Mentre ieri Mario Draghi incontrava a Washington il presidente americano Joe Biden – incontro durante il quale si è ovviamente discusso di Ucraina – il mondo italiano oltre lo schermo è stato letteralmente squassato da una serie di attacchi hacker rivendicati dal collettivo russo (leggi anche gang) Killnet, un gruppo che ha già duramente colpito i sistemi romeni e che ha il preciso compito di distruggere (o tentare di farlo) i sostenitori della causa Ucraina. Tempismo perfetto, verrebbe da dire. E probabilmente non è un caso. Come nella guerra “vera”, quella combattuta nelle trincee, non contano soltanto i successi sul campo. In un mondo in cui tutto è comunicazione, bloccare i siti di Senato, ministero della Difesa, Istituto Superiore di Sanità (solo per citarne alcuni) quando il primo ministro italiano è in missione alla Casa Bianca, l’eco sarà (ed è effettivamente stata) certamente maggiore.
Dal ministero in particolare è arrivata una smentita, ma noi di InsideOver abbiamo avuto la possibilità di parlare per pochi minuti con una persona. Con voce stanca ci ha detto di aver fatto le 5 di mattina “in prima linea” e ci ha confermato che sì, l’attacco non solo c’è stato (per la precisione un attacco Ddos), ma che si sta ancora lavorando per scongiurare il peggio. Dopo tutto, sono ormai mesi che gli esperti attendono un attacco in grande stile, precisamente dall’inizio delle ostilità tra Russia e Ucraina.
Una guerra non convenzionale, quella che infuria nel web. Una guerra dove attività di false flag sono all’ordine del giorno. Un far west digitale dove tutto è concesso e dove diventa molto facile nascondersi e scomparire. La tecnica del “mordi e fuggi”, tanto cara ai guerriglieri di tutto il mondo, viene oggi declinata in versione 3.0 da bande di criminali informatici che sono passati dal ricattare il pensionato della porta accanto ad essere arruolati come mercenari in una guerra senza quartiere. Sia chiaro, la Russia non va certo demonizzata per questo (almeno, non solo). È pratica abbastanza comune: ormai ogni Stato ha i suoi bravi ragazzi a smanettare su una tastiera. Si tratta solo di diventare più bravi degli altri. E i russi sono indubbiamente tra i più abili. Almeno così li considera l’intelligence americana, che nell’Annual Threat Assessment del febbraio 2022 (stilato proco prima dell’invasione dell’Ucraina) li mette al primo posto (seconda la Cina, terzo l’Iran) tra le minacce cyber.
E l’Italia come si posiziona? Quanto siamo bravi, noi, a difenderci? L’abbiamo chiesto ad Alessandro Curioni, esperto di cybersecurity, presidente di Di.gi Academy e consulente tecnico e scientifico della Leonardo cyber & security academy: “È totalmente normale subire degli attacchi. Sarebbe anormale il contrario. Ormai è una regola. Il punto è: se hanno successo, bisogna capire come è stato possibile e in quale misura. Poi, per quanto riguarda gli attacchi di Ddos, non c’è un modo assoluto per prevenirli. È come se venissimo investiti da un uragano: nonostante l’ombrello, ci bagniamo lo stesso. In ogni caso, i vantaggi sono tutti dell’attaccante. Anche un privato cittadino molto preparato può attaccare facendo danni gravi. L’attacco è alla portata di tutti, non la difesa. Qui affrontiamo un problema serio. Se allo svantaggio generale si aggiunge un oggettivo ritardo nell’avere delle infrastrutture solide, protette, adeguate (e qui c’entra l’assenza di una cultura cyber), ecco che “– 1 + – 1” non fa “– 2” ma fa “– 11”.
DarkSide, Conti e adesso Killnet: in questi mesi di gruppi hacker legati alla Russia ne abbiamo conosciuti diversi. In quest’ultimo caso, il leader di Killnet ha anche un volto: quello di Iohan Feher, 23 anni, romeno. Il ragazzo è stato arrestato nel Regno Unito poche settimane fa, scatenando la furiosa reazione del collettivo che ieri si è reso protagonista dell’impresa.
La domanda che si pone ora è: si è trattato dell’attacco tanto atteso o è solo l’inizio di qualcosa? “Questo è più un atto dimostrativo”, sostiene Alessandro Curioni, “Fa molto rumore, ma considerarlo un attacco grave no, non me la sentirei. Un attacco in grande stile ti blocca i sistemi, ma non con un attacco Ddos o con un semplice Ramsonware, piuttosto utilizzando i Viper, dei malware che producono danni irreversibili ai server, come quelli che sembrano essere stati utilizzati contro i sistemi ucraini”.
L’accessibilità ai siti presi di mira è stata ripristinata e sembrerebbe non siano stati esfiltrati dati o compromessi i sistemi, ma certamente il livello dello scontro si è alzato e ormai non c’è più quel pudore iniziale – almeno giornalisticamente – nel considerare questi attacchi come degli atti ostili, per non dire terroristici. Può sembrare un’esagerazione. Dopotutto, un attacco di Ddos non lascia cadaveri sull’asfalto, un Ramsonware, per quanto potente, non distrugge case e ospedali. Ma cosa accadrebbe se – improvvisamente – qualcuno interrompesse la distribuzione del gas o, ancora peggio, l’erogazione di energia elettrica? “Tempo un mese” dice Alessandro Curioni “e torneremmo al medioevo”.
Ma si può davvero parlare di terrorismo in questo caso? Qui il terreno si fa scivoloso: “È un problema di diritto internazionale”, spiega Curioni, “prima di poter rispondere a un attacco devi essere sicuro di chi ti ha attaccato. Se parliamo di semplici criminali, non puoi dichiarare guerra. Al massimo puoi arrestarli. Non basta dire che il gruppo è legato al Cremlino. Che significa? Hanno avuto mandato dal governo? Ne abbiamo la certezza? Se avessimo una rivendicazione del Cremlino allora si, si potrebbe configurare l’attacco bellico. E a quel punto a rispondere non dovrebbe essere l’Italia, ma la Nato. Ma il discorso è complesso: gli esperti di diritto internazionale, che hanno redatto il Manuale di Tallin, sul tema sono divisi. Ovvero, se da un lato un attacco a una rete elettrica che produce un danno cinetico e costringe a sostituire una componente, o un attacco cyber che causa danni alle persone, è considerato atto di guerra all’unanimità, viceversa, un attacco che causa il blocco di un sistema, per esempio, di posta elettronica e lo rende semplicemente irraggiungibile, ecco, su questo tema non c’è unanimità. Alcuni lo considerano un atto di guerra, altri no. Anche perché, con un attacco di Ddos, il danno non è permanente”.
Anche su come configurare questo genere di situazione, dunque, poca chiarezza generale e un’unica certezza: quella cyber è davvero una guerra mondiale e l’Italia ha bisogno di capirlo in fretta, perché nessuno sarà disposto ad aspettarci nella corsa agli armamenti.
