Alle primissime luci dellâalba del 30 maggio, il gruppo hacker russo Killnet â dopo lâavvio lo scorso 28 maggio della Operazione Panopticon [Dal greco: una visione totale, metafora del potere invisibile] ha annunciato su Telegram lâinizio di unâescalation di cyber attacchi contro obiettivi italiani. Nella stessa giornata, il sito di Poste è risultato irraggiungibile per diverse ore e â nel primo pomeriggio â a sparire per qualche minuto dai radar del web sono stati il sito della Difesa e quello degli Esteri. Insomma, la domanda risulta piĂš che legittima: che sia questa la temuta escalation promessa dal collettivo di cyber criminali o si tratta di una semplice coincidenza?
Ce lâha insegnato Nostradamus: spesso a fare previsioni a lungo termine ci si azzecca. Ma senza scomodare personaggi del passato, pensiamo al terrorismo di marca Isis. Molto spesso le rivendicazioni del gruppo estremistico avevano come oggetto azioni portate a termine da lupi solitari che nulla avevano a che spartire con Daesh, pur tuttavia lâatto stesso della rivendicazione â oltre a intorbidire le acque â otteneva un effetto ben piĂš solido di qualche morto lasciato sullâasfalto in una capitale europea o di un massacro indiscriminato in qualche periferia afgana: lâonda lunga dellâeco mediatica.
E le azioni di Killnet, almeno fino a questo momento, sembrano andare in questa direzione. Se collettivi criminali legati al network russo come Dark Side o Conti si sono resi protagonisti di azioni piuttosto pervasive, di attacchi che hanno creato non pochi problemi, diverso è il discorso per Killnet che se ha una capacità specifica è proprio quella di saper bene utilizzare il megafono fornito da social network e comunicazione mediatica in generale. Insomma, quei bravi ragazzi di Killnet sono al momento piÚ abili nella propaganda che a porsi come seria minaccia.
Ovviamente guai a sottovalutare certi tipi di segnali. Dopotutto, Killnet giĂ lo scorso 11 maggio si è reso protagonista dei disservizi al sito del Senato o dellâIstituto superiore di sanitĂ e la stessa Agenzia per la Cybersicurezza Nazionale ha preso sul serio lâavvertimento, parlando di alcuni segnali che sarebbero la spia di attacchi âimminentiâ verso “soggetti nazionali pubblici, soggetti privati che erogano un servizio di pubblica utilitĂ o soggetti privati la cui immagine si identifica con il paese Italia”.
Lâunica certezza â in uno scenario di guerra ibrida che per buona parte si combatte su un terreno immateriale, dove nulla è realmente ciò che sembra e dovâè facile imbastire operazioni di falsa bandiera â è lâestrema volatilitĂ di qualsiasi rivendicazione o minaccia. Proprio per questo ci si affida al parere di quelle poche figure che in Italia sono in grado di decifrare scenari altrimenti inaccessibili a una buona percentuale di popolazione poco avvezza al tema tecnologico. Una di queste è senzâaltro Alessandro Curioni, presidente della Digi Academy, una delle piĂš radicate realtĂ italiane sul fronte della cyber security, e security consultant della Leonardo Cyber & Security Academy.
Dottor Curioni, riguardo i problemi riscontrati da Poste, siamo di fronte allâinizio dellâescalation promessa dal collettivo Killnet?
âAnche se non è da escludere, al momento non ci sono evidenze che portino a pensare ad un attacco hacker. Ho la sensazione che si tratti di una coincidenza. Anche perchĂŠ se si minaccia unâescalation, mi aspetterei qualcosa di diverso rispetto a un semplice blocco momentaneo dei sistemiâ.
Nello specifico cosa si aspetterebbe?
âBeh, penso non solo ai disservizi delle Poste, ma anche agli attacchi di Ddos [denial of service] come quelli che hanno investito lâ11 maggio i siti di Senato e Iss: In quel caso, è come se su quei siti si fosse abbattuto uno tsunami di dati; come se â allâimprovviso â un qualche milione di utenti abbia cercato di accedere ai sistemi informatici. Il risultato è stato un blocco totale ma momentaneo che, una volta terminato, non ha lasciato tracce, non ha compromesso il reale funzionamento dei siti. Ecco, non può essere questo il devastante attacco promesso dal collettivo Killnet: I sistemi, in questi casi, non sono stati compromessi in modo irreparabileâ.
Effettivamente, fonti interne a Poste hanno riferito di un problema informatico su alcuni sistemi che, a catena, hanno determinato tutta una serie di altri disservizi. Insomma, si sarebbe trattato di un errore umano in fase di aggiornamento dei sistemi. Dunque pericolo scampato?
âAl di lĂ delle informazioni che ho raccolto personalmente e del fatto che non mi sembra un attacco hacker, Killnet ha parlato di unâoperazione Panopticon, che sembra richiamare lâidea del âmettere in piazzaâ qualcosa, possibilmente tutto. E questo, per il momento, non è avvenuto. Poi se tra qualche ora metteranno online 10 Terabyte di dati il discorso cambia. Ad ogni modo, in queste situazioni gli unici che sanno veramente cosâè accaduto sono i diretti interessati, le vittime. Noi possiamo limitarci a fare delle ipotesiâ.
E riguardo i siti dei ministeri della Difesa e degli Esteri? Anche qui siamo di fronte a una coincidenza?
âStesso discorso: si è trattato di disservizi durati lo spazio di qualche ora e, pur non escludendo lâazione di qualche hacker, si è trattato molto probabilmente anche in questo caso di un sovraccarico di dati, non â quindi â di un attacco devastante e irreparabile. Lâapproccio di Killnet è di tipo terroristico: Al di lĂ dei danni effettivamente inflitti, ciò che realmente conta è la narrazione che viene fatta. Lâeffetto psicologico di questa narrazione è evidente: ormai di fronte a un qualsiasi disservizio, anche a fronte di una dichiarazione come quella di Poste che ha subito smentito lâattacco, siamo inevitabilmente portati ad attribuirlo non ad una semplice azione hacker, ma a un attacco di Killnetâ.
Possiamo senzâaltro affermare che è la prima volta nella storia in cui il cosiddetto cyber warfare ottiene una tale eco mediatica, ma possiamo altresĂŹ affermare quanto ancora oggi non ci sia â soprattutto in Italia â una chiara percezione di quali possano essere le conseguenze di una guerra che, se è vero che viene combattuta âoltreâ lo schermo e che non lascia macerie, può avere conseguenze potenzialmente devastanti anche âal di quaâ, ossia nel mondo reale. Attacchi come quelli sferrati da Killnet possono causare disservizi momentanei e generare qualche grana, ma cosa potrebbe accadere se si alzasse il livello della minaccia? Cosa accadrebbe se, oltre alla propaganda e agli annunci su Telegram, si passasse ad azioni terroristiche vere e proprie? E, soprattutto, in cosa consisterebbero queste azioni?
âSi potrebbero prospettare diversi scenari: un attacco Wiper, una sorta di ramsonware che, però, non consente, ad attacco concluso, di recuperare i dati e le funzionalitĂ iniziali. Un altro scenario è quello che vedrebbe una massiccia esfiltrazione di dati: immaginiamo, per esempio, se venissero pubblicati i dati dei tribunali relativamente alle indagini in corso. Immaginiamo anche una campagna di attacchi ai sistemi industriali con conseguenti black out, inquinamento dellâacqua, sospensione delle forniture di gas. Immaginiamo poi un attacco allâintegritĂ delle informazioni. Mi riferisco alla manipolazione dei dati con alterazione del processo decisionaleâ.
Un esempio concreto?
âImmaginiamo un ospedale: errori diagnostici, operazioni a pazienti sbagliati. Un disastro. Unâazione del genere sul momento passerebbe inosservata, verrebbe dunque meno, nellâimmediato, lâeffetto propagandistico. Ma quali sarebbero i risultati? Difficile calcolarli e speriamo di non doverlo fare mai; di certo lo scenario non si può escludere a prescindere solo perchĂŠ apocalittico.
Potremmo parlare veramente, in questi casi, di un atto di guerra?
âAl di lĂ del considerarli o meno degli atti di guerra vera e propria (tema scivoloso, in quanto non esiste un diritto internazionale che regoli la materia in modo inequivocabile), il vero problema da porsi è: siamo pronti a fronteggiare una simile minaccia?â
Ce lo dica lei: siamo pronti?
âIn generale le capacitĂ di difesa di fronte ad attacchi simili sono molto modeste. Le nostre sono forse un poâ piĂš modeste rispetto a quelle degli altriâ.
 à un no?
 âĂ un dobbiamo darci da fareâ.
In conclusione, se fino a pochi anni fa il cittadino comune non aveva contezza di cosa potesse comportare una guerra oltre lo schermo dei nostri dispositivi elettronici, oggi urge una presa di coscienza in tempi rapidi. Nellâepoca dellâInternet delle cose, delle intelligenze artificiali, delle connessioni facili e veloci, nessuno è al sicuro e tutti dovremmo essere portati a interrogarci seriamente su come poter gestire di qui ai prossimi anni il nostro rapporto con internet e con la tecnologia in generale.
