Mentre si scatena la guerra cibernetica contro l’Iran, due cose emergono chiare. In primo luogo, i virus informatici possono colpire davvero le infrastrutture, dagli impianti nucleari alle reti fognarie, ma sono armi a doppio taglio: l’Italia, ad esempio, dipende dagli stessi sistemi messi in crisi dal virus Stuxnet che ha colpito l’Iran. In secondo luogo, su questo fronte l’Europa è molto più indifesa e arretrata di altri paesi, più a rischio ancora di Brasile e Pakistan, che si sono dotati di potenti apparati di difesa. Da noi, invece, l’ENISA, che dovrebbe svolgere questa funzione, non lancia un allarme dal black out 2003.
Intervista a Fabio Ghioni per il Riformista del 3 ottobre 2010.
War Games. L’Iran arresta i sabotatori. In Usa si lancia l’Opa sulle aziende della sicurezza. Il mercato globale è un boomerang: «L’Italia dipende dagli stessi sistemi Scada messi in crisi da Stuxnet» racconta l’hacker Fabio Ghioni. Nuovi obiettivi per la guerra informatica: non solo missili, ma anche dighe, centrali elettriche, reti fognarie: «Hanno tutti un indirizzo ip, manovrabile dal malware».
Si chiama Stuxnet ma si legge boomerang. Per Fabio Ghioni, il più importante hacker italiano, «il malware protagonista dell’attacco informatico contro l’Iran condivide con i sistemi critici telematici dell’occidente molto più di quanto non si creda». Della novità di Stuxnet si sa: un sabotaggio complesso con un software che mira ad assumere il controllo di impianti industriali e non una semplice intrusione con lo scopo di rubare dati.
Stuxnet ha infettato le macchine iraniane che gestivano i sistemi Scada controllati dalla Siemens (che però nega). Visto che il colosso tedesco non ha l’esclusiva con l’Iran, e che Ahmadinejad non rinuncia al mercato globale, se Stuxnet concede un bis, può anche farlo lontano dall’Iran. Sono lontani i tempi del film “War Games” dove per gioco rischiava di saltare in aria il mondo. Non solo missili ma «reti elettriche, dighe, sistemi fognari. Tutto oggi ha un indirizzo ip comandabile. I missili? Con Stuxnet li fai partire nell’hangar. Crei confusione nei sistemi di difesa e quindi paura».
L’allarme Stuxnet viene lanciato il 17 giugno da VirusBlokAda, una piccola società bielorussa di sicurezza. In breve si guadagna popolarità, poi l’attenzione e l’ammirazione dei due colossi della sicurezza, Symantec – per cui all’origine ci sarebbe un governo o un gruppo privato ben finanziato, dato che Stuxnet sarebbe opera di una squadra di almeno cinque hacker – e Kaspersky. Quindi arriva la bandiera bianca di Microsoft che conferma che il malware punta ai pc Windows che gestiscono sistemi di controllo su larga scala in aziende manifatturiere e utility. Cioè quelli che vengono chiamati Scada, «supervisory control and data acquisition», ovvero controllo di supervisione e acquisizione dati. In pratica quei sistemi che fanno funzionare acquedotti, centrali telefoniche, elettriche e nucleari, reti semaforiche, ferroviarie e aeree, condotti petroliferi, installazioni militari.
Così il malware ha bloccato i sistemi che controllano le centrifughe che arricchiscono l’uranio in Iran, ma anche alcune reti in Cina e Germania con danni enormi. Quello che qualche anno fa era solo uno scenario futuribile, ora è il presente. Lo aveva immaginato Stieg Larsson nella trilogia Millennium, ma anche lui senza troppe licenze poetiche. Nel voler vendicare Lisbeth il gruppo Hacker Republic mette infatti tra i suoi obiettivi il sabotaggio del sistema elettrico della Svezia. L’esclusiva su Stuxnet è di chi lo ha fatto partire, ma non di chi lo riceve, che potrebbe restituire il colpo perché Stuxnet è modificabile da altri hacker. Ecco perchè può rivelarsi un boomerang. Proprio a causa delle sue caratteristiche, la paura americana è già raccolta in un articolo di ieri del Washington Post: «Stuxnet è un modello per gli attacchi informatici contro gli Stati Uniti». Non è più lecito pensare allora all’utilizzo di un virus per un semplice sabotaggio anche se frutto di un’operazione complessa. In Australia hanno già sperimentato anni fa cosa vuol dire mandare in tilt il sistema fognario di una città.
Spiega Ghioni al Riformista: «Stuxnet è uno vero strumento di guerra, è un’arma di nuova generazione. Però il problema è che se la scateni se ne va da sè. Come tutti i virus naturali, è improbabile che faccia fuori completamente tutti i suoi bersagli. Quindi il rischio che si rivolti contro è altissimo. È un’arma a doppio taglio. Quante nazioni nel mondo usano Siemens per i loro sistemi critici? Pensare di riuscire a colpire solo l’Iran è sbagliato. Quei sistemi gestiscono le infrastrutture critiche di un Paese e nell’era della globalizzazione l’Iran usa prodotti Siemens (ma l’azienda nega di avere venduto all’Iran sistemi da utilizzare nei suoi impianti nucleari, ndr). Solo che la dipendenza da quei sistemi per Iran e Iraq è del 5%. Noi invece siamo completamente legati ad essi, inclusi i trasporti. Non abbiamo il nucleare, ma tutto il resto regge su sistemi Scada. Dobbiamo solo pregare e sperare che chiunque abbia creato questo strumento abbia calcolato che Stuxnet non si ferma mica all’Iran. Ma se così non fosse, noi che diventeremmo, un danno collaterale? Windows lo usiamo sicuramente tutti. Tanto vale allora spegnere internet».
Insieme a Stuxnet si muove il mercato di un business molto delicato. Nel mondo delle tecnologie per lo spionaggio e la sicurezza è esplosa questa estate una febbre americana da «merger&acquisition», come riporta il Sole24ore di ieri. L’amministrazione pubblica Usa taglia i fondi e spinge le fusioni del settore: «Nell’arco di sole tre settimane a cavallo di luglio sono state condotte a termine cinque operazione di fusione per un controvalore di oltre un miliardo di dollari per rilevare aziende che operano nel campo della cyber security, dei sensori a infrarossi, dell’analisi dell’intelligence e delle tecnologie per le frequenze radio». Bird Technologies Gropu ha acquisito X-Com Systems, Aecom Tec ha offerto 355 milioni di dollari per McNeil Technologies, L-3 Communications Holding ha rilevato la Airborne Technologies, Asrc Federal Holding si è unita a Mission Solutions Engineering. Infine l’Opa da 274 milioni di dollari di Flir Systems su Ics Technologies.
Movimenti in un senso e nell’altro quindi. «Un attacco hacker del genere ce lo aspettavano da tanto tempo – confessa Ghioni. Strumenti così sono pronti da tempo e saranno messi in rete con puntuale cadenza. Noi italiani ma anche europei dobbiamo farci il segno della croce. Siamo messi male. Perché la sicurezza la percepiamo solo nell’emergenza. Quando non succede niente, si ipotizza che non succeda nulla».
Intanto l’Iran annuncia di aver arrestato diverse spie accusate di essere dietro al tentativo di sabotaggio con un attacco informatico del suo programma nucleare. Non fa i nomi delle spie né della loro nazionalità il ministro dell’Intelligence di Teheran, Heydar Moslehi, ma dichiara che «servizi di spionaggio» sono dietro al tentativo di attacco informatico con l’utilizzo del virus Stuxnet, che ha colpito oltre 30mila computer, compresi quelli dell’impianto nucleare di Bushehr. In dichiarazioni riportate dalla tv di Stato, Moslehi ha spiegato che l’Iran ha scoperto «le attività distruttive dell’arroganza nel cyberspazio», precisando che sono state messe a punto «diverse modalità per far fronte a eventuali nuovi attacchi. Garantisco a tutti i cittadini – ha affermato Moslehi – che ora l’apparato d’intelligence ha completato il sistema di controllo del cyberspazio e non consentiremo perdite di informazioni o il sabotaggio delle nostre attività nucleari».
L’Iranian Cyber Army è uno degli eserciti cibernetici più insidiosi al mondo. Non solo ha colpito e oscurato tre importanti siti di informazione iraniani all’estero Mowjvamp, Radiozamaneh e Amirkabir, minacciando anche Adnkronos International, ma è riuscita a bloccare Twitter per un’ora il 17 dicembre del 2009. Non a caso il servizio di microblogging si è rivelato il principale alleato dell’Onda Verde mandando in giro per il mondo le immagini tragiche della protesta iraniana come quella dell’uccisione di Neda.
L’Iran si difende dunque. E l’Europa? «Bisognava pensarci dieci anni fa – racconta allarmato Ghioni. Il 2000 era un momento in cui soltanto poche persone riuscivano a capire che le guerre sarebbero state combattute in questo modo. Non c’era grande consapevolezza dei mezzi neanche in chi progettava azioni malvage. Poi invece le cose sono cambiate. L’Iran ha il suo potente apparato, noi non ce l’abbiamo. Usa, Israele, Russia, Brasile, Germania, India, persino il Pakistan ne sono dotati. Da un punto di vista istituzionale non siamo attrezzati. Neanche l’Ue presa come insieme. Anche se leggo che oggi annuncia proposte e direttive. Ma tu hai presente l’Enisa? Sarebbe l’European Network and Information Security Agency. Ha sede a Creta. L’ha diretta un italiano, Andrea Pirotti. Lo hai mai sentito? Hai letto mai sui giornali le raccomandazioni dell’agenzia a proposito di cyber crimini? Io no. Siamo rimasti al famoso albero caduto su un traliccio che determinò il black out del 2003. In assenza di altre giustificazioni deduco che gli alberi sono un nemico dell’uomo. Da noi due grandi aziende italiane sono state costrette negli ultimi 8 anni a spegnere e sostituire le macchine. Altro che bonifica. Ma ovviamente un privato non si fa cattiva pubblicità».
Per Ralph Langner, esperto di sistemi informatici industriali, Stuxnet ha aperto il classico vaso di Pandora. Saranno contenti gli apocalittici. Anche Ghioni non è ottimista: «Obama vuole rendere intercettabili anche le comunicazioni dei privati. Vuol dire niente più criptografia. Sono segnali. Per me si cerca una vera guerra. Ricordo il black out del 2003. A Milano non funzionava nulla. Apri due dighe e fai impazzire gli scambi dei treni. I telefonini durano 24 ore e poi? Così paralizzi una nazione. Se blocchi la centrale nucleare della Pennsylvania, tra gli obiettivi post 11/9, hai messo al buio il nord est degli Usa».
