Fioccano le analisi “post mortem” degli attacchi in Estonia (vedi ad esempio qui, qui, qui e qui). A bocce ferme naturalmente è abbastanza evidente che quanto è successo non si qualifica come “cyberterrorismo” (che continuo a ritenere improbabile allo stato attuale) e difficillmente si qualifica come “cyberwar”. Tuttavia, ho parecchie perplessità riguardo alle motivazioni per cui viene scartata l’ipotesi della “guerra”. Spafford ad esempio dice: ” Basically, in Estonia there was a massive outbreak of cyber vandalism and cyber crime”. Tuttavia, per quanto ne so i “vandali e criminali” erano tutti di un paese, e le vittime tutte di un altro, comprese le relative istituzioni, al punto da mettere in difficoltà lalcune importanti istituzioni e aziende. Dice EWeek: “There was something special about the Estonian attack, which hasn’t been seen before on this scale: It wasn’t just the hacker groups who attacked, it was the population”. Io ovviamente non sono in grado di dire quale sia la versione giusta.Tuttavia, a quanto pare se succedesse agli U.S.A. la cosa sarebbe diversa 😉 Dice Bellovin: “What if someone said: Pay us $100 million or the denial-of-service attack that took out the electrical grid in California is going to happen again?’ Bellovin asks. ‘That would be an act of war. And from a military perspective, every major country is looking at attacks and defenses on this issue.” Ma il punto principale non è certo la definizione di cosa sia una “cyberwar”, anche se certamente sarebbe utile definirla per stabilire quando uno Stato diventa responsabile per le azioni dei propri cittadini nei confronti di un altro Stato.
Se è vero che gli attacchi sono aumentati significativamente dopo la diffusione su alcuni siti in lingua russa di istruzioni su come praticare questo tipo di attacchi, allora è questo, e non la mancanza di sofisticatezza o intensità, il vero aspetto significativo degli attacchi: vuole dire che è diventato realmente alla portata di “chiunque” praticare DDoS, e possiamo facilmente immaginare come azioni impunite di questo tipo possano creare la mentalità per cui sia un modo praticabile, se non legittimo, di far valere le proprie posizioni nei confronti di un altro paese. Dice giustamente Network World: “However, experts fear that we could be entering an era of more frequent politically motivated attacks and that commercial networks will be targeted”. Motivati politicamente ed economicamente, direi. E non solo da parte di gruppi di cittadini, ma anche come strumento di pressione da parte dei governi nei confronti di Stati di cui non apprezzano la politica, anche senza arrivare a una guerra. Ovviamente gli Stati Uniti di questo aspetto (governi che fanno pressione) non si preoccupano, perché date la loro posizione e tecnologia è più facile che siano fra chi esercita la pressione che fra chi la subisce. Già però l’Italia, nella veste ad esempio delle proprie aziende che operano all’esterno, può essere in una posizione meno tranquilla. Certamente la maggior parte dei governi del mondo e delle aziende (il mondo non è fatto solo di Google o di siti del DoD) non avrebbe di che stare tranquilla di fronte a un problema come quello avuto dall’Estonia. Ci possiamo apettare che questo diventi il tallone d’Achille delle infrastrutture di molti paesi; non mi riferisco alle Telco, ma alle infrastrutture che attraverso Internet offrono servizi ai cittadini o semplicemente comunicano per svolgere le proprie attività.
E’ significativo anche il fatto che, come riporta nuovamente NetworkWorld, “they lasted for weeks, not hours or days, which is much longer than we’ve seen for most of these attacks in the past”. In effetti, non ricordo di aver sentito che il governo russo abbia partecipato alla ricerca degli autori degli attacchi… se non l’ha fatto, di principio gli attacchi avrebbero potuto continuare per un tempo anche maggiore. Anche per questo sarebbe un pessimo precedente.
E allora? Prima di tutto, è necessario aumentare la ricerca e lo studio di soluzioni che rendano meno praticabili questi attacchi di DDoS, che rendano l’intera Internet più resistente, e non solo cercare come mitigare gli attacchi una volta lanciati con successo. Su questo fronte, dopo un guizzo di interesse quando il problema dei DDoS si è diffuso, vedo pochi sviluppi se non soluzioni basate sulla capacità di “gestire banda e macinare numeri”, che al momento sembrano l’unica cosa disponibile. Soprattutto, è necessario che i paesi siano in grado di reagire. Dice EWeek: “It’s very likely that all three categories of infrastructure would have ceased operation for the duration of the attacks if it had not been for the efforts of incident responders in both Estonia and abroad, who leveraged cooperation and open information sharing to blunt the attacks… <omissis>…The Estonian response was nothing short of incredible”. Quanti altri Stati sono preparati a reagire ad attacchi di questo tipo? Sia chiaro che non credo che l’Italia possa subire un attacco all’insieme delle proprie infrastrutture critiche, nella logica della cyberwar. Ma nello stesso tempo, non credo che l’atteggiamento alla “been there, done that” di molti commentatori statunitensi possa essere portato all’Italia, se non altro perché i nostri grossi siti sono decisamente più piccoli e vulnerabili di Google.
Credo invece che ci sia bisogno di intervenire in una logica di protezione civile. Siamo (tutto sommato) in grado di intervenire quando pochi vandali o criminali riescono a causare incendi contemporanei in diverse aree: attacchi abbastanza ampi da non essere gestibili con azioni isolate, ma nel complesso non tanto da poter essere emergenze nazionali. Allo stesso modo dovremmo essere in grado di intervenire se parti della nostra infrastruttura informatica vengono colpite, senza lasciare cittadini e piccole imprese ad un’autogestione che non sono in grado di affrontare, ma nello stesso tempo senza sprecare risorse nella prevenzione di improbabili “attacchi totali”(le stesse risorse continuano ad essere spese meglio nella lotta agli incendi e alle inondazioni). Per questo, serve che i cittadini possano avere dei riferimenti certi, esattamente come hanno il 115 per gli incendi, e che ci sia un’adeguata formazione, in modo da sapere cosa fare e a chi rivolgersi in caso di difficoltà, senza dover improvvisare. Mi riferisco chiaramente ad un supporto nella gestione dell’emergenza e nella mitigazione degli attacchi, non nell’attività di indagine e repressione, per la quale c’è già la Polizia Postale.
