ACEA è alle prese con un ransomware decisamente “molesto”, una storia che ricorda molto quella di uno dei miei romanzi, ma nessuno si domanda più se esista una relazione tra gli attacchi attribuiti a gruppi di matrice russa e la situazione geopolitica. E’ stato chiarito più volte che la “matrice” non implichi anche l’appartenenza nazionale, e che la richiesta di riscatto segnali chiaramente la natura criminale-estorsiva dell’aggressione. Ciò non toglie che, di questi tempi, a Mosca non dispiacciano attacchi cyber contro infrastrutture occidentali.
Detto questo, proprio il giorno in cui è diventato di pubblico dominio l’incidente di ACEA, mi è capitato di avere una conversazione proprio sul tema del conflitto russo-ucraino in relazione alla crescita di attacchi. A un certo punto, uno dei presenti ha affermato che la guerra cyber è “molto fumo e poco arrosto”, in definitiva si è capito come causare black out elettrici su vasta scala o compromettere la distribuzione di acqua potabile siano eventi ancora ascrivibili alla fantascienza.
Mi sono permesso di dissentire, e il fatto che apparentemente gli attacchi cyber verso l’Ucraina non abbiamo prodotto conseguenze devastanti non è significativo per alcune ragioni. La prima. Dal punto di vista (sbagliato) del Cremlino, doveva essere una operazione poco impegnativa, di poche settimane e certo non avrebbe richiesto il ricorso al meglio dell’arsenale russo. La seconda. Questa è di tipo eminentemente tecnico. Nel mondo cyber, come in generale nell’informatica, le armi vivono una relazione molto stretta con il loro obiettivo, e da essa dipende la loro efficacia. Per fare un paragone con il mondo reale, si può immaginare una guerra in cui, per distruggere ogni singolo tipo di struttura, sia necessario costruire uno specifico missile. L’indissolubile rapporto che, nel cyber, lega arma e obiettivo viene definito dal termine vulnerabilità.
Per colpire con successo è indispensabile l’esistenza di una o più debolezze che possano essere sfruttate per ottenere il risultato atteso. La ricerca di questi punti deboli è un lavoro lungo e costoso, e lo stesso può valere per lo sviluppo della relativa arma (tecnicamente si chiama exploit). Nel momento in cui si riesce a scoprire una vulnerabilità ancora sconosciuta (tecnicamente si dice “zero-day”) si dispone di un vantaggio non trascurabile che, però, viene immediatamente annullato se usata, perché l’errore nel software o nel sistema sarebbe corretto, rendendo inutilizzabile l’arma a esso legata. Data questa premessa, si può supporre che a Mosca non abbiano certo pensato di sfoderare il meglio del proprio arsenale cyber, perché mostrare i muscoli “cibernetici” potrebbe non essere possibile senza che essi si sgonfino immediatamente. Naturalmente, ho detto al mio interlocutore che spero ardentemente di sbagliarmi, perché già così la situazione non è delle migliori, come dimostrano gli attacchi di questi ultimi giorni, che hanno sfruttato un vulnerabilità ben conosciuta.
