Cos’è e cosa non è una cyber-weapon?
Thomas Rid e Peter McBurney ne discutono sull’ultimo numero del RUSI Journal in un articolo che merita di essere letto, raro esempio di serietà in un campo dove spesso si parla a vanvera*.
Definire correttamente un’arma cyber**, meglio: tentare di farlo – scrivono i due ricercatori inglesi – ha rilevanti conseguenze politiche e legali oltre che sulla sicurezza stessa.
The line between what is a cyber-weapon and what is not a cyber-weapon is subtle.
But drawing this line is important. For one, it has security consequences: if a tool has no potential to be used as a weapon and to do harm to one or many, it is simply less dangerous.
Secondly, drawing this line has political consequences: an unarmed intrusion is politically less explosive than an armed one. Thirdly, the line has legal consequences: identifying something as a weapon means, at least in principle, that it may be outlawed and its development, possession, or use may be punishable.
It follows that the line between weapon and non-weapon is conceptually significant: identifying something as not a weapon is an important first step towards properly understanding the problem at hand and to developing appropriate responses. The most common and probably the most costly form of cyber-attack aims to spy.
Ridd e McBurney definiscono le “cyber weapon” come “a computer code that is used, or designed to be used, with the aim of threatening or causing physical, functional, or mental harm to structures, systems, or living beings“. Stuxnet, ad esempio, rientrerebbe in tale definizione ma non altrettanto Duqu, un malware scoperto nell’ottobre dello scorso anno e con caratteristiche tecniche simili a quelle di Stuxnet.
La differenza fondamentale tra i due consisterebbe nel fatto che il primo è stato progettato/usato per danneggiare, il secondo per raccogliere/carpire informazioni. Stuxnet, quindi, sarebbe un’arma cyber, Duqu no. Questo nonostante le similitudini tecniche tra i due abbiamo spinto gli esperti a parlare di medesima paternità.
Le conclusioni che ne derivano sono abbastanza chiare. Scrivono infatti i due esperti:
A thorough conceptual analysis and a detailed examination of the empirical record corroborates our hypothesis: developing and deploying potentially destructive cyber-weapons against hardened targets will require significant resources, hard-to-get and highly specific target intelligence, and time to prepare, launch and execute an attack. Attacking secured targets would probably require the resources or the support of a state actor; terrorists are unlikely culprits of an equally unlikely cyber-9/11. The scant empirical record also suggests that the greatest benefit of cyber-weapons may be using them in conjunction with conventional or covert military strikes, as Israel did when it blinded the Syrian air defence in 2007.
This leads to a second conclusion: the cost-benefit payoff of weaponised instruments of cyber-conflict may be far more questionable than generally assumed: target configurations are likely to be so specific that a powerful cyber-weapon may only be capable of hitting and acting on one single target, or very few targets at best.
Un argomento, quest’ultimo, che rimetterebbe in discussione due delle certezze più diffuse (anche per il sottoscritto) in materia di cyber-warfare ovvero 1) la superiorità dell’attacco sulle difesa e 2) la pericolosità, per la sicurezza nazionale, del know-how posseduto da gruppi di c.d. “cyber-criminali”.
Riassumendo il pensiero di Rid e McBurney: le vere cyber weapons sono strumenti altamente complessi e necessitano di risorse statali per essere progettati ed impiegati (si veda, ad esempio, l’attività di intelligence preliminare necessaria per veicolare efficamente Stuxnet). Inoltre, proprio la natura di tali strumenti li rende efficaci, e quindi utilizzabili, per attacchi puntuali e non diffusi. Molte risorse con risultati limitati.
* a tal proposito, chi scrive deve ancora riprendersi dallo choc dopo aver letto alcune “analisi”, chiamiamole così, di noti “esperti”, chiamiamoli così, italiani in una nota rivista italiana di politica internazionale. Ci sarebbe da ridere se non ci fosse da piangere…
** Gio’, perdonami…
“La differenza fondamentale tra i due consisterebbe nel fatto che il primo è stato progettato/usato per danneggiare, il secondo per raccogliere/carpire informazioni. Stuxnet, quindi, sarebbe un’arma cyber, Duqu no.”
Concordo…ma solo ad una condizione: che per “arma” si intenda esclusivamente uno strumento atto ad infliggere un danno “fisicamente” rilevabile!
Altrimenti, se consideriamo il termine “weapon” nell’accezione più generale (e, conseguentemente, se consideriamo il termine “harm” nel suo significato più ampio), la distinzione che operano i ricercatori del RUSI risulterebbe, secondo me, fallace!!
Carpire un’informazione con elevato livello di classificazione di segretezza equivale, o no, alla generazione di un “danno”? se la risposta è affermativa…allora anche Duqu è….una cyber-weapon!
Acquisire un’informazione riservata (non segreta) significa, o meno, causare un “danno”? se la risposta è affermativa…allora anche gli strumenti utilizzati da Anonymous (?) per bucare il database della Stratfor (e rubarne le informazioni contenute) sono armi cyber!
Mi convince molto più, invece, la loro riflessione concernente la differenza tra le capacità potenziali di una cyber-weapon progettata/elaborata da un soggetto statale e quelle di un’arma cyber “home-made” 😉
Ottima osservazione…
Molto bravo, Barry. Davvero un’eccellente osservazione.
Silendo, te l’ho già detto che a me Rid non mi convince. Vero? 😉
Il diritto penale, nella classificazione di cosa sia o non sia classificabile come arma, può decisamente venirci in aiuto. Ma, del resto, siamo noi la patria del diritto, non loro.
Ricordo, ricordo… 😀
“Ci sarebbe da ridere se non ci fosse da piangere…” 😀 😀 😀
ultimamente, sbaglio, o accade sempre più frequentemente?!! 😀
Mah… credo sia una questione di “mercato” dei media.
Adesso è di moda l’analisi economica, no? E quindi tutti a discettare di scenari geo-economici, guerre finanziarie, complotti anglo-massonici, le perfide società di rating, et similia
Il tizio che ha alle spalle una formazione di studi militari adesso parla di euro e di macroeconomia. Non ho capito bene in base a quali competenze/conoscenze, mah.. Un po’ come dopo l’11 settembre. Ricordi? Tutti esperti di intelligence, tutti raffinatissimi arabisti
La storia viene presa, sconvolta, rigirata, reinterpretata a piacere. I dati oggettivi sono una pia illusione. Tempo fa lessi gli sproloqui di un tizio che collegava direttamente la crisi economica alla Guerra Fredda, senza portare un solo dato reale a supporto. Questo solo per fare un esempio, eh.
Insomma, Barry, abbiamo aperto i manicomi…
Ci vuole molto fegato per leggere certe cose 😉
T.
Gentile Silendo,
il fatto che una cosa o un’azione non si possa provare immediatamente non significa che non esista anzi spesso le azioni “malvage” sono compiute all’ombra, all’oscuro. E ciò può benissimo voler dire che le zone buie possono benissimo essere alla portata di tutti: basta cambiare criteri con cui si vuole definire lo scenario e in questo caso è grave il comportamento dei media: per questo aspetto essi costituiscono il vero potere.
Vedi qui il mio costante richiamo alla Verità perché questa fa paura a chi compie il male. La verità è oggettiva, bella e completa. Essa riguarda la piena realizzazione dell’uomo attraverso il suo rapporto soggettivo con il suo Creatore e oggettivo con la Verità uguale per tutti.
L’importanza di chi riveste ruoli di intelligence consiste nel fatto che per essi le prove sono uno strumento che serve a definire un qualcosa che viene celato in quanto è causa di male o comunque riguarda qualcosa che turba l’armonia che regnerebbe se i rapporti fossero veramente fondati su valori che premiano l’uomo e non su disvalori che lo svalutano e lo degradano umiliandolo con le logiche del profitto del dominio e del potere.
Ora, detto questo convengo che non bisogna gridare al disastro per ogni cosa, che si debba essere informati quando si parla e quindi concordo sul fatto che una tesi (seppure empirica) vada sostenuta con argomentazioni sincere e aggiornate. Condividendo con te pienamente il disgusto verso il trasformismo che connota una società debole e schiava dei suoi vizi come quella attuale.
Per passare al lato tecnico credo che la definizione di weapon (arma) sia sostanzialmente ingannevole e generica in quanto essa comprende un eccessivo spettro di elementi diversi. Concordo tuttavia nel definirla (altrettanto genericamente) come un qualcosa in grado di creare offesa, in quanto invece nel caso di un furto di informazioni è ciò che ne consegue – l’azione successiva – la vera”offesa”. Come weapon includerei anche i vari applicativi trojan che custodiscono alloro interno programmi molto più distruttivi.
A tal proposito a chi possiede un dispositivo android suggerisco di fare estrema attenzione alle app che si scaricano in quanto sembra che siano e saranno privilegiati canali di diffusione di virus dato l’esponenziale aumento delle vendite di devices negli ultimi mesi.
Saluti.
E.S.
Assolutamente sì, però la ricerca scientifica non è “fede”
Se io ho una teoria devo essere in grado di dimostrarla. Altrimenti siamo nel campo nelle illazioni.
Se poi, addirittura, sostengo una teoria che è smentita dai fatti e dai dati disponibili… allora sono semplicemente un… “fantasioso”…. 😀
No, ma solo perchè non sarebbe Fede ma fideismo. 😀
Per tornare seri: bisogna essere sempre equilibrati, nelle dichiarazioni come nei giudizi, perchè la ricerca scientifica deve confrontarsi e completarsi con la Fede per arrivare alla verità. Altrimenti se fosse fine a se stessa sarebbe scientismo e non scienza.
E’ un’illazione anche supporre che la sola ricerca scientifica è degna di considerazione, si rischia di cadere nel pericoloso campo dello gnosticismo.. o peggio ancora in teorie illuministiche disumanizzanti. 😉
Una battuta in conclusione: tanti film (fantasiosi) hanno anticipato scenari realmente verificatesi! 😀 e poi oh.. ogni tanto fa bene anche piangere oltre che ridere!
Saluti,
E.S.
Ricerca scientifica e fede, a mio avviso, si muovono su piani differenti. Ed è giusto che sia così, tra l’altro.
Eh… ma lì parliamo di scenari futuri e di non interpretazione di fatti passati 😉
Non per nulla ho chiamato Silendo con il rispettoso appellativo di Preside…Silente
😉 E’ uno dei migliopri che abbia conosciuto :-))
ahahahah grazie, grazie… troppo gentile dai… 😀
Sile, troppi trilemmi…
😀
😉
R.
Non mi ci fare pensare, guarda…. (peccato che manchi la faccina che sbatte la testa contro il muro…).
Non sbagli caro Barry 😉
T.
Silendone, forse mi è sfuggito qualcosa, ma della teoria dei due non mi è chiaro il retropensiero.
Perchè concentrarsi sul concetto di danno fisico/materiale, stabilendo un discrimine tra weapon e non weapon, soprattutto sul versante giuridico penale, riconducendolo alla prima? Testualmente “identifying something as a weapon means, at least in principle, that it may be outlawed and its development, possession, or use may be punishable”. Dunque l’uso si Duqu (che non è weapon) non è punibile?
Si può introdurre il concetto di cyber-grimaldello per un malware come Duqu, ma non capisco come non si debba inquadrare anche questo come fattispecie penale.
Vogliono liberalizzare il furto di informazioni riservate?
Caro Linus, non sono in grado di fare l’interpretazione autentica del loro pensiero ma ritengo che loro dicano: attenzione, una cosa è possedere una pistola, un’altra è possedere un grimaldello.
Una cosa è rubare informazioni, un’altra è distruggere il database.
Barry caro, ci siamo incrociati
Secondo me loro hanno ragione nel ritenere che non si tratti di arma in senso stretto, ma bensì dell’uso di uno strumento di scasso, e come tale punibilissimo. E su questo che lasciano perplessi.
Se è come dici tu Silendo, ed è così in effetti, a che pro scrivere questo articolo, dove vogliono andare a parare? 😉
Molto semplice, definire il campo.
Come ho scritto all’inizio del post: stabilire cos’è un armamento cyber e cosa non lo è. Ma soprattutto ciò che da questo deriva come conseguenza.
Si può parlare di cyber-war? Quali sono gli attori capaci di una cyber-war?
Ad esempio, c’è una bella differenza se le cyber-weapon sono strumenti tecnici che possono essere gestiti solo (o soprattutto) dagli Stati o anche da soggetti privati.
L’ultima parte dell’articolo spiega bene dove vogliono andare a parare 😉
Spero che mi perdoniate le sgrammaticature ed i refusi…ma vado sempre di corsa !! Cmq mi è venuto un trio di parole per il Preside :
Cosciente nel senso di Consapevole. senso che attinge alla più alta dimensione junghiana per la maggiore estensione che si può trarre da conscio.
Silente nel senso incarnato del gerundio Silendo
Agente – fermi non maliziate !!! – nel senso che agisce. Sennò non mi veniva la rima. Uff.
ahahah ti ringrazio, Nessuno
Hackers had ‘full functional control’ of Nasa computers
http://www.bbc.co.uk/news/technology-17231695
leggermente OT interessante..
saluti
SG
anatomia di un delitto “anonimo”…. ovvero analisi di un attacco realmente sferrato da Anonymous:
http://www.imperva.com/docs/HII_The_Anatomy_of_an_Anonymous_Attack.pdf
il documento è importante perchè, oltre a descrivere in modo dettagliato un’operazione offensiva eseguita da Anonymous nell’agosto del 2011, fornisce un quadro sulle capacità tecncihe ed organizzative del gruppo di hackers (o crackers?) 😉
dimenticavo…secondo il NYT, il target dell’attacco è stato il Vaticano, che si sarebbe difeso molto bene (meglio di altri soggetti attaccati 😉 ):
http://www.nytimes.com/2012/02/27/technology/attack-on-vatican-web-site-offers-view-of-hacker-groups-tactics.html?_r=2&pagewanted=1
Parlavo con Silendo di questo report settimana scorsa, dato che ho avuto la possibilità di leggerlo in anteprima. Adesso posso esprimere l’unica perplessità che ho in merito.
Da “tecnico”, infatti, nutro alcune incertezze sull’evoluzione dell’attacco.
Per quanto il paper prenda in considerazione esclusivamente un singolo attacco, caratterizzandosi, quindi, per uno spettro di analisi fortemente limitato nel riportare la dinamica registrata dagli IDS, credo che nella maggior parte dei casi sia molto difficile che il gruppo Anonymous segua nelle fasi iniziali dell’attacco l’iter descritto nel testo.
Le prime attività di “Recruting and Communications (Day 1-18)“, infatti, non possono rappresentare, a mio avviso, l’inizio reale del processo di attacco, ma la fine di un pre-processo di analisi dei sistemi da attaccare (più o meno preceduto da attività di footprinting, enumerazione, interrogazione, riconoscimento e scansione) da parte di una cerchia ristretta di highly-skilled hackers, volto a saggiare il “terreno” e a valutare cosa sia possibile fare sul bersaglio. Questo, ovviamente, al fine d’impostare una corretta strategia comunicativa pubblica nella fase (successiva) di “Recruting and Communications (Day 1-18)” e, soprattutto, in quella comunicativa “privata” che, a mio avviso, inevitabilmente si instaura immediatamente dopo l’inizio di quella pubblica.
Insomma, credo che il paper soffra di un “bug” – passatemi il termine – derivante dal fatto che i risulati di analisi evidenziati dalla società sono il frutto di un’analisi cominciata in una fase “reattiva” a degli indicatori di anomalie informatiche scattati sulla rete del Vaticano (dato che dicono sia stato questo il committente).
My 0.02 cents.
Buona domenica a tutti.
Insomma, intelligence sul bersaglio… 😀
Assolutamente sì. E’ inpensabile, almeno a certi livelli, di muoversi contro certi bersagli senza prima svolgere quelle operazioni.
pare che, in questo momento, sia in corso un attacco al sito del Vaticano…
Tra l’altro, mi permetto di innalzare in maniera molto seria la vostra attenzione sull’evoluzione repentina delle politiche iraniane in materia di cyber-security, sia difensive che di attacco, che mi preoccupano molto.
Perchè?
Stanno mettendo sù un sistema di controllo delle comunicazioni dei cittadini, soprattutto legato ad Internet, molto simile negli obiettivi a quello cinese (difesa).
Hanno appena reclutato 20.000 esperti di cyber-security (attacco).
adesso infatti han messo su un’authority sul cyber spazio…
http://www.cyberwarzone.com/cyberwarfare/iran-plans-reinvigorate-cyber-power
e qui la notizia data da Irna (che naturalmente vira sul lato ‘culturale’ della cosa):
http://www.irna.ir/News/Politic/Iran-sets-up-council-to-promote-Internet-service-on-cultural-values/80028797
Detto. Fatto. Il Supreme Cyber-space Council a quanto pare è realtà.
http://en.trend.az/regions/iran/2001057.html
sulla “overestimation” della minaccia cyber:
http://www.technewsdaily.com/3925-hype-cyberwar-attacks.html?utm_content=TechNewsDaily&utm_campaign=seo%2Bblitz&utm_source=twitter.com&utm_medium=social%2Bmedia
Quasi pronta anche la rete Internet nazionale dell’Iran, di cui si diceva da tempo, che garantisce al governo il controllo completo sulle comunicazioni in transito e un c.d. ‘kill switch’ in caso di cyber-attacks.
“Iran’s Ministry of Communications and Technology has also said it will launch a national internet in the next few months. The domestic internet, which will work as a kind of intranet, is supposed to be “clean” from “immoral” sites.
Iran’s information minister said the country’s own internet network will solve problems with costs, security and bandwidth.
When the network becomes operational in a few weeks, internet use will no longer need an international bandwidth for domestic connections and bandwidth expenses will drop up to 30 percent, Reza Taqipour said. With domestic communications routed through the “national information network” the international bandwidth will be freed for international communications, Taqipour said.”
More: http://english.farsnews.com/newstext.php?nn=9012151817
Sganciate anche le email dal sistema internazionale (gmail, ecc.), concentrando tutto in un local mail server.
Iran cyber defense headquarters makes local mail servers
http://www.presstv.ir/detail/232105.html
Un’intervista ai due autori: http://www.rusi.org/analysis/commentary/ref:C4F9574AEBED0D/
E’ da tempo che continuo a dire “Attenzione all’Iran…!“.
Ora lo dicono anche le testimonianze svolte ieri dinanzi all’Homeland Security’s Subcommittee on Counterterrorism and Intelligence e al Subcommittee on Cybersecurity, Infrastructure Protection, and Security Technologies.
Vi segnalo soprattutto quella di Ilan Berman, Vice Presidente dell’American Foreign Policy Council. Qui trovate tutto:
http://www.stefanomele.it/news/dettaglio.asp?id=301