack piu utilizzate a scopi politici o militari. Web defacement e attacchi semantici Una delle forme piu comuni di attacco con motivazione politica e il web defacement, che consiste nellalterazione dei contenuti di un sito web con inserimento di nuovi contenuti con messaggi di carattere politico. Tra gli attacchi di web defacement, quelli che provocano le conseguenze piu serie sono gli attacchi semantici, che cambiano i contenuti di una pagina web in maniera subdola, cos che lalterazione non sia immediatamente percepibile; la conseguenza piu seria e la diffusione di informazioni false o controinformazione.
CNO_20121107_1304.doc
59
Author:
Attacchi Domain Name Server (DNS) I computer connessi alla rete internet comunicano tra loro attraverso indirizzo IP (Internet Protocol), consultando i DNS per ottenere la corrispondenza tra indirizzi numerici e nome di dominio. Qualora il DNS fornisca un indirizzo numerico errato, lutente verra collegato ad un nome di dominio diverso da quello richiesto; spesso cio puo avvenire senza che lutente se ne accorga, magari riproducendo fedelmente la grafica del sito cui si voleva accedere. Un attacco DNS puo quindi essere usato per diffondere false notizie, bloccare laccesso ad un sito web o per ottenere informazioni riservate (codici privati, codici bancari, governativi, ecc). Attacchi DDoS (Distributed Denial of Service) Gli attacchi DDoS costringono server web e di posta elettronica ad un numero incredibile di comunicazioni con altri computer; laltissimo numero di connessioni puo causare il rallentamento o il crash di questi sistemi. La componente piu pericolosa di questi attacchi si riferisce al termine distribuito, nel senso che quasi sempre lattacco, e di conseguenze le richieste di connessione, provengono da svariate parti del pianeta; non tutti i "propietari" di computer che prendono parte a questi attacchi sono "consapevoli" della loro partecipazione. Infatti, attraverso lintroduzione di codice malizioso allinterno dei computer degli utenti, vengono attivati dei trojan (programmi dannosi che si mascherano da applicazioni innocue) che rendono quel computer completamente controllabile da remoto. Le reti formate da computer di cui si e ottenuto il controllo completo vengono dette botnet, ovvero robot net, reti di robot. Codice malizioso Worm, virus e trojan horse sono classici esempi di codice malizioso, malware. Sebbene le vulnerabilita sfruttate da virus e worm siano spesso note agli amministratori di sistema, esse non vengono eliminate in tutti i sistemi, in tal modo causando pr oblemi seri allinterno dellinfrastruttura informativa.
CNO_20121107_1304.doc
60
Author:
Sfruttamento delle vulnerabilita nel Routing I routers sono i dispositivi adibiti al controllo del traffico nelle reti informatiche e nella rete Internet; tra i loro principali compiti vi e quello di garantire che le informazioni, che viaggiano sottoforma di pacchetti, transitino correttamente dalla sorgente alla destinazione. Linterruzione delle funzionalita di routing tramite codice malizioso sono piuttosto rare, ma la carenza di varieta di sistemi operativi per i router lascia aperta la possibilita di un attacco di massa sul routing; persino la riprogrammazione maliziosa di un solo router potrebbe causare errori nellintera rete internet. Attacchi composti La composizione di differenti tipologie di attacchi puo accrescerne enormemente la potenza distruttiva; e inoltre possibile che ad un attacco cinetico classico venga affiancato un attacco cibernetico coordinato: ad esempio, potrebbe essere piazzata una bomba in un edificio e, contemporaneamente, compromessa la funzionalit dei servizi di emergenza telefonici per chiamare gli aiuti.
5.3 Principali tecniche di CNA

Avendo discusso nei paragrafi precedenti delle tiplogie di attackers e di attacks, e qui utile fornire alcune indicazioni sulle vere e proprie tecniche di attacco piu comuni, come gia indicato nel Rapporto di Ricerca Cyberwarfare e Cyberspace: Aspetti Concettuali, Fasi ed Applicazione allo Scenario Nazionale ed allambito Militare 80 del 2008. In particolare, e utile richiamare anche alcune considerazioni fatte sulla terminologi a e levoluzione dellhacking come strumento di cyberwarfare.
80
Rapporto di Ricerca Ce.Mi.S.S. " Cyberwarfare e Cyberspace: aspetti concettuali, fasi ed applicazione allo scenario nazionale ed allambito militare - Gerardo Iovane http://www.difesa.it/SMD/CASD/Istituti_militari/CeMISS/Pubblicazioni/News206/200801/Pagine/Cyberwarfare_e_Cyberspace_aspet_9342militare.aspx (ultima visita 2012 Nov 06) CNO_20121107_1304.doc
61
Author:
Il nuovo millennio salito sul palcoscenico della storia con i due termini millenium bug e hacking: il primo voleva rappresentare linsieme delle emergenze informatiche che sarebbero derivate dal cambio delle quattro cifre nel conteggio degli anni; di fatto gi i primi giorni del 2000 hanno visto la piena risoluzione della questione, che era stata pianificata e risolta ancor prima che creasse problemi. Addirittura forse le misure adottate superarono le reali necessit del problema. Viceversa i termini hacking ed hacker sono diventati di dominio pubblico, volendo individuare quellinsieme di minacce che minano la privacy, la salvaguardia delle informazioni e del loro uso. Il termine hacking diventato uno dei pi inflazionati vocaboli legati all'informatica; avendo accompagnato, fin dall'inizio, lo sviluppo dellICT (Information & Communication Technology). Se vero che lInformatica rappresenta lultima avanguardia della Scienza e dellArte allora stiamo davvero assistendo ad una produzione doper e darte senza eguali nella storia del genere umano ed il cyberspazio rappresenta la casa di Leonardo da Vinci in persona. In realt, oltre allaccezione negativa dellhacking che abbiamo sperimentato in questi ultimi anni, ve ne anche una estremamente positiva: infatti, in generale l'hacking si riferisce ad ogni situazione in cui si faccia uso di creativit e immaginazione nella ricerca della conoscenza. In altre parole, cos come Leonardo da Vinci pu essere considerato un hacker del XV secolo (in ingegneria, scienza e architettura), cos gli attuali hacker possono intendersi come Ingegneri della Conoscenza. Se consideriamo la radice del termine hacker, la forma sostantiva del verbo inglese "to hack" significa "tagliare", "sfrondare", "sminuzzare", "ridurre", "aprirsi un varco", appunto fra le righe di codice che istruiscono i programmi software. Un hacker quindi prima di tutto chi riduce la complessit e la lunghezza del codice sorgente, con un "hack", appunto, una procedura "dura" ma efficace, che potrebbe essere tradotta in italiano come "zappata" o "accettata" (tagliata con l'accetta) o altrimenti con una "furbata". In questa accezione positiva tra i Leonardo da Vinci dellInformatica vanno sicuramente annoverati Richard Stallman81 - autore, tra gli altri, di Emacs
82
e GCC83, ideatore del
81 82
http://it.wikipedia.org/wiki/Richard_Stallman http://it.wikipedia.org/wiki/Emacs 83 http://it.wikipedia.org/wiki/GNU_Compiler_Collection CNO_20121107_1304.doc
62
Author:
concetto di Software libero e di copyleft 84, Eric S. Raymond85 - fondatore del movimento open source, scrittore di libri e saggi sulla cultura hacker, Johan Helsingius che mantenne il pi famoso anonymous remailer del mondo, finch non lo chiuse nel 1996, Tsutomu Shimomura86 che aiut l'FBI ad arrestare il famoso Kevin Mitnick aveva eseguito alcune tra le pi ardite incursioni nei computer del governo USA. Purtroppo, invece, negli ultimi anni i diversi Governi hanno dovuto sperimentare unaccezione semantica diversa del termine hacker: esso ha assunto unaccezione negativa, poiche uscendo dallambito accademico il termine diventato sinonimo di criminale informatico. Accanto al termine hacker si sono aggiunti i termini Cracker e
87
che
Phreaking. Il termine cracker descrive colui che entra abusivamente in sistemi altrui e li manipola allo scopo di danneggiarli (cracking), lasciare un segno del proprio passaggio, utilizzarli come teste di ponte per altri attacchi oppure per sfruttare la loro capacit di calcolo o l'ampiezza di banda di rete. I cracker possono essere spinti da varie motivazioni, dal guadagno economico (tipicamente coinvolti in operazioni di spionaggio o in frodi) all'approvazione all'interno di un gruppo di cracker. Il termine phreaking, invece, il
risultato dell'unione tra le parole phone (telefono) e freak (persona bizzarra) per descrivere piraterie telefoniche e quindi attivit illecite di persone che sperimentano e sfruttano i telefoni, le compagnie telefoniche, e sistemi che compongono o sono connessi alla Public Switched Telephone Network (PSTN88) . L'hacking pu essere visto come un puro strumento operativo e come tale, a seconda di chi lo usa e del motivo per cui lo usa, pu assumere valenze positive o negative. La pratica di accedere illegalmente a sistemi altrui (per qualsivoglia motivo) usa mezzi e tecniche proprie dell'hacking, ma se ne differenzia profondamente: mentre l'hacker cerca la conoscenza, il cracker mira alla devastazione e al furto. Chi pratica l'intrusione informatica semplicemente copiando le tecniche trovate e sviluppate da altre persone sfruttando exploit89 gi pronti, viene chiamato lamer o script kiddie.
84 85
http://it.wikipedia.org/wiki/Copyleft http://it.wikipedia.org/wiki/Eric_S._Raymond 86 http://it.wikipedia.org/wiki/Tsutomu_Shimomura 87 http://it.wikipedia.org/wiki/Kevin_Mitnick 88 http://it.wikipedia.org/wiki/PSTN 89 http://it.wikipedia.org/wiki/Exploit CNO_20121107_1304.doc
63
Author:
Con il termine exploit90 si vuole identificare un metodo che, sfruttando un bug o una vulnerabilit del sistema, porta all'acquisizione di privilegi o al Denial of Service (DoS)91 di un computer. Ci sono diversi modi per classificare gli exploit. Il pi comune una classificazione a seconda del modo in cui l'exploit contatta l'applicazione vulnerabile. Un exploit remoto compiuto attraverso la rete e sfrutta la vulnerabilit senza precedenti accessi al sistema. Un exploit locale richiede un preventivo accesso al sistema e solitamente fa aumentare i privilegi dell'utente oltre a quelli impostati dall'amministratore. Gli exploit possono anche essere classificati a seconda del tipo di vulnerabilit che sfruttano. Un tipico esempio di vulverabilit usata il buffer overflow92 (nel seguito introdurremo le vulnerabilit usate piu di frequente). Lo scopo di molti exploit quello di acquisire i privilegi di root su un sistema. comunque possibile usare exploit che dapprima acquisiscono un accesso con i minimi privilegi e che poi li alzano fino ad arrivare a root. Normalmente un exploit pu sfruttare solo una specifica falla e quando pubblicato questa falla riparata e l'exploit diventa obsoleto per le nuove versioni del programma. Per questo motivo alcuni blackhat hacker non divulgano gli exploit trovati ma li tengono riservati per loro o per la loro comunit. Questi exploit sono chiamati zero day exploit93, e scoprire il loro contenuto il pi grande desiderio per gli attacker senza conoscenze, altrimenti detti script kiddie94.
90 91
http://it.wikipedia.org/wiki/Exploit http://it.wikipedia.org/wiki/Denial_of_service 92 http://it.wikipedia.org/wiki/Buffer_overflow 93 http://it.wikipedia.org/wiki/0-day 94 http://it.wikipedia.org/wiki/Script_kiddie CNO_20121107_1304.doc
64
Author:
Qui di seguito elenchiamo ed analizziamo le principali vulnerabilit e tecniche utilizzate nellambito delle Cyber Network Operations per attaccare sistemi informativi: 1. 2. 3. 4. 5. 6. 7. 8. 9. Buffer overflow Shellcode Cracking Backdoor Port scanning Sniffing Keylogging Spoofing Trojan
10. Virus informatici 11. DoS (Denial of Service) 12. DDoS (Distributed Denial of Service) 13. Ingegneria sociale
1. Il buffer overflow una vulnerabilit di sicurezza che consiste nel fatto che il sistema/software non controlla in anticipo la lunghezza dei dati in arrivo, ma si limita a scrivere il loro valore in un buffer di lunghezza prestabilita, confidando che l'utente (o il mittente) non immetta pi dati di quanti esso ne possa contenere: questo pu accadere se il programma stato scritto usando funzioni di libreria di input/output che non fanno controlli sulle dimensioni dei dati trasferiti. Quando quindi vengono inviati pi dati della capienza del buffer destinato a contenerli, i dati extra vanno a sovrascrivere le variabili interne del programma, o il suo stesso stack; come conseguenza di ci, a seconda di cosa stato sovrascritto e con quali valori, il programma pu dare risultati errati o imprevedibili, bloccarsi, o (se un driver di sistema o lo stesso sistema operativo) bloccare il sistema di elaborazione.
CNO_20121107_1304.doc
65
Author:
Conoscendo molto bene il programma in questione, il sistema operativo e il tipo di computer su cui gira, si pu precalcolare una serie di dati malevoli (malware)95 che inviata per provocare un buffer overflow consenta ad un malintenzionato di prendere il controllo del programma (e a volte, tramite questo, dell'intero sistema di elaborazione). Questo tipo di debolezza dei programmi noto da molto tempo, ma solo di recente la sua conoscenza si diffusa tanto da permettere anche a dei cracker dilettanti di sfruttarla per bloccare o prendere il controllo di altri computer collegati in rete.
Non tutti i programmi sono vulnerabili a questo tipo di inconveniente: perch un dato programma sia a rischio necessario che: 1. 2. il programma preveda l'input di dati di lunghezza variabile e non nota a priori; li immagazzini entro buffer allocati nel suo spazio di memoria dati vicini ad altre strutture dati vitali per il programma stesso; 3. il programmatore non abbia implementato alcun mezzo di controllo della correttezza dell'input in corso. 4. l'area di memoria dello stack sia eseguibile, se si tenta di scrivere dello shellcode sullo stack; questo non vero sui computer pi recenti dotati di NX bit96
2. Uno shellcode un programma in linguaggio assembly che tradizionalmente esegue una shell, come la shell Unix '/bin/sh' oppure la shell command.com sui sistemi operativi DOS e Microsoft Windows. Uno shellcode pu essere utilizzato per sfruttare un exploit, consentendo ad un hacker o un cracker di acquisire l'accesso alla riga di comando di un computer. Gli shellcode sono tipicamente inseriti nella memoria del computer sfruttando buffer overflow nello stack97 e nell'heap98, o tramite un format string attack99.
95
Si definisce malware un qualsiasi software creato con il solo scopo di causare danni pi o meno gravi al computer su cui viene eseguito. Il termine deriva dalla contrazione delle parole inglesi malicious e software e ha dunque il significato letterale di "programma malvagio"; in italiano detto anche codice maligno. 96 http://it.wikipedia.org/wiki/NX_bit 97 http://it.wikipedia.org/wiki/Stack 98 http://it.wikipedia.org/wiki/Heap 99 http://it.wikipedia.org/wiki/Format_string_attack CNO_20121107_1304.doc
66
Author:
L'esecuzione dello shellcode pu essere ottenuta sovrascrivendo l'indirizzo di ritorno dello stack con l'indirizzo dello shellcode. In questo modo quando la subroutine prova a ritornare al chiamante, ritorna invece al codice dello shellcode che apre una riga di comando che pu essere usata dal cracker. I cracker che scrivono gli shellcode utilizzano spesso tecniche per nascondere il loro attacco. Essi provano generalmente ad aggirare il modo in cui gli Intrusion Detection Systems (IDS) riconoscono un attacco in arrivo. Un tipico IDS di solito cerca in tutti i pacchetti in arrivo gli spezzoni di codice tipici degli shellcode (spesso un grande array di istruzioni NOP); se vengono trovati il pacchetto viene scartato prima di arrivare all'applicazione cui destinato. Il punto debole degli IDS che non possono fare delle ricerche effettivamente buone poich richiederebbe troppo tempo, rallentando cos la connessione ad Internet. Gli shellcode contengono spesso una stringa con il nome di una shell. Tutti i pacchetti in arrivo che contengono una stringa del genere sono considerati abbastanza sospetti dal punto di vista dell'IDS. Inoltre, alcune applicazioni non accettano input non-alfanumerici (ossia, non accettano nient'altro che i caratteri a-z, A-Z, 0-9, e pochi altri). Per aggirare questo tipo di misure anti-intrusione, i cracker fanno a volte uso di crittazione, codice auto-modificante, codice polimorfico e codice alfanumerico.
3. In aggiunta a quanto gia anticipato, si ricorda che con cracking si intende la modifica di un software per rimuovere la protezione dalla copia, oppure per ottenere accesso ad un'area altrimenti riservata. La distribuzione di software cos sprotetto (detto warez) generalmente un'azione illegale se non criminale, per violazione di un copyright. Il crack viene spesso ottenuto tramite la reingegnerizzazione, tecnica che permette di capire la logica del software analizzando il suo funzionamento e le risposte a determinati input. La pratica del cracking esiste da quando esiste il software, ma la modifica del software si evoluta soprattutto nei primi anni ottanta con la diffusione degli home computer. Con l'evolversi dei computer e dei software, i creatori di crack (detti cracker) hanno cominciato a raggrupparsi in squadre, conosciute col nome di "cracking crews".
CNO_20121107_1304.doc
67
Author:
Con la nascita delle crew aumentata notevolmente la competizione gi presente tra i crackers, inducendo negli anni una lunga serie di attacchi ai sistemi e lo sviluppo di software come virus e spyware utilizzati per il crack di grandi sistemi informatici.
Uno spyware un tipo di software che raccoglie informazioni riguardanti l'attivit online di un utente (siti visitati, acquisti eseguiti in rete etc) senza il suo consenso, trasmettendole tramite Internet ad un'organizzazione che le utilizzer per trarne profitto, solitamente attraverso l'invio di pubblicit mirata. I programmi per la raccolta di dati che vengono installati con il consenso dell'utente (anche se spesso negando il consenso non viene installato il programma) non sono propriamente spyware, sempre che sia ben chiaro all'utente quali dati siano oggetto della raccolta ed a quali condizioni questa avvenga (purtroppo ci avviene molto raramente). In un senso pi ampio, il termine spyware spesso usato per definire un'ampia gamma di malware (software maligni) dalle funzioni pi diverse, quali l'invio di pubblicit non richiesta (spam), la modifica della pagina iniziale o della lista dei Preferiti del browser, oppure attivit illegali quali la redirezione su falsi siti di ecommerce (phishing) o l'installazione di dialer per numeri a tariffazione speciale.
Per crack si intende anche la violazione di sistemi informatici collegati ad Internet o ad un'altra rete, allo scopo di danneggiarli o di rubare informazioni. Il termine si contrappone in realt ad hacking, ma nell'uso comune il termine hacking viene spesso erroneamente utilizzato con il significato di cracking.
CNO_20121107_1304.doc
68
Author:
4. Le backdoor in informatica sono paragonabili a porte di servizio che consentono di superare le procedure di sicurezza attivate in un sistema informatico. Queste "porte" possono essere intenzionalmente create dai gestori del sistema informatico per permettere una pi agevole opera di manutenzione dell'infrastruttura informatica, e pi spesso da cracker intenzionati a manomettere il sistema. Possono anche essere installate autonomamente da alcuni malware (come virus, worm o trojan), in modo da consentire ad un utente esterno di prendere il controllo remoto della macchina senza l'autorizzazione del proprietario. Un esempio celebre il programma Back orifice100, che attiva una backdoor sul sistema in cui viene installato, dando la possibilit a chiunque ne conosca l'indirizzo di controllare la macchina. Oltre ad essere molto pericolosi per l'integrit delle informazioni presenti sul sistema, le backdoor installate dai virus possono essere utilizzate per condurre degli attacchi di tipo DDoS (Distribued Denial of Service).
100
http://it.wikipedia.org/wiki/Back_orifice
CNO_20121107_1304.doc
69
Author:
5. Il Port Scanning una tecnica informatica utilizzata per raccogliere informazioni su un computer connesso ad una rete stabilendo quali porte siano in ascolto su una macchina. Letteralmente significa "scansione delle porte" e consiste nell'inviare richieste di connessione al computer bersaglio (soprattutto pacchetti TCP101, UDP102 e ICMP103 creati ad arte): elaborando le risposte possibile stabilire (anche con precisione) quali servizi di rete siano attivi su quel computer. Il risultato della scansione di una porta rientra solitamente in una delle seguenti categorie:
aperta (accepted): l'host ha inviato una risposta indicando che un servizio in ascolto su quella porta;
chiusa (denied): l'host ha inviato una risposta indicando che le connessioni alla porta saranno rifiutate
bloccata (dropped): non c' stata alcuna risposta dall'host filtrata (filtered): rileva la presenza di un firewall o di un ostacolo di rete in grado di bloccare laccesso alla porta impedendo di individuarne lo stato.
Di per s il port scanning non pericoloso per i sistemi informatici, e viene comunemente usato dagli amministratori di sistema per effettuare controlli e manutenzione. Rivela per informazioni dettagliate che potrebbero essere usate da un eventuale attaccante per preparare facilmente una tecnica mirata a minare la sicurezza del sistema; pertanto, viene posta molta attenzione dagli amministratori a come e quando vengono effettuati port scan verso i computer della loro rete.
101 102
http://it.wikipedia.org/wiki/Transmission_Control_Protocol http://it.wikipedia.org/wiki/User_Datagram_Protocol 103 Internet Control Message Protocol http://it.wikipedia.org/wiki/ICMP CNO_20121107_1304.doc
70
Author:
Un buon amministratore di sistema sa che un firewall ben configurato permette alle macchine di svolgere tutti i loro compiti, ma rende difficile (se non impossibile) la scansione delle porte, ad esempio implementando meccanismi di accesso selettivo basati sul port knocking104. Nell'ambito delle reti di computer, un firewall (termine inglese dal significato originario di parete refrattaria, muro tagliafuoco; in italiano anche parafuoco o parafiamma) un componente passivo di difesa perimetrale che pu anche svolgere funzioni di collegamento tra due o pi tronconi di rete. Usualmente la rete viene divisa in due sottoreti: una, detta esterna, comprende l'intera Internet mentre l'altra interna, detta LAN (Local Area Network), comprende una sezione pi o meno grande di un insieme di computer locali. In alcuni casi possibile che si crei l'esigenza di creare una terza sottorete detta DMZ (o zona demilitarizzata) atta a contenere quei sistemi che devono essere isolati dalla rete interna ma devono comunque essere protetti dal firewall. Grazie alla sua posizione strategica, il firewall risulta il posto migliore ove imporre delle logiche di traffico per i pacchetti in transito e/o eseguire un monitoraggio di tali pacchetti. La sua funzionalit principale quella di creare un filtro sulle connessioni entranti ed uscenti, in questo modo il dispositivo innalza il livello di sicurezza della rete e permette sia agli utenti interni che a quelli esterni di operare nel massimo della sicurezza.
Alcuni dei programmi che permettono di effettuare diversi tipi di port scan sono Nmap105 e hping106.
104 105
http://it.wikipedia.org/wiki/Port_knocking http://it.wikipedia.org/wiki/Nmap 106 http://it.wikipedia.org/wiki/Hping CNO_20121107_1304.doc
71
Author:
6. Si definisce sniffing l'attivit di intercettazione passiva dei dati che transitano in una rete telematica. Tale attivit pu essere svolta sia per scopi legittimi (ad esempio l'individuazione di problemi di comunicazione o di tentativi di intrusione) sia per scopi illeciti (intercettazione fraudolenta di password o altre informazioni sensibili). I prodotti software utilizzati per eseguire queste attivit vengono detti sniffer ed oltre ad intercettare e memorizzare il traffico offrono funzionalit di analisi del traffico stesso. Gli sniffer intercettano i singoli pacchetti, decodificando le varie intestazioni di livello datalink, rete, trasporto, applicativo. Inoltre possono offrire strumenti di analisi che analizzano ad esempio tutti i pacchetti di una connessione TCP per valutare il comportamento del protocollo o per ricostruire lo scambio di dati tra le applicazioni. Il traffico pu essere intercettato da uno degli host coinvolti nella comunicazione, indipendentemente dal tipo di interfaccia di rete su cui viene inviato. Per intercettare i dati in una rete locale necessario possedere od ottenere l'accesso fisico al mezzo trasmissivo, ci diventa piu semplice se vi sono punti di accesso wireless, Bluetooth, WiFi non opportunamente protetti . Nelle reti ethernet il mezzo trasmissivo (cavo coassiale o, attualmente, cavo UTP o STP connesso ad un hub) condiviso, quindi tutte le schede di rete dei computer nella rete locale ricevono tutti i pacchetti, anche quelli destinati ad altri, selezionando i propri a seconda dell'indirizzo MAC (indirizzo hardware univoco della scheda di rete). L'indirizzo MAC (MAC address in inglese) viene detto anche indirizzo fisico o indirizzo ethernet o indirizzo LAN, ed un codice di 48 bit (6 byte) assegnato in modo univoco ad ogni scheda di rete ethernet prodotta al mondo. Rappresenta in sostanza un nome per un particolare dispositivo di rete: ad esempio due schede di rete in due diversi calcolatori avranno due diversi nomi (e quindi diversi indirizzi MAC), cos come avranno nomi diversi una scheda Ethernet ed una scheda wireless posizionate nel medesimo computer. MAC un acronimo che significa Media Access Control e viene utilizzato per l'accesso al mezzo fisico dal livello datalink secondo lo standard ISO/OSI.
CNO_20121107_1304.doc
72
Author:
Lo sniffing in questo caso consiste nell'impostare sull'interfaccia di rete la cosiddetta modalit promiscua, che disattivando questo "filtro hardware" permette al sistema l'ascolto di tutto il traffico passante sulla rete inteso sia come traffico su cavo che via wireless network. In questo caso l'apparato centrale della rete, definito switch107, si occupa di inoltrare su ciascuna porta solo il traffico destinato al dispositivo collegato a quella porta: ciascuna interfaccia di rete riceve, quindi solo i pacchetti destinati al proprio indirizzo ed i pacchetti di broadcast.
Una rete broadcast caratterizzata da processi di comunicazione puntomultipunto in cui i singoli nodi sono connessi tramite lo stesso supporto trasmissivo. Se sono presenti supporti trasmissivi di tipo diverso occorre che alcuni nodi svolgano la funzione di gateway (repeater o bridge) rigenerando l'informazione in modo da essere propagata sul nuovo supporto. In alcuni casi possibile che si voglia impedire tale funzionalit e quindi il gateway sar sostituito da un router configurato per filtrare il traffico (firewall). Se gli elementi della rete utilizzano supporti trasmissivi condivisi, il principale problema che necessario affrontare la gestione dei conflitti nell'uso della rete.
L'impostazione della modalit promiscua quindi insufficiente per poter intercettare il traffico in una rete gestita da switch. In questo caso ci si pu collegare ad una porta chiamata "SPAN" nella terminologica di Cisco, "Roving Analysis" per 3Com e "port mirroring" per gli altri produttori che riceve il traffico circolante su tutte le porte dello switch.
107
Nella tecnologia delle reti informatiche, uno switch, in inglese letteralmente commutatore, un dispositivo di rete che inoltra selettivamente i frame ricevuti verso una porta di uscita. CNO_20121107_1304.doc
73
Author:
Un metodo per poter ricevere tutto il traffico dallo switch da una porta qualunque il MAC_flooding.
Il MAC flooding (detto anche Switch flooding e impropriamente ARP flooding) una tecnica che consiste nell'inviare ad uno switch pacchetti appositamente costruiti per riempire la CAM table dello switch, che associa un indirizzo MAC alla porta a cui questo collegato, di indirizzi MAC fittizi. Questo attacco costringe lo switch ad entrare in una condizione detta di fail open che lo fa comportare come un hub, inviando cos gli stessi dati a tutti gli apparati ad esso collegati. Un'interfaccia di rete in modalit promiscua, cio impostata in modo da leggere anche il traffico che dovrebbe ignorare perch non diretta a lei, diventa cos in grado di intercettare tutte le comunicazioni che attraversano lo switch, avendo accesso al traffico che non dovrebbe nemmeno transitare sul suo segmento di rete. Causare una condizione di fail open in uno switch in genere il primo passo da parte di un attaccante per altri fini, tipicamente effettuare sniffing o un man in the middle. Tool che causano un MAC flooding sono macof della suite dsniff, taranis e Ettercap. Una contromisura efficace al MAC flooding l'utilizzo della caratteristica di "port security" sugli switch Cisco, "packet filtering" sugli switch 3Com o di servizi equivalenti negli switch di altri produttori.
Per intercettare i dati che transitano su reti geografiche si utilizzano tecniche Man in the middle analoghe a quelle accennate in precedenza, operanti per a livello pi alto: possono intervenire a livello di instradamento del traffico IP (routing108) oppure inviare alle vittime informazioni fasulle per quanto riguarda la corrispondenza tra nomi a dominio e indirizzi IP109 sfruttando l'assenza di autenticazione110 del sistema DNS.
108 109
http://it.wikipedia.org/wiki/Routing http://it.wikipedia.org/wiki/Indirizzo_IP 110 http://it.wikipedia.org/wiki/Autenticazione CNO_20121107_1304.doc
74
Author:
7. Un keylogger uno strumento in grado di intercettare tutto ci che un utente digita sulla tastiera del proprio computer. Esistono vari tipi di keylogger:
hardware: vengono collegati al cavo di comunicazione tra la tastiera ed il computer o all'interno della tastiera
software: programmi che controllano e salvano la sequenza di tasti che viene digitata da un utente.
I keylogger hardware sono molto efficaci in quanto la loro installazione molto semplice e il sistema non in grado di accorgersi della loro presenza, quando sono servizi di sistema trasparenti a Windows, non visibili nell'elenco dei programmi aperti quando si digita Ctrl + Alt + Canc. I keylogger software sono invece semplici programmi che rimangono in esecuzione captando ogni tasto che viene digitato e poi, in alcuni casi, trasmettono tali informazioni ad un computer remoto. Spesso i keylogger software sono trasportati ed installati nel computer da worm o trojan ricevuti tramite Internet ed hanno in genere lo scopo di intercettare password e numeri di carte di credito ed inviarle tramite posta elettronica al creatore degli stessi. Sempre a livello software, un programma di Keylogging pu sovrapporsi fra il browser e il mondo internet. In questo caso intercetta le password, comunque vengano inserite nel proprio PC. La password viene catturata indipendentemente dalla periferica di input (tastiera, mouse, microfono): sia che l'utente la digiti da tastiera, sia che l'abbia salvata in un file di testo prima di collegarsi a Internet, e poi si limiti a fare copia/incolla, in modo da evitarne la digitazione, sia questa venga inserita da un programma di dettatura vocale. La connessione pi sicura se il browser mostra il "lucchetto", simbolo di una connessione SSL, o comunque di un protocollo che adotta la crittografia, e se la maschera per l'iserimento dei dati non un applicativo (tipo Java) salvato ed eseguito in locale sul computer: la sicurezza maggiore se si tratta di un applicativo eseguito da remoto sul server, che ritorna la videata finale all'utente.
CNO_20121107_1304.doc
75
Author:
Un livello massimo di protezione si otterrebbe con una tecnologia Digital Rights Management111, che associa alla password un identificativo hardware con il computer. La sicurezza informatica per nei due sensi: lato utente, dall'invio di dati presenti nel suo PC o che digita nel browser; lato Internet, dal download e installazione di contenuti (programmi e musica) protetti dal diritto d'autore. In pratica, difficlmente esiste un modo di orientare questa tecnologia alla massima sicurezza durante la navigazione Internet, che non introduca poi le limitazioni del DRM e della difesa del copyright112, togliendo all'utente la padronanza del mezzo. In alternativa, si possono utiulizzare chiavi univoche di sessione, stringhe numeriche "usa e getta" univoche per ogni tripla (utente, sito acceduto, data con ora). La chiave utente pu funzionare in maniera sincrona o asincrona. In modo sincrono, tramite un token o altra coppia di due dispositivi, uno in possesso dell'utente, l'altro integrato alivello hardware o software col server del sito, che generano la stessa chiave in un dato istante e per una certa ID utente. In maniera asincrona, il sito genera una chiave numerica che invia ad un destinario, collegato univocamente all'utente, e che pu avvenire: in modo automatico o semiautomatico (con un intervento di operatore umano), con la stessa connessione Internet o con un mezzo differente. Il sito pu, quindi, inviare la chiave tramite connessione Internet a un indirizzo e-mail, comunicarla con un messaggio vocale via Skype o farla comprarire in una chat room riservata aperta in MSN o altro programma. Pu anche inviarla con mezzo differente, un SMS al cellulare, una chiamata con voce guida automatica al cellulare o telefono fisso, via fax.
111 112
http://it.wikipedia.org/wiki/Digital_Rights_Management http://it.wikipedia.org/wiki/Copyright
CNO_20121107_1304.doc
76
Author:
8. Lo spoofing si pu identificare in due modi: i) atto di introdursi in un sistema informativo senza averne l'autorizzazione. l'intruso cambia il proprio numero IP113 non valido per l'accesso al sistema, in uno autorizzato; ii) tecnica che permette di rendere le linee di comunicazione sgombre, tramite router114, da pacchetti inviati per il controllo della connessione. Esistono diversi tipi di attacchi spoofing, ma in ogni caso si tratta di far credere alla vittima che si qualcosa di diverso, un hostname, un indirizzo ethernet115 o altro ancora. Si distingue solitamente tra WEB spoofing, MAIL spoofing, SMS spoofing a seconda del servizio che viene attacato Nel caso del web spoofing accade che lutente visita la pagina del web attaccante e sceglie di visitare un server fidato, invece di vedere direttamente la pagina del server fidato, il server web attaccante si connette al sito fidato e preleva la pagina richiesta dal browser client. Con javascript l'host nemico reindirizza la connessione, modifica lo status del browser e disabilita alcune funzioni dei men del browser. La soluzione pi corretta disabilitare javascript dal nostro browser, anche se drastica questa la soluzione migliore. Nel caso di mail spoofing si fa apparire un allegato di una e-mail come se fosse di un tipo diverso da quello che realmente. Questo attacco si basa su una vulnerabilit dei mime type usati per inviare e-mail. Si tratta di una tecnica semplice, i cui effetti possono essere disastrosi: basta modificare in maniera opportuna il nome dell'allegato da inviare, ad esempio trasformare pippo.exe (che ad esempio un virus) in pippo.jpg (che apparentemente sembra unimmagine) e quando l'e-mail arriva il client interpreter il nome dell'allegato solo come pippo.jpg. Lutente cercher di visualizzare il file, ma in realt
113
114
L'Internet Protocol (IP) un protocollo di rete a pacchetto. Nella tecnologia delle reti informatiche un router, in inglese letteralmente instradatore, un dispositivo di rete che si occupa di instradare pacchetti 115 Ethernet il nome di un protocollo per reti locali. E utile osservare che quando si parla dei protocolli Internet bisogna distinguere tra: i) Livello Applicazioni (HTTP, HTTPS , SMTP, POP3, IMAP, FTP, SFTP, DNS, SSH, IRC, SNMP, SIP, RTSP, Rsync, Telnet, DHCP, HSRP, BitTorrent, RTP, SysLog...); ii) Livello di Trasporto (TCP, UDP, SCTP, DCCP ...); iii) Livello di Internetworking (IPv4, IPv6, ICMP, BGP, OSPF, RIP, IGRP, IGMP,IPsec...) ; iv) Livello di Collegamento (Ethernet, WiFi, PPP, Token ring, ARP, ATM, FDDI, LLC, SLIP, WiMAX ...); v) Livello Fisico (Doppino, Fibra ottica, Cavo coassiale, Codifica Manchester, Codifica 4B/5B, Cavi elettrici, ...). CNO_20121107_1304.doc
77
Author:
involontariamente eseguir pippo.exe. L'esecuzione di un programma creato ad hoc pu portare alla perdita di dati oppure all'apertura di back door sulla macchina vittima. Naturalmente nei client di posta elettronica aggiornati non dovrebbe essere presente questa vulnerabilit. L'unica soluzione di difesa a questo tipo di attacco consiste nel non aprire mai gli allegati provenienti da indirizzi di cui non ci fidiamo. Il caso dellSMS spoofing analogo a quello delle MAIL Spoofing: in questo caso le informazioni modificate (ovvero non in chiaro) saranno Destinatario, Numero sorgente del messaggio, Codice di autentificazione del mittente, Tipo di SMS inviato. Fortunatamente i gateway che provvedono allo smistamento e all'instradamento degli SMS sono ormai immuni a questo tipo di attacco.
Lo scopo principale di un gateway quello di veicolare i pacchetti di rete all'esterno della rete locale (LAN). Da notare che gateway un termine generico che indica il servizio di inoltro dei pacchetti verso l'esterno; il dispositivo hardware che porter a termine questo compito tipicamente un router. Nelle reti pi semplici presente un solo gateway che inoltra tutto il traffico diretto all'esterno verso la rete internet. In reti pi complesse in cui sono presenti parecchie subnet, ognuna di queste fa riferimento ad un gateway che si occuper di instradare il traffico dati verso le altre sottoreti o a rimbalzarlo ad altri gateway. Spesso i gateway non si limitano a fornire la funzionalit di base di routing ma integrano altri servizi come proxy DNS, firewall, NAT, etc
CNO_20121107_1304.doc
78
Author:
9. Un trojan o trojan horse (dall'inglese per Cavallo di Troia116), un tipo di malware. Deve il suo nome al fatto che le sue funzionalit sono nascoste all'interno di un programma apparentemente utile; dunque l'utente stesso che installando ed eseguendo un certo programma, inconsapevolmente, installa ed esegue anche il codice trojan nascosto. L'attribuzione del termine "Cavallo di Troia" ad un programma o, comunque, ad un file eseguibile, dovuta al fatto che esso nasconde il suo vero fine. proprio il celare le sue reali "intenzioni" che lo rende un trojan. In genere col termine Trojan ci si riferisce ai trojan ad accesso remoto (detti anche RAT dall'inglese Remote Administration Tool), composti generalmente da 2 file: il file server, che viene installato nella macchina vittima, ed un file client, usato dal pirata per inviare istruzioni che il server esegue. In questo modo, come con il mitico stratagemma adottato da Ulisse, la vittima indotta a far entrare il programma nella citt, ossia, fuor di metafora, ad eseguire il programma. Esistono anche alcuni software legali, come GoToMyPC o PCAnywhere, con funzionalit simili ai trojan, ma che non sono dei cavalli di Troia poich l'utente consapevole della situazione. I trojan non si diffondono autonomamente come i virus (questa tecnica di attacco e' approfondita nel paragrafo successivo) o i worm, quindi richiedono un intervento diretto dell'aggressore per far giungere l'eseguibile alla vittima. Un worm (letteralmente "verme") una particolare categoria di malware in grado di autoreplicarsi. simile ad un virus, ma a differenza di questo non necessita di legarsi ad altri eseguibili per diffondersi. Il termine deriva da un romanzo di fantascienza degli anni 1970 di John Brunner: i ricercatori che stavano scrivendo uno dei primi studi sul calcolo distribuito notarono le somiglianze tra il proprio programma e quello descritto nel libro e ne adottarono il nome. Uno dei primi worm diffusi sulla rete fu Internet Worm, creato da Robert Morris, figlio di un alto dirigente della NSA il 2 novembre 1988, quando internet era ancora agli albori. Tale virus riusc a colpire tra le 4000 e le 6000 macchine,si stima il 4-6% dei computers collegati a quel tempo in rete.
116
http://it.wikipedia.org/wiki/Cavallo_di_Troia
CNO_20121107_1304.doc
79
Author:
Spesso la vittima stessa a ricercare e scaricare un trojan sul proprio computer, dato che i cracker amano inserire queste "trappole" ad esempio nei videogiochi piratati, che in genere sono molto richiesti. Vengono in genere riconosciuti da un antivirus aggiornato, come tutti i malware. Se il trojan in questione non ancora stato scoperto dalle software house degli antivirus, possibile che esso venga rilevato, con la scansione euristica, come probabile malware. Un trojan pu contenere qualsiasi tipo di istruzione; spesso essi sono usati come veicolo per installare delle backdoor o dei keylogger sui sistemi bersaglio. All'incirca negli anni successivi al 2001 o 2002 i trojan incomiciarono ad essere utilizzati sistematicamente per operazioni criminose; in particolare per inviare messaggi di spam117 e per rubare informazioni personali quali numeri di carte di credito e di altri documenti o anche solo indirizzi email. I Trojan di nuova generazione hanno molteplici funzionalit, quali connessioni tramite IRC118 bot, formando appunto Botnet, e opzioni per nascondersi meglio nel sistema operativo.
Una botnet una rete di computer collegati ad internet che, a causa di falle nella sicurezza o mancanza di attenzione da parte dell'utente e
dell'amministratore di sistema, vengono infettati da virus informatici o trojan i quali consentono ai loro creatori di controllare il sistema da remoto. Questi ultimi possono in questo modo sfruttare i sistemi compromessi per scagliare attacchi distribuiti del tipo denial-of-service (DDoS) contro qualsiasi altro sistema in rete oppure compiere altre operazioni illecite, in taluni casi agendo persino su commissione di organizzazioni criminali.
117
Lo spamming (detto anche fare spam) l'invio di grandi quantit di messaggi indesiderati (generalmente commerciali). Pu essere messo in atto attraverso qualunque media, ma il pi usato Internet, attraverso l'e-mail. 118 Internet Relay Chat (IRC) stata la prima forma di comunicazione istantanea (chat) su Internet. Consente sia la comunicazione diretta fra due utenti che il dialogo contemporeaneo di interi gruppi in "stanze" di discussione chiamate "canali". CNO_20121107_1304.doc
80
Author:
Tra le tecniche utilizzabili per l'occultamento ricordiamo i Rootkit.
Un rootkit, (lett. attrezzatura da root, nel senso di amministratore) una tecnologia software in grado di occultare la propria presenza all'interno del sistema operativo. Se vero che questa tecnologia fondamentale per il buon funzionamento del sistema operativo, purtroppo negli anni sono stati creati trojan e altri programmi maligni in grado di ottenere il controllo di un computer da locale o da remoto in maniera nascosta, ossia non rilevabile dai pi comuni strumenti di amministrazione e controllo. I rootkit vengono tipicamente usati per nascondere delle backdoor. Negli ultimi anni, tuttavia, s' molto diffusa la pratica tra i creatori di malware di utilizzare rootkit per rendere pi difficile la rilevazione di particolari trojan e spyware, indipendentemente dalla presenza in essi di funzioni di backdoor, proprio grazie alla possibilit di occultarne i processi principali.
CNO_20121107_1304.doc
81
Author:
10. Un virus (informatico) un frammento di software, appartenente alla categoria dei malware, che in grado, una volta eseguito, di infettare dei file in modo da riprodursi facendo copie di s stesso, generalmente senza farsi rilevare dall'utente. I virus possono essere o non essere direttamente dannosi per il sistema operativo che li ospita, ma anche nel caso migliore comportano un certo spreco di risorse in termini di RAM, CPU e spazio sul disco fisso. Come regola generale si assume che un virus possa danneggiare direttamente solo il software della macchina che lo ospita, anche se esso pu indirettamente provocare danni anche all'hardware, ad esempio causando il
surriscaldamento della CPU mediante overclocking, oppure fermando la ventola di raffreddamento.
Loverclocking l'operazione atta a spingere un componente elettronico (in genere una CPU) ad una frequenza maggiore rispetto a quella dichiarata dal costruttore, marchiata sul package della CPU, al fine di massimizzarne le prestazioni. Questo procedimento analogo all'elaborazione ("truccare" in gergo) delle automobili e delle moto. In italiano viene anche utilizzato il neologismo overcloccare (italianizzato dal termine inglese overclocking). Nel caso delle CPU, di cui si parla in generale ai soli fini esemplificativi, ci che viene alterato l'orologio interno del sistema, che determina quanti cicli di operazioni la CPU del computer debba eseguire nell'unit di tempo. Cambiando la frequenza alla quale questi cicli vengono eseguiti, in alcuni casi, possibile aumentare o diminuire il numero delle operazioni nell'unit di tempo eseguite dal componente coinvolto. A livello pratico si tratta di una operazione perfettamente legale ma che invalida istantaneamente la garanzia del prodotto oggetto della manipolazione, anche se, in caso di guasto di un componente, sovente difficile scoprirne la causa reale.
CNO_20121107_1304.doc
82
Author:
Nell'uso comune il termine virus viene frequentemente usato come sinonimo di malware, indicando quindi di volta in volta anche categorie di "infestanti" diverse, come ad esempio worm, trojan o dialer.
Un dialer un programma per computer di pochi kilobyte che crea una connessione ad Internet, a un'altra rete di calcolatori o semplicemente a un altro computer tramite la comune linea telefonica o un collegamento ISDN. In inglese to dial significa comporre, ma per quanto le diverse accezioni del termine esistano anche nella lingua originale, comunemente si intendono programmi associati a elevate tariffazioni, spesso nascondendo frodi e truffe. Nel senso pi tecnico del termine, esistono comunque dialer legittimi.
Un virus composto da un insieme di istruzioni, come qualsiasi altro programma per computer. solitamente composto da un numero molto ridotto di istruzioni, (da pochi byte ad alcuni kilobyte), ed specializzato per eseguire soltanto poche e semplici operazioni e ottimizzato per impiegare il minor numero di risorse, in modo da rendersi il pi possibile "invisibile". Caratteristica principale di un virus quella di riprodursi e quindi diffondersi nel computer ogni volta che viene aperto il file infetto. Tuttavia, un virus di per s non un programma eseguibile, cos come un virus biologico non di per s una forma di vita. Un virus, per essere attivato, deve infettare un programma ospite, o una sequenza di codice che viene lanciata automaticamente, come ad esempio nel caso dei boot sector virus. La tecnica solitamente usata dai virus quella di infettare i file eseguibili: il virus inserisce una copia di s stesso nel file eseguibile che deve infettare, pone tra le prime istruzioni di tale eseguibile un'istruzione di salto alla prima linea della sua copia ed alla fine di essa mette un altro salto all'inizio dell'esecuzione del programma. In questo modo quando un utente lancia un programma infettato viene dapprima impercettibilmente eseguito il virus, e poi il programma. L'utente vede l'esecuzione del programma e non si accorge che il virus ora in esecuzione in memoria e sta compiendo le varie operazioni contenute nel suo codice.
CNO_20121107_1304.doc
83
Author:
Si possono distinguere due fasi di un virus:
quando solo presente su un supporto di massa (disco fisso, CD, DVD, etc) il virus inerte, anche se copiato sul proprio PC non in grado di fare nulla fino a quando non viene eseguito il programma che lo ospita;
quando stato caricato in memoria RAM il virus diventa attivo ed inizia ad agire.
Principalmente un virus esegue copie di s stesso spargendo l'epidemia, ma pu avere anche altri compiti molto pi dannosi (cancellare o rovinare dei file, formattare l'hard disk, aprire delle back door, far apparire messaggi, disegni o modificare l'aspetto del video, ...) Il termine "virus" venne usato la prima volta da Fred Cohen (1984) nel suo scritto Experiments with Computer Viruses (Esperimenti con i virus per computer), dove egli indic Len Adleman come colui che aveva coniato tale termine. Nel 1972 David Gerrold scrisse un romanzo di fantascienza La macchina di D.I.O. (When H.A.R.L.I.E. was One), dove presente una descrizione di un programma per computer chiamato "VIRUS" che fa esattamente le stesse cose di un virus. Nel 1975 John Brunner scrisse il romanzo Codice 4GH (The Shockwave Rider) in cui sono descritti programmi chiamati "tapeworms" che si infiltrano nella rete con lo scopo di cancellare tutti i dati. Nel 1973 la frase "virus del computer" era stata usata nel film Il mondo dei robot (Westworld). Il termine "virus del computer" con il significato corrente inoltre presente anche nell'albo a fumetti "Uncanny X-Men" n. 158, pubblicato nel 1982. Si pu dunque affermare che Cohen fece per primo uso della parola virus solo in campo accademico, dato che questa era gi presente nella lingua parlata. Un programma chiamato "Elk Cloner" accreditato come il primo virus per computer apparso al mondo. Fu creato nel 1982 da Rich Skrenta sul DOS 3.3 della Apple e l'infezione era propagata con lo scambio di floppy disk. Nel corso degli anni ottanta e nei primi anni novanta fu lo scambio dei floppy la modalit prevalente del contagio da virus informatici. Dalla met degli anni novanta, invece, con la diffusione di internet, i virus e i malware in generale iniziarono a diffondersi assai pi velocemente, usando la rete e lo scambio di e-mail come fonte per nuove infezioni.
CNO_20121107_1304.doc
84
Author:
Ogni sistema operativo che permette l'esecuzione di programmi scritti da terzi un potenziale sistema attaccabile da virus 119, per bisogna anche riconoscere che ci sono sistemi operativi meno sicuri di altri. I sistemi operativi della Microsoft sono i pi colpiti dai virus (anche a causa della loro diffusione tra un pubblico di 'non addetti ai lavori'), ma esistono virus sperimentali anche per altre piattaforme. Sui sistemi basati sul progetto GNU (GNU/Linux, GNU/Hurd, BSD, ...) e su Mac OS X la diffusione di un virus molto improbabile se il sistema gestito correttamente dal proprietario; inoltre, su questi sistemi un virus molto difficilmente pu riuscire a causare danni al sistema operativo. I virus informatici pi semplici sono composti da due parti essenziali, sufficienti ad assicurarne la replicazione:
una routine di ricerca, che si occupa di ricercare dei file adatti ad essere infettati dal virus e controlla che gli stessi non ne contengano gi una copia, in modo da evitare l'infezione ripetuta di uno stesso file;
una routine di infezione, con il compito di copiare il codice del virus all'interno di ogni file selezionato dalla routine di ricerca in modo che venga eseguito ogni volta che il file infetto viene aperto, in maniera trasparente rispetto all'utente.
Molti virus sono progettati per eseguire del codice estraneo alle finalit di replicazione del virus stesso e contengono dunque altri due elementi:
la routine di attivazione, che contiene i criteri in base ai quali il virus decide se effettuare o meno l'attacco (es. una data, o il raggiungimento di un certo numero di file infetti);
il payload, una sequenza di istruzioni in genere dannosa per il sistema ospite, come ad esempio la cancellazione di alcuni file o la visualizzazione di messaggi sullo schermo.
119
In coincidenza con la diffusione della rete, alla met degli anni novanta, i virus, che precedentemente infettavano direttamente i sistemi operativi, le applicazioni o i dischi, furono surclassati in quanto a diffusione dai macro-virus, macro scritte nel linguaggi di scripting di programmi di Microsoft come MS-Word ed Outlook. Anche questi virus (tra cui merita una citazione particolare " I love you", ideato dallo studente filippino Onel De Guzman) infettano soprattutto le varie versioni dei programmi Microsoft attraverso lo scambio di documenti.
CNO_20121107_1304.doc
85
Author:
I virus possono essere criptati e magari cambiare algoritmo e/o chiave ogni volta che vengono eseguiti, quindi possono contenere altri tre elementi:

una routine di decifratura, contenente le istruzioni per decifrare il codice del virus; una routine di cifratura, di solito criptata essa stessa, che contiene il procedimento per criptare ogni copia del virus;
una routine di mutazione, che si occupa di modificare le routine di cifratura e decifratura per ogni nuova copia del virus.
Alcuni virus vengono denominati in maniera particolare a seconda che possiedano a meno determinate caratteristiche. In particolare possiamo distinguere le seguenti tipologie di virus informatico: Virus polimorfico: un virus, di solito, viene criptato lasciando in chiaro solo la routine di decriptazione. Un virus polimorfico modifica il codice della routine di decriptazione ad ogni nuova infezione (lasciando ovviamente invariato l'algoritmo) mediante tecniche di inserimento di codice spazzatura, permutazione del codice, etc... Virus metamorfico: simile al virus polimorfico, per in grado di mutare completamente il proprio codice, pi potente del virus polimorfico in quanto alcuni software antivirus possono riconoscere un virus dal codice anche durante l'esecuzione. Inoltre a volte impiega tecniche di mascheramento avanzate basate sulla divisione del proprio codice e successivo inserimento delle parti all'interno di diversi punti del file infetto (i virus convenzionali inseriscono il codice integralmente in fondo al file cambiando l'entry point per far eseguire per primo il codice maligno), lasciando inoltre invariato l'entry point per rendere ancora pi difficile la vita agli antivirus. C' da dire anche che la criptazione dei virus metamorfici non necessaria. Exe virus: virus che infettano i file eseguibili.EXE. Com virus: virus che infettano i file di comando.COM (ormai rari). Companion virus: virus che sfruttano la caratteristica dei sistemi ms-dos che consiste nell'eseguire prima un file di comando.COM e poi un eseguibile.EXE in caso abbiano lo stesso nome di file (es. tra PROGRAM.EXE e PROGRAM.COM se si avvia
CNO_20121107_1304.doc
86
Author:
PROGRAM senza specificarne l'estensione verr prima lanciato PROGRAM.COM), in questo modo i virus creano dei "gemelli" (companion) che sono copie del virus stesso che, dopo essere stati eseguiti, lanciano il relativo.EXE mascherandosi (tale tipologia ormai rara). Virus di boot: un tipo di virus ormai poco diffuso, che infetta il boot sector dei dischi (floppy disk o hard disk) invece che i singoli file. Macrovirus: pu essere contenuto generalmente in un documento di Microsoft Word, Microsoft Excel o Microsoft PowerPoint e consiste in una macro120; pu diffondersi a tutti i documenti che vengono aperti con quella particolare applicazione. Questo tipo di virus pu essere trasmesso da una piattaforma all'altra, limitatamente a quelle su cui gira MS Office, a causa dello scambio di file. Retrovirus: virus che si annida nei programmi antivirus e li mette fuori uso. Il nome deriva dai retrovirus biologici, in grado di attaccare il sistema immunitario (come, ad esempio, l'HIV). Virus multipiattaforma: ci sono stati vari tentativi per creare virus che infettassero pi sistemi operativi funzionanti sotto la stessa architettura hardware e lo stesso processore, ma si sono rilevati degli insuccessi o hanno avuto un successo molto limitato. Un esempio il virus winux che in teoria pu infettare sia i sistemi operativi della Microsoft che quelli unix-like (es: GNU/Linux) giranti sotto CPU x86. In generale questi tipi di virus multipiattaforma si possono difficilmente inserire su un sistema unix-like: di solito la diffusione avviene solo se l'utente esegue un allegato di una mail, ipotesi gi di per se abbastanza remota, e perch un allegato, appena salvato, non pu essere eseguito se non gli vengono assegnati i permessi di esecuzione, quindi si pu scartare il caso che l'esecuzione sia accidentale; in altri casi addirittura deve essere l'utente root ad eseguire l'allegato, cosa ancora pi improponibile per chi sa gestire un sistema di tale tipo. Il successo di questo tipo di virus circoscritto al novero dei sistemi operativi della Microsoft, dove invece possibile quasi sempre eseguire un allegato, anche solo per errore.
120
Il termine macro sta ad indicare una procedura ricorrente durante l'esecuzione di un programma. Una macro concettualmente molto simile ad una funzione, pu essere richiamata da eventi ed essere parametrizzata.
CNO_20121107_1304.doc
87
Author:
Ci che distingue i virus propriamente detti dai worm la modalit di replicazione e di diffusione: un virus un frammento di codice che non pu essere eseguito separatamente da un programma ospite, mentre un worm un applicativo a s stante. Inoltre, alcuni worm per diffondersi sfruttano delle vulnerabilit di sicurezza, e non dipendono quindi dal fatto di ingannare l'utente per farsi eseguire. Prima della diffusione su larga scala delle connessioni ad Internet, il mezzo prevalente di diffusione dei virus da una macchina ad un'altra era lo scambio di floppy disk contenenti file infetti o un virus di boot. Il veicolo preferenziale di infezione invece oggi rappresentato dalle comunicazioni e-mail e dalle reti di tipo peer to peer. Generalmente per peer-to-peer (o P2P) si intende una rete di computer o qualsiasi rete informatica che non possiede client o server fissi, ma un numero di nodi equivalenti (peer, appunto) che fungono sia da client che da server verso altri nodi della rete. Questo modello di rete l'antitesi dell'architettura client-server. Mediante questa configurazione qualsiasi nodo in grado di avviare o completare una transazione. I nodi equivalenti possono differire nella configurazione locale, nella velocit di elaborazione, nella ampiezza di banda e nella quantit di dati memorizzati. L'esempio classico di P2P la rete per la condivisione di file (File sharing). In Microsoft tendono a definire con il termine peertopeer una rete di due o pi computer in cui tutti gli elaboratori occupano la stessa posizione gerarchica. Tale modalit normalmente conosciuta con il termine Gruppo di Lavoro, in antitesi alle reti in cui presente un dominio centralizzato. Nei sistemi informatici Windows di consuetudine usare il registro di sistema121 per inserire in chiavi opportune dei nuovi programmi creati ad hoc dal programmatore di virus che partono automaticamente all'avvio. Uno dei punti deboli del sistema Windows proprio il suo registro di configurazione.
121
Per registro di sistema si intende la base di dati in cui sono custodite le opzioni e impostazioni del sistema operativo. Il concetto di registro di sistema legato soprattutto ai sistemi operativi Microsoft Windows. CNO_20121107_1304.doc
88
Author:
Esistono vari programmi per tenere d'occhio le chiavi pericolose del registro di Windows, uno di questi Absolute Startup, che ad intervalli di tempo regolari esegue una scansione delle zone a rischio del registro per vedere se un nuovo virus o programma anomalo stato aggiunto in quelle chiavi. La scarsa conoscenza dei meccanismi di propagazione dei virus e il modo con cui spesso l'argomento viene trattato dai mass media favoriscono la diffusione tanto dei virus informatici quanto dei virus burla, detti anche hoax: essi sono messaggi che avvisano della diffusione di un fantomatico nuovo terribile virus con toni catastrofici e invitano il ricevente ad inoltrarlo a quante pi persone possibile. chiaro come questi falsi allarmi siano dannosi in quanto aumentano la mole di posta indesiderata e diffondono informazioni false, se non addirittura dannose. Oggi sono ben pochi i codici malevoli ai quali si pu attribuire, propriamente, il nome di virus. Quando un tempo lo scambio dei file avveniva tramite supporti fisici, generalmente i floppy, erano questi ad essere veicolo delle infezioni e pertanto era importante, volendo creare un virus che si diffondesse, che questo fosse il pi silenzioso possibile. Venivano scritti in assembly e questo li rendeva piccoli, performanti ed insidiosi seguendo la regola: se non sai cosa cercare figurati se sai come farlo. Parlando oggi di virus, entrando nel particolare, si commette per un errore. Si intende quindi, con il termine virus, tutto il codice malevolo in grado di arrecare danno ad un utente. Lo scambio di file tramite dispositivi fisici quali il floppy, il quasi totale abbandono degli stessi per effettuare una procedura di boot e di ripristino, ha reso obsoleto il vecchio concetto di virus, un piccolo codice malevolo difficile da individuare. Nondimeno le macchine sono sempre pi performanti, gli utenti sempre di pi e (in media) sempre meno preparati, la banda larga e' dispoibile per tutti. Le informazioni viaggiano da un capo all'altro del pianeta senza vincoli fisici ormai, e cos anche il codice malevolo. Il vecchio concetto di virus stato sostituito con quello pi moderno di worm. I worm non sono pi scritti in assembly ma in linguaggi di programmazione di livello sempre pi alto, in stretta connivenza con il sistema operativo, nella quasi totalit dei casi Windows, e le sue vulnerabilit. Tutto questo rende la stesura di un codice malevolo molto pi semplice che in passato ed il gran numero e la diversit di worm con rispettive varianti ne un esempio lampante. Questi nuovi tipi di infezioni
CNO_20121107_1304.doc
89
Author:
penetrano nel sistema quasi sempre "da soli" sfruttando le vulnerabilit, non fanno molto per nascondersi, si replicano come vermi anzich infettare i file, che un'operazione pi complessa ed ormai in disuso. Ultimamente vanno molto di moda payload altamente distruttivi o che espongono la vittima ad altri tipi di attacchi.
Un payload una runtime presente in un virus informatico che ne estende le funzioni oltre l'infezione del sistema. Si intende con payload quindi qualsiasi operazione a tempo determinato, casuale o attivata da un trigger che un virus o worm manda in esecuzione. Questa pu essere di distruzione parziale o totale di informazioni, la loro diffusione non autorizzata, l'invio di email a tutti gli utenti della rubrica ed automazioni simili.
La vita dei worm generalmente pi breve di quella di un virus perch identificarlo, grazie ad internet, diventato un business (ora pi grande che in tempi passati) ed probabilmente questo che porta sempre pi spesso gli ideatori a voler un ciclo di vita pi breve anche per la macchina che lo ospita e qualche capello in meno all'utente. I worm agiscono sempre pi spesso come retrovirus e, volendo correre pi veloce delle patch che correggono le vulnerabilit che ne hanno permesso la diffusione, spesso ci si trova ad aggiornare l'antivirus quando il codice ha gi preso piede nel sistema. Moltri programmatori di virus ai nostri giorni, ma soprattutto nel passato, si sono scambiati sorgenti di virus per capire nuove tecniche di programmazione (come sistemi di infezione o di proliferazione). Molti scambi di virus sono avvenuti tramite siti web chiamati VX. VX significa Virus eXchange. Al giorno d'oggi i siti (almeno quelli pubblici) dedicati al VX sono rimasti pochi. Viceversa esistono dei siti underground che contengano dei database di virus recenti accessibili solo a crew di virus writer.
CNO_20121107_1304.doc
90
Author:
11. DoS la sigla di Denial of Service, letteralmente negazione del servizio. In questo tipo di attacco si cerca di portare il funzionamento di un sistema informatico che fornisce un servizio, ad esempio un sito web, al limite delle prestazioni, lavorando su uno dei parametri d'ingresso, fino a renderlo non pi in grado di erogare il servizio. Gli attacchi vengono abitualmente attuati inviando molti pacchetti di richieste, di solito ad un server Web, FTP122 o di posta elettronica saturandone le risorse e rendendo tale sistema "instabile", quindi qualsiasi sistema collegato ad Internet e che fornisca servizi di rete basati sul TCP123 soggetto al rischio di attacchi DoS. Inizialmente questo tipo di attacco veniva attuata dai "cracker", come gesto di dissenso etico nei confronti dei siti web commerciali e delle istituzioni. Oggi gli attacchi DoS hanno la connotazione decisamente pi "criminale" di impedire l'accesso ai siti web dai computer, di utenti inconsapevoli, violati da un cracker, per produrre il flusso incontenibile di dati che travolgeranno come una valanga anche i link pi capienti del sito bersaglio. La probabilit sempre minore di incontrare sistemi veramente vulnerabili ha fatto s che siano diminuiti gli attacchi DoS pi eclatanti, per si scoperta un'estrema vulnerabilit della rete per l'aumento costante della potenza operativa degli attuali personal computer e dell'accesso ad Internet tramite i sistemi DNS. Domain Name Service (spesso indicato con DNS) un servizio utilizzato per la risoluzione di nomi di host in indirizzi IP e viceversa. Il servizio realizzato tramite un database distribuito, costituito dai server DNS. Il nome DNS denota anche il protocollo che regola il funzionamento del servizio, i programmi che lo implementano, i server su cui questi girano, l'insieme di questi server che cooperano per fornire il servizio. I nomi DNS, o "nomi di domino", sono una delle caratteristiche pi visibili di Internet. C' confusione in merito alla definizione dell'acronimo: la S spesso viene interpretata come service, ma la definizione corretta system. L'operazione di convertire un nome in un indirizzo detta risoluzione DNS, convertire un indirizzo IP in nome detto risoluzione inversa.
122 123
http://it.wikipedia.org/wiki/File_Transfer_Protocol http://it.wikipedia.org/wiki/Transmission_Control_Protocol
CNO_20121107_1304.doc
91
Author:
L'implementazione del protocollo TCP/IP124, che non garantisce particolare sicurezza sull'identificazione dei mittenti di pacchetti ma anzi ne protegge l'anonimato, pu venir sfruttato per mascherarne la vera provenienza. Trattandosi di connessioni apparentemente legittime, impossibile bloccarle senza interrompere anche il flusso realmente inoffensivo. Per limitando drasticamente il numero di sessioni aperte simultaneamente l'impatto dell'attacco si riduce considerevolmente senza bloccare il flusso dei pacchetti regolari. Anche limitando il discorso al blocco di un sito web, esistono, e sono stati utilizzati, parecchi modi di ottenere questo risultato. Gli attacchi portati avanti da un singolo host125 sono potenzialmente rintracciabili. Il pi banale, e storicamente il primo, si chiama Syn-Flood o Syn-Flooding, letteralmente "inondazione di pacchetti di tipo Syn". Tutte le volte che un utente fa click su di un link di una pagina web richiede l'apertura di una connessione (di tipo TCP) verso quel sito; questo avviene seguendo una serie di passi, il primo dei quali consiste nell'invio di un pacchetto TCP che richiede l'apertura di una connessione. Le regole di funzionamento del protocollo TCP esigono che il sistema risponda allocando alcune risorse (in pratica memoria) per la connessione. Se si programma opportunamente un semplice PC, possibile richiedere l'apertura di diverse migliaia di connessioni al secondo, che "inondando" il server, ne consumano rapidamente tutta la memoria, bloccandolo o mandandolo in crash. Il problema di questo tipo di attacco che il computer attaccante deve poter mandare il flusso di pacchetti attraverso la connessione ad Internet fino al server attaccato.
124
La suite di protocolli Internet un insieme di protocolli di rete che implementa la pila di protocolli su cui funziona Internet. A volte, per sineddoche, chiamata suite di protocolli TCP/IP, in funzione dei due pi importanti protocolli in essa definiti: il Transmission Control Protocol (TCP) e l'Internet Protocol (IP). 125 Si definisce host o end system (terminali) ogni terminale collegato ad Internet. Gli host possono essere di diverso tipo, ad esempio computer, palmari, dispositivi mobili e cos via, fino a includere web TV, dispositivi domestici e thin client. L'host definito in questo modo perch ospita programmi di livello applicativo che sono sia client (ad esempio browser web, reader di posta elettronica), sia server (ad esempio, web server). Uno stesso host pu agire contemporaneamente da client e da server, in particolare con le applicazioni peer to peer. CNO_20121107_1304.doc
92
Author:
L'utente malintenzionato deve poter fornire delle "credenziali" di accesso valide per usufruire della vulnerabilit insorta nel sistema operativo e portare a termine, efficacemente, l'attacco al sito bersaglio. I pacchetti dannosi predisposti con un Indirizzo IP, falsificato rispetto all'originale, procureranno al computer "vulnerabile" una situazione, temporanea, di Denial of Service' poich le connessioni che sono normalmente disponibili, sia per i buoni che per i cattivi, sono lente, questo diventa impossibile. L'attacco Syn-Flood usa strumenti che rientrano nella categoria Tribe Flood Network (TFN) ed agisce creando delle connessioni che si rivelano aperte a met. Il protocollo classico usato nei DoS il Ping126, inviandone a milioni si riuscir a bloccare l'operativit di qualunque sito Internet, ma trattandosi di un modello di attacco "uno a uno", ad un pacchetto in uscita corrisponder la ricezione di un solo pacchetto al sistema attaccato. Occorrer quindi che i cracker possano disporre di un gran numero di PC client, "controllati", ma non cos facile "inoculare" il codice maligno in un numero tanto elevato di macchine grazie all'azione specifica di antivirus, patch di sicurezza e tecnici informatici. Una modalit di attacco pi sofisticata, detta Smurf attack, utilizza un flusso di pacchetti modesto, in grado di passare attraverso una normale connessione via modem, ed una rete esterna, che sia stata mal configurata, che agisce da moltiplicatore di pacchetti, i quali si dirigono infine verso il bersaglio finale lungo linee di comunicazione ad alta velocit. Tecnicamente, viene mandato uno o pi pacchetti di broadcast verso una rete esterna composta da un numero maggiore possibile di host e con l'indirizzo mittente che punta al bersaglio (broadcast storm). Ad esempio pu venir usata una richiesta echo ICMP (Internet Control Message Protocol) precedentemente falsificata da chi attua
materialmente l'attacco informatico. Si noti che questo tipo di attacco possibile solo in presenza di reti che abbiano grossolani errori di configurazione dei sistemi (detti router) che le collegano tra loro e con Internet.
126
Ping un programma disponibile sui principali sistemi operativi che misura il tempo, espresso in millisecondi, impiegato da uno o pi pacchetti ICMP a raggiungere un altro computer o server in rete (sia essa Internet o LAN) ed a ritornare indietro all'origine. prettamente utilizzato per conoscere la presenza e la raggiungibilit di un altro computer connesso in rete. CNO_20121107_1304.doc
93
Author:
12. Una variante dellapproccio precedente dattacco il DDoS (Distributed Denial of Service) dal funzionamento identico ma realizzato utilizzando numerose macchine attaccanti che insieme costituiscono una botnet. Gli attaccanti tendono a non esporsi direttamente, dato che per le forze dell'ordine sarebbe relativamente semplice risalire ai computer utilizzati per l'attacco. Gli attaccanti, per evitare di essere individuati e per avere a disposizione un numero sufficiente di computer per l'attacco, inizialmente infettano un numero elevato di computer con dei virus o worm che lasciano aperte delle backdoor a loro riservate. I computer che sono controllati dall'attaccante vengono chiamati zombie. Quando il numero di zombie ritenuto adeguato, o quando scatta una specifica data, i computer infetti si attivano e sommergono il server bersaglio di false richieste. Con l'avvento della banda larga il fenomeno dei DDOS sta assumendo proporzioni preoccupanti, dato che attualmente esistono milioni di persone dotate di una connessione ad Internet molto veloce e permanente ma con scarse o nulle conoscenze e contromisure riguardanti la sicurezza informatica. Il danno maggiore dell'attacco di tipo DDoS dovuto principalmente alla "asimmetria" che si viene a creare tra la richiesta e le risposte correlate in una sessione DNS ( Domain Name System). Il flusso enorme di risposte generato provochera' nel sistema una tale "inondazione" di traffico rendendo il server inadeguato alla gestione delle abituali funzioni on-line. Inoltrando, al Sito preso di mira, una risposta di alcuni Kilobyte, per ogni richiesta contenente solo pochi bytes, si ottiene un'amplificazione tale da saturare i canali dati pi capienti, raggiungendo con il DDoS livelli finora inattuabili con gli altri tipi di attacco DoS. Le configurazioni predefinite, standard e quelle "consigliate" di firewall si rivelano utili a contrastare solo gli "attacchi" sferrati dall'esterno, ad esempio di un ente, ma poich il traffico in Rete gestito tramite sistema DNS vitale, per fronteggiare questo tipo di attacco non si potranno attuare le stesse strategie impiegate nei confronti degli attacchi Ping.
CNO_20121107_1304.doc
94
Author:
Quindi il Network manager dovr tenere scrupolosamente sotto controllo e monitoraggio i canali di flusso dati e, per escludere l'intervento o contrastare l'azione di un cracker, riconfigurer il DNS responsabile del sito. Una particolare categoria di DDoS il cosiddetto Distributed Reflection Denial of Service (DRDoS). In questa particolare tipologia di attacco, il computer attaccante produce delle richieste di connessione verso server con connessioni di rete molto veloci utilizzando come indirizzo di provenienza non il proprio bens quello del bersaglio dell'attacco. In questo modo i server risponderanno affermativamente alla richiesta di connessione non all'attaccante ma al bersaglio dell'attacco. Grazie all'effetto moltiplicatore dato dalle ritrasmissioni dei server contattati, che a fronte della mancanza di risposta da parte del bersaglio dell'attacco (apparentemente l'iniziatore della connessione) provvederanno a ritrasmettere (fino a 3 volte solitamente) il pacchetto immaginandolo disperso, rapidamente esaurendo le risorse del bersaglio. Quest'ultimo tipo di attacco particolarmente subdolo perch, a causa della natura delle risposte, difficilmente schermabile dall'utente comune: infatti se si filtrassero le risposte dei server verrebbe compromessa la funzionalit stessa della connessione di rete impedendo, di fatto, la ricezione anche delle informazioni desiderate. Le risposte dei server, sollecitate dall'attaccante, sono infatti indistinguibili da quelle generate da una richiesta legittima della vittima. Il problema si sta presentando con maggiore incidenza da quando Microsoft ha deciso di rendere le "Raw Sockets", interfaccia di accesso al TCP/IP, facilmente disponibili. Le RAW sockets permettono appunto di cambiare l'indirizzo di provenienza del pacchetto per sostituirlo con quello della vittima, fatto che strumentale per questo tipo di attacco.
CNO_20121107_1304.doc
95
Author:
13. Nel campo della sicurezza delle informazioni per Ingegneria Sociale (dall'inglese social engineering) si intende lo studio del comportamento individuale di una persona al fine di carpire informazioni. Questa tecnica anche un metodo (improprio) di crittanalisi quando usata su una persona che conosce la chiave crittografica di un sistema. Similmente al metodo del tubo di gomma127 pu essere un modo sorprendentemente efficiente per ottenere la chiave, soprattutto se comparato ad altri metodi crittanalitici. Con l'evoluzione del software, l'uomo ha migliorato i programmi a tal punto che essi presentano pochi bug (errori che i programmatori generalmente commettono quando creano un software). Per un cracker sarebbe impossibile attaccare un sistema informatico in cui non riesce a trovare bug. Quando ci accade l'unico modo che il cracker ha per procurarsi le informazioni di cui necessita quello di attuare un attacco di ingegneria sociale. Un ingegnere sociale (social engineer) per definirsi tale deve saper fingere, sapere ingannare gli altri, in una parola saper mentire. Un social engineer molto bravo a nascondere la propria identit, fingendosi un'altra persona: in tal modo egli riesce a ricavare informazioni che non potrebbe mai ottenere con la sua identit reale. Nel caso sia un cracker, pu ricavare informazioni attinenti ad un sistema informatico. Il social engineering quindi una tecnica per ricavare informazioni molto usata dagli hacker esperti e dalle spie, e dato che comporta (nell'ultima fase dell'attacco) il rapporto pi diretto con la vittima, questa tecnica una delle pi importanti per carpire informazioni. In molti casi il cosiddetto ingegnere potr riuscire a ricavare tutto ci che gli serve dalla vittima ignara.
127
http://it.wikipedia.org/wiki/Metodo_del_tubo_di_gomma
CNO_20121107_1304.doc
96
Author:
5.4 Analisi degli impatti di un CNA

La caratterizzazione degli effetti desiderati di un Cyber Network Attack va differenziata sulla base della tipologia dei computer network che e obiettivo dellattacco. In particolare, possiamo distinguere essenzialmente tra due principali tipi di reti di computer: da un lato ci sono i sistemi informativi, che includono basi di dati, documenti, pagine web, posta elettronica, mentre dallaltro lato abbiamo i sistemi di contr ollo di infrastrutture, ad esempio le infrastrutture energetiche, chimiche, nucleari, idriche o i sistemi di difesa aerea integrata ad esempio. Mentre gli effetti desiderati di un attacco ad un sistema informativo sono tipicamente connessi ad un potere decisionale umano, quelli relativi ad attacchi ad infrastrutture di controllo sono spesso finalizzati alla disattivazione o distruzione di un obiettivo fisico. Tuttavia tali effetti non sono affatto disgiunti, in quanto se anche lobiettivo previsto di un CNA e un sistema informativo, leffetto derivante e diretto alle persone128. A tal proposito, e utile citare il Dr. Dan Kuehl, docente alla National Defense University negli Stati Uniti: lobiettivo finale deve essere mirato agli uomini. Esso puo consistere in un decision maker, ma puo anche consistere in 5 milioni di abitanti di un paeseSi stanno effettuando azioni su reti di hardware e software come mezzo per influenzare gli uomini 129. Unaltra prospettiva per lanalisi degli effetti desiderati di un CNA consiste nei livelli di guerra; la teoria militare contemporanea, infatti, identifica tre differenti livelli di guerra: tattico, operazionale e strategico. Un CNA puo supportare operazioni tattiche di combattimento, inclusa la soppressione della difesa aerea nemica (SEAD, Suppression of Enemy Air Defense), operazioni di inganno psicologico o militare; queste ultime possono essere utilizzate molto proficuamente anche a livello operazionale di battaglia. La capacita di interrompere le operazioni sul web di un obiettivo puo, ad esempio, limitare o annullare le sue capacita di recruiting o minare la sua immagine.
128
Timothy D. Presby, Computer Network Attack and Its Effectiveness against Non-State Actors, Naval War College, Department of Joint Military Operations, 2006. 129 Dan Kubel, Information Operations Interview with Professor Dan Kuehl, Infocom Magazine, 2003 CNO_20121107_1304.doc
97
Author:
I CNA possono essere impiegati anche a livello strategico, ma a livello operazionale hanno maggiori possibilita di successo quando vengono imp iegati come parte di una campagna integrata di Information Operations grazie alla loro forte capacita di influenza e persuasione sui decision maker dei sistemi informativi. Infine, un CNA puo essere utilizzato con scopi difensivi: la difesa attiva, infat ti, consiste nellattaccare preventivamente i sistemi informativi o informatici nemici che potrebbero attaccare le reti informatiche alleate. Possiamo quindi affermare che, mentre gli obiettivi di un CNA sono chiaramente i sistemi informativi avversari, gli effetti desiderati coinvolgono i decision makers umani a tutti i livelli. 5.3.1 Misura degli effetti di un CNA E possibile misurare lefficacia di un Computer Network Attack sulla base di una serie di parametri al fine di valutare se le attivita condot te abbiano ottenuto o meno gli effetti desiderati, in relazione alla missione complessiva ed agli obiettivi individuati. Alcuni criteri generali sono certamente gli effetti in relazione agli obiettivi individuati, i risultati misurabili e la tempestivita di un attacco130; e tuttavia utile effettuare anche unanalisi qualitativa degli effetti di un CNA anche in termini di sinergia, equilibrio, influenza, simultaneita e profondita. Obiettivo Cosi come qualsiasi forma di attacco, prima di effettuare un CNA e necessario aver stabilito in maniera chiara lobiettivo ed i risultati raggiungibili. Bisogna quindi valutare se il CNA e stato definito in maniera chiara; ad esempio, e un attacco mirato ad una capacita di comando e controllo, come le email, oppure e mirato a strumenti di propaganda e reclutamento, come i siti web? Lattacco puo risultare decisivo? O ancora, il CNA e una opzione realistica e raggingibile per un comandante operativo? Questultimo fattore e particolarmente difficile da inquadrare nel caso di attori non governativi o gruppi terroristici. Questi ultimi, talvolta, non possiedono una infrastruttura fissata e facilmente identificabile, per cui e piu difficile identificare chiaramente i computer ed i sistemi informativi in uso presso questi gruppi.
130
Joint Chiefs of Staff, Information Operations, Washington D.C., 5 Luglio 2005.
CNO_20121107_1304.doc
98
Author:
Risultati misurabili Un CNA generico, sia esso mirato a sistemi informatici o decision-maker umani, dovrebbe avere risultati misurabili sia dal punto di vista quantitativo che qualitativo. Di solito la valutazione quantitativa e piu immediata: ad esempio, e piu semplice capire quante intrusioni sono avvenute in un sistema, piuttosto che analizzare qualitativamente gli effetti di un CNA su una struttura operativa, una popolazione o su un individuo. Per unanalisi piu accurata degli effetti misurabili di un CNA, e molto utile ottenere laccesso al sistema informativo interno dellavversario, sia per determinare i risultati raggiunti che per conoscere le contromisure pianificate. In particolare, i meccanismi di risposta molto frequentemente consistono in operazioni di difesa attiva per limitare lattacco. Forme piu tradizionali di intelligence possono fornire indicazioni importanti sulle conseguenze di un CNA in termini di sistemi finanziari o logistici in uso presso il nemico. Tempestivita Uno dei fattori chiave del successo di un CNA e la tempestivita, ovvero la capacita di ottenere in maniera tempestiva una misura degli effetti di un attacco e le conseguenze che esso ha su un sistema informativo o un sistema di controllo di uninfrastruttura, i n termini di cambiamento delle modalita di conduzione delle operazioni rispetto al modo in cui venivano condotte prima dellattacco. Ad esempio, se un gruppo terroristico ha fondati sospetti sulla compromissione dei propri sistemi informatici, e molto probabile che essi li modifichino o cambino le modalita di conduzione delle operazioni; tali modifiche necessiteranno di un significativo reinvestimento di risorse di intelligence e, per questo, potranno essere identificati piu agevolmente. Sinergia Al fine di ottenere i risultati attesi piu velocemente possibile, ogni operazione deve essere sincronizzata ed integrata nello spazio e nel tempo. I CNAs possono fornire vantaggi asimmetrici grazie alla dipendenza dei gruppi terroristici o, piu in generale, de lle organizzazioni criminali internazionali, dalle reti informatiche distribuite. Ad esempio, una rete terroristica distribuita geograficamente su unampia area potrebbe far uso di un sito web per la pubblicazione di informazioni critiche sulle loro operazioni future. Impiegando appropriate risorse di intelligence ed accertandosi della autenticita e delluso del sito web
CNO_20121107_1304.doc
99
Author:
o in generale della fonte informativa (chat on line, forum, blog, chat roulette, ecc), un CNA potrebbe essere usato per negare temporanea mente laccesso a quel sito, ottenendo allo stesso tempo il rallentamento delle operazioni terroristiche e permettendo limpiego di altre forme di Information Operations. Equilibrio Lequilibrio consiste nel mantenimento della forza, delle capacita e dell e operazioni in maniera tale da contribuire alla liberta delle azioni ed alla reattivita 131. Mentre le forze alleate mirano al mantenimento dellequilibrio delle loro capacita su tutti i livelli di guerra, le IOs (Information Operations), ed in particolare i CNAs, sono strumenti ideali per minare lequilibrio nemico attraverso lattacco inaspettato delle sue vulnerabilita. Inoltre, i Computer Network Attacks possono contribuire ad identificare le fonti di finanziamento di un gruppo terroristico e causarne linterruzione. Influenza Linfluenza e caratterizzata dalla capacita di raggiungere, preservare e sfruttare vantaggi militari su tutti i livelli di guerra132. Lincertezza indotta da un CNA nellavvicinamento allobiettivo avversario puo fortemente condizionare il suo processo decisionale, portando ad esempio a scelte poco razionali che possono essere sfruttate per un attacco piu profittevole. In tal modo un CNA puo anche fungere da deterrente in un tempo precedente ad un attacco vero e proprio, inducendo lattaccante a ritardare o modificare le sue azioni a vantaggio di chi si prepara al contro-attacco. Simultaneita e Profondita La continua sincronizzazione delle operazioni nel tempo e nello spazio puo produrre risultati devastanti contro un avversario, minando di fatto le capacita di prendere decisioni razionali e generando confusione ed incertezza. Inoltre, i CNAs possono essere condotti a tutti i livelli di guerra, incrementando in tal modo anche la profondita dellattacco, ovvero il fattore di scala dellarea, fisica o virtuale, che e oggetto dellattacco.
131 132
Joint Chiefs of Staff, Doctrine for Joint Operations, III-13, Washington D.C., 2001 Joint Chiefs of Staff, Doctrine for Joint Operations, III-14, Washington D.C., 2001.
CNO_20121107_1304.doc
100
Author:
5.5 Considerazioni conclusive sui CNA

Come proposto nel documento Computer Network Attack and Its Effectiveness against Non-State Actors133, la massima efficacia e la piena realizzazione del potenziale dei CNA possono essere ottenute da fronti diversi: il miglioramento delle capacita di intelligence, un miglior addestramento e consapevolezza, appropriati test di sicurezza ed inquadramento dei CNAs allinterno di un definito framework legale ed etico.
Miglioramento delle capacit di intelligence A partire dalle fase iniziali, in cui viene identificato lobiettivo e pianificato lattacco, fino ad arrivare alle fasi finali di valutazione dei danni causati, e indispensabil e predisporre adeguate risorse di intelligence per svolgere al meglio i compiti precedenti; tali risorse sono variabili in base alle specifiche operazioni e possono riguardare ad esempio lintelligence umana, quella dei segnali o quella elettronica. In particolare, e necessar io che esse siano aggiornate rispetto allavvento della cyber warfare, come nel caso dei CNAs. Inoltre, il processo di intelligence va accelerato per massimizzare la sinergia e le capacita di influenza correlate ai CNAs: e necessario avere un feedback te mpestivo circa il raggiungimento effettivo degli obiettivi pianificati. In tal senso un processo molto utile e in atto presso lo STRATCOM (STRATegic COMmunication) nello sviluppo delle capacita di analisi e pianificazione integrate (JIAPC, Joint Integrative Analysis and Planning Capability) per fornire identificazione, pianificazione ed analisi in maniera tempestiva a supporto dei requisiti di un comando di Information Operations; purtroppo, le continue difficolta nel reperire fondi e la complessita del coordinamento interforze non contribuiscono al raggiungimento dellobiettivo134.
133
Timothy D. Presby, Computer Network Attack and Its Effectiveness against Non-State Actors, Naval War College, Department of Joint Military Operations, 2006. 134 Christopher Lamb, Information Operations as a Core Competency, Joint Force Quarterly n. 36, Dicembre 2004. CNO_20121107_1304.doc
101
Author:
Addestramento e Consapevolezza Addestramento e consapevolezza sono due fattori strettamente connessi tra loro. I CNAs come strategia di IOs sono soltanto nella loro fase iniziale e non hanno ancora raggiunto una maturita sufficiente, per questo una corretta identificazione dellinsieme di conoscenze richieste e difficile ed abbraccia un ampio spettro di branche scientifiche. Nonostante gli sforzi tesi ad assicurare elevate capacita e professionalit nella conduzione di CNOs, i continui aggiornamenti, che includono nuovi sistemi operativi, nuove piattaforme hardware e nuovi protocolli di rete, richiedono attenzione e sforzi maggiori. Va inoltre considerata la mancanza di consapevolezza in materia di CNOs, che puo essere attribuita alla scarsa conoscenza dei responsabili piu anziani /senior in ambito cyber warfare. Per questo le capacita di IOs vanno non solo insegnate, ma anche enfatizzate a tutti i livelli formativi. Soltanto quando i manager anziani/senior raggiungeranno un livello appropriato di conoscenza del cyberspace, le Computer Network Operations potranno essere sfruttate al meglio.
Test di sicurezza Per minimizzare le probabilita di danni collaterali, e assolutam ente indispensabile effettuare dei test di sicurezza, cioe una misura di controllo qualitativa per identificare il risultato atteso di una serie di sforzi cercando di minimizzare allo stesso tempo le conseguenze non espressamente pianificate. La probabilita di effetti indesiderati per un CNA e fortemente incrementata dagli aggiornamenti software ed hardware nelle reti informatiche. Test di sicurezza sistematici e metodici vanno condotti per assicurare il raggiungimento degli obiettivi attesi e la conduzione dei CNAs in maniera affidabile e tempestiva.
CNO_20121107_1304.doc
102
Author:
Inquadramento legale ed etico Una delle sfide principali nellimpiego delle CNOs consiste nel rimanere entro confini di legalita e di etica. Come ampiamente documentato nel capitolo precedente, lincerta applicabilita della Legge Umanitaria Internazionale alle Computer Network Operations rendono tale compito ancor piu arduo: mentre luso di CNAs dovrebbe osservare le norme di discriminazione e proporzionalita, gli effetti di un CNA potrebbero causare conseguenze inattese, facilmente considerabili non corrispondenti ai criteri legalita universalmente riconosciuti. Dal punto di vista etico, inoltre, la situazione non e certamente piu chiara: sebbene un CNA debba essere considerato un atto di forza, esso non puo essere considerato tout-court "sbagliato" da un punto di vista etico, ma deve essere analizzato sula base delle circostanze che ne hanno determinato lutilizzo e le modalita con cui lattacco e stato condotto. E per questo auspicabile la partecipazione attiva di esperti legali nella pianificazione dellesecuzione di CNOs per fornire sufficienti garanzie di legalita.
CNO_20121107_1304.doc
103
Author:
Cyber Network Defense: Strategie Difensive contro la minaccia cibernetica
Come ampiamente documentato dalle considerazioni finora espresse, i progressi e levoluzione del mondo cibernetico hanno fortificato ed, allo stesso tempo, esposto ad un maggiore pericolo coloro che ne fanno uso. Lincremento delle potenzialita e essenzialmente costituito dalla facilitazione nelle comunicazioni e nei flussi informativi, mentre lesposizione a maggiori fattori di rischio e da imputarsi allintroduzione di n uove vulnerabilita ed allaumento della complessita e dei costi delle nuove tipologie di attacco. In questo capitolo sara analizzato laspetto difensivo della strategia di cyberwarfare applicata ad i computer ed alle reti di computer. Queste ultime, infatti, sono state oggetto, negli ultimi anni, di un numero di attacchi sempre crescente da parte di hackers, criminali, spie ed altri soggetti che avevano interesse o profitto nellattaccare ed eventualmente danneggiare tali reti informatiche. Lattacco classico e consistito nellintrusione nelle reti di computer al fine di rubare, degradare o distruggere le informazioni ed i sistemi informativi. Come gia indicato precedentemente, tale scopo puo essere raggiunto attraverso limpiego di differenti tecniche di attacco, dallintroduzione di virus informatici alla conduzione di veri e propri attacchi distribuiti (DDoS), con effetti devastanti anche in termini economici: interruzione di servizi commerciali fino a causare il fallimento di aziende, disattivazione di sistemi militari, sospensione di servizi bancari o di emergenza, ritardi nei servizi di trasporto, compromissione di segreti militari o aziendali, furti di identita e frodi con carte di credito. Le conseguenze derivanti da CNAs sono diretta conseguenza della nostra dipendenza dalle reti informatiche ed il cyberspace, e per questo esse diverranno sempre piu serie allaumentare di tale dipendenza. Alcuni ufficiali governativi ed esperti di sicurezza ritengono che la fonte principale di CNAs siano i governi stranieri, seguiti a ruota dai gruppi terroristici. In particolare, la minaccia principale e identificata dalla possibilita di subire un attacco che rappresenti una
CNO_20121107_1304.doc
104
Author:
Pearl_Harbor elettronica, cioe un CNA che interessi infrastrutture critiche come le reti energetiche o bancarie, con conseguenti danni economici, sociali o alla sicurezza nazionale. Un attacco contro le reti militari potrebbe seriamente compromettere le capacita militari di uno Stato, specie durante un periodo di conflitto; inoltre anche attacchi verso le infrastrutture civili, come i sistemi energetici e di telecomunicazione, potrebbero seriamente intaccare le capacita militari di una nazione, che dipendono fortemente da queste. Nonostante le nazioni straniere rappresentino la principale fonte di "paura da CNA", ad oggi soltanto un limitato numero di attacchi cibernetici e stato attribuito ad esse, e spesso con conseguenze non devastanti. La maggior parte di tali attacchi ha assunto caratteri di spionaggio\CNE, mentre i CNAs posti in essere da gruppi terroristici o loro simpatizzanti possono essere principalmente definiti come episodi criminali di vandalismo piu che di terrorismo (web defacement, attacchi DoS, frodi informatiche, ecc.). Il numero esiguo di pubblicazioni su cosa i gruppi terroristi ed i governi mondiali sono capaci di fare nel cyberspace e la sensazione che la maggior parte delle minacce da CNOs appaiano gestibili ha indotto molti a credere che il fenomeno sia stato sovrastimato. Eppure, pur senza conoscere i dettagli della minaccia cibernetica, anche solo considerando gli accadimenti storici degli ultimi anni, appare chiaro che credere di poter gestire facilmente le cyber threats e tanto sbagliato quanto fondare lintera strategia militare o governativa di uno stato sulla speculazione e sulla paura infondata. Il modo migliore per approcciare correttamente al fenomeno delle CNOs e certamente lattenta valutazione delle vulnerabilita delle proprie infrastrutture critiche e lo sviluppo di capacita di difesa e recupero da CNAs. E necessario proteggere le reti di computer indipendentemente dalla sorgente dellattacco, un singolo hacker, un truffatore alla ricerca di un espediente estorsivo, un ex impiegato scontento, una nazione o un gruppo terroristico. E inoltre utile non solo studiare tecniche di protezione delle proprie reti informatiche, ma anche approfondire la conoscenza delle categorie di attackers al fine di comprenderne le motivazioni e le capacita e per poterle fronteggiare al meglio: in caso di attacco, e utile poter identificare le fonti probabili, essere a conoscenza di cosa il nostro avversario puo e non puo fare per arrecare danni alle nostre infrastrutture critiche.
CNO_20121107_1304.doc
105
Author:
6.1 Il ruolo della Decision Analysis nellimpiego di CNOs

Una delle necessita principali, motivata dal proliferare delle CNOs, e lo studio di metodologie capaci di incrementare le capacita di gestione, utilizzo e reazione a CNOs da parte dei gruppi di comando di un governo. In particolare, e utile chiedersi se esista un modo per facilitare le comunicazioni o definire una interpretazione comune del problema dal punto di vista operativo tale da ridurre i rischi e lincertezza nei processi di acquisizione e valutazione135. La Decision Analysis e la disciplina che comprende le pratiche filosofiche, teoriche, metodologiche e professionali per affrontare complessi processi decisionali in maniera formale. Essa include diverse procedure, metodologie e strumenti per identificare, rappresentare in maniera chiara e definire formalmente gli aspetti di una decisione, per identificare la corretta linea di azione applicando criteri di massima utilita alla rappresentazione formale della decisione ed, infine, per tradurre questa rappresentazione formale in un linguaggio piu vicino al decision maker. In questa ricerca si propone limpiego della Decision Analysis per fornire una struttura ed una rappresentazione grafica in supporto ai gruppi di comando nellacquisizione, i l testing e lutilizzo di strumenti e tattiche in ambito CNOs. Grazie alla definizione di una struttura dal punto di vista operativo, i decision makers coinvolti beneficeranno da almeno tre differenti prospettive: maggiore conoscenza dei rischi e delle incertezze connesse ai processi decisionali; definizione di una interpretazione comune della problematica; migliore flusso comunicativo tra i vari attori.
Occorre ora definire alcuni termini chiave, ampiamente utilizzati nella decision analysis. Una decisione puo essere definita come una irrevocabile allocazione di risorse; un rischio e la probabilita di perdite connesse ai pericoli, mentre con eventi incerti indichiamo eventi di cui non conosciamo gli esiti.
135
Rudolph Reb Butler, Dick Deckro and Jeff Weir, Using Decision Analysis to Increase Commanders Confidence for Employment of Computer Network Operations, IOSphere Joint Information Operations Center, 2005. CNO_20121107_1304.doc
106
Author:
Un influence diagram e una rappresentazione grafica degli elementi di un problema decisionale e la relazione fra essi; allinterno di tale rappresentazione grafica, i differenti elementi decisionali vengono indicati con forme differenti. Ciascun decision node del diagramma rappresenta lopportunita di scelta tra stati alternativi, mentre gli chance node rappresentano eventi con due o piu esiti incerti, ed identificano linsieme delle informazioni in possesso del gruppo di decision makers circa un particolare evento. Allinterno di un influence diagram le relazioni tra i diversi nodi sono identificate tramite archi o frecce; oltre a relazioni di rilevanza e sequenza, spesso e utile introdurre relazioni di probabilita tra i nodi. Nel caso di probabilita condizionata si intende la probabilita di verificarsi di un evento a partire dalla conoscenza che uno o piu altri eventi si sono gia verificati. Limpiego di influence diagrams, nellambito della Decision Analysis, risulta uno strumento particolarmente utile e descrittivo per problemi decisionali complessi, come quello relativo allimpiego di CNOs. Nella figura che segue e riportato il diagramma di influenza per limpiego di Computer Network Operations proposto nellarticolo Using Decision Analysis to Increase Commanders Confidence for Employment of Computer Network Operations, ottenuto grazie ad intense consultazioni e collaborazioni con diversi organismi, militari e governativi.
CNO_20121107_1304.doc
107
Author:
_ _ _ _ __ __ _ _ _ _ _ _ _ _ _
di un gruppo di comando137. difensive.
Figura 2. Diagramma di influenza per l'impiego di CNO136.
_ _ _ __ _ _ __ _
Tale diagramma modella il processo decisionale nelle strategie difensive ed offensive di impiego delle Computer Network Operations. Il termine target indica unarea, un complesso, uninstallazione, una forza, un equipaggiamento, una capacita, una funzione o un comportamento identificati per supportare gli obiettivi, le istruzioni operative e i propositi
Le minacce diventano target nel momento in cui e in corso unazione che le interessa, come nel caso di una minaccia a sistemi informatici che diventa lobiettivo di operazioni
136
Rudolph Reb Butler, Dick Deckro and Jeff Weir, Using Decision Analysis to Increase Commanders Confidence for Employment of Computer Network Operations, IOSphere Joint Information Operations Center, 2005. 137 Joint Publication 1-02, Department of Defense Dictionary of Military and Associated Terms, 2003. CNO_20121107_1304.doc
108
Author:
Nel seguito viene fornita una descrizione di ciascuno dei nodi presenti nel diagramma di influenza. Determinazione della Fase Operativa Questo nodo decisionale rappresenta la decisione per determinare in che fase operativa ci si trovi, sulla base della definizione di quattro differenti fasi operative [72]: Fase 1: dissuadere/attirare; Fase 2: prendere liniziativa; Fase 3: operazioni decisive; Fase 4: transizione.
Le modalita di limpiego di CNOs variano da fase a fase, nel senso che in alcune fasi esse rappresentano lopzione primaria, mentre in altri casi il loro utilizzo e alternativo ad altre risorse. Mentre nelle fasi 1 e 4 le CNO hanno una maggiore utilita a causa delle limitate possibilita di operazioni militari canoniche, nella fase 3 esse sono complementari alle altre capacita militari. In tutte le fasi operative le strategie di CND sono impiegate a protezione delle informazioni e dei sistemi informativi. Torna al Diagramma di Influenza
Revisione del Personale (Legale / Politico-Militare) In questo chance node viene rappresentata lincertezza circa la presenza di corrette procedure di revisione del personale nel processo decisionale di impiego di CNO; in particolare, tale processo di revisione deve coinvolgere personale legale e politico-militare del gruppo di comando per valutare lopportunita e la legittimita delle misure che si intende adottare. Capacita di Valutazione Tale chance node identifica lincertezza sulla capacita di identificare correttamente il successo o il fallimento associate alle CNO in termini di misura dei risultati raggiunti. Torna al Diagramma di Influenza Torna al Diagramma di Influenza
CNO_20121107_1304.doc
109
Author:
Effetti Cumulativi Previsti Questo chance node rappresenta lincertezza associata alla previsione degli effetti cumulativi prodotti da CNO. Gli effetti cumulativi sono effetti che risultano dallaggregazione di effetti diretti ed indiretti [73]. E possibile distinguere effetti di diverso ordine, effetti collaterali ed effetti a cascata. Gli effetti collaterali identificano risultati inattesi direttamente connessi alle azioni poste in essere; gli effetti a cascata rappresentano invece una serie di effetti, ciascuno dei quali diretta conseguenza del/dei precedente/i. Torna al Diagramma di Influenza
Valore Percepito dei Dati Ottenuti Questo chance node identifica lincertezza sul valore atteso dei dati ottenuti a seguito di CNE o altre operazioni di intelligence. Il valore delle informazioni ottenute e fortemente dipendente dalla sorgente da cui esse si sono ottenute, e puo variare nel tempo. Torna al Diagramma di Influenza Comprensione Percepita di Strumenti/Tattiche di CNO La comprensione percepita da un gruppo di comando e dal suo personale circa gli strumenti e le strategie nellambito delle CNO influenzano significativamente le considerazioni sullimpiego delle stesse. Per una completa valutazione di tali capacita, occorre prendere in considerazione diversi parametri: i costi, il tipo di strumenti, il tipo di tattiche, il livello di testing formale raggiunto, le performance, ecc. I costi di impiego delle CNO dipendono da fattori economici, risorse impiegate, tecnologia adoperata e vite umane salvate o perse. Se i costi connessi allimpiego di una CNO non sono affrontabili, occorre identificare altre opzioni meno costose e capaci di ottenere gli stessi risultati o risultati simili ad un costo minore. Torna al Diagramma di Influenza
CNO_20121107_1304.doc
110
Author:
E Possibile Usare Strumenti/Tattiche di CNO? Questo nodo decisionale rappresenta le capacita di decidere se limpiego di CNO e possibile, in termini di revisione del personale, capacita di valutazione , effetti cumulativi previsti, valore percepito dei dati ottenuti e comprensione percepita di strumenti/tattiche di CNO. Torna al Diagramma di Influenza
Informazioni Dettagliate sul Target E assolutamente indispensabile raccogliere il maggior numero di informazioni sullobiettivo o linsieme di obiettivi identificati. Specie in ambito CNO, anche nel caso si effettui unaccurata fase di acquisizione delle informazioni sul target, resteranno sempre delle incertezze e dei rischi associati. Torna al Diagramma di Influenza
Comprensione Effettiva di Strumenti/Tattiche di CNO E utile definire il livello di incertezza sulla effettiva comprensione delle capacita e delle potenzialita connesse allimpiego di CNO. Il risultato di tale nodo viene determinato immediatamente dopo aver assunto la decisione di impiegare le CNO. Mentre nel passato vi erano forti rischi nellimpiego di CNO, causati dalla scarsa conoscenza e la mancanza di testing, negli anni recenti laumento delle conoscenze in materia ha ridotto fortemente i rischi connessi alla comprensione delle proprie capacita di CNO. Torna al Diagramma di Influenza Valore Reale dei Dati Ottenuti Tale chance node rappresenta il compromesso tra il valore di intelligence dei dati ottenuti ed il valore decisionale sullimpiego o meno delle CNO. Il risultato di tale nodo viene determinato immediatamente dopo aver assunto la decisione di impiegare le CNO. Torna al Diagramma di Influenza
CNO_20121107_1304.doc
111
Author:
Reali Effetti Cumulativi Questo nodo identifica lincertezza associata agli effetti reali conseguenti allimpiego di strumenti o tecniche di CNO verso un determinato target. Gli effetti indesiderati rappresentano esiti inattesi anche nel caso in cui il contributo ad operazioni alleate e positivo. Torna al Diagramma di Influenza
Risposta (Avversario/Terzi) Tale chance node rappresenta lincertezza relativa alla reazione dellavversario o di terzi a seguito della decisione di impiegare CNO. Alcune risposte tipiche sono: nessuna risposta, probabilita di individuazione, probabilita di attribuzione, controffensiva e risposte di terzi. Torna al Diagramma di Influenza Nodi Peso 1-6 I nodi peso rappresentano la percezione dellimportanza delle variabili necessarie a calcolare la funzione risultato. Essi forniscono maggiore flessibilita al modello, grazie alle variazioni dei pesi in termini di nuova leadership, nuova tecnologia, differenti condizioni operative, differenti condizioni del target, ecc. Ciascun nodo peso restituisce come risultato un singolo valore numerico, che rappresenta il peso come percentuale dellintera risposta. La somma dei risultati di tutti nodi peso deve essere esattamente uguale a 100 (ovvero 100%). Torna al Diagramma di Influenza
Effetti Pianificati Prodotti sul Campo di Battaglia Tale nodo identifica la funzione risultato complessiva del modello, tramite unequazione che misura la risposta complessiva alla decisione sulla base di tutti i fattori presenti nel modello. Torna al Diagramma di Influenza
CNO_20121107_1304.doc
112
Author:
6.2 Testing e riduzione dellincertezza

Come documentato nel precedente paragrafo, il modello rappresentato nel diagramma di influenza per determinare la corretta strategia decisionale nellimpiego di CNOs si basa necessariamente anche su stime, previsioni ed incertezza sui parametri in gioco. Per questo motivo, affinche il modello risulti realistico ed il suo impiego proficuo occorre che le misure dellincertezza e le stime effettuate siano aggiornate e tengano conto delle variazioni delle variabili del sistema. Osservando limmagine del diagramma di influenza possiamo notare la presenza di quattro nodi con funzione previsionale: Effetti Cumulativi Previsti, Comprensione Percepita di Strumenti/Tattiche CNO, Valore Percepito dei Dati Ottenuti e Capacita di Valutazione. Un primo passo indispensabile per aumentare il grado di consapevolezza e conoscenza dei decision makers e assicurare la presenza di strumenti e processi atti a fornire previsioni accurate: assodata la presenza di tali componenti, e necessario porre in essere procedure per la raccolta storica dei dati, sottoforma di operazioni reali, utile al perfezionamento dei suddetti componenti. I sistemi previsionali fanno largo uso dei dati storici e, affinche essi possano risultare efficaci, occorre che gli output prodotti siano perseguibili e le previsioni realistiche. Anche le procedure di Test e Valutazione contribuiscono ad incrementare il livello di fiducia dei gruppi di comando in materia CNO. Tradizionalmente i test di sviluppo sono stati incentrati sulle operazioni del sistema, mentre i test e le valutazione operativi sono stati incentrati sulle performance del sistema durante un conflitto, ovvero in esercizio. Dal momento che, negli ultimi anni, si assiste sempre piu ad una transizione da una prospettiva basata sulla piattaforma ad un punto di vista basato sulle capacita di CNOs, le procedure di test e valutazione devono tenere conto di tale transizione ed adattarsi. Come testimoniano, ad esempio, le nuove istruzioni sulle Forze Aeree statunitensi (Air Force Instruction, AFI)138, tale transizione e stata recepita: in questo documento, infatti, si afferma che le procedure di test e valutazione hanno lo scopo di migliorare la progettazione del sistema, gestire i rischi, identificare e contribuire alla risoluzione delle
138
Department of the Air Force, Air Force Instruction 99-103, Capabilities-based test and evaluation, 2009.
CNO_20121107_1304.doc
113
Author:
carenze nel minor tempo possibile ed assicurare che i sistemi siano operativamente efficaci ed idonei. Allinterno del modello presentato, le procedure di test e valutazione contribuiscono in maniera diretta ai nodi Comprensione Percepita di strumenti/tattiche CNO e Comprensione Reale di strumenti/tattiche CNO e possono facilitare la riduzione dellincertezza nei nodi Dettagliate Informazioni sul target, Capacita di Valutazione, Previsione degli Effetti Cumulativi e Reali Effetti Cumulativi. Il modello descritto puo rappresentare un primo utilizzo di sistemi di analisi e supporto alle decisioni ovvero DSS (Decision Support System) in ambito CNO. Per analisi, pero, piu pratiche e meno teoriche si suggerisce di analizzare il supporto alle decisioni contemporaneamente sui tre livelli: governance, management ed operational. Inoltre, tale analisi, riguardando ambiti complessi, deve utilizzare metodologie matematiche e tecnologie informatiche proprie della teoria della complessit e della logica sfumata (soft computing) cosi come ampiamente descritto nella ricerca CeMiSS 2011 Sistemi di supporto alle decisioni basati su metodologie avanzare di pianificazione, (modelli matematici della complessita, soft-computing) per usi di Stato Maggiore139, dove e ampiamente affrontato il tema dei sistemi di analisi e di supporto avanzato alle decisioni.
139
114
Author:
CONCLUSIONI
In questo studio, dopo aver presentato il quadro di riferimento attuale sulle metodologie principali inerenti le Computer Network Operations, vengono presentate le principali categorie di attori nel contesto internazionale dei Computer Network Attacks. Nella parte introduttiva viene delineato lo scenario storico di riferimento in cui le CNO si inseriscono e viene fornita una lista delle procedure necessarie per la gestione ottimale della sicurezza delle reti di computer. Nel capitolo successivo, dopo una breve dissertazione storica sugli eventi che hanno condotto alla nuova era del cyber crime, viene fornita una classificazione delle CNOs. Vengono quindi analizzate le soluzioni dottrinali ed organizzative adottate dai principali paesi europei nel contrasto alla minaccia cibernetica. Il capitolo 4 affronta invece gli aspetti giuridico-legali connessi alle CNOs, facendo specifico riferimento alla divergenza terminologica del termine atttacco cibernetico nei differenti corpi legislativi. Nella parte specialistica vengono descritti piu nel dettaglio i Computer Network Attacks, identificando le principali categorie di attackers e descrivendo singolarmente ciascuna delle tipologie di attacco piu comuni. Lultimo capitolo inquadra uno schema generale di analisi e supporto alle decisioni per le CNO, rimandando per utili approfondimenti sul tema alla ricerca CeMiSS 2011 Sistemi di supporto alle decisioni basati su metodologie avanzare di pianificazione, (modelli matematici della complessita, soft-computing) per usi di Stato Maggiore140.
140
Rapporto di Ricerca Ce.Mi.S.S. "Sistemi di Supporto alle Decisioni basati su metodologie avanzate di pianificazione, (modelli matematici della complessita, soft-computing) per usi di Stato Maggiore." - Gerardo Iovane http://www.difesa.it/SMD/CASD/Istituti_militari/CeMISS/Pubblicazioni/News206/2012-04/Pagine/iovane.aspx (ultima visita 2012 Nov 06) CNO_20121107_1304.doc
115
Author:
Si conclude che, sulla base di quanto esposto nellintero studio di ricerca, la natura evolutiva dello scenario di interesse obbliga ciascun governo a dotarsi di strumenti avanzati e di competenze specifiche, affinche ci si possa tenere al passo con un mondo che si evolve molto piu velocemente di quanto gli strumenti legislativi possano mai sostenere. Il buon senso dei decisori seppure necessario non e sufficiente: ce bisogno di soggetti che si assumano la responsabilita di scelte attente, ma soprattutto che abbiano la capacita di individuare per le posizioni apicali delle strutture cyber le persone e le professionalit giuste per attivita e azioni strategiche da porre in essere. In altre parole, usando il gergo americano ce bisogno di teste che siano allo stesso tempo sia pensanti che operative, in grado di disegnare strutture versatili e plastiche rispetto alle evoluzioni temporali del contesto e dello scenario cyber; reclutare personale e professionalit idonee alle continue variazioni di scenario tecnologico e concettuale; saper gestire correttamente il mix pubblico-privato, istituzionale-non istituzionale, governativo-non governativo, proprio alla luce di una normativa perfettibile, ma di fatto imperfetta circa la condivisione e la trans nazionalit del cyberspazio, ma soprattutto a seguito delle continue e rapide evoluzioni; individuare policy di governance, management, operations per il personale dellintelligence e della difesa in tema di cyberthreat, cyberwarfare e cyberwar; produrre analisi dei requisiti di sistemi, soluzioni e servizi per attivit di cyber intelligence; definire ed attuare azioni di difesa/attacco cibernetico, con alta tecnologia e metodologie avanzate e proprietarie, grazie a competenze e capacit proprie del sistema o della struttura di intelligence e difesa italiana. Ad oggi bisogna riconoscere che in alcuni paesi come lItalia, seppure ci siano stati degli sforzi, si sta ancora lavorando per essere realmente pronti ad una efficace azione di risposta o reazione ad attacchi di tipo CNA.
CNO_20121107_1304.doc
116
Author:
In altre parole, per la cyber security lItalia ha bisogno di trovare il coraggio di fare Sistema Paese tra pubblico e privato, tra militare e non militare, ma soprattutto ha bisogno di continuare a crescere in capacit personali e sistemi valoriali allinterno delle strutture critiche e di intelligence deputate alla salvaguardia di quella dimensione cyber che sempre di piu e in grado di rappresentare una minaccia per lo spazio fisico reale. La strada da percorrere sembra ancora lunga, ma soprattutto ci deve preoccupare il fatto che piu si va avanti piu sembra essere lontani dallobiettivo, essendo questultimo il chiaro sintomo del fatto che ci si muove con una velocita che e troppo bassa rispetto allevoluzione dello scenario internazionale.
CNO_20121107_1304.doc
117
Author:
BIBLIOGRAFIA
(per tutti i links ipertestuali sotto riportati si intende: ultima visita 2012 Nov 06)
G. Iovane, Cyberwarfare e Cyberspace: Aspetti Concettiuali, Fasi ed Applicazione allo Scenario Nazionale ed allambito Militare, CeMiSS Centro Militare Studi Strategici, Ministero della Difesa, 2008. Consultabile allindirizzo http://www.difesa.it/SMD/CASD/Istituti_militari/CeMISS/Pubblicazioni/News206/ 2008-01/Pagine/Cyberwarfare_e_Cyberspace_aspet_9342militare.aspx G.Iovane, I rischi per l'infrastruttura informatica della Difesa. Individuazione delle risorse organizzative necessarie al contrasto dell'attacco informatico per l'attivazione di strutture dedicate all'anti-hacker intelligence CeMiSS Centro Militare Studi Strategici, Ministero della Difesa, 2010. Consultabile allindirizzo http://www.difesa.it/SMD/CASD/Istituti_militari/CeMISS/Pubblicazioni/News206/ 2011-02/Pagine/I_rischi_per_linfrastruttur_12446intelligence.aspx G.Iovane, Sistemi di supporto alle decisioni basati su metodologie avanzate di pianificazione, (modelli matematici della complessit, soft-computing) per usi di Stato Maggiore, CeMiSS Centro Militare Studi Strategici, Ministero della Difesa, 2011. Consultabile allindirizzo http://www.difesa.it/SMD/CASD/Istituti_militari/CeMISS/Pubblicazioni/News206/ 2012-04/Pagine/iovane.aspx R. Setola, La strategia globale di protezione delle infrastrutture e risorse critiche contro gli attacchi terroristici CeMiSS Centro Militare Studi Strategici, Ministero della Difesa, 2011. Consultabile allindirizzo http://www.difesa.it/SMD/CASD/Istituti_militari/CeMISS/Pubblicazioni/News206/ 2012-02/Pagine/Lastrategiaglobal.aspx A. Antinori, Sviluppo nell'ambito nazionale del concetto di ''Information Assurance'' relativo alla protezione delle informazioni nella loro globalita'.- CeMiSS Centro Militare Studi Strategici, Ministero della Difesa, 2010. Consultabile allindirizzo http://www.difesa.it/SMD/CASD/Istituti_militari/CeMISS/Pubblicazioni/News206/ 2011-01/Pagine/Sviluppo_nellambito_nazionale__12341globalita.aspx S. Mele, Cyber Security & Cyber Intelligence. La Sicurezza dei Contingenti Militari contro le nuove minacce .- CeMiSS Centro Militare Studi Strategici, Ministero della Difesa, 2011. Consultabile allindirizzo http://www.difesa.it/SMD/CASD/Istituti_militari/CeMISS/Pubblicazioni/News206/ 2012-01/Pagine/CyberSecurityCyberIntelligence.aspx
CNO_20121107_1304.doc
118
Author:
Richard A. Lipsey, Network Warfare Operations: Unleashing the Potential, CeCenter for Strategy and Technology, Air War College, Air University, November 2005. John Bumgarner, Computers as Weapons of War, IO Journal, Maggio 2010. G. Grasso, Cyber Warfare & Cyber Intelligence NATO-EU: una sfida da affrontare insieme, IWC 2011. Program Evaluation Division, Managing local government computer systems: a best practices review, Office of the Legislative Auditor, State of Minnesota, 2002. Gartner Research, Desktop PC Life: Four Years For The Mainstream, TechRepublic, 19 Dicembre 2001. Richard Mackey and Jonathan Gossels, Mastering Fundamentals: Part 3, Information Security Magazine, 2000. Gartner Research, Distributed Security Staffing Levels, Research Note TG-06-4474, 17 Novembre 1998.
Justice Management Division, The Department of Justice Systems Development Life Cycle Guidance Document Chapter 11: Operations and Maintenance Phase, U.S. Department of Justice, Marzo 2000. Gary C. Kessler, Gary Kesslers Musings About Network Security, Vermont Telecom News, Luglio 2001. Peter Mell, Intrusion Detection: A Guide To The Options, TechRepublic, 6 Novembre 2001. Computer Science and Telecommunications Board, Cybersecurity Today and Tomorrow: Pay Now or Pay Later, National Academy Press, 2002. Joint Chiefs of Staff, Joint Vision 2010, Washington D.C., Luglio 1996. Juan Carlos Vega, Computer Network Operations Methodology, Naval Postgraduate School of Monterey, California. B. Lockridge, Reggie Barnett, Cyber Defense, 11th Annual Freshman Conference, University of Pittsburgh William J. Bayles, The Ethics of Computer Network Attack, Settembre 2003. Russia, Developments in the field of information and telecommunications in the context of information security, bozza di risoluzione 53/70, Assemblea Generale delle Nazioni Unite. LTC Garry J. Beavers and LTC Stephen W. Shanahan, Operationalizing IO in Bosnia Herzegovina, Military Review, Vol. LXXVII n. 6 dicembre 1997.
CNO_20121107_1304.doc
119
Author:
Dipartimento della DIfesa, Joint Doctrine for Information Operations, Stato Maggiore degli Stati Uniti, Washington D.C., 9 Ottobre 1998. Dr. Andrew Rathmell, Strategic and Organisational Implications for Euro-Atlantic Security of Information Operations, Final Reporto of NATO Individual Fellowship, 2001. Ministero della Difesa, Strategic Defense Review, The Stationary Office, 1998. Ministero della Difesa, Kosovo, Lessons from the Crisis, The Stationary Office, 2000. Disponibile per il download allindirizzo: http://www.publications.parliament.uk/pa/cm199900/cmselect/cmdfence/347/34 718.htm#a53 Susanne Jantsch, Comparative Approaches to Critical Infrastructure Protection German Approach, 22nd National Information Systems Security Conference, Ottobre 1999, Washington D.C. USAID launches the Albanian cyber-security program, United States Agency for International Development, 13 Giugno 2011. Benjamin S. Buckland, Fred Schreier e Theodor H. Winkler, Democratic Governance and the Challenges of Cyber Security, DCAF Horizon 2151 Working Paper 1, Geneva Centre for the Democratic Control of Armed Forces. Disponibile per il download allindirizzo http://genevasecurityforum.org/files/DCAF-GSF-cyber-Paper.pdf Denmark Country Report, European Network and Information Security Agency, 2011. Disponibile per il download allindirizzo www.enisa.europa.eu/act/sr/files/country-reports/Denmark.pdf Estonia Country Report, European Network and Information Security Agency, 2011. Disponibile per il download allindirizzo www.enisa.europa.eu/act/sr/files/country-reports/Estonia.pdf Dfense et scurit des systmes dinformations: Stratgie de la France, National Network and Information Security Agency, 2011. Cyber Security Strategy for Germany, Ministero Federale Tedesco degli Interni, 2011. John Goetz, Marcel Rosenbach e Alexander Szandar, National defense in cyberspace, Der Spiegel, 11 Febbraio 2009. Chapter Four: Europe, The Military Balance, vol. 111 2011.
CNO_20121107_1304.doc
120
Author:
Italy Country Report, European Network and Information Security Agency, 2011. Disponibile per il download allindirizzo www.enisa.europa.eu/act/sr/files/country-reports/Italy.pdf Cyber Security Strategy of the United Kingdom, UK Office of Cyber Security, 2009. A Strong Britain in an Age of Uncertainty: The National Security Strategy, UK Prime Ministers Office, 2010. UK House of Lords, vol. 714, part n. 134, 11 Novembre 2009. Disponibile per il download allindirizzo www.publications.parliament.uk/pa/ld200809/ldhansrd/text/91111w0004.htm Eleanor Keymer, UK recruits cyber experts to protect key networks, Janes Defence Weekly, 6 Febbraio 2011. Dictionary of Military and Associated Terms, Dipartimento della Difesa degli Stati Uniti, 8 Novembre 2010. Disponibile per il download allindirizzo http://www.dtic.mil/doctrine/new_pubs/jp1_02.pdf NATO Glossary of Terms and Definitions, NATO Standardization Agency, 2010. Michael N. Schmitt, Attack as a Term of Art in International Law: The Cy ber Operations Context, 4th International Conference on Cyber Conflict, NATO CCD COE Publications, 2012. U.N. Charter, articoli 2(4), 42 & 51. Military and Paramilitary Activities in and against Nicaragua, 1986, Legality of the Threat or Use of Nuclear Weapons, 1996. United Nations Charter, art. 39 e 42. Relating to the Protection of Victims of International Armed Conflicts, 8 Giugno 1977. 1925 Geneva Protocol for the Prohibition of the Use in War of Asphyxiating, Poisonous or Other Gases, and of Bacteriological Methods of Warfare, 7 Giugno 1925. Commentary on the Additional Protocols of 8 June 1977 to the Geneva Conventions of 12 August 1949. International Committee of the Red Cross, International Law and the Challenges of Contemporary Armed Conflicts, Ottobre 2011. International Committee of the Red Cross, International Law and the Challenges of Contemporary Armed Conflicts, at 37, Ottobre 2011.
CNO_20121107_1304.doc
121
Author:
Michael Vatis, Cyber Attacks: Protecting Americas Security Against Digital Threats, ESDP 2002-04. Laura DiDio, U.S. Coast Guard Beefs Up Security After Hack, 22 Luglio 1998. Richard W. Walker, Feds Say Virus Threats Keep Them Awake at Night, Government Computer News, 20 Agosto 2001. Number of known computer viruses exceeds 1 million, PRLOG Press Release Distribution. Consultabile allindirizzo http://www.prlog.org/10814398-number-of-known-computer-viruses-exceeds-1million.html Clifford Stoll, The Cuckoos Egg, New York: Pocket Books, 1989. Kevin Anderson, Cyber-Terrorists Wield Weapons of Mass Destruction, BBC News, 22 Febbraio 2000. Consultabile allindirizzo http://news.bbc.co.uk/hi/english/sci/tech/specials/washington_2000/newsid_64 8000/648429.stm Institute for Security Technology Stuidies, Cyber Attacks During the War on Terrorism: A Predictive Analysis, 22 Settembre 2001. Dorothy E. Denning, Information Warfare and Security, Ethics and information Technology Vol. 1 numero 3, 1999. Brian Williams, Afghan Foes Used Web, Had Money to Burn, Feds Say, 19 marzo 2000.
Timothy D. Presby, Computer Network Attack and Its Effectiveness against NonState Actors, Naval War College, Department of Joint Military Operations, 2006. Dan Kubel, Information Operations Interview with Professor Dan Kuehl, Infocom Magazine, 2003. Joint Chiefs of Staff, Information Operations, Washington D.C., 5 Luglio 2005. Joint Chiefs of Staff, Doctrine for Joint Operations, III-13, Washington D.C., 2001. Christopher Lamb, Information Operations as a Core Competency, Joint Force Quarterly n. 36, Dicembre 2004. Dorothy E. Denning, Assessing the Computer Network Operations Threat of Foreign Countries, Information Strategy and Warfare: A Guide to Theory and Practice, 2007.
CNO_20121107_1304.doc
122
Author:
Rudolph Reb Butler, Dick Deckro and Jeff Weir, Using Decision Analysis to Increase Commanders Confidence for Employment of Computer Network Operations, IOSphere Joint Information Operations Center, 2005. Joint Publication 1-02, Department of Defense Dictionary of Military and Associated Terms, 2003. Joint Publication 3-0, Doctrine for Joint Operations, 11 Agosto 2011. Disponibile per il download allindirizzo http://www.dtic.mil/doctrine/new_pubs/jp3_0.pdf Edward C. Mall, Gary Endersby, Thomas Serle, Thinking Effects: Effects-Based Methodology for Joint Operations, CADRE Paper 15, AL: Air University, 2002. Department of the Air Force, Air Force Instruction 99-103, Capabilities-based test and evaluation, 2009.
CNO_20121107_1304.doc
123
Author:
Ce.Mi.S.S.141
Il Centro Militare di Studi Strategici (Ce.Mi.S.S.) e' l'Organismo che gestisce, nell'ambito e per conto del Ministero della Difesa, la ricerca su temi di carattere strategico. Costituito nel 1987 con Decreto del Ministro della Difesa, il Ce.Mi.S.S. svolge la propria opera valendosi si esperti civili e militari, italiani ed esteri, in piena liberta' di espressione di pensiero. Quanto contenuto negli studi pubblicati riflette quindi esclusivamente l'opinione del Ricercatore e non quella del Ministero della Difesa.
Gerardo IOVANE
Gerardo IOVANE docente di Analisi Matematica alla Facolt di Ingegneria dellUniversit di Salerno e di Tecnologie Avanzate per la Sicurezza, Biometria ed identificazione al Corso di Laurea in Informatica dellUniversit di Messina, coordinatore del Corso di Laurea in Ingegneria dellInformazione per la Sicurezza e lInnovazione alla Link Campus University di Roma. Diplomatosi con il massimo dei voti alla Scuola Militare Nunziatella, si laureato con lode in Fisica Nucleare e Subnucleare. Dopo un master al CERN di Ginevra , ha conseguito poi il Dottorato di Ricerca in Fisica, il Dottorato di Ricerca in Matematica, il dottorato di Ricerca in Ingegneria ed Economia dellInnovazione. E titolato IASD (Istituto Alti Studi per la Difesa); inoltre, dal 2006 collabora con il CeMiSS (Centro Militare Studi Strategici) dirigendo specifiche ricerche su temi strategici di interesse nazionale. E valutatore di progetti ai Ministeri Italiani MIUR, MiSE ed al MiPAF. E autore di oltre 200 lavori scientifici tra libri, saggi, articoli e contributi a conferenze nazionali ed internazionali. E editore di diverse riviste internazionali. Ha vinto diversi premi tra cui: Best Applications of Measurement and Automation for 2002-2003 e 2003-2004 in Europe, il Premio Speciale Leonardo per la Ricerca Scientifica nel 2010; Segretario Nazionale per lItalia dei Corrispondenti Diplomatici per le Relazioni Internazionali Malta dello IODR (International Organization for Diplomatic Relations), dal 2011; stato insignito di diverse onorificenze tra cui quella di Cavaliere dellOrdine al Merito della Repubblica Italiana. E il Presidente Internazionale dello IIASCEPP (Istituto Italiano Alti Studi sulla Crescita e lEvoluzione Personale e Professionale). Gli sono state conferite le Lauree Honoris Causa in: Medicina Nucleare, Scienze Turistiche, Affari Internazionali e Relazioni Diplomatiche; inoltre, gli stata conferita la full professorship honoris causa in Computer Science dalla Costantinian University (State of Rhode Island, USA).
141
http://www.difesa.it/SMD/CASD/Istituti+militari/CeMISS/
CNO_20121107_1304.doc
124
Author:

Computer Network Operations

Caricato da

Informazioni sul documento

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

Computer Network Operations

Caricato da

Copyright:

Formati disponibili

Centro Militare di Studi Strategici

Rapporto di Ricerca 2012 STEPI AF-SA-22

Prof. Gerardo IOVANE

data di chiusura della ricerca: Ottobre 2012

pag. 22 pag. 33 pag. 41

pag. 104 pag. 115 pag. 118 pag. 124

T.Col. (A.M.) Monaci ing. Volfango

T.Col. (A.M.) Monaci ing. Volfango

Parte GENERALE / ANALITICA / PROPOSITIVA

1.1 Introduzione al mondo cibernetico

Figura 1. Gerarchia delle information operations della U.S. Air Force7.

1.2 Nato-UE - Cyberthreat: una sfida da affrontare insieme

1.3 Procedure per la gestione ottimale delle computer networks

Le CNO (Computer Network Operations)

2.3 Classificazione delle CNO

William J. Bayles, The Ethics of Computer Network Attack, Settembre 2003.

2.4 Il dilemma strategico

Approcci dei principali paesi Europei

3.1 La situazione attuale

4.1 Terminologia nella legislazione internazionale

4.2 Larchitettura legislativa

U.N. Charter, articoli 2(4), 42 & 51.

United Nations Charter, art. 39 e 42.

4.3 I cyber attack secondo la Legge Umanitaria Internazionale

4.4 Le CNO nel quadro normativo

Parte SPECIALISTICA / DI SUPPORTO / BIBLIOGRAFICA

Computer Network Attacks

5.1 Tipologie di attackers

5.2 Tipologie di attacks

5.3 Principali tecniche di CNA

e GCC83, ideatore del

http://it.wikipedia.org/wiki/Richard_Stallman http://it.wikipedia.org/wiki/Emacs 83 http://it.wikipedia.org/wiki/GNU_Compiler_Collection CNO_20121107_1304.doc

http://it.wikipedia.org/wiki/Copyleft http://it.wikipedia.org/wiki/Eric_S._Raymond 86 http://it.wikipedia.org/wiki/Tsutomu_Shimomura 87 http://it.wikipedia.org/wiki/Kevin_Mitnick 88 http://it.wikipedia.org/wiki/PSTN 89 http://it.wikipedia.org/wiki/Exploit CNO_20121107_1304.doc

http://it.wikipedia.org/wiki/Exploit http://it.wikipedia.org/wiki/Denial_of_service 92 http://it.wikipedia.org/wiki/Buffer_overflow 93 http://it.wikipedia.org/wiki/0-day 94 http://it.wikipedia.org/wiki/Script_kiddie CNO_20121107_1304.doc

http://it.wikipedia.org/wiki/Transmission_Control_Protocol http://it.wikipedia.org/wiki/User_Datagram_Protocol 103 Internet Control Message Protocol http://it.wikipedia.org/wiki/ICMP CNO_20121107_1304.doc

http://it.wikipedia.org/wiki/Port_knocking http://it.wikipedia.org/wiki/Nmap 106 http://it.wikipedia.org/wiki/Hping CNO_20121107_1304.doc

http://it.wikipedia.org/wiki/Routing http://it.wikipedia.org/wiki/Indirizzo_IP 110 http://it.wikipedia.org/wiki/Autenticazione CNO_20121107_1304.doc

Tra le tecniche utilizzabili per l'occultamento ricordiamo i Rootkit.

surriscaldamento della CPU mediante overclocking, oppure fermando la ventola di raffreddamento.

Si possono distinguere due fasi di un virus:

5.4 Analisi degli impatti di un CNA

Joint Chiefs of Staff, Information Operations, Washington D.C., 5 Luglio 2005.

5.5 Considerazioni conclusive sui CNA

Cyber Network Defense: Strategie Difensive contro la minaccia cibernetica

6.1 Il ruolo della Decision Analysis nellimpiego di CNOs

Figura 2. Diagramma di influenza per l'impiego di CNO136.

6.2 Testing e riduzione dellincertezza

Potrebbero piacerti anche