Indietro

ⓘ Attacco informatico




Attacco informatico
                                     

ⓘ Attacco informatico

Nella sicurezza informatica un attacco informatico è una qualunque manovra, impiegata da individui od organizzazioni anche statali, che colpisce sistemi informativi, infrastrutture, reti di calcolatori e/o dispositivi elettronici personali tramite atti malevoli, provenienti generalmente da una fonte anonima, finalizzati al furto, alterazione o distruzione di specifici obiettivi violando sistemi suscettibili. Tali azioni sono classificabili in cyber campaign, guerre cibernetiche o cyberterrorismo a seconda del contesto. Gli attacchi informatici spaziano dallinstallazione di spyware su di un PC fino a tentativi di demolizione delle infrastrutture di intere nazioni.

                                     

1.1. Descrizione Elementi di un attacco

Sono tre i fattori che contribuiscono al lancio di un attacco informatico contro uno stato o un individuo: il fattore paura, la spettacolarità e la vulnerabilità:

  • Spettacolarità: si intende il clamore e la pubblicità negativa guadagnati tramite i danni effettivi dellattacco informatico. Nel 1999 un attacco Denial of Service DoS rese indisponibile il portale Amazon.com: la società sostenne ingenti perdite a causa della sospensione delle attività commerciali ma soprattutto dalla vasta pubblicizzazione dellevento;
  • Vulnerabilità: consiste nello sfruttare la facilità con cui è possibile attaccare unorganizzazione o un istituto governativo per dimostrarne la fragilità dei sistemi informativi piuttosto che causare perdite economiche. In questo senso sono frequentemente utilizzati attacchi DoS oppure il deturpamento delle pagine web.
  • Fattore paura: consiste nel disseminare il terrore in individui, gruppi o società da parte di un cyberterrorista;
                                     

1.2. Descrizione Da hacker professionista a cyberterrorista

Un hacker, sia egli libero professionista o impiegato del governo o facente parte di un corpo militare, è in grado di riconoscere sistemi informatici vulnerabili che mancano delle appropriate misure di sicurezza. Una volta scovata una vulnerabilità, lhacker può infettare il sistema con codice malevolo ed acquisirne il controllo remoto per poi recuperarne il contenuto o utilizzarlo per danneggiare altri computer. È necessaria la presenza di una falla preesistente, come lassenza di un antivirus o lerrata configurazione del sistema, per far sì che il codice malevolo funzioni. I cyberterroristi elaborano piani di attacco premeditati le loro azioni non sono guidate dalla rabbia. Hanno la necessità di disegnare il loro piano passo-passo e di acquisire particolari software per poter eseguire lattacco. Le loro azioni hanno solitamente fini politici e i loro attacchi mirano verso strutture politiche. Possono bersagliare anche la popolazione civile, gli interessi della popolazione le strutture pubbliche causando danni sufficienti a diffondere il terrore.

                                     

1.3. Descrizione Guerre cibernetiche e cyberterrorismo

Nelle cyberwarfare vengono utilizzate tecniche di attacco e difesa di informazioni o reti di calcolatori che popolano il Cyberspazio, spesso tramite una serie di attacchi informatici o prolungate cyber campaign. Lo scopo di una cyberwarfare è quello di negare ad un oppositore la possibilità di effettuare lo stesso tipo di attacchi, impiegando strumenti tecnologici di guerra per neutralizzare i suoi sistemi computerizzati. Il cyberterrorismo è invece "luso di strumenti di rete per disabilitare infrastrutture critiche per la nazione o per coercere o minacciare i governi o la popolazione civile". Lesito dunque di cyberwarfare e cyberterrorismo è lo stesso, danneggiare infrastrutture critiche e sistemi computerizzati connessi tra loro entro i confini del Cyberspazio.

                                     

1.4. Descrizione Sanzioni

Il 1 Aprile 2015 il Presidente degli Stati Uniti Obama ha emesso un ordine esecutivo stabilendo le primissime sanzioni economiche per gli attacchi informatici. Lordine esecutivo colpisce individui o entità responsabili di attacchi che minacciano la sicurezza nazionale, la politica estera, la salute economica o la stabilità finanziaria degli Stati Uniti. Nello specifico, lordine autorizza inoltre il Dipartimento del Tesoro degli Stati Uniti dAmerica a congelare i beni di suddetti individui.

                                     

2. Attacchi sintattici e semantici

In dettaglio, esistono una serie di tecniche utilizzate negli attacchi informatici ed una grande varietà di modi di attuazione degli stessi verso individui o, su scala più ampia, verso istituzioni. Gli attacchi si suddividono in due categorie, Attacchi Sintattici e Attacchi Semantici.

Gli Attacchi Sintattici sono diretti, consistono in software malevolo come virus, worm o Trojan Horses.

                                     

2.1. Attacchi sintattici e semantici Virus

I virus sono programmi auto-replicanti che possono legarsi ad altri file o programmi con la finalità di riprodursi. Un virus può nascondersi nelle zone più improbabili della memoria di un computer ed infettare qualunque file che reputi adatto per lesecuzione del proprio codice. Può inoltre modificare la sua impronta digitale ogni volta che si riproduce rendendolo ancora più difficile da individuare.

                                     

2.2. Attacchi sintattici e semantici Worms

Gli worm non necessitano di altri file o programmi per replicarsi; sono programmi ad esecuzione autonoma. Gli worm si riproducono attraverso le reti utilizzandone i relativi protocolli. Le ultime versioni di worm fanno utilizzo delle vulnerabilità note dei sistemi per penetrarli, eseguire il loro codice, e replicarsi negli altri sistemi, come accadde per il worm Code Red II che infettò più di 259000 sistemi in meno di 14 ore. Su scala più ampia, gli worm possono essere progettati per finalità di spionaggio industriale in modo che analizzino e conservino le attività dei sistemi informativi e il traffico per poi ritrasmettere questi dati al loro creatore.

                                     

2.3. Attacchi sintattici e semantici Trojan

Un Trojan o Trojan Horse, cavallo di Troia è progettato per eseguire azioni legittime ma anche azioni sconosciute allutente e indesiderate. Può essere la base dellinstallazione di molti virus e worm come keyloggers o backdoors. In ambito commerciale, i Trojan possono essere integrati nelle versioni di prove dei software e possono raccogliere informazioni senza che lutente se ne accorga. In tutti questi casi il fine comune è in genere lattacco ad un individuo o istituzione attraverso messaggi di posta elettronica, browser web, software per chat, software per il controllo remoto e aggiornamenti.

Gli Attacchi Semantici consistono nella modifica di informazioni corrette e nella diffusione di informazioni errate fake news. Queste operazioni si potrebbero effettuare senza lutilizzo dei computer, tuttavia il loro impiego apre a molte nuove opportunità di attacco. La disseminazione di informazioni errate può essere utilizzata per coprire le proprie tracce o per impostare qualcuno nella direzione sbagliata facendogli credere che sia quella giusta.



                                     

3. Le infrastrutture come bersaglio

Una volta iniziato un attacco informatico, ci sono alcuni tipi particolari di bersagli che se attaccati possono paralizzare il nemico. Certe infrastrutture sono evidenziate come bersagli critici che in caso di conflitto possono seriamente compromettere una nazione. Sistemi di controllo, risorse energetiche, finanza, telecomunicazioni, trasporti e impianti idrici sono identificati come obiettivi critici durante i conflitti. Un rapporto sui problemi di sicurezza informatica in ambito industriale, redatto dal British Columbia Institute of Technology e dal PA Consulting Group utilizzando dati che arrivano fino al 1981, riferisce di come, a partire dal 2000, si sia riscontrato un aumento di 10 volte nel numero dei successi di attacchi informatici alle infrastrutture con sistemi di controllo SCADA Supervisory Control And Data Acquisition. Gli attacchi informatici che hanno effetti fisici negativi sono conosciuti anche come attacchi informatico-fisici.



                                     

3.1. Le infrastrutture come bersaglio Acqua

Gli impianti idrici sono tra le infrastrutture più critiche in ambito di attacchi. Tra tutti i sistemi di controllo informatizzati, gli impianti idrici sono visti come i più rischiosi in termini di sicurezza, perché detengono il potenziale di rilasciare enormi quantità dacqua su zone non protette che potrebbero portare danni gravissimi e perdita di vite umane. Gli attacchi inoltre potrebbero bersagliare non solo le fonti di approvvigionamento idrico ma anche il sistema fognario. Non esiste una valutazione precisa del costo dei potenziali danni di tali attacchi, ma negli Stati Uniti si stimano intorno alle centinaia di miliardi di dollari. La maggior parte di questa categoria di infrastrutture sono ben sviluppate, rendendo difficile che gli attacchi informatici provochino danni significativi, al più, si possono riscontrare danni nella componentistica che possono portare a brevi interruzioni di corrente elettrica.

                                     

3.2. Le infrastrutture come bersaglio Energia

I sistemi di fornitura energetica sono visti come il secondo tipo di infrastruttura attaccabile. Si divide in due categorie, elettricità e gas naturale. La rete elettrica alimenta regioni, città e abitazioni. Prendendo come esempio gli Stati Uniti, in un conflitto i cyberterroristi possono accedere liberamente ai dati del Daily Report of System Status che mostra i flussi di potenza attraverso il sistema e individuare le sezioni più impegnate della rete. Forzando larresto delle sezioni con maggior consumo possono causare isteria di massa, un aumento di domanda energetica e creare il caos; si possono anche individuare le aree critiche al funzionamento della rete per attacchi più diretti. I cyberterroristi possono inoltre accedere online alle istruzioni su come connettersi alla rete elettrica della Bonneville Power Administration. Questo è un grande vantaggio che può essere sfruttato in caso di attacco informatico perché un attaccante straniero può colpire con la massima precisione senza avere la minima conoscenza pregressa del sistema e senza imprevisti. Gli attacchi informatici agli impianti di gas naturale funzionano grossomodo alla stessa maniera. Gli attaccanti possono forzare la chiusura degli impianti fermando il flusso di gas oppure possono ridirezionarlo in altre sezioni controllate da loro alleati. Ci fu un caso in Russia nel quale lazienda fornitrice di gas Gazprom perse il controllo del loro centralino principale che regola il flusso di gas dopo che un operatore interno bypassò la sicurezza dellimpianto tramite un Trojan horse.



                                     

3.3. Le infrastrutture come bersaglio Telecomunicazioni

Lattacco informatico delle infrastrutture per le telecomunicazioni ha risultati immediati. Lintegrazione in ogni ambito delle telecomunicazioni è diventata pratica comune e sistemi come la telefonia e il protocollo IP si stanno fondendo. Il tutto è gestito tramite internet, poiché le velocità di trasmissione le capacità di archiviazione sono pressoché infinite. Come accennato in precedenza gli attacchi con maggiore probabilità di successo vanno dai semplici denial-of-service ad attacchi più complessi effettuati sui protocolli di routing BGP o sulle infrastrutture DNS. È sempre meno probabile che gli attacchi siano destinati a compromettere la rete telefonica tradizionale che utilizza i protocolli SS7, o siano destinati a danneggiare gli apparati fisici come i ripetitori o gli impianti satellitari perché in questi ambiti è facile ridirezionare il traffico per aggirare le parti danneggiate in tempi relativamente brevi. Lidea alla base di questo tipo di attacchi è di isolare le persone lun laltra, di interrompere le comunicazioni, e così facendo, impedire che le informazioni critiche vengano inviate e ricevute. In una guerra informatica, è il modo più facile di ottenere il sopravvento. Controllando il flusso delle informazioni e delle comunicazioni, una nazione è in grado di pianificare attacchi più precisi e prendere misure difensive più efficaci.

                                     

3.4. Le infrastrutture come bersaglio Trasporti

Linfrastruttura dei trasporti rispecchia quella delle telecomunicazioni; impedendo gli spostamenti in città o regioni, leconomia si degraderebbe progressivamente nel tempo. Un attacco informatico andato a buon fine può impattare la logistica e laccessibilità, danneggiando la catena economica ed impedendo il trasporto di merci da un luogo allaltro. Nel gennaio del 2003 durante lattacco del virus slammer ", la compagnia Continental Airlines fu costretta ad annullare i propri voli per problemi ai sistemi informatici. I cyberterroristi possono bersagliare le ferrovie danneggiando i cambi, gli aerei attaccando i software di volo, le strade per impedire i trasporti convenzionali. Nel maggio del 2015, un consulente informatico, Chris Roberts, rivelò allFBI che tra il 2011 e il 2014 era stato in grado di hackerare ripetutamente i controlli di volo di Boeing ed Airbus tramite il sistema di intrattenimento di bordo, e sostenette inoltre che almeno una volta fu in grado di cambiare laltitudine del velivolo. Dopo averlo preso in custodia nellaprile del 2015, lFBI lo interrogò circa queste accuse.

                                     

3.5. Le infrastrutture come bersaglio Sistemi di controllo

I sistemi di controllo sono responsabili dellattivazione e del monitoraggio industriale o dei controlli meccanici. Molti dispositivi sono integrati da piattaforme informatiche che controllano valvole o porte di certe infrastrutture. I sistemi di controllo sono progettati solitamente per fornire telemetria remota di dispositivi dotati di connessione direttamente a internet o tramite modem. Nella gestione di questi dispositivi i livelli di sicurezza offerti sono bassi, consentendo ad hacker e cyber terroristi la possibilità di ricercare vulnerabilità. Un esempio emblematico è fornito da Paul Blomgren, direttore del reparto di ingegneria delle vendite in una società di sicurezza informatica. Blomgren spiega come i suoi dipendenti arrivati ad una sottostazione elettrica, senza nemmeno uscire dal loro veicolo, si fossero collegati alla rete WLAN dellimpianto tramite le loro schede wireless ed i loro computer portatili, in quanto non protetta da password. "Nel giro di 10 minuti avevano mappato ogni singolo componente utilizzano nellimpianto" dice Blomgren. "Nel giro di 15 minuti avevano mappato ogni singolo componente della rete di controllo operativo. In 20 minuti, stavano comunicando tramite la rete aziendale ed avevano estratto diversi rapporti di lavoro."

                                     

3.6. Le infrastrutture come bersaglio Finanza

Le istituzioni finanziarie possono essere colpite duramente dagli attacchi informatici. In queste istituzioni cè un costante movimento di denaro se un cyber criminale decidesse di attaccare deviando le transazioni e rubando quindi grandi somme lindustria finanziaria collasserebbe a danno dei civili che si ritroverebbero senza sicurezza e lavoro. Solo negli Stati Uniti, il volume medio di transazioni giornaliere tocca i 3000 miliardi di dollari, dei quali il 99% è in formato elettronico. Essere in grado di interrompere un tale flusso di denaro in un giorno o per alcuni giorni causerebbe danni permanenti alleconomia costringendo gli investitori a tirarsi fuori dai fondi di investimento ed erodendo la fiducia del pubblico.

                                     

4. Attori Statali

Nellambito delle guerre informatiche, un individuo deve poter riconoscere gli attori statali coinvolti nei reciproci attacchi informatici. I due attori predominanti leader in quanto a risorse per la guerra informatica Cina e Stati Uniti, fanno parte della secolare dicotomia tra Oriente e Occidente. Ci sono molti altri attori, statali e non-statali, coinvolti nelle guerre informatiche, come Russia, Iran, Iraq, India, Israele ed Al Qaeda.

Akamai Technologies ha tuttavia riportato che, nel secondo quadrimestre del 2013, lIndonesia aveva superato la Cina con il 38% degli attacchi informatici, un aumento considerevole rispetto al 21% del quadrimestre precedente. La Cina si è fermata al 33% e gli Stati uniti al 6.9%. Il 79% degli attacchi venne dalla regione dellAsia Pacifica. LIndonesia ha inoltre prevalso sugli attacchi alle porte 80 e 443 con circa il 90%.

                                     

4.1. Attori Statali Cina

LEsercito Popolare di Liberazione Peoples Liberation Army, PLA ha sviluppato una strategia chiamata Integrated Network Electronic Warfare che guida le operazioni sulle reti di computer e gli strumenti di guerra cibernetica. Questa strategia aiuta ad integrare strumenti di guerra di rete ed armi elettroniche contro sistemi informativi avversari. Il PLA crede inoltre che la base per arrivare al successo in conflitto su ampia scala consista nello stabilire il predominio nel controllo delle informazioni, guadagnando il controllo sul flusso di informazioni avversario. Nei i testi The Science of Military Strategy e The Science of Campaigns ", pubblicati dal PLA, viene identificata come obiettivo primario per gli attacchi informatici la rete di sistemi logistici nemici e nella guerra informatica viene identificato il punto di partenza ideale di ogni conflitto, se essa può portare al successo. Focalizzandosi sullattacco delle infrastrutture per disgregare la trasmissione e lelaborazione delle informazioni cruciali al processo decisionale nemico, il PLA si assicurerebbe il dominio cibernetico sullavversario. Per ottenere il controllo in un conflitto il PLA utilizzerebbe disturbatori elettronici e tecniche di inganno e soppressione per interrompere i processi di trasferimento delle informazioni. Lancerebbero poi attacchi tramite virus o attuerebbero tecniche di hacking per sabotare i processi informativi con lintento di neutralizzare le piattaforme le strutture informative del nemico. In The Science of Campaigns il PLA enfatizza il particolare ruolo delle guerre cibernetiche di creare opportunità per le altre forze armate, che possono operare in incognito o con basso rischio di contrattacco sfruttando il periodo di "isolamento" o "paralisi" creato dagli attacchi informatici. Questo è proprio uno dei punti focali delle guerre cibernetiche, poter indebolire il più possibile il nemico per far in modo che loffensiva fisica abbia maggiori percentuali di successo.

Il PLA conduce esercitazioni periodiche in una varietà di ambienti enfatizzando luso di tattiche di guerra informatica e di tecniche per contrastarle in caso venissero usate contro di loro. La ricerca si è focalizzata su progetti per lutilizzo e il rilevamento di rootkit per il loro sistema operativo Kylin che contribuiscono a migliorare ulteriormente le tecniche di guerra di questi individui. La Cina considera la guerra informatica come un deterrente allutilizzo di armi nucleari, fornendo una maggior precisione, causando un minor numero di vittime e consentendo attacchi a lungo raggio.

                                     

4.2. Attori Statali Stati Uniti

La responsabilità per la sicurezza informatica è ripartita tra il Dipartimento della Sicurezza Interna, il Federal Bureau of Investigation FBI e il Dipartimento della Difesa. Nel 2009 è stato creato un nuovo dipartimento che gestisse specificatamente le minacce informatiche, chiamato United States Cyber Command. Il Cyber Command è un sottocomando militare dello United States Strategic Command ed è responsabile della gestione di minacce allinfrastruttura informatica militare. Include diversi elementi di servizio come l Army Cyber Command, il Twenty-Fourth Air Force, il Fleet Cyber Command e il Marine Forces Cyber Command. Assicura che il Presidente possa controllare il sistema informativo e che abbia anche diverse opzioni militari disponibili quando la difesa della nazione si sposta nel cyberspazio. Gli agenti del Cyber Command devono prestare attenzione agli attori statali e non statali che sviluppano capacità di guerra informatica nella conduzione di spionaggio informatico ed altri attacchi informatici verso la nazione o i suoi alleati. Il Cyber Command vuole essere un deterrente per dissuadere i potenziali avversari dallattaccare gli Stati Uniti, essendo contemporaneamente un dipartimento poliedrico nella conduzione delle proprie operazioni.

Sono tre gli eventi che potrebbero aver fatto da catalizzatori nella creazione del Cyber Command. Il primo fu un grave guasto di infrastrutture critiche segnalato dalla CIA, causato da atti dolosi verso i sistemi informativi che compromisero la rete elettrica doltreoceano. Ciò risultò in interruzioni della fornitura di corrente elettrica in diverse città distribuite in diverse regioni. Il secondo evento fu lexploit di una vulnerabilità nel servizio bancario internazionale. Nel novembre del 2008, uno dei gestori dei pagamenti di una banca internazionale consentì lesecuzione di transazioni illecite da più di 130 sportelli automatici in 49 città per un periodo di 30 minuti. Lultimo evento fu la perdita di potere economico degli Stati Uniti quando nel 2008 si registrò una perdita di 1000 miliardi di dollari in furti di dati e proprietà intellettuale. Anche se questi eventi rappresentano perlopiù catastrofi interne al paese niente impedisce agli attori statali e non statali di fare lo stesso su scala più ampia. Altre iniziative, come la formazione del Cyber Training Advisory Council, furono indette per migliorare la qualità, lefficienza e ladeguatezza della formazione per la difesa delle reti, lattacco e lo sfruttamento delle operazioni informatiche nemiche.

                                     

4.3. Attori Statali India e Pakistan

Tra i conflitti tra India e Pakistan iniziati negli anni 90, sono due i casi che coinvolgono attacchi informatici, i primi dei quali sono divenuti di dominio pubblico nel 1999. Fino ad allora, India e Pakistan erano impegnate in una lunga disputa sulla regione del Kashmir che si trasferì poi nel cyberspazio. I resoconti storici indicano che gli hacker di entrambe le nazioni furono coinvolti in ripetuti attacchi ai database della nazione opposta. Il numero di attacchi crebbe di anno in anno: 45 nel 1999, 133 nel 2000, 275 alla fine di Agosto del 2001. Nel 2010, un gruppo di hacker indiani chiamato Indian Cyber Army attaccò almeno 36 database di siti web governativi. Nel 2013, gli hacker indiani attaccarono il database del sito ufficiale della Commissione Elettorale del Pakistan con lintento di sottrarre informazioni sensibili. In rappresaglia, gli hacker pakistani chiamati True Cyber Army deturparono circa 1059 siti web dei corpi elettorali indiani.

Secondo la stampa, il Pakistan ha lavorato su di un efficace sistema di Sicurezza informatica, in un programma chiamato Cyber Secure Pakistan CSP. Il programma è stato lanciato nellAprile del 2013 dalla Pakistan Information Security Association ed è stato poi espanso alle università del paese.

                                     

4.4. Attori Statali Russia

In Russia i gruppi hacker Apt 28Fancy Bear e Apt 29Cozy Bear sono saliti alla ribalta per gli attacchi del 2016 durante le elezioni presidenziali americane che causarono controversie

                                     

4.5. Attori Statali Regno Unito

Nel Regno Unito le attività di spionaggio vengono condotte dal GCHQ tramite la piattaforma segreta Tempora emersa come la più pervasiva della privacy dalle rivelazioni di Edward Snowden.