ISBN: 9781449310042
Autori: Jeffery Carr
Editore: O'Reilly
Lingua: Inglese
Anno: 2011
Pagine: 316
Allegati: Nessuno

"Inside Cyber Warfare: Mapping the Cyber Underworld" è un testo divulgativo, che introduce i concetti di Cyber Crime, Cyber Security, Cyber Terrorism e Cyber Espionage.

L'autore propone approcci legali e metodologici utili nella difesa del “cyberspazio”, volti al superamento delle difficoltà date da una mancanza di legislazioni sovrannazionali e chiarezza dei confini nazionali in quest'ambito.

Jeffery Carr riporta a titolo d'esempio alcuni degli eventi più noti occorsi negli ultimi dieci anni e indica quali attori principali delle guerre informatiche, i governi e le forze armate, come evidenziato dal “Mc Afee's 2008 Virtual Criminology Report” e dai fatti relativi ai conflitti informatici tra la Cina e l'Indonesia, Israele e la Palestina, la Russia e la Cecenia, l'Estonia, la Georgia e le attività occorse durante le elezioni presidenziali in Iran. L'autore cita anche il worm Slammer che il 19 agosto del 2003 ha causato danni alla centrale nucleare in Ohio, Stati Uniti, come riportato dal sito Security Focus e il noto Config checker, che continua a propagarsi in Rete.

Tra i principali hacker internazionali l'autore indica il “Team Evil”, un gruppo di attivisti anti-israeliani che nel 2006, a seguito delle violenze nella Striscia di Gaza, ha messo fuori uso 171 siti web israeliani, l'hacker anti-israeliano “Cold Zero”, che nel 2008 ha creato malfunzionamenti a 50.000 siti web israeliani, identificato ed arrestato nel 2009 dalle autorità israeliane grazie ad una honeypot, infine il “!TeAm RaBaT-SaLe!” ed altri, sempre con particolare riferimento alla causa di Gaza.

I principali attacchi riportati sono quelli di Distribuited Denial of Service (DDoS), Website Defeacement, mediante l'uso di exploit basati su vulnerabilità note, virus e trojan, per catturare le credenziali di accesso ai servizi bancari per le truffe finanziarie, infine la realizzazione di pagine di login fasulle, per acquisire le informazioni con tecniche di pishing, e le botnet per eseguire attacchi distribuiti remoti.

Dal punto di vista legale non c'è ancora alcun trattato internazionale che definisca un reato d'aggressione informatica. Per gli americani non c'è bisogno di normativa specifica, ma è sufficiente un accordo tra le agenzie di law enforcement delle nazioni. A questo proposito l'autore auspica la redazione di un trattato internazionale sul modello dell'Antartic Treaty System and space law (ATS).

In caso di un attacco informatico internazionale la sola difesa, ovvero la sicurezza passiva, non libera dall'empasse, basti considerare un “Brute force attack” in cui la variabile tempo si pone a favore dell'avversario; per questo è necessaria una difesa attiva, che agisca come deterrente per la prosecuzione dell'attacco, sopratutto nel caso in cui sfoci in una vera e propria azione di rappresaglia. In questo caso però il problema che si pone è di natura legale, infatti prima di eseguire un contrattacco è necessaria una chiara e dimostrata attribuzione della responsabilità dell'aggressore; un cyber attacco si può considerare un atto di guerra, ma in questo caso il diritto internazionale consente l'uso della forza solo su autorizzazione del Consiglio di Sicurezza dell'ONU o per auto-difesa (che deve essere necessariamente proporzionata).

Se l'attacco non proviene da fonti governative si parla di “non-state actor” e si ritiene lo stato responsabile. Secondo l'autore dopo l'11 settembre si è affermato il principio secondo il quale è dovere di ogni stato prevenire i “non-state actor” dal compiere attacchi contro altre nazioni; in quell'occasione il regime dei Talebani, tollerante o addirittura compiacente nei riguardi dei terroristi di Al Quaeda, fu ritenuto sufficientemente responsabile da giustificare un'azione militare contro l'Afganistan.

Il testo prosegue con l'analisi delle attività di diagnostica finalizzate alla prevenzione degli attacchi informatici.

La Russia è all’avanguardia nel monitoraggio della Rete: sin dal 1998 ha reso operativo il sistema SORM-2 per eseguire il monitoraggio e le intercettazioni del traffico telefonico e telematico, avente come origine o destinazione gli indirizzi IP registrati sul proprio territorio. Nonostante il controllo pervasivo, in Russia è attivo sin da 2007 il Russian Business Network, un service provider criminale, che vende servizi illegali; le denuce relative ad episodi probanti sono state pubblicati dai report pubblici di Verisign, Symantec, Secure Works e dal giornalista investigativo Brian Krebs sul Washington Post's Security Fix. Secondo l'autore, il Kremlino, i servizi segreti russi e il crimine organizzato hanno stabilito delle relazioni di collaborazione reciproca; l’anomalia più evidente è che in questo caso è stato il governo russo a infiltrarsi nel cyber crime/organized crime e non il contrario. Ad ulteriore testimonianza di queste tesi vengono citati i casi della società ATRIVO, che nel settembre 2008 è stata droppata dagli upstream provider, per aver garantito servizi massivi di mail spamming e botnet, della EstDomains un register e hosting provider noto dal 2007 in qualità di fornitore di servizi con contenuti illegali, quali ad esempio malware e pedopornografia, McColo anch’esso droppato dagli upstream provider a causa del traffico IP proveniente dai suoi server riferito a malware e botnet. In buona sostanza il cyberspazio è semplicemente diventato un altro dominio nel quale il crimine organizzato può operare.

Anche la Cina si è resa protagonista, in negativo, nel campo dell’information warfare a causa delle relazioni del governo locale col “Chinese Computer espionage Ring”, GhostNet, che nel 2009 è stato sorpreso a pilotare una BotNet di ben 1300 computer distribuiti in 103 nazioni.

Ancora una volta l’autore indica la Russia come lo stato più attivo nell'utilizzo degli attacchi informatici contro i suoi avversari politici, come accaduto nei confronti della Cecenia (2002), del Kyrgystan (2005 e 2008), dell’Estonia (2007), della Lituania (2008), della Georgia (2008) e della Ingushetia (2008). L’interesse militare russo nell’Information Warefare risale addirittura alla seconda metà degli anni '90, in cui si sono registrati attacchi massivi a siti strategici USA, NASA, laboratori di ricerca avanzata e Università.

Allo stesso modo la Cina si rese protagonista di attività simili dal 2003 nell’ambito del progetto Titan Rain.

La cyber guerra è stata inserita nella dottrina militare russa a partire dalla seconda guerra con la Cecenia 1997-2001. Al “National Forum of Information Security” di Mosca del febbraio 2008, Aleksander Burutin, nella sua esposizione intitolata “War of the Future Will Be Information Wars”, sostenne che la guerra in futuro avrebbe abbandonato la forza cinetica per far posto alla guerra informatica; in questa occasione definì l'attacco ai sistemi di navigazione e di comunicazione civili e militari i cannoni informatici. Questi mezzi hanno il vantaggio di poter essere azionati da piccole squadre specializzate o da un solo individuo particolarmente esperto, senza l'esigenza di scavalcare fisicamente i confini nazionali.

Anche in Cina, in particolare gli ufficiali della “People's Liberation Army”, iniziano a scrivere sull'information warfare già dal 1993, con la comparsa dei primi browser; nel 1995 il Generale Maggiore Wang Pufeng ribadiva nel documento The challenge of Information Warfare come l'information warfare fosse un fattore critico per i piani di modernizzazione del paese.

Negli Stati Uniti furono prodotte una serie di direttive dall'ottobre 2001; sentendosi minacciati, hanno ritenuto necessario un sistema in grado di rilevare un attacco e segnalarlo. A tal fine non si è proposta una soluzione tecnica, ma una metodologia. L'obbiettivo era identificare un attacco in corso e i possibili aggressori, per attribuirne la responsabilità ed agire nei termini di legge. La metodologia introdotta pone cinque livelli di vigilanza detta “Defcon”, che rende esplicita la situazione di pericolo con una scala di valori da 5 sino all'unità, che rappresenta la tipologia di attacco informatico più rischiosa.

La Russia ha il piano nazionale di gestione del settore informatico statale e privato più completo, documentato sui siti governativi, supportato dalla legislazione, dai decreti attuativi presidenziali, dalle norme applicative dei contratti, grazie all'interesse particolare del Presidente Putin sin dal 1999.

Tra questi atti i più importanti sono la Federal Law No.149-FZ-On Information, Information Technologies and Information Protection, del 2006, relativa alla registrazione degli indirizzi IP nazionali e alla comunicazione agli enti governativi, la Federal Law No.152-FZ On Federal Data che proibisce agli operatori russi di rilasciare dati ad autorità di stato straniere, persone o entità straniere e la FL 57-FZ The Strategic Companies Law, dell'aprile 2008, in cui si sancisce che le entità estere non possono acquistare il controllo di compagnie russe di importanza strategica, senza l'approvazione del governo. La logica conseguenza è che mediante alcune aziende, teoricamente private, il governo russo controlla tutta l'infrastruttura internet del paese.

L'autore conclude quest'argomentazione accennando alle iniziative dell'information warfare da parte degli stati maggiormente impegnati.

In sostanza, in questo libro l'autore propone una nuova chiave di lettura dei più importanti conflitti e atti terroristici dell'ultimo decennio, svelando i retroscena delle attività informatiche che hanno influito sugli esiti degli scontri.

Lo stile divulgativo rende il testo alla portata di tutti: informatici, giuristi, politici e chiunque voglia approfondire l'argomento.

Data l'ampiezza degli argomenti trattati l'esposizione diventa talvolta frammentaria e non si riesce a seguire compiutamente il filo conduttore del libro.