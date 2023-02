Il dispetto di un gruppo di attivisti russi dopo che l’Italia, con la visita di Giorgia Meloni a Zelensky, ha ribadito il suo sostegno all’Ucraina. Questo, nella sostanza, è stato l’attacco che un gruppo di hacker ha portato ad alcuni siti istituzionali (ministero degli Esteri e della Difesa, Carabinieri) e di aziende (come A2a). Un attacco come tanti, non particolarmente articolato.

Quasi un segnale di disturbo. Che non va sottovalutato ma che ha provocato danni contenuti e che conferma la presenza di gruppi di hacker agguerriti da cui difendersi. “Un attacco dimostrativo” dice Stefano Zanero, professore ordinario nel dipartimento di ingegneria informatica del Politecnico di Milano, esperto di sicurezza informatica.

Le cronache riportano di questo ennesimo attacco di un collettivo russo a siti istituzionali e aziende. Ma chi sono gli hacker che agiscono in questo modo?

Ci sono varie tipologie di gruppi: quelli che effettuano attacchi in maniera molto consistente, con pattern riconoscibili che in gergo vengono chiamati Apt (Advanced Persistent Threat) e di questi abbiamo un catalogo: li conosciamo per nome e per numero e hanno delle caratteristiche specifiche ch ci permettono di dire chi lo ha realizzato. Quindi se io dico a un collega specialista che un certo attacco è di Apt 28, che è un gruppo di hacking collegato al ministero della Difesa russo, noi sappiamo chi sono, come operano, che tipo di attacchi fanno. In questa categoria ci sono sia criminali finanziariamente motivati, che fanno il ransomware per prendere soldi a un’azienda, sia quelli che sono effettivamente sponsorizzati da Governi: Apt 28 appartiene al ministero della Difesa russo.

Ma non sono gli unici gruppi ad agire nella rete.

Nel caso specifico della Russia, e anche della Cina, ci sono anche gruppi ai quali si lascia fare: hanno la loro sede operativa ad esempio in Russia e c’è un tacito accordo per cui se non attaccano Paesi che non sono Russia e alleati, possono continuare a operare nell’impunità, da criminali. A questi si aggiungono i gruppi di attivisti, un po’ come Anonymus, che è quello più famoso, e questo gruppo, sempre in Russia, che si chiama No name. Sono più o meno fantasiosi, si mettono insieme per fare un’azione dimostrativa e sono l’equivalente dell’attivista digitale. Poi vai a capire se sono spontanei, se sono finanziati da un Governo, guidati o li lasciano fare. In questi caso specifico è un gruppo che ha fatto un attacco di Denial of Service peraltro non particolarmente sofisticato.

Quello delle ultime ore, quindi, non era un attacco particolarmente pesante?

Era un attacco di Denial of Service come ne viaggiano tanti su internet ogni giorno, un po’ più grosso e più concentrato, che ha fatto dei danni anche visibili ma non mi sembra che abbia avuto degli impatti travolgenti.

Con la guerra in Ucraina come sono cambiati gli attacchi, anche a siti istituzionali?

Non credo che ci sia stato un impatto significativo o statisticamente rilevante. In generale il numero degli attacchi cresce di anno in anno in parallelo con la crescita dell’utilizzo delle tecnologie. Il fatto che crescano di per sé non dice niente. Oltre tutto ci sono attacchi che per loro natura si vedono, come quello di questi giorni: se si riesce a tirare giù il sito lo si vede, l’attacco di ransomware si vede perché cifra tutti i dati dell’azienda per chiedere il riscatto e l’azienda non riesce più a funzionare. Se uno entra in un’azienda per estrarre dei dati e rivenderseli mica lo pubblicizza, se l’attacco ha avuto veramente successo magari non lo sappiamo neanche. Per cui i conteggi degli attacchi lasciano il tempo che trovano.

Dovremmo essere più preoccupati degli attacchi che non si vedono?

Di gran lunga. Assolutamente sì.

Gli attacchi che prendono di mira siti istituzionali, comunque, non hanno come obiettivo di guadagnare soldi, vogliono solo mettere in difficoltà?

Sono attacchi di esibizionismo, di attivismo digitale o se vogliamo di terrorismo digitale per fare notizia, però di per sé se il sito dell’Arma dei carabinieri va off line, al di là del danno di immagine quale impatto c’è sull’Italia? Si riduce a poca cosa. Se invece il sito e i sistemi di home banking di una banca vengono resi disponibili c’è un impatto reale, tangibile. Oppure se il sito di una pubblica amministrazione che eroga servizi ai cittadini non è più disponibile questo ha un impatto tangibile, come quello dell’anno scoro sulla Regione Lazio, perché bloccò servizi ai cittadini. Tra l’altro in quel caso fu realizzato da un gruppo che aveva solo la finalità di guadagnarci.

Si può parlare veramente di una guerra informatica, combattuta a livello informatico?

C’è un bellissimo libro di Thomas Rid che si intitola Cyber war will not take place. La guerra puramente informatica non ha senso, la guerra è connotata dalla violenza e dall’uso della violenza contro le persone, guardando quello che succede ormai da un anno in Ucraina credo che dovremmo avere un religioso rispetto della parola guerra: secondo me, un Denial of Service contro un sito istituzionale non ricade nel concetto della parola guerra. Dopo di che è vero che si possono produrre degli attacchi anche devastanti contro aziende, enti, Paesi e quindi è necessario adottare delle sensate misure di protezione.

Alla fine l’attacco delle scorse ore come possiamo definirlo?

Un attacco dimostrativo che ha avuto alcuni effetti tutto sommato a mio avviso abbastanza limitati. Ce ne saranno tanti altri uguali a questo. Anche senza la guerra in Ucraina ci sarebbero lo stesso.

Dimostrativo dei russi nei confronti dell’Occidente per le posizioni sulla guerra?

Dimostrativo di un gruppo di attivisti. Non credo che fosse un attacco della Russia all’Italia o all’Occidente. Anche con tutto il ribasso delle aspettative nei confronti delle offensive russe, mi aspetterei di meglio.

(Paolo Rossetti)

