Post on 28-Jun-2020
Centro Militare di Studi Strategici
Rapporto di Ricerca 2011 – STEPI AE-SA-16
di Avv. Stefano MELE
data di chiusura della ricerca: Settembre 2011
Cyber Security e Cyber Intelligence.
La sicurezza dei Contingenti Militari contro le
nuove minacce
cybersec_20111109_0846 i
INDICE
SOMMARIO pag. 1
Capitolo 1 – La rilevanza sociale di Internet e dei social media pag. 4
Capitolo 2 – La rilevanza di Internet e dei social media nella diffusione del
radicalismo ideologico pag. 12
Capitolo 3 – La cyber-security come argine alle attività di cyber-
intelligence e di ingegneria sociale pag. 18
Capitolo 4 – Evoluzione tecnologica e nuove forme di minaccia per il
settore militare pag. 28
Capitolo 5 – Le strategie del Comando per i social media e l‘uso
appropriato da parte dei contingenti militari pag. 36
Capitolo 6 – Alcune contromisure tecniche e tecnologiche: anonymizing &
stealthing, cloaking, privacy settings, honeypotting pag. 54
Capitolo 7 – Il Cloud Computing pag. 58
Capitolo 8 – Tecniche di formazione del personale pag. 64
Capitolo 9 – Implicazioni giuridiche alla limitazione / controllo dei social
network pag. 67
Capitolo 10 – Riflessioni conclusive e prospettive future pag. 73
CYBER SECURITY E CYBER INTELLIGENCE.
LA SICUREZZA DEI CONTINGENTI MILITARI CONTRO LE NUOVE MINACCE
cybersec_20111109_0846 ii
SUPPORTO BIBLIOGRAFICO
Capitolo 11 – DHS Terrorist Use of Social Network. Facebook Case
Study pag. 78
Capitolo 12 - USMC Online Social Media Guidance for Unofficial Internet
Posts pag. 85
GLOSSARIO pag. 91
BIBLIOGRAFIA pag. 94
NOTA SUL Ce.Mi.S.S. e NOTA SULL’ AUTORE pag. 105
cybersec_20111109_0846 1
SOMMARIO
Alcune delle minacce più critiche nei confronti dei Paesi occidentali provengono oggi
giorno dal settore dell‟informatica. Sullo scacchiere internazionale, infatti, si muovono con
sempre più efficacia le organizzazioni criminali, interessate a sottrarre attraverso la rete
Internet le informazioni personali e il denaro degli utenti, le spie, intenzionate a rubare i
segreti e le informazioni classificate delle nazioni, nonché i terroristi, impegnati nella
ricerca di nuovi metodi per attentare alle infrastrutture critiche nazionali. Condotte, queste,
agevolate dalla digitalizzazione in massa e dalla conseguente concentrazione delle
informazioni, dall‟insicurezza intrinseca della rete Internet, nonché dall‟estrema facilità di
apparire anonimi nel compimento di questi atti e di risultare, quindi, impuniti. La rilevanza a
livello internazionale di questi argomenti è sottolineata anche dall‟esplosione
dell‟attenzione da parte dei più importanti governi che, dal 2008, hanno cominciato a
dotarsi di proprie e specifiche dottrine strategiche per il cyber-spazio e di veri e propri
“eserciti” per quella che, allo stato attuale impropriamente, viene definita “cyber-war”.
L‟obiettivo del lavoro, pertanto, è di prendere in considerazione, analizzare e valutare i
metodi tecnici e tecnologici attraverso i quali identificare e conseguentemente
neutralizzare le nuove minacce alla sicurezza nazionale e dei contingenti militari
rappresentate dalla cyber-intelligence, soprattutto nell‟ottica del cattivo utilizzo dei social
media e dei congegni tecnologici di uso quotidiano.
Attraverso l‟analisi metodologica delle strategie di sicurezza nazionale dei principali
Paesi occidentali, così come dei più importanti report e delle best practice internazionali in
materia di cyber-security, il lavoro analizza l‟attuale rilevanza di Internet, delle tecnologie
informatiche e dei social media, al fine di porre in evidenza i pericoli per la sicurezza delle
informazioni classificate e/o sensibili derivanti dal loro scorretto utilizzo.
CYBER SECURITY E CYBER INTELLIGENCE.
LA SICUREZZA DEI CONTINGENTI MILITARI CONTRO LE NUOVE MINACCE
cybersec_20111109_0846 2
Il rapporto di ricerca mette in evidenza come la cyber-security, per quanto sia
certamente un elemento indispensabile, non può e non deve rappresentare l‟unica
soluzione a questa annosa questione. La sicurezza tecnico-informatica, infatti, deve
essere affiancata in maniera imprescindibile da opportune e specifiche strategie da parte
di ogni Comando, così come da norme interne (policy) e da percorsi di formazione e
specializzazione del personale, utili a fornire quegli strumenti essenziali per comprendere
il problema piuttosto che semplicemente tamponarlo.
La ricerca, inoltre, si sofferma anche sull‟analisi dei nuovi strumenti per la condivisione
e la conservazione delle informazioni messi a disposizione della tecnologia,
approfondendo, in particolar modo, i vantaggi e le perplessità in materia di sicurezza dei
servizi di cloud computing.
Ampio approfondimento, infine, viene lasciato anche agli aspetti normativi che
entrerebbero in gioco nel caso venga autorizzato un ipotetico controllo sull‟uso fatto dei
social media da parte del personale militare, ovvero in caso di una sua limitazione.
Le conclusioni a cui giunge la ricerca non sono delle più rosee. Emerge con chiarezza,
infatti, la consapevolezza che, di fatto, dato l‟attuale livello di utilizzo per attività “sensibili”
di tecnologie non progettate per la sicurezza (principalmente Internet e il substrato dei
protocolli di trasmissione dati), non è possibile garantire un alto grado di sicurezza contro
la penetrazione di qualsiasi strumento elettronico connesso alla Rete. Pertanto,
nonostante gli investimenti, l‟attenzione, l‟efficienza e la preparazione del personale e dei
tecnici, qualsiasi nazione e/od organizzazione interconnessa elettronicamente e che
utilizzi strumenti elettronici è potenzialmente vulnerabile alla invalidazione mirata delle
informazioni – anche da remoto – nella stessa misura in cui lo è al momento alla loro
manomissione (deny, degrade, disrupt, destroy).
Non mancano le proposte, sviluppate sotto forma di previsione di sviluppo dello specifico
settore, che pur prendendo in considerazione principalmente le attività di carattere
squisitamente tecnico, volte a mettere in sicurezza canali comunicativi ritenuti allo stato
non idonei per le attività sensibili, spaziano anche in proposte di carattere strategico,
tattico e di partnership a livello internazionale.
cybersec_20111109_0846 3
cybersec_20111109_0846 4
Nella storia recente sono pochi gli eventi che sono riusciti a stravolgere
completamente la nostra società nella stessa misura della rivoluzione dell‟informazione,
attuata attraverso il crescente e massiccio uso della rete Internet.
Infatti, chi è abituato a vivere la tecnologia anche solo un singolo passo oltre il semplice
utilizzo di email e telefoni cellulari più o meno evoluti, sa bene che risulta praticamente
impossibile sapere con esattezza quanti siti web sono attualmente presenti “on-line”.
Questo non solo perché il ritmo, secondo alcune stime del dicembre 20101, cresce
incessantemente di circa 26 milioni di nuovi siti all‟anno, ma soprattutto perché i motori di
ricerca faticano a monitorare e catalogare tale crescita inarrestabile, riuscendo ad
“indicizzare” a mala pena una minuscola parte dell‟universo telematico. Per gli amanti dei
numeri, fino al mese di luglio del 2008 (una generazione fa nel mondo della Rete), il
gigante e leader mondiale dei motori di ricerca (Google) è riuscito a catalogare
complessivamente ben mille miliardi di pagine web2, eppure, nonostante la cifra
strabiliante, possiamo attualmente consultare, per loro stessa ammissione, solo “una
minuscola percentuale” delle pagine a disposizione nella Rete.
Del resto Internet viene abitualmente utilizzato dal 53,1% della popolazione italiana e dal
87,4% dei giovani italiani tra i 14 e i 29 anni3: un‟altissima percentuale se si considera che
solo 20 anni fa questo mezzo di comunicazione era praticamente sconosciuto al di fuori
1 Netcraft, “Decemberl 2010 Web Server Survey”, consultabile al seguente link: http://news.netcraft.com/archives/2010/12/01/december-2010-web-server-survey.html. 2 Jesse Alpert & Nissan Hajaj, “We knew the web was big”, Official Google Blog, 25 July 2008, raggiungibile all‟indirizzo: http://googleblog.blogspot.com/2008/07/we-knew-web-was-big.html. 3 Almeno secondo le stime offerte dal 9° Rapporto Censis/Ucsi sulla comunicazione; mentre per quanto riguarda la penetrazione europea nell‟utilizzo della rete Internet, si prendano in considerazione le stime di Eurostat 2010: http://epp.eurostat.ec.europa.eu/cache/ITY_OFFPUB/KS-QA-10-050/EN/KS-QA-10-050-EN.PDF e per le stime del Regno Unito, il continente più attivo d‟Europa in questo settore, si veda: http://www.ons.gov.uk/ons/dcp171778_227158.pdf.
La rilevanza sociale di Internet e dei social
media
1
cybersec_20111109_0846 5
dei palazzi governativi e delle più prestigiose Università. Peraltro, negli ultimi anni,
l‟esplosione del fenomeno dei social media e, soprattutto, dei social network ha
completamente rivoluzionato il modo di incontrarsi e di condividere esperienze su Internet.
I professori Andreas Kaplan e Michael Haenlein definiscono i social media4 come un
gruppo di applicazioni Internet basate sui presupposti ideologici e tecnologici del Web 2.0,
che consentono la creazione e lo scambio di contenuti generati dagli utenti, laddove,
semplificando, un social network altro non è, in un rapporto di genus a species, che
un‟applicazione creata con l‟intento di gestire le relazioni sociali5 degli utenti direttamente
sul web.
Per comprendere a pieno la rilevanza sociale che i social media ormai hanno nella vita di
tutti i giorni, è opportuno, in prima battuta, prendere in considerazione i numeri che allo
stato attuale caratterizzano questi (relativamente) recenti mezzi di comunicazione.
Sono infatti ben 750 milioni gli account aperti in tutto il mondo su Facebook6, 120 milioni
quelli su LinkedIn7, 200 milioni quelli presenti su Twitter8, 25 milioni per il neonato
Google+9 e sono all‟incirca 3 miliardi i video che ogni giorno vengono “clikkati” su
YouTube10.
4 Nell‟originale inglese: “a group of Internet-based applications that build on the ideological and technological
foundations of Web 2.0, and that allow the creation and exchange of user-generated content” - Kaplan Andreas M., Haenlein Michael, “Users of the world, unite! The challenges and opportunities of social media”, Business Horizons, Vol. 53, Issue 1, p. 59-68, 2010. 5 Per approfondire lo studio delle reti sociali inserite nel mondo elettronico, si consiglia la lettura di Mazzoni
E., “Reti sociali e reti virtuali: la Social Network Analysis applicata alle interazioni su web”, in A. Salvini (a cura di) “Analisi delle reti sociali. Teorie, metodi, applicazioni”, Franco Angeli editore, 2007. 6 http://www.facebook.com/press/info.php?statistics.
7 http://press.linkedin.com/about.
8 http://www.bbc.co.uk/news/business-12889048.
9 http://www.pcmag.com/article2/0,2817,2390356,00.asp.
10 http://www.youtube.com/t/press_statistics.
Con in termine ―Web 2.0‖ si indicano l‘insieme delle applicazioni online che permettono un elevato livello di interazione tra il sito e l‘utente, come, ad esempio, blog, forum, chat, ovvero
sistemi quali YouTube, Facebook, Myspace, Twitter, Wikipedia, ecc.. Caratteristiche essenziali dei servizi 2.0 sono: l‘interoperabilità, la collaborazione tra gli utenti, la condivisione delle informazioni contenute nell‘applicazione informatica e la progettazione dell‘applicazione
incentrata sull‘utente.
cybersec_20111109_0846 6
Schermata iniziale di Facebook
Schermata iniziale di LinkedIn
cybersec_20111109_0846 7
Del resto, utilizziamo quasi quotidianamente i più svariati social media per connetterci e
comunicare con i nostri famigliari, gli amici e i colleghi, per condividere notizie e
informazioni, ovvero anche per sviluppare e incrementare il nostro business o quello della
nostra azienda.
Schermata iniziale di Google+
Schermata iniziale di Twitter
cybersec_20111109_0846 8
Appare allora quanto mai scontato che i social media, in quanto trasposizione e
aggregazione digitale di interrelazioni umane, portino con sé ed in sé tanto gli aspetti
positivi quanto, soprattutto, gli elementi negativi degli utenti che alimentano questi
network.
All‟interno di quest‟ultima categoria, gli aspetti criminali e di sicurezza dei contenuti di
queste interrelazioni (in una parola, delle informazioni) sono senza ombra di dubbio quelli
. .
.a maggior impatto sociale ed economico, tanto per i singoli utenti quanto per le
amministrazioni pubbliche e le società private, soprattutto in considerazione dell‟altissima
capacità di concentrazione di informazioni sensibili offerta da ogni singolo social media,
nonché per l‟attuale intrinseca debolezza delle regole11 e dei meccanismi di
comunicazione12 informatici che sono sottesi alla rete Internet13.
11
Tra le altre, si consiglia l‟approfondimento del sistema di risoluzione dei nomi di dominio. Alcuni informazioni preliminari in merito possono essere rintracciate su http://it.wikipedia.org/wiki/Domain_Name_System; P. Mockapetris, “RFC 882: Domain Names - Concepts and facilities”, 1983, in http://www.rfc-archive.org/getrfc.php?rfc=882; P. Mockapetris, “RFC 883: Domain Names - Implementation and specification”, 1983, in http://www.rfc-archive.org/getrfc.php?rfc=883; J. Postel, “Domain Name System Structure and Delegation”, 1994, in http://www.rfc-archive.org/getrfc.php?rfc=1591. 12
Per un‟analisi approfondita del principale protocollo di trasmissione dei dati sulla rete Internet, il TCP/IP, si rinvia a W. Richard Stevens, “TCP/IP Illustrated, Volume 1: The Protocols”, Addison-Wesley, 1994; W. Richard Stevens e Gary R. Wright, “TCP/IP Illustrated, Volume 2: The Implementation”, Addison-Wesley, 1995; W. Richard Stevens, “TCP/IP Illustrated, Volume 3: TCP for Transactions, HTTP, NNTP, and the UNIX Domain Protocols”, Addison-Wesley, 1996; Andrew S. Tanenbaum, “Computer Networks (4
th edition)”,
Prentice Hall PTR, 2002; Craig Hunt, “TCP/IP Network Administration”, O‟Reilly, 1998; Douglas E. Comer, “Internetworking with TCP/IP - Principles, Protocols and Architecture (4
th edition)”, Prentice Hall PTR, 2000.
13 http://en.wikipedia.org/wiki/Internet.
Symantec, di recente, a stimato il valore del mercato dei cyber-crimes nel suo ―Norton Cybercrime Report 2011‖. Secondo il rapporto è di 114 miliardi di dollari il costo sopportato globalmente in conseguenza dei cyber-crimes. In particolare, ―based on the value victims
surveyed placed on time lost due to their cybercrime experiences, an additional $274 billion was lost2. With 431 million adult victims globally in the past year and at an annual price of $388
billion globally based on financial losses and time lost, cybercrime costs the world significantly more than the global black market in marijuana, cocaine and heroin combined ($288 billion)‖.
Maggiori approfondimenti su http://www.symantec.com/content/en/us/home_homeoffice/html/ncr/.
Un altro interessante report da prendere in considerazione, anche se analizza solo la realtà del Regno Unito, è senza dubbio quello dell‘UK Cabinet Office & Detica, ―The cost of cybercrimes‖, 2011, in http://www.cabinetoffice.gov.uk/sites/default/files/resources/the-cost-of-cyber-
crime-full-report.pdf
cybersec_20111109_0846 9
Di fatto, non passa ormai giorno senza che i mass media non diano notizia di nuovi
attacchi informatici14 portati a danno sia di realtà pubbliche che private e motivati dalle
logiche più disparate. Ragioni politiche, religiose, economiche, di concorrenza,
speculative, sono solo le principali cause che allo stato attuale spingono un “mercato”15,
quello dei crimini informatici, dal valore economico per chi lo commette e di danno per chi
lo subisce nella realtà difficilmente calcolabile.
Da ultimo, poi, tra i principali moventi che spingono al compimento di atti criminali
attraverso l‟uso della rete Internet, spiccano sempre più frequentemente quelli legati allo
spionaggio e all‟intelligence, soprattutto a danno di enti, pubblici16 o privati17, legati al
mondo della Difesa.
Le ragioni di un simile interesse verso questo genere di sistemi informatici sono facilmente
rintracciabili anche semplicemente rammentando le vicende dell‟agente dell‟FBI Robert
Philip Hanssen che, in 22 anni di tradimento e spionaggio (dal 1979 al 2001) a favore del
Governo russo, riuscì a fotocopiare e a vendere solo poche centinaia di pagine di
documenti riservati dell‟Agenzia, rischiando, tra l‟altro, fisicamente e in prima persona.
14
La CNET Hacker Chart, pur riportando quasi 100 violazioni a sistemi informatici critici di rilevanza internazionale, prende in considerazione, in realtà, un arco temporale di soli 6 mesi, ovvero il periodo che va dal marzo ad agosto 2011. Il documento, tenuto in costante aggiornamento, è consultabile su: http://sites.google.com/site/cnethackerchart/. 15
Per una completa e approfondita analisi del fenomeno, si prendano in considerazione il “Verizon 2011 Data Breach Investigations Report” in http://www.verizonbusiness.com/resources/reports/rp_data-breach-investigations-report-2011_en_xg.pdf; “Symantec Internet Security Threat Report. Trends for 2010” in http://www.symantec.com/business/threatreport/index.jsp; “McAfee Underground Economies” in http://www.mcafee.com/us/resources/reports/rp-underground-economies.pdf; “In the dark: McAfee Crucial Industries Confront Cyberattacks” in http://www.mcafee.com/us/resources/reports/rp-critical-infrastructure-protection.pdf. 16
Il Wall Street Journal nell‟aprile del 2009 ha svelato che spie cinesi e russe hanno già da tempo violato i sistemi elettronici delle reti elettriche nazionali degli Stati Uniti (le c.d. electricity grid), installando al loro interno programmi azionabili da Internet capaci di disattivarle e/o distruggerle in pochi minuti. L‟articolo può essere consultato qui: http://online.wsj.com/article/SB123914805204099085.html. 17
Da ultimo, l‟FBI ha annunciato pubblicamente la fuoriuscita non autorizzata a luglio 2011di 90.000 indirizzi di posta elettronica “militari” con relative password, in conseguenza della violazione dei server della società Booz Allen Hamilton. Per conoscere i pochi elementi ancora disponibili sulla vicenda, si consiglia: http://www.nextgov.com/nextgov/ng_20110902_1237.php.
Un buon punto di partenza per comprendere il fenomeno può essere rintracciato nel documento ―Significant Cyber Incidents Since 2006‖, redatto e mantenuto aggiornato dal Center for Strategic and International Studies, all‘interno del quale vengono raccolti ed elencati gli attacchi portati a segno ai sistemi informatici e alle reti dei Governi, della Difesa e delle maggiori società hi-tech
americane, nonché i crimini economici con perdite maggiori ad un milione di dollari. Il documento è consultabile su: http://csis.org/publication/cyber-events-2006
cybersec_20111109_0846 10
Attraverso la rete Internet e la digitalizzazione dei documenti, invece, si riduce il rischio di
essere personalmente scoperti durante l‟atto criminoso, quanto, e soprattutto, si possono
sottrarre svariate migliaia di pagine di documenti riservati in un colpo solo, spesso con
estrema facilità e, soprattutto, con un eccellente livello di anonimato. Emblematica, di
recente, è la vicenda del sito Wikileaks18 e dei cablogrammi diplomatici circolanti in Rete
dallo scorso anno19, ovvero quella del giovane analista dell‟intelligence americana, il
soldato di prima classe Bradley Manning20, accusato21 di aver reso pubblico, sempre
attraverso il portale Wikileaks, un filmato che documenta un‟azione militare dell‟esercito
USA22 in Iraq e di averlo trasmesso a una terza parte non governativa.
L‟impatto dei social media nel mondo odierno dell‟informazione ha implicazioni
significative anche e soprattutto per il settore militare, dove la prima e forse più importante
preoccupazione è quella legata agli individui e ai piccoli gruppi (come, ad esempio, una
piccola cellula terroristica), che possono utilizzare le informazioni e le funzionalità derivanti
da questi strumenti tecnologici come un‟efficace arma strategica e asimmetrica. Ciò
perché, la mancanza di governance sulla Rete ne aggrava facilmente e ancor più gli
effetti, in quanto consente la rapida diffusione di qualsiasi tipo di informazione senza alcun
controllo di veridicità, contesto e fondamento etico.
La maggior parte delle dottrine militari internazionali fondano la soluzione a questo e agli
altri problemi derivanti dai social media sul concetto di “Information Superiority”, definito
dal Dipartimento della Difesa (DoD) americano come:
“the capability to collect, process, and disseminate an uninterrupted flow of
information while exploiting or denying an adversary‘s ability to do the
same.”23
18
http://wikileaks.org/. 19
http://racconta.repubblica.it/wikileaks-cablegate/index.php. 20
http://it.wikipedia.org/wiki/Bradley_Manning. 21
http://www.haguejusticeportal.net/eCache/DEF/12/444.html. 22
Lo scandalo che ha portato con sé la vicenda Wikileaks ha costretto il DARPA (Defense Advanced Research Projects Agency) a sviluppare nell‟arco di un mese un programma, denominato CINDER (Cyber Insider Threat), attraverso il quale provare ad arginare la fuga di informazioni riservate da parte degli interni al settore della Difesa americana, monitorandone costantemente la ricerca, l‟indicizzazione e la copia elettronica. Maggiori informazioni su questo interessantissimo progetto possono essere ricavate dal sito https://www.fbo.gov/index?s=opportunity&mode=form&id=cf11e81b7b06330fd249804f4c247606&tab=core&tabmode=list&. 23
Joint Publication 3-13, “Joint Doctrine for Information Operations”, 2006, in http://www.fas.org/irp/doddir/dod/jp3_13.pdf.
cybersec_20111109_0846 11
Appare chiaro tuttavia come, alla luce delle peculiarità della rete Internet e soprattutto dei
social media (di cui si dirà approfonditamente nel prosieguo), attualmente questo obiettivo
sia praticamente irraggiungibile e la guerra delle e sulle informazioni – presenti e future –
in cui le operazioni militari si svolgono è tutt‟altro che vinta.
Alla luce di quanto finora delineato, risulta pertanto di primaria importanza, soprattutto
nell‟ottica della Difesa e delle Forze Armate, cercare di valutare quali siano le strade per
identificare e conseguentemente neutralizzare queste nuove minacce alla sicurezza
nazionale e ai contingenti militari derivanti dalle attività di cyber-intelligence operate da
Paesi ostili, tracciando le opportune contromisure di cyber-security per la protezione e la
tutela delle informazioni classificate e sensibili.
cybersec_20111109_0846 12
Nel settore della Difesa il termine social media è tradizionalmente legato al concetto di
gruppi terroristici e, soprattutto, all‟uso che viene fatto di queste piattaforme sociali. Ciò
non stupisce e non può stupire in quanto consapevoli che anche il radicalismo ideologico
si è messo “al passo con i tempi” ed ha da tempo spostato la sua attenzione al mondo dei
bit. Un mondo decisamente più orizzontale ed immediato nell‟accesso all‟informazione
(diremmo “globalizzato”), maggiormente flessibile nello scambio di qualsiasi tipologia di
dati (documenti, foto, video, audio ecc.) e che, tra l‟altro, permette, agevolmente, il
camuffamento stesso dell‟informazione sensibile (ad esempio, con tecniche di
steganografia24).
24 Per approfondimenti, J.R. Krenn, “Steganography and Steganalysis”, 2004; Niels Provos e Peter Honeyman, “Hide and Seek: An Introduction to Steganography”, IEEE Computer Society – IEEE Security and Privacy, pp. 32-44, 2003; R. Chandramouli, “A mathematical framework for active steganalysis”, ACM Multimedia Systems, vol. 9, no. 3, pp. 303–311, 2003; I. Avcibas, N. Memon e B. Sankur, “Steganalysis using image quality metrics”, IEEE Trans. on Image Processing, vol. 12, no. 2, pp. 221–229, 2003; Neil F. Johnson, Joe Giordano e Sushil Jajodia, “Steganography and Computer Forensics: The Investigation of Hidden Information”, George Mason University, Center for Secure Information Systems, Technical Report, CSIS-TR-99-10-NFJ, 1999; A. Westfeld e A. Pfitzmann, “Attacks on steganographic systems”, Third Information Hiding Workshop, 1999.
La rilevanza di Internet e dei social media
nella diffusione del radicalismo ideologico
2
La steganografia si pone come obiettivo quello di mantenere nascosta l‘esistenza dei dati a chi non conosce la chiave atta ad estrarli, laddove la crittografia si prefigge di non rendere accessibili i dati nascosti a chi non conosce la chiave. LSB (dall‘inglese least significant bit, ovvero bit meno significativo) è la tipologia di steganografia più diffusa. Si basa sulla teoria secondo la quale, un‘immagine digitale ad alta definizione, non cambia contenuto se i colori
vengono modificati in modo impercettibile. Ogni pixel è rappresentato da un colore differente, cambiando il bit meno significativo di ogni pixel, il singolo colore non risulterà variato, e il
contenuto dell‘immagine sarà preservato nonostante questa manipolazione. L‘algoritmo steganografico, pertanto, riceve in input un‘immagine di copertura/contenitore (C)
una chiave (K) ed un dato da nascondere (D). Estrapola da C i bit meno significativi, misurandone la dimensione e verificando se questa è sufficiente per ospitare D. Tramite K, D
viene sparpagliato tra i bit meno significativi, sovrascrivendo i valori originali. Viene così generato S, il dato steganografico. Chi analizzerà S avrà davanti a se un‘immagine plausibile, e pur conoscendo l‘algoritmo avrà bisogno di K per verificare se c‘è un messaggio nascosto
cybersec_20111109_0846 13
Un mondo, in definitiva, decisamente meno soggetto ad essere intercettato e
localizzato, purché si padroneggi efficacemente la tecnica alla base del sistema di
comunicazione prescelto.
Controllare questo genere di media è da tempo l‟obiettivo dei Governi di tutto il mondo,
che, a volte in nome della sicurezza e altre volte per la semplice conservazione del potere,
hanno talvolta cercato di censurare i network utilizzati per la diffusione dell‟ideologia
terroristica o contraria al Governo, per il reclutamento e il proselitismo, ovvero per la
raccolta di finanziamenti. Allo stato dei fatti, però, svolgere un‟attività di repressione di
queste condotte in un mondo così ampio e così poco “catalogabile”, e peraltro, così
propenso ad offrire comode vie di uscita dalle indagini per gli addetti alle attività di contro-
terrorismo, fa apparire i tradizionali metodi investigativi e repressivi come particolarmente
“rudimentali”, costosi ed in molti casi improduttivi di effetti se non minimi. Infatti, limitare
l‟accesso a quei siti che fanno, ad esempio, del radicalismo ideologico il loro servizio
offerto alla comunità, effettuando dei veri e propri defacement25, ovvero delle attività di
filtraggio o, addirittura, di oscuramento totale di questi spazi virtuali, non fa altro che
danneggiare, dopo un notevole dispendio di energie investigative ed economiche,
l‟efficacia stessa delle indagini. Il risultato sarà che “quell‟oasi” virtuale verrà chiusa, la
maggior parte delle volte senza che gli autori vengano effettivamente rintracciati, il sito
sarà quasi immediatamente riaperto altrove, magari replicandolo contemporaneamente su
più indirizzi Internet in modo da non far perdere la continuità dell‟informazione, e le
indagini dovranno essere riprese nuovamente come se niente fosse avvenuto.
Di rilevante importanza è anche l‟aspetto politico. Infatti, se è ormai da ritenere come
un valore acquisito ed ampiamente condiviso che i Governi democratici rispettino e
difendano la libertà di manifestazione del pensiero altrui, qualunque sia il suo reale fine,
allo stesso tempo è dovere di ogni Stato proteggere i propri cittadini dall‟estremismo
politico, dalle idee che polarizzano la dialettica civile e che minano il processo democratico
portando alla violenza. In questa tensione tra opposti ed ugualmente imprescindibili doveri,
pensare di utilizzare strategie repressive volte a negare l‟accesso all‟informazione, anche
nel caso di materiale reso pubblico da gruppi estremisti, rimuovendo i siti incriminati o
anche solo utilizzando dei sistemi di filtraggio, comporta che i Governi democratici
25
Nell‟ambito della sicurezza informatica, con questo termine si intende l‟attività illecita che ha come scopo quello di cambiare la home page di un sito web (la sua “faccia”, appunto) o modificarne, sostituendole, una o più pagine interne.
cybersec_20111109_0846 14
nell‟intento di proteggere i cittadini dal possibile pericolo possano vedere ridotta la propria
legittimazione, anche internazionale, a seguito di tale attività di censura su Internet
limitativa della libertà di espressione.
Ciò detto, vale la pena sottolineare che le leggi che si applicano ai media convenzionali
(televisione, radio, giornali, ecc.) devono necessariamente essere efficaci anche su
Internet. Del resto, non ci sarebbe nessuna valida tesi atta a giustificare come
un‟istigazione a commettere un omicidio possa essere tollerata se manifestata in Rete e
punita se espressa n televisione o diffusa dalle pagine di un quotidiano. Non va altresì
sottaciuto che spesso si omette di prendere in considerazione (o si ignora) che Internet è
un fenomeno slegato da qualsiasi concetto di “confine nazionale”, all‟interno del quale –
come è ovvio che sia – non si possono agevolmente applicare le leggi statali di settore, e
che nel tempo i c.d. “contenuti generati dagli utenti”26 (user generated contents) stanno
acquisendo sempre maggiore importanza in quanto consentono lo scambio diretto e
immediato di informazioni tramite l‟utilizzo dei social network, dei programmi di
messaggistica istantanea e dei web-forum, sì da rappresentare, allo stato attuale, il
principale veicolo informativo mondiale.
Svolgere un‟attività efficace di contro-terrorismo in Rete non può tuttavia sostanziarsi
nell‟utilizzo degli stessi metodi informatici adoperati dagli attori che si muovono sulla scena
del radicalismo ideologico. Svolgere questa delicata attività significa agire su più piani,
ugualmente importanti ed interoperabili tra loro, non dimenticando mai di essere in
presenza di un fenomeno legato tanto al mondo “virtuale” quanto a quello “reale”,
attualmente vero obiettivo del radicalismo ideologico, che mira a destabilizzare l‟ordine
costituito, sfruttando la coesione ideologica nata ed alimentata proprio su Internet.
Pertanto, per quanto possa apparire scontato, non è superfluo rimarcare che ogni tentativo
di contrasto che abbia inizio in Rete dovrà necessariamente trovare la sua logica e fattuale
prosecuzione nel mondo materiale, dato che l‟obiettivo ultimo è proprio quello di apportare
rilevanti cambiamenti nel “mondo reale”.
Non risulta possibile, tra l‟altro, ravvisare alcuna differenza tra la natura generica delle
motivazioni che spingono all‟utilizzo della rete Internet quei soggetti che hanno come
scopo specifico l‟ attività di terrorismo/proselitismo ideologico e le motivazioni che sono
alla base dell‟uso degli stessi strumenti tecnologici da parte degli utenti comuni.
26
Sulle problematiche giuridiche attuali ed evolutive dei contenuti generati dagli utenti, si veda, dello stesso Autore, Mele Stefano, “Privacy e user generated content (UGC)”, in “Next Privacy”, Rizzoli – ETAS, 2010.
cybersec_20111109_0846 15
Le “comodità” offerte da questo sistema di comunicazione sono sotto gli occhi di tutti e
possono essere facilmente ravvisabili:
nel quasi totale abbattimento dei costi e dei tempi di comunicazione delle
informazioni;
nella capacità di accedere ovunque al patrimonio di informazioni condivise;
nella possibilità di creare “reti” sociali anche a grande distanza e con minimi sforzi e
sacrifici (economici e non);
nella possibilità di rimanere, qualora lo si desideri e si posseggano le dovute
competenze tecniche, completamente anonimi.
Le differenze che possono emergere, allora, devono essere rintracciate nel contenuto
delle informazioni che vengono scambiate e nello scopo per il quale avviene questo
scambio. Tralasciando i contenuti, che sono comunque facilmente immaginabili, è
importante concentrare l‟attenzione sullo scopo per il quale queste informazioni possono
essere veicolate (anche) attraverso l‟utilizzo della Rete e quali sono i principali vantaggi
nel farlo, al fine di comprendere il reale ruolo di questo strumento nelle attività di
terrorismo e proselitismo ideologico. In quest‟ottica, vale la pena prendere in
considerazione che l‟uso della rete Internet:
rende più semplice ed immediato l‟ingresso e l‟integrazione di un reclutando
nell‟organizzazione terroristica, criminale, spionistica, estremista;
garantisce la possibilità per l‟organizzazione di poter comunicare anche con la
cellula più isolata;
permette agli estremisti di rinforzare agevolmente messaggi e azioni terroristiche,
supportandole con video, suoni ed immagini che diano immediatamente nei proseliti
(e non) il senso “reale” degli avvenimenti;
consente di creare un nuovo e diverso “contesto sociale” dove il potenziale affiliato
possa rendersi conto che anche le idee ritenute socialmente inaccettabili e
raccapriccianti, sono considerate “normali” ed auspicabili.
Anche solo dall‟esame di questi elementi, è indubbio, quindi, che la rete Internet e in
particolar modo i social media abbiano attualmente un ruolo più che rilevante in questo
cybersec_20111109_0846 16
contesto, poiché incentivano, intensificano ed accelerano il processo di proselitismo e di
radicamento di qualunque ideologia deviante27.
Nonostante ciò, un aspetto imprescindibile nelle fasi di indottrinamento e reclutamento
estremista resta tutt‟ora legato al vincolo instaurato attraverso i rapporti interpersonali.
Anche il caso di Younis Tsouli, più noto come “Irabhi007”, emerso agli inizi del 2004 nel
panorama terroristico come indiscusso leader del jihadismo on-line dopo aver
semplicemente aderito ad alcuni tra i più importanti web-forum, ha ricevuto un‟attenzione
rilevante perché trattasi di una eccezione inusuale e tra l‟altro, ad oggi non replicata28.
Molti studiosi della materia, infatti, hanno più volte evidenziato che Internet, pur
assumendo un ruolo primario di supporto ed agevolazione nel processo di radicamento
ideologico, non sostituisce mai completamente il bisogno di un contatto umano diretto tra il
potenziale affiliato ed il reclutatore29. Per esemplificare, un recente studio, svolto
dall‘International Centre for the study of radicalisation and political violence ed avente ad
oggetto il reclutamento del Movimento per il Jihad Islamico sul territorio europeo, ha
rilevato come nessuno tra i militanti e gli attivisti (o presunti tali), a maggior ragione tra i più
radicali, siano stati effettivamente indottrinati e reclutati solo ed esclusivamente on-line,
lasciando trasparire, al contrario, una strategia molto più ancorata al tradizionale
passaparola tra amici e tra persone fidate30. Come dimostra il caso di Hamaad Munshi31,
le attività di radicamento dell‟ideologia terroristica e di reclutamento, pur avendo una forte
componente virtuale, devono essere obbligatoriamente supportate da un processo
“interscambiabile” in cui gli avvenimenti che hanno luogo nel mondo reale devono essere
rafforzati e consolidati nel mondo virtuale e viceversa32.
27
Un interessante approfondimento su questo tema può essere rinvenuto attraverso la lettura del documento intitolato “DHS Terrorist Use of Social Network. Facebook Case Study”, riportato nella seconda parte di questo lavoro, al capitolo 11, a supporto della bibliografia. 28
Per approfondimenti, si veda Site Institute, “Irhabi 007 Unveiled: A Portrait of a Cyber-Terrorist”, SITE Report, 2006, ed Evan F. Kohlmann, “The Real Online Terrorist Threat”, Foreign Affairs, Vol.85, No.5 (2006), pp.115-124. 29
Tra tutti, si veda Marc Sageman, “Understanding Terror Networks”, Pennsylvania University Press, 2004, e, dello stesso Autore, “Leaderless Jihad: Terror Networks in the Twenty-First Century”, Pennsylvania University Press, 2008. 30
Peter R. Neumann e Brooke Rogers, “Recruitment and Mobilisation for the Islamist Militant Movement in Europe‖, ICSR, King‟s College London, per conto dell‟European Commission Directorate-General for Justice, Freedom and Security, October 2008, consultabile su: http://icsr.info/publications/papers/1234516791ICSREUResearchReport_Proof1.pdf. 31
Per la storia completa, si veda “Britain‘s youngest terrorist, Hammaad Munshi, faces jail after guilty verdict”, The Times, 18 August 2008, nonché, Evan Kohlmann, “Anatomy of a Modern Homegrown Terror Cell: Aabid Khan et al (Operation Praline)”, NEFA Foundation report, September 2008, consultabile su: http://www.nefafoundation.org/miscellaneous/nefaaabidkhan0908.pdf. 32
Nel merito, Quintan Wiktorowicz, “Joining the Cause: Al Muhajiroun and Radical Islam”, in “The Roots of Islamic Radicalism conference”, Yale University, May 8-9 2004, consultabile su: http://insct.syr.edu/Projects/islam-ihl/research/Wiktorowicz.Joining%20the%20Cause.pdf.
cybersec_20111109_0846 17
Pertanto, appare attualmente illogico – e sarebbe peraltro un grosso errore – pensare
di poter risolvere il problema del radicalismo ideologico ed arginare quello del
reclutamento svolgendo operazioni di “pulizia” della Rete dai siti che propagandano una
determinata ideologia, ovvero disconnettendo i soggetti eventualmente coinvolti in queste
attività.
L‟unica soluzione che appare percorribile risulta essere quella di svolgere interventi
proattivi, piuttosto che reattivi, affidandosi a strategie specificatamente predisposte per
Internet e i social media e tarate sulle esigenze operative della Difesa o dei contingenti
militari, che possono essere significativamente diverse a seconda degli Enti a cui si
rivolgono (ad es., Ministero degli Esteri, Ministero dell‟Interno, Ministero della Difesa, ecc.).
Ed, inoltre, ANDREW HOSKINS, BEN O‟LOUGHLIN e AKIL AWAN, “Legitimising the Discourses of Radicalisation: Political Violence in the New Media Ecology. Interim Report‖, ESRC New Security Challenges Programme.
cybersec_20111109_0846 18
Le Forze Armate sono ormai sempre più spesso impegnate in operazioni di peace
support, lotta al terrorismo, all‟immigrazione clandestina, al narcotraffico, alla pirateria. Al
riguardo, la messa a disposizione e l‟utilizzo di reti informatiche non classificate, come
Facebook, Twitter, Flickr solo per citarne alcuni, anche solo per il benessere del
personale, espone le Forze Armate a rischi sempre più elevati di perdita di informazioni
sensibili che, se inserite in un opportuno ciclo di intelligence33, possono arrecare un
notevole danno alla sicurezza del contingente militare, delle operazioni in corso e più in
generale della Difesa in toto.
E‟ pertanto opportuno per la comprensione di questa minaccia provare, in prima battuta, a
dare una definizione di strategic intelligence e tactical intelligence, per poi approdare a
quella di cyber-intelligence.
Una definizione standard di strategic intelligence è quella che la vede come:
“the knowledge and foreknowledge of the world around us – the prelude to
Presidential decision and action”34.
In estrema sintesi, quindi, si tratta della lente attraverso la quale un leader cerca di
comprendere i potenziali rischi e i possibili benefici sia a livello nazionale che
internazionale.
33
http://en.wikipedia.org/wiki/Intelligence_cycle_management. 34
Office of Public Affairs, Central Intelligence Agency, “Factbook on Intelligence”, 1991, p. 13.
La cyber-security come argine alle attività
di cyber-intelligence e di ingegneria sociale
3
cybersec_20111109_0846 19
A questa si può affiancare la definizione di intelligence in senso tattico, ovvero:
“events and conditions on specific battlefields or theaters of war, what
military commanders refer to as ‗situational awareness‘ “35.
Più frequentemente, però, la parola intelligence assume il significato di “informazione”,
ovvero:
“a tangible product collected and analyzed (assessed or interpreted) in
hopes of achieving a deeper comprehension of subversive activities at
home or political, economic, social, and military situations around the
world”36.
Un‟informazione, tuttavia, differente rispetto a quelle che normalmente possono essere
carpite dai quotidiani o apprese attraverso i mass media: quella tipica di intelligence è
un‟informazione che deve avere in sé anche una componente ben specifica, quella del
segreto. L‟intelligence, infatti, spesso37 comporta l‟accesso ad “information some other
party is trying to deny”38 e pertanto:
“intelligence in government usually has a more restricted meaning than
just information and information services. It has particular associations
with international relations, defence, national security and secrecy, and
with specialized institutions labelled ‗intelligence‘ “39.
Si può a questo punto provare a definire il concetto di cyber-intelligence come
l‟insieme degli sforzi e delle attività svolte da o per conto di un‟organizzazione, progettate
e messe in atto per identificare, tracciare, misurare e/o monitorare, attraverso l‟utilizzo di
strumenti informatici, le minacce digitali, i dati e/o le operazioni di un avversario.
Le azioni di cyber-intelligence, inoltre, devono prevedere la possibilità di attività operative
critiche o sensibili su reti private, computer, apparecchiature elettroniche, dispositivi per la
comunicazione e attrezzature fondamentali per le attività quotidiane del nemico, nonché
35
Loch K. Johnson, “Handbook of Intelligence Studies”, Routledge, 2007, pag. 1. 36
Loch K. Johnson, “Handbook of Intelligence Studies”, Routledge, 2007, pag. 1. 37
Nonostante non si possa sottacere che, da uno studio americano effettuato dall‟Aspin-Brown Commission on the Roles and Capabilities of the US Intelligence Community, “Preparing for the 21st Century: An Appraisal of US Intelligence” (Washington, DC: US Government Printing Office, March 1, 1996), il 95% delle informazioni “d‟intelligence” portate all‟attenzione dei decisori provengano in realtà da fonti aperte. 38
Abram N. Shulsky, “Silent Warfare: Understanding the World of Intelligence”, 2nd ed., revised by Gary J. Schmitt, New York: Brassey‟s US, 1993, p. 193. 39
Michael Herman, “Intelligence power in peace and war”, Cambridge University Press, 1996, pag. 1.
cybersec_20111109_0846 20
presuppongono idonee competenze per una – anche costante – raccolta informativa in
merito alle capacità offensive, difensive e d‟intelligence, presenti e future, dell‟avversario.
Com‟è ormai facile intendere, anche in conseguenza dei recenti avvenimenti40, la
cyber-intelligence deve rappresentare una priorità strategica41.
Data la peculiarità e la complessità delle attività che si celano dietro questa parola le
operazioni di cyber-intelligence spesso possono non essere sufficienti da sole a fornire al
decisore una visione informativa completa. In questi casi, dunque, ad esse potranno
essere affiancati altri metodi d‟intelligence tradizionali come, prima fra tutti, la human
intelligence (HUMINT)42. In particolar modo per mezzo di questa “category of intelligence
derived from information collected and provided by human sources“43 è possibile
generare un quadro preciso e puntuale in merito alle minacce informatiche globali,
colmando quelle lacune verso cui la signal intelligence (SIGINT)44 e la cyber-intelligence
non possono allo stato attuale far fronte. E‟ fuor di dubbio, infatti, che, a differenza delle
armi nucleari e delle altre armi di distruzione di massa, le c.d. cyber-weapons non
richiedono mai particolari infrastrutture, né tantomeno materiali speciali e, spesso, neppure
conoscenze tecniche particolarmente approfondite per essere predisposte e/o lanciate.
In quest‟ottica, quindi, si dovrebbe fare esclusivo affidamento sulle poche, spesso labili,
tracce elettroniche lasciate dall‟avversario nelle fasi preliminari all‟attacco informatico,
ovvero quelle di footprinting45, fingerprinting46, scanning47 ed enumerazione48 dei
40
CNET Hacker Chart, cit.. 41
Interessante in questo senso può essere la lettura del recentissimo studio dell‟Intelligence and National Security Alliance dal titolo “Cyber Intelligence: Setting The Landscape For An Emerging Discipline”, 2011, in https://images.magnetmail.net/images/clients/INSA/attach/INSA_CYBER_INTELLIGENCE_2011.pdf. 42
http://en.wikipedia.org/wiki/Human_intelligence_%28espionage%29, ma anche Department of the Army, “Human Intelligence Collector Operations”, 2006, in http://www.fas.org/irp/doddir/army/fm2-22-3.pdf. 43
NATO Glossary of terms and definitions, 2010, in http://www.nato.int/docu/stanag/aap006/aap-6-2010.pdf. 44
Nigel West, “The SIGINT Secrets: The Signals Intelligence War, 1900 to Today”, William Morrow, 1988. Interagency OPSEC Support Staff (IOSS), “Operations Security Intelligence Threat Handbook: Section 2, Intelligence Collection Activities and Disciplines”, IOSS Section 2, 1996. http://www.fas.org/irp/nsa/ioss/threat96/part02.htm. 45
E‟ l‟attività di raccolta d‟informazioni su un bersaglio volta a creare un profilo quasi completo dello stato di sicurezza di un‟organizzazione. Questo genere di tecniche mirano a trasformare il bersaglio in una serie di nomi di dominio, blocchi di rete, sottoreti, router e singoli indirizzi IP dei sistemi direttamente connessi ad Internet, estrapolando, qualora possibile, il maggior numero di dettagli sulla loro sicurezza. 46
Per una prima introduzione, Mark Fioravanti, “Client Fingerprinting via Analysis of Browser Scripting Environment”, 2010, in http://www.sans.org/reading_room/whitepapers/testing/client-fingerprinting-analysis-browser-scripting-environment_33503; Thomas J. Mowbray, “Solution Architecture for Cyber Deterrence”, 2010, in http://www.sans.org/reading_room/whitepapers/warfare/solution-architecture-
cybersec_20111109_0846 21
sistemi elettronici49. I tradizionali metodi di cyber-intelligence per la raccolta di
informazioni riservate, pertanto, potrebbero mostrare il fianco quando l‟obiettivo è quello di
comprendere a pieno le capacità e/o le intenzioni reali del nemico, qualora non vengano
comunque affiancati anche da attività similari nel “mondo fisico”.
Un ulteriore elemento che si collega a quanto appena analizzato e che pertanto,
seppure brevemente, deve essere tenuto in debita considerazione, è quello relativo alle
tecniche d‟ingegneria sociale50: ovvero, quella disciplina che studia il comportamento
cyber-deterrence_33348; Chris Trowbridge, “An Overview of Remote Operating System Fingerprinting”, 2003, in http://www.sans.org/reading_room/whitepapers/testing/overview-remote-operating-system-fingerprinting_1231. 47
Se le due fasi precedenti sono utili alla raccolta del maggior numero possibile di informazioni sul bersaglio, spesso anche senza inviare nemmeno un singolo pacchetto dati a destinazione, la scansione dei sistemi è il primo momento in cui l‟attaccante comincia a saggiare la sicurezza dei sistemi informatici da violare. Un‟utile risorsa per comprendere in linee generali le varie tecniche di scanning dei sistemi informatici si può rinvenire nella pagina di manuale del software NMAP, il più utilizzato per questo genere di attività, “NMAP Reference Guide” su http://nmap.org/book/man.html. Un testo certamente molto utile è quello redatto dall‟autore del programma, Gordon “Fyodor” Lyon, “Nmap Network Scanning: The Official Nmap Project Guide to Network Discovery and Security Scanning”, Nmap Project, 2009. 48
Ultimo passo delle attività preliminari ad un attacco informatico, l‟enumerazione è la fase in cui si esaminano più in dettaglio i servizi precedentemente identificati alla ricerca di eventuali punti deboli. A differenza delle altre attività, l‟enumerazione comporta sempre l‟utilizzo di connessioni attive ai sistemi bersaglio e di interrogazioni dirette ad essi. E‟ proprio in questa fase, allora, che l‟attaccante può lasciare il maggior numero di tracce elettroniche. 49
Per approfondimenti, si veda Gerardo Iovane, “I rischi per l‘infrastruttura informatica della Difesa. Individuazione delle risorse organizzative necessarie al contrasto dell‘attacco informatico per l‘attivazione di strutture dedicate all‘anti-hacker intelligence” in http://www.difesa.it/SMD/CASD/Istituti_militari/CeMISS/Pubblicazioni/News206/2011-02/Pagine/I_rischi_per_linfrastruttur_12446intelligence.aspx 50
Per uno studio introduttivo a questa disciplina si prendano in considerazione, Joshua Brower, “Which Disney© Princess are YOU?”, 2010, in http://www.sans.org/reading_room/whitepapers/privacy/disney-
Di eccezionale interesse in questo senso è l‘articolo di David Hollis intitolato ―Cyberwar Case Study: Georgia 2008‖, in Small Wars Journal, 2011, in http://smallwarsjournal.com/blog/journal/docs-
temp/639-hollis.pdf. Al suo interno l‘Autore evidenzia come ―targets in cyberspace need to be identified and accesses developed prior to any actual military operation. The actual planned attacks and activities
need to be practiced at a low level to assess their effectiveness. In future cyber combat, nations will need to conduct these preparatory operations, reconnaissance activities, and probing attacks well in advance of
any network attack conducted in support of traditional military operation. There will be an attempt to disguise these activities but it is possible that they can be detected by the target nation networks. An alert and capable national cyber defense organization (with effective cyber-intelligence capabilities) conducting
cyberspace counter-reconnaissance in combination/collaboration with an intelligence community conducting effective counter-intelligence in the cyberspace domain can effectively monitor and potentially degrade aggressor nation and hacker militia cyberspace preparatory activities. [...] Generally (not always),
only Nation-state cyberspace operators may have the patience and resources to conduct long-time line operations while hacker militias historically have less resources, shorter timelines, and often have a
strong psychological need for immediate gratification/feedback. Identifying and then monitoring the health of national critical infrastructure or ―key terrain‖ in cyberspace (ex: government networks; critical
communications nodes; national-level power, financial, and health networks; selected media outlets; and
vital enclave networks) are critical to providing advanced warning of aggression‖.
cybersec_20111109_0846 22
individuale di una persona al fine di carpirne delle informazioni. Difatti, non sono per nulla
rari i casi passati alla letteratura di atti di spionaggio industriale51 basati su questa
tipologia di attacco, così come azioni strettamente legate al mondo informatico52, pilotate
attraverso lo sfruttamento delle debolezze del comportamento umano. Non di deve
dimenticare, infatti, che la maggior parte dei virus informatici53 o delle tecniche di
phishing54, ad esempio, utilizzano, seppur in maniera generalizzata e non mirata, delle
tecniche di ingegneria sociale per far sì che l‟utente del sistema informatico sia invogliato
ad aprire l‟allegato infetto, ovvero ritenga valido e credibile il contenuto dell‟email ricevuta.
Appare indiscutibile, quindi, come simili tecniche possano essere agilmente sfruttate,
soprattutto nei confronti della psicologia dei militari impegnati in zone operative, per
carpire informazioni sensibili ovvero per indurre un soggetto ad aprire un file infetto55
allegato ad una email.
Appare evidente allora che, per fronteggiare una simile minaccia, che basa la sua
forza sull‟insicurezza degli strumenti tecnologici, sulla poca accortezza degli utenti e sulle
princess-you_33328; Jared Kee, “Social Engineering: Manipulating the Source”, 2008, in http://www.sans.org/reading_room/whitepapers/engineering/social-engineering-manipulating-source_32914; Shane W. Robinson, “Corporate Espionage 201”, 2007, in http://www.sans.org/reading_room/whitepapers/engineering/corporate-espionage-201_512; Martin Manjak, “Social Engineering Your Employees to Information Security”, 2006, in http://www.sans.org/reading_room/whitepapers/awareness/social-engineering-employees-information-security_1686; Bryan Fite, “Corporate Identity Fraud: Life-Cycle Management of Corporate Identity Assets”, 2006, in http://www.sans.org/reading_room/whitepapers/engineering/corporate-identity-fraud-life-cycle-management-corporate-identity-assets_1650; Heather Kratt, “The Inside Story: A Disgruntled Employee Gets His Revenge”, 2005, in http://www.sans.org/reading_room/whitepapers/engineering/story-disgruntled-employee-revenge_1548; Yves Lafrance, “Psychology: A Precious Security Tool”, 2004, in http://www.sans.org/reading_room/whitepapers/engineering/psychology-precious-security-tool_1409; Aaron Dolan, “Social Engineering”, 2004, in http://www.sans.org/reading_room/whitepapers/engineering/social-engineering_1365; Lawrence Dubin, “The Enemy Within: A System Administrator‘s Look at Network Security”, 2003, in http://www.sans.org/reading_room/whitepapers/engineering/enemy-within-system-administrators-network-security_530; David Gragg, “A Multi-Level Defense Against Social Engineering”, 2003, in http://www.sans.org/reading_room/whitepapers/engineering/multi-level-defense-social-engineering_920; Wendy Arthurs, “A Proactive Defence to Social Engineering”, 2003, in http://www.sans.org/reading_room/whitepapers/engineering/proactive-defence-social-engineering_511; A. Ghirardini, “Social engineering. Una guida introduttiva”, ITHB – Italian Black Hats Association, 2002, in http://www.blackhats.it/it/papers/social_engineering.pdf. 51
Ira S. Winkler, “Case study of industrial espionage through social engineering”, National Computer Security Association, in http://csrc.nist.gov/nissc/1996/papers/NISSC96/paper040/WINKLER.PDF. 52
Malcolm Allen, “Social Engineering: A Means To Violate A Computer System”, 2007, in http://www.sans.org/reading_room/whitepapers/engineering/social-engineering-means-violate-computer-system_529. 53
http://it.wikipedia.org/wiki/Virus_%28informatica%29. 54
http://en.wikipedia.org/wiki/Phishing. 55
Un esempio classico, seppure ormai datato, di ingegneria sociale “spicciola” applicata al mondo informatico, tanto banale quanto efficace, è quello legato al worm denominato “ILOVEYOU” che, nel lontano 2000, riuscì ad infettare ben 10 milioni di computer in tutto il mondo semplicemente facendo credere all‟utente che l‟allegato fosse una lettera d‟amore. Maggiori informazioni su questo storico worm possono essere trovate qui: http://it.wikipedia.org/wiki/ILOVEYOU.
cybersec_20111109_0846 23
tecniche di ingegneria sociale, un primo argine alla possibile fuoriuscita di informazioni
classificate e sensibili viene proprio da politiche di cyber-security stringenti, accorte e,
soprattutto, specificatamente tarate sulle esigenze operative del contingente.
Con il termine cyber-security56 si definiscono a livello tecnico quell‟insieme di processi –
e non di prodotti software – volti all‟analisi delle vulnerabilità e alla successiva protezione
dell‟integrità logico-funzionale dei sistemi informatici, nonché dei dati in essi contenuti
ovvero scambiati durante una comunicazione tra utenti.
In un‟ottica di sicurezza nazionale, invece, la cyber-security altro non è che la capacità di
resistere alle minacce intenzionali e non intenzionali attuate contro i sistemi informatici a
rilevanza nazionale, nonché di rispondere e rimediare a dette azioni.
Da quando nel 2009 il Presidente degli Stati Uniti d‟America ha dichiarato la sicurezza
delle reti informatiche americane “one of the most serious economic and national
security threats our nation faces”57, il tema della cyber-security è diventato di primaria
importanza per i governi di tutto il mondo che, oltre ad aver stanziato per questo settore
budget58 spesso da capogiro, hanno ben presto provveduto a formalizzare attraverso
documenti strategici dedicati i principi che devono regolare la materia.
56
http://en.wikipedia.org/wiki/Cyber_security_standards. 57
Discorso consultabile su http://www.whitehouse.gov/the-press-office/remarks-president-securing-our-nations-cyber-infrastructure. 58
Per quanto riguarda gli USA, è possibile analizzare il budget in materia di cyber-security previsto per il DHS nel “Congressional Budget Justification - Fiscal Year 2012”, reperibile su http://www.dhs.gov/xlibrary/assets/dhs-congressional-budget-justification-fy2012.pdf; per il NIST, invece, è possibile consultare questa pagina web: http://www.nist.gov/public_affairs/releases/budget_2012.cfm; le cifre riservate al DARPA sono reperibili presso http://www.darpa.mil/NewsEvents/Budget.aspx; infine, il budget del Dipartimento della Difesa è presente su http://comptroller.defense.gov/Budget2012.html. Per quanto riguarda invece il Regno Unito, il Ministro della Difesa ha previsto un aumento del budget dedicato alla cyber-security di £650 milioni, ovvero 1.07 miliardi di dollari. Maggiori approfondimenti qui: http://www.ft.com/cms/s/0/3380103a-8b21-11e0-b2f1-00144feab49a.html#axzz1XNA9Z0Gv.
cybersec_20111109_0846 24
Per quanto l‟estrema interconnessione garantita dal progresso tecnologico e informatico
stia velocemente erodendo sempre più il confine tra gli ambiti tattico, operativo e
strategico in materia di cyber-security, è ancora possibile mettere in luce come, tra le
numerose priorità strategiche che legano attraverso un filo comune le dottrine a livello
Numerosi Stati si sono già dotati di uno o più documenti ufficiali di policy per il settore della cyber-sicurezza. In ordine cronologico, si prendano in considerazione:
Ministry of Defence of Estonia, “Cyber Security Strategy”, 2008, in http://www.kmin.ee/files/kmin/img/files/Kuberjulgeoleku_strateegia_2008-2013_ENG.pdf;
National Information Security Policy Council, “The Second National Strategy on Information Security. Aiming for Strong ―Individual‖ and ―Society‖ in IT Age”, 2009, in
http://www.nisc.go.jp/eng/pdf/national_strategy_002_eng.pdf; Swedish Emergency Management Agency, “Information security in Sweden. Situational
assessment 2009”, 2009, in http://www2.msb.se/Shopping/pdf//upload/Publikationsservice/MSB/0119_09_Information
_security_in_Sweden.pdf; Australian Government, “Cyber Security Strategy”, 2009, in
http://www.ag.gov.au/www/agd/agd.nsf/Page/CyberSecurity_CyberSecurity; U.S. Government, “Cyberspace Policy Review. Assuring a Trusted and Resilient Information
and Communications Infrastructure”, 2009, in http://www.whitehouse.gov/assets/documents/Cyberspace_Policy_Review_final.pdf;
Commission of the European Communities, “Protecting Europe from large scale cyber-attacks and disruptions: enhancing preparedness, security and resilience”, 2009, in
http://ec.europa.eu/information_society/policy/nis/docs/comm_ciip/comm_en.pdf; NATO Parliamentary Assembly, “Committee Report 173 DSCFC 09 E bis - NATO and Cyber
Defence”, 2009, in http://www.nato-pa.int/default.Asp?SHORTCUT=1782; Cabinet Office “A Strong Britain in an Age of Uncertainty: The National Security Strategy”, 2010,
in http://www.direct.gov.uk/prod_consum_dg/groups/dg_digitalassets/@dg/@en/documents
/digitalasset/dg_191639.pdf; Cabinet Office, “Securing Britain in an Age of Uncertainty: The Strategic Defence and Security
Review”, 2010, in http://www.direct.gov.uk/prod_consum_dg/groups/dg_digitalassets/@dg/@en/documents
/digitalasset/dg_191634.pdf; Agence Nationale de la Sécurité des Systémes d‟Information, “Défense et sécurité des
systèmes d‘information. Stratégie de la France”, 2011, in http://www.ssi.gouv.fr/IMG/pdf/2011-02-
15_Defense_et_securite_des_systemes_d_information_strategie_de_la_France.pdf; Dutch Ministry of Security and Justice, “The National Cyber Security Strategy (NCSS)”, 2011, in
http://www.govcert.nl/binaries/live/govcert/hst%3Acontent/actueel/nieuws/nationale-cyber-security-strategie-gepresenteerd/nationale-cyber-security-strategie-
gepresenteerd/govcert%3AdocumentResource%5B3%5D/govcert%3Aresource; Federal Ministry of Interior, “Cyber security strategy for Germany”, 2011, in
http://www.cio.bund.de/SharedDocs/Publikationen/DE/IT-Sicherheit/css_engl_download.pdf?__blob=publicationFile;
Department of Defence, “International Strategy for Cyberspace”, 2011, in http://www.whitehouse.gov/sites/default/files/rss_viewer/international_strategy_for_cybe
rspace.pdf; Department of Defence, “Department of Defense Strategy for Operating in Cyberspace”, 2011,
in http://www.defense.gov/news/d20110714cyber.pdf; Czech Republic, “Cyber security strategy of the Czech Republic for the 2011 – 2015 period”,
2011, in http://www.enisa.europa.eu/media/news-items/CZ_Cyber_Security_Strategy_20112015.PDF.
cybersec_20111109_0846 25
internazionale, proprio il tema della sicurezza delle informazioni59, recentemente definita
dal legislatore italiano in maniera magistrale come “la salvaguardia e la continua e
completa protezione delle informazioni classificate o coperte da segreto di Stato,
attraverso l‘adozione di norme e procedure, organizzative ed esecutive, nei settori delle
abilitazioni di sicurezza, della sicurezza fisica, della tecnologia delle informazioni e delle
comunicazioni”60, sia al centro delle preoccupazioni dei Governi. In particolare, risulta
interessante mettere in risalto gli obiettivi che il governo statunitense si è prefissato
all‟interno della sua “International Strategy for Cyberspace“61, in cui, tra le “Policy
Priorities”, esplicitamente si pone lo scopo di “protect our networks enhancing security,
reliability, and resiliency” attraverso i seguenti principi:
1. “Promote cyberspace cooperation, particularly on norms of behavior
for states and cybersecurity, bilaterally and in a range of multilateral
organizations and multinational partnerships”;
2. “Reduce intrusions into and disruptions of U.S. networks”;
3. “Ensure robust incident management, resiliency, and recovery
capabilities for information infrastructure”
4. “Improve the security of the high-tech supply chain, in consultation
with industry”.
Questo, però, senza dimenticare che:
“in an interconnected global environment, weak security in one nation‘s
systems compounds the risk to others. No one nation can have full insight
into the world‘s networks; we have an obligation to share our insights
about our own networks and collaborate with others when events might
threaten us all. As we continue to build and enhance our own response
capabilities, we will work with other countries to expand the international
networks that support greater global situational awareness and incident
response—including between government and industry. The United States
59
Per approfondimenti, si veda Arije Antinori, “Sviluppo nell‘ambito nazionale del concetto di ‗Information Assurance‘ relativo alla protezione delle informazioni nella loro globalità”, in http://www.difesa.it/SMD/CASD/Istituti_militari/CeMISS/Pubblicazioni/News206/2011-01/Pagine/Sviluppo_nellambito_nazionale__12341globalita.aspx 60
Art. 1, comma 1, lett. b), del Decreto del Presidente del Consiglio dei Ministri 22 luglio 2011, “Disposizioni per la tutela amministrativa del segreto di Stato e delle informazioni classificate”, in Gazzetta Ufficiale n. 203, 1 settembre 2011, in http://www.gazzettaufficiale.it/guridb/dispatcher?service=1&datagu=2011-09-01&task=dettaglio&numgu=203&redaz=11A11551&tmstp=1315150251489. 61
Department of Defence, “International Strategy for Cyberspace”, cit..
cybersec_20111109_0846 26
Government actively participates in watch, warning, and incident response
through exchanging information with trusted networks of international
partners. We will expand these capabilities through international
collaboration to enhance overall resilience. The United States will also
work to engage international participation in cybersecurity exercises, to
elevate and strengthen established operating procedures with our
partners”62.
Il primo e più importante obiettivo, pertanto, è e resta quello di raggiungere una completa e
soprattutto reale cooperazione internazionale in materia di cyber.security, così come
recentemente proposto anche dall‟OCSE a ben 56 nazioni – America e Russia comprese
– nel suo “Overall approach by the OCSE to promote cybersecurity“63, al fine di:
promote a safer cyberspace to contribute to the fight against transnational
threats as well as to the security and stability of the OSCE area;
use the exhaustive geographical forum that is the OSCE, and its overall
approach to security, focused on respect of human rights and the rule of
law, to draw up confidence-building measures to promote cybersecurity in
its region; including:
a. measures promoting transparency, such as national exchanges of
views on international legal standards, and on possible political
commitments concerning codes of conduct for States in their use of
information and communication technologies, particularly in support
of the normative work by the United Nations and the Council of
Europe, or exchanges of good practice,
b. measures to promote stability and risk reduction, for example by
establishing crisis communication links;
62
Department of Defence, “International Strategy for Cyberspace”, cit.. 63
Organization for Security and Cooperation in Europe (OCSE), “Overall approach by the OCSE to promote cybersecurity”, 2011, in http://www.oscepa.org/images/stories/documents/activities/1.Annual%20Session/2011_Belgrade/Supplementary_Items/04_Overall_Approach_by_the_OSCE_to_Promote_Cybersecurity_Belgium_ENGLISH.pdf.
cybersec_20111109_0846 27
support the overall efforts of the United Nations to promote cybersecurity
[…], particularly:
a. promotion of dialogue between States to discuss the standards
concerning the use by States of information and communication
technologies, to reduce the collective risk and protect critical national
and international infrastructure;
b. development of confidence-building measures to deal with the
implications of the use by States of information and communication
technologies, including their use in conflicts;
c. exchanges of information, particularly on national legislation and best
practices, policies, technologies and security strategies.
Se il dialogo e lo scambio di informazioni tra Stati costituiscono il perno su cui
attualmente poggiano i progetti e le discussioni in atto a livello internazionale, soprattutto
per armonizzare il quadro normativo e gli standard di sicurezza, a livello interno e
strettamente nazionale, in considerazione di quanto si è detto, quattro sono quegli
elementi che, in conclusione, appaiono di fondamentale importanza per il raggiungimento
di un efficace e reale livello di sicurezza nello spazio cibernetico, utili a “tamponare” le
azioni di cyber-intelligence provenienti dagli avversari: 1. Capacità di intelligence
finalizzata all‟early warning (tattico/strategico); 2. Riconoscimento dell‟autore
(Reconnaissance); 3. Resilienza dei sistemi informatici (Resilience); 4. Risposta agli
attacchi, sia in maniera convenzionale che non convenzionale (Retaliation), ovvero con
strumenti politico/diplomatici.
cybersec_20111109_0846 28
E‟ fin troppo chiaro, allora, come l‟evoluzione dei servizi tecnologici, soprattutto quelli
che si sono sviluppati intorno al mondo di Internet e che stanno convergendo sempre più
velocemente verso quello delle comunicazioni mobili, seppure abbiano portato nei fatti ad
un indiscutibile vantaggio sociale, richiedano per il loro impiego un‟attenta valutazione in
materia di sicurezza. Non di meno, inoltre, il loro utilizzo dovrà essere contemperato alle
primarie esigenze operative, soprattutto nei casi in cui i contingenti militari si trovino ad
operare in ambienti e/o in situazioni critiche.
Inquadrato il problema principale è opportuno evidenziare come i social media non
siano per il settore militare l‟unica nuova fonte di minaccia derivante dall‟evoluzione
tecnologica: ogni operatore militare, infatti, porta (e sempre più porterà64) fisicamente con
sé apparecchiature tecnologiche utili al miglior assolvimento degli scopi operativi.
Tra l‟altro, nonostante il codice penale militare di guerra, all‟art. 65, esplicitamente punisca
con la reclusione militare fino ad un anno “chiunque nella zona delle operazioni militari ,
senza permesso dell‘autorità competente, porta o usa macchine fotografiche di qualunque
specie”, ovvero il Regolamento di disciplina militare65, all‟art. 49, comma 1, lett. b),
rubricato come “Detenzione e uso di cose di proprietà privata nei luoghi militari”,
esplicitamente rileva che “può essere proibito dal comandante del corpo o da altra autorità
superiore, in relazione a particolari esigenze di sicurezza, anche temporanee, l‘uso o la
semplice detenzione di macchine fotografiche o cinematografiche o di apparecchiature per
registrazioni foniche o audiovisive”, la detenzione e l‟utilizzo anche in zone di operazioni
militari di apparecchi tecnologici privati, capaci come nel caso di uno smartphone di
64
http://en.wikipedia.org/wiki/Future_Force_Warrior. 65
Decreto del Presidente della Repubblica 11/07/1986, n. 545, in Gazzetta Ufficiale del 15 settembre, n. 214.
Evoluzione tecnologica e nuove forme di
minaccia per il settore militare
4
cybersec_20111109_0846 29
fungere contemporaneamente da telefono cellulare, macchina fotografica, postazione per
la connessione ad Internet e rilevatore GPS, continua ad essere un comportamento
comunque non sorvegliato.
Sistemi di posizionamento e navigazione GPS, sistemi che comunicano per mezzo del
protocollo Wi-Fi66 o Bluetooth67, smartphones, pads e le loro applicazioni, ma anche
carte di credito, cartellini identificativi e carte di fidelizzazione, infatti, sono solo alcuni degli
strumenti e delle metodologie di comunicazione che, in alcuni casi, già oggi “vestono” i
nostri militari, sia quelli operativi che amministrativi. In questi casi, ulteriori minacce alla
sicurezza delle comunicazioni68 e delle informazioni scambiate e/o conservate attraverso
questo genere di tecnologie, possono derivare da:
1. insicurezza dell‟hardware69 e del software70 utilizzati all‟interno degli
apparecchi tecnologici, che già in fase di produzione (hardware) o di scrittura
(software) possono essere facilmente manomessi71, in modo tale da
consentire – in maniera quasi completamente non rilevabile per le
apparecchiature di sicurezza – l‟accesso alle informazioni gestite e la loro
sottrazione.
Emblematico in questo senso è il caso della produzione dell‟hardware,
soprattutto se si tiene in considerazione che ancor oggi la quasi totalità delle
apparecchiature elettroniche viene prodotta in Paesi orientali, la Cina72 tra
66
http://it.wikipedia.org/wiki/Wi-Fi. 67
http://it.wikipedia.org/wiki/Bluetooth. 68
Definite dal legislatore all‟art. 1, comma 1, lett. ee), del Decreto del Presidente del Consiglio dei Ministri 22 luglio 2011, come “le misure di sicurezza crittografica, delle trasmissioni, fisica e del personale, finalizzate a garantire la protezione delle informazioni classificate o coperte da segreto di Stato, trattate attraverso sistemi di comunicazione, nonché ad impedirne la conoscenza da parte di soggetti non autorizzati”. 69
R. Stiennon, “Cyber War”, Government Institute, 2010, pag. 135; Richard A. Clarke & Robert K. Knake, “Cyberwar. The next threat to national security and what to do about it”, Harper Collins, 2010; Martin C. Libiki, “Cyberdeterrence and Cyberwar”, RAND, 2009, pag. 20 e ss., in http://www.rand.org/pubs/monographs/2009/RAND_MG877.pdf. 70
SafeCode, “Software Integrity Controls: An Assurance-Based Approach to Minimizing Risks in the Software Supply Chain”, 2010, in http://www.safecode.org/publications/SAFECode_Software_Integrity_Controls0610.pdf. 71
White House, “Cyberspace Policy Review. Assuring a Trusted and Resilient Information and Communications Infrastructure”, 2009, pag. 34 in http://www.whitehouse.gov/assets/documents/Cyberspace_Policy_Review_final.pdf; The Internet Security Alliance (ISA), “Securing the Supply Chain for Electronic Equipment: A Strategy and Framework”, in http://www.whitehouse.gov/files/documents/cyber/ISA%20-%20Securing%20the%20Supply%20Chain%20for%20Electronic%20Equipment.pdf. 72
U.S.-China Economic and Security Review Commission Staff Report, “The National Security Implications Of Investments And Products From The People‘s Republic Of China In The Telecommunications Sector”, 2011, in http://www.uscc.gov/RFP/2011/FINALREPORT_TheNationalSecurityImplicationsofInvestmentsandProductsfromThePRCintheTelecommunicationsSector.pdf.
cybersec_20111109_0846 30
tutti, che, almeno apparentemente73, sembrano essere tra i maggiori
responsabili degli innumerevoli attacchi informatici subiti dai Paesi occidentali.
Infatti, manomettere le apparecchiature hardware in fase di produzione
significa, successivamente alla loro implementazione, rendere non rilevabili ai
software di sicurezza la presenza di congegni atti alla sottrazione dei dati e
delle informazioni. Per comprendere agevolmente questo ragionamento, è
sufficiente prendere in considerazione il modello ISO-OSI74, dal 1978 lo
standard di riferimento per l‟interconnessione di sistemi di computer, per
verificare come il livello fisico (Physic Layer) e quello di collegamento
(Datalink Layer) lavorano ben al di sopra e in maniera del tutto indipendente
dallo strato dei meccanismi e delle tecnologie di trasmissione usati per la
connessione (Host Layers), non lasciando così spazio al software, salvo in rari
casi, di “vedere” cosa circola a livello hardware75;
2. insicurezza e vulnerabilità del software e/o dei protocolli di comunicazione (i
c.d. bug) utilizzati dai dispositivi elettronici, che permettono a loro volta di
portare una serie di attacchi più o meno efficaci e pericolosi per la sicurezza
delle informazioni in essi contenute.
Tra le principali categorie attualmente esistenti, può essere utile richiamare
alla memoria, in ordine alfabetico e sebbene in maniera semplicistica e
sintetica, gli attacchi di tipo:
- Denial of service (o DoS)
E‟ un metodo di attacco, proveniente da una singola “sorgente”, che ha
come obiettivo quello di portare il funzionamento di un sistema informatico
73
SecDev Group, Citizen Lab and the Shadowsever foundation, “Shadows in the cloud: Investigating cyber espionage 2.0”, 2010, in http://secdev.ca/reports.php; SecDev Group, Citizen Lab and the Shadowsever foundation, “Tracking Ghostnet: Investigating a Cyber espionage network”, 2009, in http://secdev.ca/reports.php. 74
http://it.wikipedia.org/wiki/Open_Systems_Interconnection. 75
Per alcune contromisure a questa minaccia, di prenda in considerazione lo studio di Mainak Banga and Michael S. Hsiao, “A Region Based Approach for the Identification of Hardware Trojans”, Bradley Department of Electrical and Computer Engineering, Virginia Tech., 2008, in http://cs.ucsb.edu/~koc/ccs130h/2011/00-hw-trojans/02.pdf; Rajat Subhra Chakraborty, Somnath Paul and Swarup Bhunia, “On-Demand Transparency for Improving Hardware Trojan Detectability”, Department of Electrical Engineering and Computer Science, Case Western Reserve University, Cleveland, 2008; Yier Jin and Yiorgos Makris, “Hardware Trojan Detection Using Path Delay Fingerprint”, Department of Electrical Engineering Yale University, 2008 in http://www.eng.yale.edu/trela/papers/host08.pdf; Xiaoxiao Wang, Mohammad Tehranipoor and Jim Plusquellic, “Detecting Malicious Inclusions in Secure Hardware, Challenges and Solutions”, 1st IEEE International Workshop on Hardware-Oriented Security and Trust, 2008, in http://www.engr.uconn.edu/~tehrani/publications/host08_2.pdf.
cybersec_20111109_0846 31
che fornisce un servizio (ad esempio un sito web) al limite delle
prestazioni, lavorando su uno dei parametri d‟ingresso, fino a renderlo non
più in grado di erogare il servizio. Gli attacchi vengono abitualmente attuati
inviando molti pacchetti di richieste – di solito ad un server Web, FTP o di
posta elettronica – saturandone le risorse e rendendo tale sistema
“instabile”. Sfruttando i servizi disponibili sulla macchina bersaglio,
qualsiasi sistema collegato ad una rete e che fornisca servizi è soggetto al
rischio di attacchi di tipo Denial of Service.
- Distributed Denial of service (o DoS)
E‟ la variante più comune del DoS visto in precedenza, che ne amplifica
esponenzialmente gli effetti, poiché, per portare l‟attacco, sfrutta un‟intera
“rete” coordinata e distribuita di sistemi informatici (botnet76) e non una
singola “sorgente”;
- Exploit
Sono strumenti (tools), più o meno sofisticati e spesso liberamente
disponibili al pubblico, sfruttati dai criminali informatici per scovare e/o
sfruttare le vulnerabilità dei sistemi telematici e per guadagnarne
indebitamente l‟accesso;
- Logic bombs
E‟ una forma di sabotaggio elettronico, che consiste nell‟inserire una
porzione di codice malevolo all‟interno di un qualsiasi programma
apparentemente innocuo. Il programmatore fa sì che il software esegua
un‟azione distruttiva (modificare, cancellare file, bloccare il sistema o
svolgere qualsiasi altra operazione dannosa) allorché un evento, già
previsto, si verifica all‟interno del sistema;
- Sniffer
Contrazione di “packet sniffer”, sono programmi volti all‟intercettazione
passiva e all‟analisi dei dati che transitano su una rete telematica, al fine di
76
http://en.wikipedia.org/wiki/Botnet.
cybersec_20111109_0846 32
acquisire fraudolentemente password o altre informazioni sensibili degli
(ignari) utenti di quel medesimo segmento di rete (spesso una rete
interna);
- Trojan horse
Un trojan o trojan horse, in italiano “Cavallo di Troia”, è un tipo di malware.
Deve il suo nome al fatto che, come con il mitico stratagemma inventato
da Ulisse, le sue funzionalità sono nascoste all‟interno di un programma
apparentemente utile. E‟ dunque l‟utente stesso che, installando ed
eseguendo un certo programma, inconsapevolmente installa ed esegue
anche il codice malevole in esso nascosto;
- Virus
E‟ un programma che è in grado, una volta eseguito, di infettare alcune
tipologie di file in modo da riprodursi e fare più copie possibili di sé stesso,
generalmente senza farsi rilevare dall‟utente. Nell‟uso comune, il termine
virus viene frequentemente ed impropriamente usato come sinonimo di
malware, indicando quindi di volta in volta anche categorie di programmi
malevoli diversi, come ad esempio worm o trojan;
- Worm
E‟ un software indipendente che si riproduce e propaga da un sistema
infetto all‟altro attraverso una rete (come, ad esempio, Internet). A
differenza dei virus informatici, un worm non richiede l‟intervento
dell‟utente per propagarsi, essendo capace di sfruttare una o più
vulnerabilità dei programmi o servizi presenti sul sistema bersaglio;
- Zero-day exploit
Lo zero-day è un tipo di attacco informatico che inizia nel “giorno zero”,
ovvero nel momento in cui è scoperta una falla di sicurezza in un sistema.
Questo tipo di attacco può mietere molte vittime, proprio perché è lanciato
quando ancora non è stato distribuito alcun aggiornamento di sicurezza
(patch) e quindi i sistemi sono completamente scoperti contro questo
genere di minaccia telematica.
cybersec_20111109_0846 33
Ovviamente queste tecniche di attacco trovano il maggior punto di forza
nella possibilità di essere anche combinate tra loro. E‟ questo il caso
dell‟ormai famigerato worm Stuxnet77, entrato nella storia come la prima
cyber-weapon di importanza geopolitica di cui si è potuto leggere il codice
sorgente78 e valutarne gli effetti reali. Per compromettere e infettare i
sistemi informatici industriali prodotti dalla Siemens e utilizzati dall‟Iran79
nelle centrali di arricchimento dell‟uranio, questo malware, infatti, ha
impiegato contemporaneamente ben 4 diversi exploit di tipo zero-day oltre
a 2 exploit già conosciuti.
Un ulteriore elemento che deve necessariamente essere preso in
considerazione, ben conosciuto soprattutto da chi si occupa di indagini nel
settore informatico, è la possibilità di lanciare questo genere di attacchi
rimanendo (quasi) del tutto anonimi. Infatti, sfruttando le vulnerabilità
intrinseche della rete Internet – rete creata dall‟Agenzia DARPA80 per
essere funzionale e non sicura, e che, pertanto, risulta assolutamente
inadatta agli usi che oggi le vengono affidati (a maggior ragione se da
parte di militari) – è possibile, se non addirittura “facile”, far risultare che gli
attacchi informatici provenienti da indirizzi IP asiatici o russi siano stati
commessi, ad esempio, da computer fisicamente presenti in Italia. E‟
questa la logica (semplificata) che è alla base delle tecniche di IP
bouncing81, consistenti nel mascherare l‟indirizzo IP facendo “rimbalzare” il
proprio segnale e le proprie informazioni attraverso più sistemi “terzi”,
precedentemente violati e che non effettuano alcuna registrazione (log)
degli accessi e delle operazioni compiute su di essi.
77
http://en.wikipedia.org/wiki/Stuxnet. 78
http://thehackernews.com/2011/07/stuxnet-source-code-released-online.html. 79
Der Spiegel, “Stuxnet Virus Opens New Era of Cyber War”, in http://www.spiegel.de/international/world/0,1518,778912,00.html. 80
http://it.wikipedia.org/wiki/Storia_di_Internet. 81
Per un‟introduzione, invece, sulle metodologie informatiche per il rintraccio di attacchi informatici “mascherati”, si prenda in considerazione R. Stone, “CenterTrack: an IP overlay network for tracking DoS floods” in Proceeding of the 2000 USENIX Security Symposium, pag. 199-212, Denver, CO, July 2000; S. Savage, D. Wetherall, A. Karlin e T. Anderson, “Pratical network support for IP traceback” in Proceedings of the 2000 ACM SIG-COMM Conference, pag. 295-306, Stockholm, Sweden, August 2000; H. Burch e B. Cheswick, “Tracing anonymous packets to their approximate source” in Proceedings of the 2000 USENIX LISA Conference, pag. 319-327, New Orleans, December 2000; D. Dean, M. Franklin e A. Stubblefield, “An algebraic approach to IP traceback”, in Proceedings of the 2001 Network and Distributed System Security Symposium, San Diego, CA, February 2001; D. Song e A. Perring, “Advanced and authenticated marking schemes for IP traceback” in Proceeding of the 2001 IEEE INFOCOM Conference, Anchorage, AK, April 2001.
cybersec_20111109_0846 34
3. inadatta configurazione software dei dispositivi, che potrebbe consentire e
anzi agevolare gli attacchi presi in considerazione al punto precedente. Si
pensi, ad esempio, al classico caso di computer utilizzati dagli utenti con
privilegi di “root” o di “administrator”, ovvero a password troppo deboli per
proteggere la sicurezza dei sistemi o quasi mai sostituite per semplice pigrizia;
4. utilizzo poco accorto e non compliant con gli standard – anche i più semplici –
di sicurezza dei dispositivi da parte dell‟utente, che così espone i propri dati,
quelli presenti all‟interno dei dispositivi e, a volte, anche quelli degli utenti
collegati allo stesso segmento di rete locale ai medesimi attacchi visti al punto
2;
5. uso di strumenti tecnici e/o tecnologici esterni da parte di soggetti ostili, volti a
rendere inutilizzabili le apparecchiature utilizzate. E‟ questo il caso dei c.d.
jammer, ovvero dei disturbatori di frequenza capaci di emettere
intenzionalmente onde o segnali radio che interferiscono con il funzionamento
di radar, ponti radio, telefoni cellulari, sistemi GPS e, più in generale, di tutti
quegli apparecchi elettronici che ormai vengono giornalmente utilizzati.
Dato l‟ampio spettro di possibilità e metodi utili per veicolare attacchi informatici a
danno della sicurezza delle informazioni e delle comunicazioni dei contingenti militari,
appare evidente che, parallelamente alla ricerca di soluzioni tecnologiche sempre più
sicure, occorra fin da subito istruire il personale militare sull‟uso appropriato di questi
imprescindibili strumenti, primi fra tutti quelli c.d. “sociali” legati ad Internet, che, pur non
comportando un attacco diretto e immediato alla sicurezza delle informazioni, possono
comunque rappresentare un ulteriore metodo di Advanced Persistent Threat82.
82
http://en.wikipedia.org/wiki/Advanced_persistent_threat.
cybersec_20111109_0846 35
Occorre tenere presente, però, che un sostanziale ostacolo alla imprescindibilità
dell‟istruzione e formazione del personale militare è dato dal “digital divide” generazione,
che pone i principali addestratori (come, ad esempio, i superiori gerarchici) nella posizione
di essere, in realtà, proprio i soggetti meno avvezzi all‟uso e alla comprensione
approfondita di tali strumenti e delle relative problematiche di sicurezza.
Esemplificazione di un ciclo di APT derivante da malware
cybersec_20111109_0846 36
Una delle più importanti sfide che i comandanti sono attualmente chiamati ad
affrontare è quella inerente lo sviluppo di una strategia per i social media capace di
adattarsi ai cambiamenti sociali in atto e alle esigenze operative.
All‟interno del governo americano, proprio di recente, anche il GAO (U.S. Government
Accountability Office) ha evidenziato questa urgente necessità nel suo documento “Social
Media. Federal Agencies Need Policies and Procedures for Managing and Protecting
Information They Access and Disseminate“. In particolare, il GAO ha evidenziato le
seguenti necessità primarie:
- ensure that appropriate privacy and security measures are in place when commercially
provided social media services are used, the Secretary of Defense should conduct and
document a privacy impact assessment that evaluates potential privacy risks associated
with agency use of social media services and identifies protections to address them;
- ensure that appropriate security measures are in place when commercially provided
social media services are used, the Secretary of Homeland Security should conduct and
document a security risk assessment to assess security threats associated with agency
use of commercially provided social media services and identify security controls that can
be used to mitigate the identified threats;
- ensure that appropriate privacy and security measures are in place when commercially
provided social media services are used, the Secretary of State should conduct and
document a privacy impact assessment that evaluates potential privacy risks associated
with agency use of Twitter and YouTube and identifies protections to address them;
Le strategie del Comando per i social
media e l’uso appropriato da parte dei
contingenti militari
5
cybersec_20111109_0846 37
- ensure that appropriate privacy and security measures are in place when commercially
provided social media services are used, the Secretary of State should conduct and
document a security risk assessment to assess security threats associated with agency
use of commercially provided social media services and identify security controls that can
be used to mitigate the identified threats.
L‟uso efficace dei social media, inoltre, può costituire una parte importante del
potenziale necessario ad aiutare le Forze Armate a comprendere meglio l‟ambiente in cui
esse operano. I social media, inoltre, possono veicolare più agevolmente le informazioni a
sostegno delle operazioni, ovvero possono essere sfruttati per contribuire a concretizzare
la “concentrazione delle forze” con gli altri partner partecipanti al conflitto (in Italia, ad
esempio, si pensi al COCIM83), così come durante le operazioni militari diverse dalla
guerra (le c.d. MOOTW, Military Operations Other Than War). Trovare un modo
intelligente e innovativo per contribuire a raggiungere i fini desiderati potrebbe essere,
così, la chiave del successo in un ambiente in continua evoluzione come è quello dei
social media.
E‟ sotto gli occhi di tutti come questi strumenti abbiano cambiato i metodi e i tempi di
diffusione delle informazioni, nonché come il rapido incremento nell‟utilizzo dei blog, dei
siti di social networking e delle tecnologie per il media-sharing (come YouTube), aiutati
dalla diffusione esponenziale della tecnologia mobile, abbiano modificato anche le
condizioni attraverso cui gli Stati conducono le operazioni militari. La velocità e la
trasparenza delle informazioni sono aumentati drammaticamente ed eventi che solo pochi
anni fa avrebbero potuto rimanere coperti da Segreto di Stato, sono stati resi pubblici in
tutto il mondo nell‟arco di pochi minuti. Anche i ruoli tradizionali dei mezzi di
comunicazione stanno evolvendo a causa del carattere ubiquitario della tecnologia di
trasmissione dati. Oggi infatti, qualsiasi persona può con la telecamera del proprio telefono
cellulare trasmettere immagini “schiaccianti” al mondo, da qualsiasi parte del pianeta, in
maniera non filtrata e nel tempo di una telefonata. Così come comuni cittadini, possono
utilizzare i social network per mobilitare interi gruppi a sostegno di una causa, senza per
questo esporsi ai rischi e ai costi fino a poco tempo fa associati all‟attivismo.
Nonostante gli sforzi di alcuni Stati84, i Governi e le Istituzioni possono fare ancora ben
poco per arginare questo stato di cose e le conseguenze delle elezioni del giugno 2009 in
83
http://www.difesa.it/SMD/CASD/Istituti_militari/ISSMI/Corsi/Corso-COCIM/Pagine/Lineamenti.aspx 84
http://en.wikipedia.org/wiki/NSA_electronic_surveillance_program.
cybersec_20111109_0846 38
Iran85 forniscono un esempio di come i social media contribuiscano agevolmente
modificare la scacchiera del quadro politico e dei conflitti nel mondo.
Il primo passo per sviluppare una strategia – in qualsiasi settore sia – è quello di avere
ben presenti gli obiettivi e le finalità.
Nel caso di una strategia per i social media, il primo obiettivo identificabile è senza
dubbio quello di raggiungere attraverso di essi una migliore comprensione dell‟ambiente, o
meglio una migliore conoscenza della situazione operativa tra le forze (situation
awareness86), al fine di aumentare le capacità di adattamento e di reazione tempestiva e
capillare del contingente. Infatti, l‟analisi sistematica delle comunità on-line nella zona di
responsabilità, potrebbe permettere ai comandanti di accrescere in maniera inaspettata e
in “tempo reale” la cognizione e la comprensione del territorio in questione e della sua
comunità, come le eventuali minacce, tensioni e/o interessi del popolo, identificando le
tendenze e i modelli emergenti87. Blog e siti di social networking, perciò, potrebbero
aiutare nell‟analisi di ogni società dove sia presente una significativa comunità di utenti
Internet, in particolare in presenza di una popolazione relativamente giovane.
Il secondo obiettivo strategico da raggiungere in un teatro operativo attraverso l‟utilizzo
dei social media è quello di assistere il comando nel fornire informazioni pubbliche88
strategiche e/o tattiche in modo più conveniente, agile e credibile. Soltanto la piena
comprensione di quanto i social media abbiano cambiato il modo e la velocità con cui
vengono riportate le notizie e il loro massiccio impiego può infatti aiutare un comandante a
vincere la battaglia dell‟informazione. Inoltre, così facendo, i comandanti potranno essere
85
http://en.wikipedia.org/wiki/Iranian_presidential_election,_2009. 86
http://en.wikipedia.org/wiki/Situation_awareness. 87
Secondo lo IARPA e il DNI, infatti, ”research shows that many significant societal events are preceded by population-level changes in communication, consumption and movement. Some of these changes may be indirectly observable from diverse, publicly available data, but few methods have been developed for anticipating or detecting unexpected events by fusing such data. IARPA‘s OSI program will use innovative statistical methods that combine publicly available data in order to alert analysts to changes in population behavior”. A tal proposito, pertanto, l‟Intelligence americana sta avviando un programma di ricerca per lo sviluppo di sistemi automatici di monitoraggio dei social network, per “[…] development of methods that leverage population behavior change in anticipation of, and in response to, events of interest; processing of publicly available data that reflect those population behavior changes; development of data extraction techniques that focus on volume, rather than depth, by identifying shallow features of data that correlate with events; development of multivariate time series models robust to non-stationary, noisy data to reveal patterns that precede events; and innovative use of statistical methods to fuse combinations of time series for generating probabilistic warnings of events. If successful, OSI methods will ―beat the news‖ by fusing early indicators of events from multiple publicly available data sources and types”. Per approfondire questo programma di ricerca, http://www.iarpa.gov/solicitations_osi.html. 88
Per la condivisione delle informazioni legate al contrasto delle minacce derivanti dal terrorismo, si prenda in considerazione lo studio della strategia nazionale americana dal titolo “National Strategy for Information Sharing. Successes and Challenges In Improving Terrorism-Related Information Sharing”, 2007, in http://www.ise.gov/sites/default/files/nsis_book_0.pdf.
cybersec_20111109_0846 39
più tutelati se già attivamente impegnati e immersi – con una presenza on-line aggressiva
– in questo nuovo ambiente, risultando più pronti e meglio organizzati in caso si ponga la
necessità di contrastare informazioni false o negative fatte circolare tanto in Rete quando
tra la popolazione, ovvero di influenzare l‟opinione pubblica.
L‟U.S. Air Force, ad esempio, ha di recente sollecitato il settore privato affinché sviluppi un
progetto denominato “Persona Management Software“. L‟obiettivo è quello di dotarsi di
“eserciti” di finte “persone digitali” da poter manovrare e utilizzare all‟interno degli spazi
virtuali e dei social media per le attività di influenza. “These ―personas‖ were to have
detailed, fictionalized backgrounds, to make them believable to outside observers, and a
sophisticated identity protection service was to back them up, preventing suspicious
readers from uncovering the real person behind the account. They even worked out ways
to game geolocating services, so these ―personas‖ could be virtually inserted anywhere in
the world, providing ostensibly live commentary on real events, even while the operator
was not really present”.
Terzo e ultimo obiettivo strategico da acquisire per i comandanti è quello volto ad
agevolare e concretizzare la “concentrazione delle forze”. Attraverso l‟uso dei social
media, infatti, i comandanti possono agevolmente adoperarsi verso questo
importantissimo obiettivo nei confronti delle Ambasciate, con i partner internazionali, con i
leader dei governi locali, ovvero con le organizzazioni non governative (ONG), al fine di
monitorare e incentivare il lavoro di tutti per il raggiungimento del medesimo scopo
comune. Una proattiva e innovativa strategia di social media, volta all‟utilizzo consapevole
delle funzionalità tipiche dei social network, dei blog e dei servizi Twitter-like, può invero
aiutare i comandanti ad assicurare a tutti i soggetti interessati nel teatro delle operazioni la
condivisione delle opportune informazioni utili per lavorare verso un obiettivo comune.
Il secondo passo nello sviluppo di questa strategia è quello di individuare i modi
attraverso cui raggiungere gli obiettivi in precedenza fissati.
Data per acquisita l‟importanza dei media tradizionali, come giornali e TV, soprattutto
in quegli scenari non ancora pienamente raggiunti dalle tecnologie informatiche, il primo
step è nel far sì che i social media abbiano il sostegno e l‟interesse del comandante e dei
membri posti nei ruoli chiave del suo staff, formalizzando gli obiettivi, i ruoli e le
conseguenti responsabilità in uno specifico documento/piano. Il comandante, infatti, dovrà
riuscire a vedere l‟impiego dei social media come una risorsa e non come una minaccia,
cybersec_20111109_0846 40
incorporando il piano per l‟utilizzo dei social media all‟interno di quello del conflitto e della
pianificazione operativa.
Il secondo modo per ottenere un vantaggio dai social media è quello di dotarsi di
un‟organizzazione specifica per l‟obiettivo. Per far ciò, mutuando quanto già da tempo
sperimentato e ampiamente utilizzato in merito alle forme di organizzazione e gestione
della comunicazione strategica, alcuni principi possono essere efficacemente utilizzati
anche per i social media. In particolare, il “Commander’s Handbook for Strategic
Communications and Communication Strategy“89 espone cinque modelli utili a questo
scopo, che possono essere utilmente adattati anche per l‟organizzazione delle attività
inerenti i social media, ovvero:
aumentare l‟attenzione del Comando;
incaricare dell‟attività uno staff leader interno;
integrare uno specifico team di pianificazione;
centralizzare il controllo di tutte le attività relative alla comunicazione strategica
sotto una direzione separata;
prevedere un direttore per la comunicazione strategica a cui affiancare un piccolo
staff di coordinamento e supporto al gruppo di lavoro.
Quest‟ultimo modello è quello che nel tempo ha guadagnato il maggior numero di
attenzioni e adozioni nel settore della comunicazione strategica90, in quanto l‟unico
capace di offrire le migliori caratteristiche dei quattro precedenti, garantendo
contestualmente il mantenimento di un adeguata soglia di attenzione sul programma di
comunicazione strategica deciso dal comando. Questa opzione, pertanto, risulta essere
89
US Joint Forces Command, Joint Warfighting Center, “Commander‘s Handbook for Strategic Communications and Communication Strategy”, version 3.0, 2010, in http://www.carlisle.army.mil/DIME/documents/Strategic%20Communication%20Handbook%20Ver%203%20-%20June%202010%20JFCOM.pdf. 90
Per approfondire l‟attenzione che il governo americano ha nei confronti dei social media, si consiglia la lettura di nuovo progetto del DARPA dal titolo “Social Media in Strategic Communication (SMISC)”, 2011, in https://www.fbo.gov/index?s=opportunity&mode=form&id=6ef12558b44258382452fcf02942396a&tab=core&_cview=0. In particolare:
“the general goal of the Social Media in Strategic Communication (SMISC) program is to develop a new science of social networks built on an emerging technology base. In particular, SMISC will develop
automated and semi‐automated operator support tools and techniques for the systematic and methodical use of social media at data scale and in a timely fashion to accomplish four specific program goals:
1. Detect, classify, measure and track the (a) formation, development and spread of ideas and concepts (memes), and (b) purposeful or deceptive messaging and misinformation.
2. Recognize persuasion campaign structures and influence operations across social media sites and communities.
3. Identify participants and intent, and measure effects of persuasion campaigns. 4. Counter messaging of detected adversary influence operations.”.
cybersec_20111109_0846 41
quella che meglio si adatta anche per l‟attuazione dei programmi di gestione delle politiche
di social media, nonostante un buon compromesso possa essere trovato anche
nell‟integrazione di detta organizzazione in una struttura esistente di comunicazione
strategica. Spetterà ai comandanti valutare il rapporto costi/potenziali benefici a seconda
delle esigenze, nonché delle particolari e specifiche situazioni operative.
Il terzo metodo per beneficiare dei vantaggi dei social media è quello di creare un
team di controllo e monitoraggio dedicato, che agisca come gli occhi e le orecchie del
team strategico. I compiti degli appartenenti a questo gruppo devono consistere
nell‟osservazione, monitoraggio e raccolta delle informazioni sullo stato delle comunità on-
line della zona d‟interesse. Importante in questo senso è l‟approccio sistematico, al fine di
svolgere delle attività di monitoraggio quanto più accurate possibili e trarre così delle
conclusioni più aderenti al reale “sentimento” degli utenti della zona sottoposta a controllo.
Infatti, se ogni sezione deputata al monitoraggio, ad esempio, di Facebook, Twitter,
YouTube o delle versioni in lingua locale dei principali social network e blog, agisce in
maniera indipendente e senza un coordinamento all‟interno dello staff, si otterranno molto
probabilmente numerose lacune dal monitoraggio dell‟ambiente social media. Questo
team, pertanto, dovrà essere composto principalmente da soggetti con fluenti competenze
linguistiche locali, non solo per la comprensione dei messaggi, quant‟anche per
familiarizzare agevolmente con i social media tipici del luogo; dovrà inoltre essere capace
di comprendere gli usi e i costumi della zona oggetto dell‟attività, nonché essere efficiente
nel padroneggiare gli strumenti tipici dei social media e i relativi protocolli di
comunicazione.
cybersec_20111109_0846 42
Il quarto modo per garantire il successo di questa strategia è quello, fondamentale, di
trovare un giusto equilibrio tra sicurezza e condivisione. E‟ noto che le preoccupazioni
sulla sicurezza delle informazioni, soprattutto quando si parla dell‟utilizzo dei social media,
animano un dibattito ormai quotidiano anche in seno alla Difesa. Nel merito, è opportuno
qui anche solo un accenno alla possibilità di utilizzare specifici processi interni e pacchetti
software, ovvero vere e proprie reti separate per raggiungere e garantire lo scopo della
sicurezza delle informazioni, beneficiando contestualmente dell‟uso dei social media.
Anche in questo caso occorrerà che il Comando valuti il rischio nel cercare di raggiungere
questo equilibrio e prenda la decisione più ragionevole sulla base delle specifiche
necessità ed opportunità, nonché dei costi e della reale fattibilità.
L‟argomento merita un breve approfondimento. La recente audizione svolta presso la Commissione Giudiziaria del Senato - Sottocommissione Crimine e Terrorismo, intitolata “Cybersecurity: Evaluating the Administration´s Proposals“, ha posto ancora una volta sotto i riflettori il progetto americano di creare una rete Internet “parallela”, denominata “.secure” o “dotsecure”, in cui far transitare i dati e le informazioni relative alle infrastrutture critiche nazionali in maniera totalmente sicura, attraverso il costante controllo della rete e del suo traffico da parte del Governo americano e senza per questo violare, contestualmente, la struttura normativa posta in essere dal Quarto Emendamento. Le reti deputate a essere le prime candidate alla traslazione nel dominio “dotsecure” sarebbero quelle di gestione degli approvvigionamenti elettrici e idrici, nonché le reti di gestione dei flussi finanziari, dei trasporti e delle comunicazioni. Una simile idea, in realtà, non può suonare come nuova all‟orecchio attento degli esperti, dato che già dal 2005 alcune società americane legate al settore della Difesa, in maniera riservata, ne avevano proposto - senza alcun seguito - l‟attuazione. Il progetto, però, ha acquisito nuova forza e rinnovato valore quando il Gen. Keith Alexander, attuale Direttore dell‟NSA e Comandante dell‟US CYBER COMMAND, durante un‟audizione del settembre 2010 presso l‟House Committee on Armed Services, ha fatto riferimento a questa possibilità parlando del ruolo che il CYBER COMMAND svolge nel difendere le reti militari dagli attacchi provenienti dal cyber-spazio e nell‟aiutare il Dipartimento della Sicurezza Nazionale (DHS) nella protezione delle reti informatiche civili legate alle infrastrutture critiche nazionali. Concetto di recente ripreso anche da Michael Hayden, Direttore durante il governo Bush dell‟NSA fino al 2005 e successivamente Direttore della CIA, durante una tavola rotonda organizzata presso il Potomac Institute for Policy Studies, dal titolo “Cyber Challenge Symposium - Cyber Deterrence“. Stando alle poche informazioni disponibili pubblicamente, allo stato attuale la nuova rete “dotsecure” parrebbe fondarsi su questi quattro pilastri: 1. Eliminare le reti informatiche critiche da Internet, creando una rete di comunicazione dedicata; 2. Individuare in maniera certa l´identità dell´utente presente all´interno del dominio “dotsecure”; 3. Certificare le sue credenziali di accesso (immagino anche in un‟ottica di verifica dei livelli di sicurezza richiesti per l‟ingresso nella nuova rete); 4. Svolgere un controllo costante della rete alla ricerca di eventuali anomalie.
cybersec_20111109_0846 43
Riprendendo l‟argomento, occorre evidenziare come la velocità e l‟agilità siano due
elementi chiave per il successo di una strategia per i social media. Il quinto metodo per
garantirne il successo, infatti, è quello di mettere in atto politiche che assicurino alle
operazioni grande agilità ed elasticità. Per quanto questi elementi spesso siano in conflitto
con la necessità di controllare con attenzione il messaggio strategico, catene di comando
particolarmente complesse possono limitare la capacità degli operatori di ottenere i risultati
necessari. Un buon approccio per evitare simili problemi potrebbe essere quello di
centralizzare la pianificazione delle operazioni e decentralizzarne invece l‟esecuzione.
Questo soprattutto in considerazione del fatto che, quasi sempre, il nemico o l‟avversario,
per pubblicare su Internet delle informazioni, non sarà costretto a sottostare ad un
In merito all‟ultimo punto, l‟idea non è quella di operare un‟analisi approfondita sul contenuto dei pacchetti (Deep Packet Inspection) in transito all‟interno della rete “dotsecure”, come attualmente avviene in alcune nazioni che non hanno in alcuna considerazione la tutela dei diritti alla privacy dei loro cittadini, ma utilizzare un sistema che svolga un‟analisi costante e in tempo reale alla ricerca di indicatori (signatures) di attività anomale o di veri e propri attacchi informatici. Nei fatti, pertanto, si potrebbe trattare semplicemente di traslare sulla rete “dotsecure” quello che già da un po‟ di anni il programma di intrusion prevention e detection denominato EINSTEIN svolge sulle reti “.gov”, gestite dal Dipartimento della Sicurezza Nazionale (DHS) americano. Tuttavia, per quanto molto suggestiva, questa strategia – almeno così come allo stato attuale delineata – non può rappresentare una soluzione completa al problema che il governo americano si sta preoccupando di risolvere. In via preliminare, infatti, occorre anzitutto evidenziare che questo genere di strategia non può avere una provenienza esclusivamente governativa. L‟intervento dei proprietari e dei gestori delle reti critiche e la loro collaborazione per il raggiungimento di quest‟obiettivo sono in questo caso quanto mai auspicabili, se non addirittura assolutamente necessari. Cosa questa che, a quanto pare, non è ancora avvenuta. Inoltre, cambiare l‟architettura deputata alle comunicazioni (“dotsecure”, Internet, ecc.) risulterà di scarsa utilità fintantoché ci sarà il rischio di rivivere episodi in cui il personale “qualificato” all‟accesso alla rete sicura utilizza, ad esempio, dispositivi portatili di archiviazione dati (pendrive) precedentemente adoperati su computer esterni alla rete “dotsecure”. Non bisogna dimenticare, per di più, che la rete di massima sicurezza SIPRNet, utilizzata dal Dipartimento della Difesa e dal Dipartimento di Stato americano per lo scambio delle informazioni classificate, pare sia stata violata da tempo, così come il worm Stuxnet l‟estate scorsa è riuscito a infettare computer che non erano nemmeno mai stati connessi alla rete Internet. Da un punto di vista tecnico, inoltre, incentrare la sicurezza della rete “dotsecure” esclusivamente sulla certezza dell‟identità dell‟utente e sulla certificazione delle sue credenziali di accesso, non risolve il problema dell‟attribuzione delle azioni effettuate da quel soggetto all‟interno della rete. Infatti, così come avviene attualmente su Internet, una volta compromessi i dispositivi hardware dell´utente (come i laptop, i telefoni cellulari, i desktop computer, ecc.), si potrebbe personificare senza alcuna difficoltà il soggetto violato. Per ovvie ragioni, tra l‟altro, una soluzione non sopraggiungerebbe nemmeno nel caso in cui si decida d‟identificare con certezza e certificare anche i dispositivi hardware utilizzati dagli utenti. Circostanza comunque auspicabile, ma purtroppo non risolutrice.
Infine, mantenere in sicurezza una rete così vasta ed eterogenea come quella che si verrebbe a creare con questo progetto, sarebbe un compito particolarmente complesso e costoso. Una rete che, tra l‟altro, per l‟altissima concentrazione al suo interno d‟informazioni sensibili e appetibili diverrebbe immediatamente il bersaglio numero uno di Governi, organizzazioni criminali ed esperti di sicurezza in cerca di “gloria”.
cybersec_20111109_0846 44
processo di approvazione complesso ed un simile approccio, pertanto, garantirebbe al
contingente una capacità di azione/reazione molto rapida, simile a quella dell‟avversario
che si fronteggia.
Il sesto e ultimo metodo attraverso cui giungere ad un‟efficace strategia per l‟utilizzo
dei social media è quello di creare appositamente dei siti di social networking come
strumento di sensibilizzazione utile a migliorare la “concentrazione delle forze”. Sforzi
apparentemente semplici, come la creazione di una pagina Facebook, potrebbero
consentire ai partner internazionali, agli alleati, ma anche alla stampa, alle organizzazioni
civiche e alla popolazione in generale, così come alle ONG che operano nell‟area, una
migliore comprensione delle intenzioni del comandante e del suo contingente militare.
Come affermato dal Vice Admiral John Bird, Comandante della 7th Flotta, bisogna
utilizzare quanto più possibile i social media come Facebook, Twitter, MySpace, Flickr,
blogs e YouTube, per incrementare:
“the ability to engage with people and tell them not only that we are here,
but also to show them why we are here, and how our presence promotes
regional stability, enables prosperity and fosters cooperative security”.91
L‟uso appropriato dei social media, però, può essere analizzato anche nella
prospettiva dell‟utente che usufruisce della piattaforma per un uso non ufficiale92, in questo
caso privatamente e/o nei momenti di svago dei militari del contingente, dei dipendenti
della Difesa, ecc., come anche nell‟ottica delle problematiche per la sicurezza delle
informazioni che scaturiscono da un utilizzo poco accorto di questi strumenti. Questo
soprattutto in considerazione del fatto che, come si è detto, questo genere di attività
possono facilmente rivelare, anche inavvertitamente, informazioni riservate, oppure
informazioni non classificate che, aggregate tra loro, possono però fornire dei livelli di
conoscenza ad esse paragonabili.
91
http://www.c7f.navy.mil/news/2009/11-november/24.htm. 92
Un interessante approfondimento su questo tema può essere rinvenuto attraverso la lettura dalla policy intitolata “USMC Online Social Media Guidance for Unofficial Internet Posts”, predisposta dal Corpo dei Marines e riportata nella seconda parte di questo lavoro, al capitolo 12, a supporto della bibliografia.
cybersec_20111109_0846 45
Stante la materiale difficoltà di controllare ogni singolo post effettuato dal personale
militare, predisporre delle policy93 di utilizzo anche per le attività non ufficiali è certamente
il primo step per cercare di arginare un‟eventuale fuga non autorizzata di informazioni.
In particolare, occorre anzitutto mettere in evidenza i principali rischi94 di un uso poco
accorto dei social network, ovvero:
quando si inseriscono i propri dati personali su un sito di social network, se ne
perde automaticamente il controllo. I dati inseriti, infatti, possono essere registrati
anzitutto da tutti i contatti, dai loro rispettivi contatti o comunque dalla loro cerchia di
“amici” e dai componenti dei gruppi a cui si decide di aderire, possono altresì
essere rielaborati e diffusi anche a distanza di anni. A volte, inoltre, accettando di
entrare in un social network, si concede all‟impresa che gestisce il servizio la
licenza di usare senza limiti di tempo il materiale che si decide di inserire on-line, le
foto, i contenuti delle chat e delle conversazioni private, gli scritti e i messaggi
privati;
è spesso molto difficile riuscire a separare le comunicazioni personali da quelle
professionali;
non c‟è trasparenza sulle modalità di condivisione delle informazioni. Questo
comporta in alcuni casi specifici, come i social networks, che i dati presenti nei
profili degli utenti (foto, video, note, scambi di pensieri ecc.), spesso qualificabili
anche come dati riservati e sensibili, vengano condivisi in maniera assolutamente
incontrollabile da parte di chi li ha generati;
la maggior parte dei siti di social network ha sede all‟estero, così come i loro server.
In caso di dispute legali o di problemi insorti per violazione della privacy, non
sempre si è tutelati dalle leggi italiane ed europee;
è negato il diritto all‟oblio. Se si decide di uscire da un sito di social network, infatti,
spesso è permesso solo “disattivare” l‟account e non cancellarlo realmente. I dati
93
Seppure ancora in versione “draft”, può risultare utile prendere in considerazione me mosse del Governo indiano in materia di social network, attraverso la lettura di Department of Information Technology Ministry of Communications & Information Technology, Government of India, “Framework & Guidelines for Use of Social Media for Government Organisations”, 2011, in http://www.mit.gov.in/sites/upload_files/dit/files/SocialMediaFrameworkDraftforPublicConsultation_192011.pdf. Si veda anche, National Labor Relations Board‟s Acting General Counsel, “Report of the Acting General Counsel Concerning Social Media Cases”, 2011, in http://mynlrb.nlrb.gov/link/document.aspx/09031d458056e743. 94
Un interessante approfondimento, utile anche per il settore militare, può provenire dalla lettura di BITS, “Social Media Risks And Mitigation”, 2011, in http://www.bits.org/downloads/Publications%20Page/BITSSocialMediaRisksandMitigationPaperJune2011.pdf.
cybersec_20111109_0846 46
pubblicati, quindi, non vengono cancellati ed anzi, quasi sempre, continuano a
risiedere nei server “originari”, anche se la persona interessata li ha cancellati, o nei
server di soggetti terzi che svolgono, ad esempio, attività archivistiche o di ricerca di
informazioni sul Web (come i motori di ricerca attraverso la loro “copia cache”). E‟
un dato di fatto, inoltre, che alcuni fornitori di servizi basati sugli user generated
contents si rifiutino, successivamente, anche di adempiere alle richieste dirette di
cancellazione di semplici dati o di interi profili dei loro utenti;
non è garantita la trasparenza sulle modalità di utilizzazione diretta delle
informazioni. Molti dei siti che basano i propri servizi sui contenuti generati dagli
utenti, infatti, svolgono una vera e propria attività di profilazione dei fruitori,
riutilizzando i dati raccolti anche per attività di marketing diretto. Tra l‟altro, sempre
per quanto attiene le problematiche strettamente relative ai social networks, qui gli
utenti si comportano in modo diverso dal solito: usano infatti i loro veri nomi, si
mettono in contatto con i loro veri amici, pubblicano i loro veri indirizzi e-mail,
condividono opinioni genuine, gusti reali, notizie autentiche. Cosa assolutamente
“nuova” questa, rispetto a quanto abbiamo imparato dall‟attività di profilazione
effettuata dai motori di ricerca che, a parte la cronologia delle richieste e qualche
attività di navigazione, in confronto ai social networks, conoscono ben poco dei
propri utenti. Registrare, incrociare e profilare questa mastodontica mole di dati
provenienti dalla navigazione, per la prima volta non anonima, degli utenti
comporta, come è ovvio, rischi spesso incalcolabili o inconoscibili a priori;
possono bastare delle foto, il nome e qualche informazione sulla vita di una persona
per “impadronirsi” on-line della sua identità. Sono sempre in costante aumento i
casi di attori, politici, persone pubbliche, ma anche di gente comune, che hanno
trovato su social network e blog la propria identità gestita da altri;
la data e il luogo di nascita sono sufficienti per ricavare il codice fiscale. Altre
informazioni potrebbero aiutare un malintenzionato a risalire anche al conto in
banca o addirittura al nome utente e alle password utilizzate;
insicurezza delle infrastrutture e furto di dati. La messa in sicurezza dei sistemi su
cui vengono conservati i dati, spesso riservati e sensibili, degli utenti è un elemento
fondamentale per la salvaguardia stessa delle informazioni e della privacy. E‟
certamente vero che i fornitori di questi servizi hanno rivolto nel tempo sempre
maggiore attenzione alle misure atte a potenziare la sicurezza dei loro sistemi e, di
conseguenza, dei dati personali, ma molto resta ancora da fare. Allo stesso tempo,
è altamente probabile che in futuro emergano nuovi problemi nella sicurezza di
cybersec_20111109_0846 47
questi sistemi, fermo restando che risulta assai improbabile che si possa mai
conseguire l‟obiettivo di una sicurezza totale, soprattutto in considerazione della
complessità delle applicazioni software a qualunque livello dei servizi Internet.
Alla luce di queste premesse, pur ricordando – come si è già avuto modo di dire – che
i social media sono e resteranno ancora a lungo uno strumento unico e utilissimo, che ha
rivoluzionato il modo e i metodi di comunicazione, risulta comunque opportuno richiamare
alla memoria alcune regole e “divieti” che, seppur apparentemente “banali” e generici,
possono tornare utili per gli utenti singoli, per l‟Amministrazione Difesa ed, ovviamente, per
il personale militare.
In prima battuta, sulla scia della campagna di sensibilizzazione sociale americana sui
problemi derivanti dal cattivo utilizzo di Internet e dei social network, denominata “STOP.
THINK. CONNECT.“95, si possono mutuare alcuni consigli operativi, ovvero delle “regole di
comportamento e di buon senso” per gli utenti, chiamate “Safety Tips for Social
Networking”. Esse sono:
Social networking sites such as Facebook, Twitter and LinkedIn have become extremely popular in recent years. They‘re a great way to keep family and friends updated on your life and connect with colleagues and communities that share your interests. You can use social networks to build a positive online reputation. The first step is STOP. THINK. CONNECT.
Protect Your Personal Information.
Since social networking sites are about sharing, you may be prompted or tempted to reveal personal information. Make sure you are comfortable with the information you share. Draw the line between what‘s okay to share and what‘s best kept private.
Secure your accounts: Ask for protection beyond passwords. Many account providers now offer additional ways for you verify who you are before you log into that site.
Make passwords long and strong: Combine capital and lowercase letters with numbers and symbols to create a more secure password.
Unique account, unique password: Separate passwords for every account helps to thwart cybercriminals.
Own your online presence: When available, set the privacy and security settings on websites to your comfort level for information sharing. It‘s ok to limit who you share information with.
Your online reputation can be a good thing: Recruiters often respond to a strong, positive personal brand online. So show your smarts, thoughtfulness, and mastery of the environment.
95
http://stopthinkconnect.org/.
cybersec_20111109_0846 48
Connect with Care.
When you use social networks you are joining a global community. Therefore, it‘s smart to approach social networking with a degree of caution. Remember that people may not be who they say they are. If one of your friend‘s accounts is compromised, you could get spammy and suspicious posts.
When in doubt, throw it out: Links in tweets, posts, and online advertising are often the way cybercriminals compromise your computer. If it looks suspicious, even if you know the source, it‘s best to delete.
Be a Good Online Citizen.
Social networks work best when people maintain the same level of courtesy online as they would in the real world.
Safer for me more secure for all: What you do online has the potential to affect everyone – at home, at work and around the world. Practicing good online habits benefits the global digital community.
Post only about others as you have them post about you.
Know what action to take: If someone is harassing or threatening you, remove them from your friends list, block them, and report them to the site administrator.
Keep a Clean Machine.
You can‘t be safe and secure if the technology you are using is vulnerable.
Keep security software current: Having the latest security software, web browser, and operating system are the best defenses against viruses, malware, and other online threats.
STOP. Before you use the Internet, take time to understand the risks and learn how to spot potential problems.
THINK. Take a moment to be certain the path is clear ahead. Watch for warning signs and consider how your actions online could impact your safety, or your family‘s.
CONNECT. Enjoy the Internet with greater confidence, knowing you‘ve taken the right steps to safeguard yourself and your computer.
Anche la nostra Difesa, però, è già da tempo sensibile a queste delicatissime
problematiche, rilasciando liberamente in Rete, tra le altre cose, una interessante “Linea
Guida per un uso consapevole dei social network“96, in cui si evidenzia che:
96
http://www.esercito.difesa.it/Documents/soc_net_decalogo100323.pdf.
cybersec_20111109_0846 49
I Social Network (Facebook, MySpace, Twitter, Flickr, Windows Live, etc.)
consentono di mantenere i contatti con i familiari, amici, colleghi di lavoro,
facilitando lo scambio d‘informazioni e conoscenze tra i fruitori della rete
informatica. Si rivelano, quindi, uno strumento particolarmente utile soprattutto
nelle situazioni, frequenti per il personale della Forza Armata, di distanza tra la
persona e la sua cerchia di relazioni familiari e amicali.
Gli strumenti predisposti dalle reti sociali possono, in virtù delle loro
caratteristiche di accessibilità e immediato contatto tra utenti, dare l‘idea di uno
spazio privato da condividere solo con i propri ―amici‖. In realtà si tratta di un
falso senso d‘intimità che può spingere gli utenti a rivelare informazioni attinenti
al servizio o comunque sensibili in relazione all‘incolumità del personale, in Patria
e/o all‘estero, e all‘immagine dell‘Esercito.
A tal fine sono state redatte, anche sulla base di quanto indicato nell‘opuscolo
informativo dal titolo ―Social Network: attenzione agli effetti collaterali‖ realizzato
dal Garante per la protezione dei dati personali, delle linee guida da prendere in
considerazione durante la ―navigazione‖ in rete.
1. AUTOGOVERNO: riflettere sulle possibili ripercussioni per sé e per la propria
cerchia di conoscenze (in ambito personale e lavorativo) prima di pubblicare i
dati personali (in particolare: nome, cognome, indirizzo, grado, ente
d‘appartenenza, sede di servizio, attuale impegni di servizio in Patria o all‘estero,
numero di telefono, ecc.) in un profilo-utente.
2. RISPETTARE GLI ALTRI E L’ESERCITO: prima di condividere qualsiasi
commento, dato, notizia, comunicazione, video o immagine chiedersi se la loro
diffusione arrechi danno alla tutela delle informazioni militari, dei diritti individuali
delle persone (lesioni della privacy, diffamazione, etc.) e in generale all‘immagine
dell‘Istituzione. E‘ possibile incorrere anche in sanzioni disciplinari e penali.
3. USO CONSAPEVOLE: tenere a mente che immagini e informazioni di
qualsiasi natura possono riemergere in rete anche a distanza di anni. Evitare di
pubblicare/allegare file/immagini inerenti al servizio al fine di assicurare la
maggior tutela possibile dell‘incolumità personale e degli altri. Ricordarsi che
pubblicare opinioni e/o commenti, in qualità di militare, induce ad associare
quanto espresso alla Forza Armata.
cybersec_20111109_0846 50
4. ATTENZIONE ALL’IDENTITA’: in alcuni casi è possibile ―chattare‖ e
condividere informazioni con persone aventi identità diverse da ciò che si crede.
Sempre più spesso vengono create false identità (es.: personaggi famosi,
persone comuni, ecc.) per semplice divertimento ovvero per carpire informazioni
riservate. Un‘identità può essere ―clonata‖ con una foto e con poche informazioni
personali. Non si avrà mai la certezza dell‘affidabilità dei componenti del social
network di cui si fa parte.
5. PRIVACY: utilizzare impostazioni orientate alla privacy, limitando al massimo
la libera disponibilità di informazioni. Controllare le impostazioni dei livelli di
privacy del profilo utilizzato online: da chi si può essere contattati, chi può
leggere quello che si scrive, chi può inserire commenti sulle pagine personali.
6. CONDIZIONI D’USO E CONTRATTO: leggere attentamente le condizioni
d‘uso che si accettano quando ci si iscrive a un Social Network. Verificare di
poter recedere dal servizio e di poter cancellare le informazioni pubblicate sul
proprio profilo.
E‘ importante ricordare, infine, che nello scambio di informazioni sui Social
Network il personale della Forza Armata è sempre tenuto al rispetto delle regole
che disciplinano la propria condizione.
In merito ai “divieti”, invece, pare opportuno in particolare mettere in evidenza di:
evitare di rendere pubblica la propria data e il luogo di nascita quando ci si registra
all‟interno di un social network; (RISCHI: ciclo di intelligence, ingegneria sociale,
furto d‟identità)
evitare di rendere pubblico il proprio indirizzo di casa e/o di lavoro; se necessario,
inserire esclusivamente il codice di avviamento postale; (RISCHI: ciclo di
intelligence, ingegneria sociale, furto d‟identità)
non utilizzare fotografie dei propri figli, di ricorrenze celebrative (come quelle del
matrimonio, di feste private o in pubblico, ecc.) o comunque fotografie di gruppo
che abbiano altri soggetti al loro interno, della propria casa o del posto di lavoro;
(RISCHI: ciclo di intelligence, ingegneria sociale, furto d‟identità, analisi dei luoghi)
cybersec_20111109_0846 51
non rendere pubblici dei link a siti esterni, a meno che non si voglia che “chiunque”
li possa vedere; (RISCHI: ciclo di intelligence, ingegneria sociale, furto d‟identità,
profilazione97)
non rendere pubblici i propri interessi e hobbies; (RISCHI: ciclo di intelligence,
ingegneria sociale, furto d‟identità, profilazione)
non rendere pubbliche, attraverso espliciti collegamenti all‟interno del social
netowrk, le identità di moglie/marito, figli, parenti, sorelle/fratelli, ecc.; (RISCHI: ciclo
di intelligence, ingegneria sociale, furto d‟identità)
non utilizzare le utilità di geolocalizzazione per le foto e/o eventuali video che si
intende pubblicare, verificando, in caso di utilizzo, che al loro interno non
compaiano soggetti terzi, indirizzi, targhe di veicoli e altri elementi caratterizzanti
luoghi e/o persone, oltre alle informazioni presenti all‟interno stesso della foto (i tag
di metadati contenuti nei parametri EXIF98, Exchangeable Image File Format);
(RISCHI: ciclo di intelligence, ingegneria sociale, furto d‟identità)
evitare di condividere informazioni e/o commentare, sia pubblicamente che in
“privato”, argomenti personali, riservati/sensibili e/o potenzialmente polarizzanti,
come religione e politica; (RISCHI: ciclo di intelligence, ingegneria sociale, furto
d‟identità, profilazione)
non utilizzare indirizzi di posta elettronica di lavoro per aderire a qualsiasi genere di
piattaforma, strumento o comunità virtuale; (RISCHI: ciclo di intelligence, ingegneria
sociale, furto d‟identità)
creare e utilizzare un indirizzo di posta elettronica specifico per la gestione dei
social media, in modo tale che, qualora violato, possa essere facilmente sostituito
senza compromettere la sicurezza di altre informazioni personali o lavorative,
ovvero la continuità delle comunicazioni.
97
Le attività di profiling degli utenti sono da sempre molto comuni nel settore investigativo e militare (OSINT), ma godono attualmente di una nuova “giovinezza” da quando, grazie alle nuove tecnologie e soprattutto ai social network, sono diventati la nuova miniera d‟oro per le società che si occupano di (web)marketing e vendita di pubblicità mirata. Alcuni concetti introduttivi possono essere analizzati attraverso gli scritti di Marco Balduzzi, Christian Platzer, Thorsten Holz, Engin Kirda, Davide Balzarotti e Christopher Kruegel, EURECOM, “Abusing Social Networks for Automated User Profiling”, 2010, in http://iseclab.org/papers/socialabuse-TR.pdf; Silvia Schiaffino e Analía Amandi, “Intelligent User Profiling”, in Artificial Intelligence, M. Bramer (Ed.), LNAI 5640, pp. 193 – 216, 2009, in http://www.exa.unicen.edu.ar/catedras/knowmanage/apuntes/56400193.pdf. Eccellenti approfondimenti per il settore militare (OSINT), possono essere rinvenuti su Giovanni Nacci, “Osint investigativa - Tecnologie ed analisi delle informazioni” in Intelligence&Storia Top Secret n° 8, 2008; Giovanni Nacci, “Il Text Mining nelle applicazioni per la sicurezza” su Analisi Difesa, Mensile di politica e analisi militare, n. 33, 2003; Giovanni Nacci, “Nuove architetture di intelligence alle porte” su Analisi Difesa, Mensile di politica e analisi militare, n. 36, 2003. 98
http://it.wikipedia.org/wiki/Exchangeable_image_file_format.
cybersec_20111109_0846 52
A latere di questo ragionamento, ma non per questo di minor momento, occorre
mettere in risalto come il Codice penale già da alcuni anni compari – e punisca con la
reclusione fino ad un anno – il c.d. “furto d‟identità” su Internet al reato di “Sostituzione di
persona”, previsto dall‟art. 494 e consistente nella condotta di colui che “al fine di
procurare a sé o ad altri un vantaggio o di recare ad altri un danno, induce taluno in errore,
sostituendo illegittimamente la propria all‘altrui persona, o attribuendo a sé o ad altri un
falso nome, o un falso stato, ovvero una qualità a cui la legge attribuisce effetti giuridici”,
lasciando così, tanto ai singoli utenti quanto all‟Amministrazione Difesa, la possibilità di far
valere in giudizio le proprie ragioni e veder tutelati i propri diritti, ivi compresi, tra gli altri,
quelli inerenti il ristoro degli eventuali (e molto probabili) danni subiti in conseguenza della
condotta criminosa.
Oltre a queste accortezze, ulteriori sistemi – questa volta tecnici e tecnologici –
possono essere utilizzati, sia privatamente che a livello centrale, per ridurre ed arginare i
rischi finora esaminati. Sarà questo l‟argomento del prossimo capitolo.
cybersec_20111109_0846 53
Sintesi per la creazione di una strategia per i social media da parte delle Forze Armate
Sviluppare una strategia per i social media deve essere una priorità strategica per:
comprendere meglio l‟ambiente in cui le Forze Armate si trovano ad operare;
veicolare in maniera più efficiente ed efficace le informazioni a sostegno delle operazioni;
concretizzare la “concentrazione delle forze” con gli altri partner partecipanti. Per sviluppare una valida strategia in questo settore, occorre avere ben presenti gli obiettivi e le
finalità da raggiungere, che sono:
una migliore conoscenza della situazione operativa tra le forze (situation awareness);
assistere il Comando nel fornire informazioni pubbliche strategiche e/o tattiche in modo conveniente, agile e credibile;
agevolare e concretizzare la “concentrazione delle forze”. Per sviluppare una valida strategia in questo settore, occorre anche avere ben presenti i modi
attraverso cui raggiungere gli obiettivi, che sono:
far in modo che il progetto abbia il sostegno e l‟interesse del comandante e dei membri posti nei ruoli chiave del suo staff;
dotarsi di un‟organizzazione specifica per raggiungere l‟obiettivo;
creare un team di controllo e monitoraggio dedicato;
trovare un giusto equilibrio tra sicurezza e condivisione;
creare appositi siti di social network come strumento di sensibilizzazione. Per sviluppare una valida strategia in questo settore, occorre avere ben presente quali siano i
rischi connessi, nonché le regole di condotta e i divieti da rispettare, derivanti dal loro utilizzo.
cybersec_20111109_0846 54
La gestione della sicurezza delle informazioni deve passare anche attraverso l‟utilizzo
di contromisure tecniche e tecnologiche adatte a tamponare l‟eventuale fuga di dati dai
sistemi informatici. Infatti, oltre a prevedere veri e propri processi per il governo della
sicurezza informatica e predisporre opportune strategie e policy, è opportuno anche solo
accennare ad alcune generiche contromisure attuabili attraverso l‟utilizzazione di speciali
metodologie e di specifici software. In ordine alfabetico e senza alcun ordine di
importanza, si possono prendere in considerazione:
Anonymizer e stealth surfing: si tratta di software specifici o di servizi messi a
disposizione anche direttamente sul web utili a navigare su Internet in maniera
anonima99, utilizzando la tecnica dell‟IP bouncing;
Antivirus: forse il sistema software di difesa dei personal computer più conosciuto,
l‟antivirus è principalmente deputato alla protezione da software malevolo
(malware), come virus, worm, trojan. Per garantire una protezione ottimale,
l‟antivirus deve essere mantenuto costantemente aggiornato, meglio se in
automatico, e avere in continua esecuzione le funzioni di scansione in tempo reale
del sistema. Per una migliore resa, l‟utente deve avviare con regolarità la scansione
dei dispositivi del PC (dischi fissi, CD, DVD, ma anche dischi esterni e pendrive),
per verificare la presenza di software nocivo al loro interno. Per evitare la diffusione
di malware, inoltre, è utile controllare tutti i file che si ricevono o che vengono
spediti tramite posta elettronica, facendoli verificare dall‟antivirus in tempo reale
ovvero, in caso questa funzione non sia presente, prima di aprirli o allegarli;
99
Giovanni Nacci, “Sicurezza e anonimato in rete. Profili giuridici e tecnologici della navigazione anonima” a cura di A. Maggipinto, M. Iaselli, Nyberg, Milano, 2005.
Alcune contromisure tecniche e tecnologiche:
anonymizing & stealthing, cloaking, privacy
settings, honeypotting, ecc.
6
cybersec_20111109_0846 55
Antispywware: si tratta di un software specializzato nella rimozione dei “file spia”, gli
spyware appunto, programmi in grado di carpire informazioni riguardanti le attività
on-line dell‟utente, inviandole ad un terzo soggetto;
Cloaking (occultamento): è una tecnica di Search Engine Optimization100 (SEO)
che mira a fornire ai programmi dei motori di ricerca deputati all‟indicizzazione dei
contenuti dei siti Internet (i c.d. spider o web crawler) una versione della pagina web
differente da quella che è in realtà. Un uso malizioso di questa tecnica, pertanto,
può mirare a rendere nascosta all‟indicizzazione pubblica dei principali motori di
ricerca il contenuto completo di uno specifico sito;
Firewall: questo software garantisce un sistema di controllo più o meno evoluto
degli accessi ai sistemi informatici che è chiamato a proteggere, verificando tutto il
traffico che lo attraversa. Protegge sia dagli attacchi informatici provenienti
dall‟esterno, sia da eventuali programmi non precedentemente autorizzati presenti
sul computer che tentano di accedere ad Internet senza il controllo dell‟utente;
Honeypot: una honeypot (letteralmente: “barattolo del miele”) è un sistema, un
componente hardware o soltanto un software usato come “trappola” o “esca” per
attirare e monitorare le attività dei soggetti che tentano di portare attacchi
informatici ai sistemi. Solitamente consiste in un computer o un sito che sembra
essere parte della rete e contenere informazioni preziose, ma che in realtà è ben
isolato e non ha contenuti sensibili o critici;
Intrusion Detection System (IDS): sono dispositivi software e hardware, a volte
anche in combinazione tra di loro, utilizzati per identificare accessi non autorizzati
ai computer. Le intrusioni rilevate possono essere quelle prodotte da cyber-warrior,
da attaccanti esperti, da utenti inesperti che utilizzano programmi semiautomatici
ovvero da tool completamente automatizzati. Gli IDS, se ben configurati, rivelano
ogni tipologia di attacco alle reti informatiche e ai computer. Un IDS è basato su un
motore di analisi che, a sua volta, si appoggia ad un database ove sono
memorizzate una serie di regole utilizzate per identificare le violazioni alla
sicurezza;
Network Intrusion Detection System (NIDS): sono degli strumenti informatici,
software o hardware, dediti ad analizzare il traffico di uno o più segmenti di una rete
locale (LAN), al fine di individuare anomalie nei flussi ovvero probabili intrusioni
informatiche. I più comuni NIDS, analogamente agli IDS, sono composti da una o
più sonde dislocate sulla rete, che comunicano con un server centralizzato
100
http://en.wikipedia.org/wiki/Search_engine_optimization.
cybersec_20111109_0846 56
appoggiato ad un database di regole. Fra le attività anomale che possono
presentarsi e venire rilevate da un NIDS vi sono: accessi non autorizzati,
propagazione di software malevolo, acquisizione abusiva di privilegi appartenenti a
soggetti autorizzati, intercettazione del traffico (sniffing), negazioni di servizio
(DoS);
Privacy settings: questa macroarea ha come obiettivo l‟ottimizzazione delle
impostazioni di accesso ai dati che vengono – consapevolmente o
inconsapevolmente – rilasciati dagli utenti durante l‟utilizzo degli apparati elettronici
e informatici o delle piattaforme di social media. Infatti, non solo durante l‟utilizzo
dei social network, quant‟anche ad esempio durante la semplice navigazione su
Internet, questi sistemi concedono numerose informazioni ai siti visitati. Il sistema
operativo, il browser di navigazione, la posta elettronica, i social network, ma anche
gli smartphones, mettono tutti a disposizione dei pannelli di configurazione per
questo delicatissimo aspetto;
Sistemi di autenticazione: potrebbe rivelarsi utile, soprattutto nei settori più delicati
della Difesa, l‟utilizzo di metodi per il riconoscimento certo dei soggetti per mezzo di
un secondo elemento di autenticazione (oltre la classica accoppiata
username/password), basato, ad esempio, su software specifico, su metodi
crittografici, su tesserini identificativi e/o sulla rilevazione di caratteristiche
biometriche (impronta digitale, retina, voce, ecc.);
Sistemi di Crittografia e di Firma digitale: utili per proteggere da accessi non
autorizzati le informazioni sensibili presenti nelle comunicazioni e nei documenti
elettronici, l‟utilizzo di meccanismi di sicurezza come la crittografia, la firma digitale
o i certificati digitali garantisce la incomprensibilità delle informazioni scambiate
durante l‟invio di informazioni o comunicazioni, l‟impossibilità di accedere al
contenuto dei documenti illecitamente sottratti, nonché la possibilità di identificare
con certezza l‟autore di una certificazione o di un documento, un sito, uno specifico
utente o un software;
Steganografia: come si è già avuto modo di accennare, la steganografia si pone
come obiettivo quello di mantenere nascosta l‟esistenza dei dati a chi non conosce
la chiave atta ad estrarli, laddove invece la crittografia si prefigge di non rendere
accessibili i dati nascosti a chi non conosce la chiave. Se la crittoanalisi, pertanto,
mira ad estrarre i dati cifrati senza chiave, l‟obiettivo della steganalisi non è quello di
estrarre i dati nascosti (elemento secondario), ma semplicemente di dimostrarne la
presenza e l‟esistenza all‟interno di un file contenitore.
cybersec_20111109_0846 57
A livello governativo, un esempio di successo in merito al controllo delle minacce
provenienti dal cyber-spazio, nonché di gestione e mitigazione degli effetti degli attacchi
informatici è dato dall‟Australia, che, grazie alle sue “Strategies to Mitigate Targeted Cyber
Intrusions”, è riuscita negli ultimi anni ad arginare in maniera proattiva la maggior parte
delle minacce derivanti dagli attacchi informatici. Lo studio101, infatti, ha evidenziato che
“implementing the top four strategies […] as a package, these strategies would have
prevented at least 70% of the intrusions that DSD analysed and responded to in 2009, and
at least 85% of the intrusions responded to in 2010”.
101
Australian Government, Department of Defence, Intelligence & Secuirty, “Strategies to Mitigate Targeted Cyber Intrusions”, 2011, in http://www.dsd.gov.au/publications/Top_35_Mitigations.pdf.
cybersec_20111109_0846 58
Con il termine cloud computing ci si riferisce a quell‟insieme di tecnologie che
consentono, tipicamente attraverso un servizio offerto al cliente, di memorizzare/archiviare
e/o elaborare dati grazie all‟utilizzo di risorse hardware e software distribuite e
virtualizzate in una rete102.
Il NIST (National Institute of Standards and Technology) elenca le caratteristiche
principali del cloud computing103, evidenziando come questo servizio sia:
On-demand self-service. Ovvero un utente può disporre autonomamente, a
seconda delle sue esigenze e senza mai interagire con il fornitore del servizio, delle
capacità del servizio di cui intende usufruire, sia in termini di risorse computazionali
che di spazio virtuale dedicato;
Broad network access. Si può usufruire del servizio in qualsiasi momento attraverso
ogni tipo di network – utilizzando ad esempio Internet, ma niente vieta una rete
cloud privata – e da ogni tipo di client (computer portatili, smartphones, Pad, ecc.);
Resource pooling. Tutte le risorse messe a disposizione del cliente per la
conservazione e l‟elaborazione dei dati, ma anche la memoria, la banda di rete e le
macchine virtuali, vengono assegnate in modo dinamico e a seconda dei carichi e
delle esigenze del cliente;
Rapid elasticity. L‟allocazione di maggiori funzionalità utili al servizio viene
assegnata al cliente in maniera rapida ed elastica, attraverso procedimenti
completamente automatizzati, dando la sensazione di avere illimitate possibilità.
102
Un eccellente lavoro per inquadrare a livello generico il cloud computing è stato svolto dalla RAND Corporation, “The Cloud. Understanding the Security, Privacy and Trust Challenges”, 2011, in http://www.rand.org/content/dam/rand/pubs/technical_reports/2011/RAND_TR933.pdf. 103
http://www.nist.gov/itl/cloud/upload/cloud-def-v15.pdf.
Il Cloud Computing 7
cybersec_20111109_0846 59
Measured Service. I sistemi cloud gestiscono automaticamente il controllo e
l‟ottimizzazione delle risorse utilizzate, impiegando dei modelli di misurazione
appropriati alla qualità del servizio richiesto dal cliente. L‟utilizzo delle risorse,
inoltre, può essere sempre controllato, in maniera agevole e trasparente sia
dall‟utente che dal fornitore.
Le tipologie fondamentali dei servizi di cloud computing sono essenzialmente tre:
Cloud Software as a Service (SaaS). Si tratta del più comune dei servizi cloud e
consiste esclusivamente nella possibilità data all‟utente di utilizzare le applicazioni
fornite dal provider attraverso un‟infrastruttura cloud attraverso la loro
virtualizzazione. In questo caso, le applicazioni sono rese accessibili per mezzo di
thin-client gestibili normalmente per mezzo di un‟interfaccia web (esempio tipico, la
posta elettronica sul web). All‟utente non viene lasciata la libertà di gestire, in
minima parte, la configurazione delle applicazioni presenti nel cloud;
Cloud Platform as a Service (PaaS). Simile al precedente, in questo caso, però,
viene data la possibilità di gestire in remoto un‟intera piattaforma software e non
semplicemente uno o più singoli programmi, garantendogli la possibilità di gestire la
configurazione di tutta la piattaforma software messa a disposizione e delle
applicazioni fornite con essa in remoto;
Cloud Infrastructure as a Service (IaaS). In questo caso, invece, l‟utente dispone in
remoto dell‟intera infrastruttura tecnologica, comprensiva delle risorse hardware,
come gli hard disk (capacità di conservazione dei dati) e le CPU (potenza di
calcolo). In questo caso all‟utente non è comunque lasciata la libertà di gestire o
controllare l‟infrastruttura cloud sottostante al servizio, ma gli è concessa
l‟amministrazione della rete, dei server, del sistema operativo, oltre alla
configurazione di tutta la piattaforma software messa a disposizione e delle
applicazioni con essa fornite. La caratteristica principale di questo genere di servizi
cloud, che li contraddistingue dal Grid Computing104, è che le risorse vengono
utilizzate su richiesta o a domanda del cliente e solo nel momento in cui ne abbia
realmente bisogno, ovvero non vengono mai allocate a prescindere dal loro effettivo
utilizzo.
Nell‟ottica di analizzare l‟utilità o meno che la Difesa potrebbe avere, anche in termini
di sicurezza, nell‟abbracciare in determinati settori questo nuovo genere di servizi
104
http://it.wikipedia.org/wiki/Grid_Computing.
cybersec_20111109_0846 60
tecnologici occorre, in prima battuta, valutare i punti di forza e le debolezze dei servizi di
cloud computing.
In particolare, alla luce di quanto fino ad ora analizzato, i punti di forza di questi servizi
possono certamente essere rintracciati in:
Disponibilità e continuità del servizio. Tutti i servizi cloud sono distribuiti su più
server, data center e siti. I sistemi cloud, inoltre, sono progettati per trasferire tutte
le applicazioni ospitate, i dati, i siti e ogni genere di configurazione, da
un‟infrastruttura all‟altra quasi istantaneamente e in tempo reale. Pertanto, anche se
un server si guasta, la disponibilità dei servizi cloud non ne viene a risentire;
Capacità di far fronte a grandi variazioni di carico. In ragione dell‟aspetto distribuito
dei servizi cloud, di cui si è appena detto, nel caso in cui i carichi di lavoro abbiano
picchi anche improvvisi, l‟infrastruttura tecnologica non ne risente;
Aggiornamenti tempestivi e regolari. I server posti alla base dell‟infrastruttura cloud
devono sempre mantenere tra di loro una perfetta coerenza. Si può, pertanto, fare
affidamento sul fatto che ognuno di essi sarà sempre regolarmente aggiornato con
estrema rapidità;
Adattamento delle risorse. Nel caso in cui si abbia la necessità di aumentare le
risorse a disposizione per l‟esecuzione del servizio cloud, questa esigenza potrà
essere soddisfatta in tempi brevissimi, in quanto, come si è detto, ci si trova ad
operare in un ambiente di tipo multi-server distribuito.
Non di minore importanza è l‟analisi dei punti di debolezza di questo genere di servizi.
In particolare, è opportuno soffermarsi su:
Piattaforme personalizzate. Ogni fornitore di servizi cloud progetta l‟ambiente
operativo con specifiche caratteristiche, come, ad esempio, il sistema operativo
sottostante, i database, l‟application server e le piattaforme di sviluppo. Questi
elementi sono fissi all‟interno del cloud service; di conseguenza si devono
necessariamente adattare le proprie esigenze a questi standard;
Difficoltà di migrazione dei dati. Una volta adattate le proprie esigenze agli standard
imposti dal servizio cloud prescelto, può risultare molto difficile esportarle
eventualmente verso altri fornitori. Questo problema è dovuto all‟attuale mancanza
di uno standard condiviso tra i fornitori dei servizi cloud e, pertanto, un eventuale
cybersec_20111109_0846 61
cambio di operatore, magari anche in conseguenza del fallimento della Società,
risulta allo stato attuale estremamente complesso;
Violazioni dell‘isolamento della private-cloud. Su ogni singolo server del fornitore di
servizi cloud girano gli spazi virtuali (private-cloud) di più clienti. Nel caso in cui ci
sia una violazione dei sistemi di isolamento dei dati si potranno verificare accessi
abusivi a dati riservati, fughe di informazioni, ovvero utilizzazione abusiva di risorse
appartenenti ad altri clienti;
Protezione dei dati. Utilizzare un servizio di cloud computing per memorizzare dati
personali o sensibili, espone l‟utente a potenziali problemi di violazione della
privacy. I dati personali, infatti, vengono memorizzati nelle server farms di aziende
che spesso risiedono in uno stato diverso da quello dell‟utente. Un cloud provider
particolarmente scorretto o poco etico potrebbe accedere ai dati personali salvati
nella sua “nuvola” per eseguire attività di spionaggio, ricerche di mercato e
profilazione degli utenti, senza che il cliente ne venga mai a conoscenza;
Costi. I fornitori di servizi cloud hanno escogitato numerosi meccanismi innovativi
per adattare il prezzo del servizio offerto alle esigenze del cliente, prendendo in
considerazione, ad esempio, la quantità di spazio riservata all‟archivio dei dati, il
numero di CPU utilizzate dal cliente, la larghezza di banda richiesta ovvero
qualsiasi combinazione di questi fattori. Com‟è ovvio, all‟aumentare dell‟efficienza e
della disponibilità delle risorse, anche il costo lieviterà di conseguenza.
Seppure gli Stati Uniti sembrano ormai fortemente orientati – sia a livello federale105
che militare106 – all‟adozione dei servizi cloud, alcune riflessioni sull‟opportunità di questa
scelta devono essere svolte in questa sede.
Per il settore militare, infatti, i servizi cloud possono avere un‟ottima valenza per le
seguenti tre ragioni:
1. la possibilità di utilizzare grandi infrastrutture per il calcolo (come i data-center) con
un eccellente rapporto costi / benefici;
2. la possibilità di avere a disposizione capacità di calcolo computazionale on-
demand;
105
White House, “Federal Cloud Computing Strategy”, 2011, in http://www.cio.gov/documents/Federal-Cloud-Computing-Strategy.pdf; Australian Government, Department of Finance and Deregulation, “Cloud Computing Strategic Direction Paper”, 2011, in http://www.finance.gov.au/e-government/strategy-and-governance/docs/final_cloud_computing_strategy_version_1.pdf. 106
http://www.defense.gov/news/newsarticle.aspx?id=65267.
cybersec_20111109_0846 62
3. la possibilità di centralizzare una vasta quantità di dati per permetterne
agevolmente l‟analisi congiunta.
Tuttavia, benché l‟idea di poter mettere a disposizione di chi ne ha bisogno enormi
quantità di dati in qualsiasi momento e in qualsiasi parte del mondo, mettendo in cloud le
informazioni, sia certamente un‟opzione più che allettante, non si può sottacere come
questo obiettivo porti con sé due problemi non di scarsa rilevanza. Il primo è relativo
all‟attuale sicurezza delle infrastrutture tecnologiche su cui poggiano i servizi cloud, il
secondo, invece, è legato alla reale possibilità di offrire servizi di rete – qualunque sia il
metodo di trasmissione dei dati prescelto – capaci di trasferire rilevanti quantità di dati in
qualsiasi parte del mondo (teatri operativi compresi).
Per quanto attiene la sicurezza, infatti, di solito vi è un alto grado implicito di fiducia tra i
nodi di calcolo (host) all‟interno di un cloud o di una infrastruttura di calcolo distribuito, tale
da permette ad un malware di propagarsi con estrema rapidità una volta penetrato nella
“nuvola”. Le attuali infrastrutture di cloud computing integrano un gran numero di host,
utilizzando tessuti di interconnessione ad alta velocità che ben possono essere sfruttati
per la propagazione di attacchi informatici con una velocità ancora maggiore rispetto ai
convenzionali sistemi di rete.
Inoltre, come accennato precedentemente, qualora la scelta cada su servizi messi a
disposizione da società terze, la violazione del private-cloud e/o l‟azione anche solo di un
operatore della società in malafede, possono compromettere la sicurezza di tutte le
informazioni presenti nella “nuvola”.
In merito alla seconda perplessità, allo stato dei fatti risulta molto complesso riuscire a
fornire ai soldati impiegati in teatri operativi l‟adeguata capacità di banda utile per
visionare, gestire e trasferire una rilevante quantità di dati messi a disposizione attraverso
il servizio cloud107. Questo, come è facile intuire, ne limita fortemente l‟utilizzo.
107
Wired, Danger Room, “Pentagon Looks to Militarize the Cloud”, 2011, in http://www.wired.com/dangerroom/2011/02/pentagon-cloud/.
cybersec_20111109_0846 63
Non resta, pertanto, che lasciare il compito al Ministero della Difesa di valutare e bilanciare
le possibilità offerte – con i suddetti limiti – dal servizio cloud, considerati i rischi derivanti
dalle sue vulnerabilità e i costi di investimento per il servizio, non dimenticando che,
nonostante i rischi e le perplessità, “la sicurezza risulta dalle misure intraprese a cura dei
comandanti per proteggere le loro forze. […] Il rischio e‘ inerente alle operazioni militari.
L‘applicazione di questo principio include una prudente gestione del rischio, non una
indebita cautela”108.
108
US Army War College, “The Principles Of War In The 21st Century: Strategic Considerations”, Appendix A: “The Principles of War”, 1995.
Rappresentazione grafica delle tipologie di cloud services
cybersec_20111109_0846 64
La formazione del personale militare, soprattutto per un “dominio” di warfare109
totalmente nuovo (com‟è stato ormai pacificamente considerato lo spazio cibernetico), è
un elemento imprescindibile per raggiungere le finalità di sicurezza delle informazioni che
ci si è finora posti attraverso questa ricerca.
Sarà compito del Ministero della Difesa, tenute in debita considerazione le esigenze
specifiche rappresentate dalle Forze Armate, promuovere il coordinamento delle attività
presenti e future di istruzione, formazione e awareness in materia di cyber-security.
Da un punto di vista strategico, gli obiettivi da porsi in questo settore possono essere
così sintetizzati:
Sensibilizzare gli alti gradi delle Forze Armate sui rischi legati alla sicurezza
informatica e delle informazioni per la sicurezza dello Stato e dei contingenti militari,
nonché sull‟uso strategico che può essere fatto delle tecnologie e dei social media;
Sensibilizzare il personale sull‟uso responsabile di Internet, dei social media e degli
strumenti informatici, ponendo in evidenza, tra le altre cose, come la
specializzazione nel settore della cyber-security possa essere un nuovo percorso di
carriera all‟interno delle Forze Armate;
Elevare la competenza e la capacità dei professionisti e degli operatori della cyber-
security già presenti all‟interno delle Forze Armate attraverso ulteriori attività di
istruzione e formazione, magari attraverso la specializzazione per mezzo di
specifiche certificazioni a valenza internazionale.
109
Department of Defence, “Department of Defense Strategy for Operating in Cyberspace”, 2011, in http://www.defense.gov/news/d20110714cyber.pdf.
Tecniche di formazione del personale 8
cybersec_20111109_0846 65
La metodologia formativa del personale militare, fortemente interattiva e funzionale
all‟acquisizione di competenze generali e specifiche, si sostanzia in:
Lezioni didattiche frontali;
Lezioni pratiche;
Giochi di ruolo e simulazioni;
Case studies;
Brainstorming;
Autovalutazione;
Esercitazioni teoriche;
Esercitazioni pratiche;
Verifica dell‟apprendimento.
Attraverso l‟attività formativa si vogliono perseguire le seguenti finalità:
Sensibilizzare i partecipanti sui rischi derivanti dalle attività on-line, attraverso un
percorso formativo suddiviso in step intermedi;
Ampliare i “ranghi” del personale qualificato, affinché sia in grado di supportare gli
obiettivi di cyber-security a livello nazionale;
Sviluppare e mantenere una cyber-security task-force competitiva a livello
internazionale;
Creare un‟indispensabile partnership tra settore pubblico e privato, sia nelle attività
di formazione che successivamente, nella promozione di convegni, seminari e
cyber-challenge.
Conseguentemente gli obiettivi formativi sono:
1. acquisizione di un‟adeguata consapevolezza dei problemi derivanti dalla sicurezza
informatica e delle informazioni (“tutti sono a rischio”);
2. acquisizione di un‟adeguata capacità di comprensione dei problemi specifici, sia
sotto il punto di vista tecnico che sociale;
3. acquisizione di un‟adeguata capacità di riconoscere la responsabilità personale
delle azioni svolte nello spazio cibernetico;
4. acquisizione di un‟adeguata conoscenza teorica e pratica degli strumenti di
protezione per garantire la sicurezza o, quantomeno, per saper arginare i problemi
che mettono a rischio la sicurezza;
cybersec_20111109_0846 66
5. acquisizione di un‟adeguata conoscenza degli strumenti nonché della capacità di
implementazione delle tecniche apprese;
6. Acquisizione della “curiosità intellettuale” che rende inclini a consolidare le
conoscenze e le competenze acquisite, sviluppandole nel tempo attraverso un
percorso di formazione continua, in modo da poter rispondere adeguatamente
all‟evoluzione delle minacce.
cybersec_20111109_0846 67
Per il Codice della privacy un dato personale è “qualunque informazione relativa a
persona fisica, persona giuridica, ente od associazione, identificati o identificabili, anche
indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un
numero di identificazione personale”110. Quest‟ampia definizione comporta, nella pratica,
che un soggetto terzo non possa venire a conoscenza di qualunque informazione
personale relativa a una persona fisica o giuridica, senza l‟espresso consenso
dell‟interessato, ovvero della persona a cui il dato si riferisce.
L‟argomento è di assoluta pertinenza e di scottante attualità111 se lo si analizza in
relazione alle problematiche inerenti gli user generated content che, da ultimo, soprattutto
con l‟avvento dei social networks112, hanno visto riversare sulla rete Internet un‟incredibile
mole di dati personali. L‟incontenibile successo in termini di utenti e di attività on-line di
questi aggregatori sociali (come Facebook, LinkedIn, Google+, ecc.) e dei siti web 2.0
(come YouTube), infatti, se da un lato garantiscono rivoluzionarie possibilità e metodologie
110
Art. 4, comma 1, lett. b), d.lgs. 196/2003, in Garante per la protezione dei dati personali, http://www.garanteprivacy.it/garante/doc.jsp?ID=1311248. 111
Anche il Parlamento europeo, da ultimo, nella Relazione sulla concentrazione e il pluralismo dei mezzi d‟informazione nell‟Unione europea (2007/2253(INI), redatta dalla Commissione per la Cultura e l‟Istruzione, si è impegnato a “chiarire lo status giuridico dei weblog e dei siti basati su contenuti generati dagli utenti, assimilandoli, a fini giuridici, ad ogni altra forma di espressione pubblica”. 112
Il Garante della Privacy illustra il fenomeno dei social network identificandoli come “dei luoghi in cui via Internet ci si ritrova portando con sé e condividendo con altri fotografie, filmati, pensieri, indirizzi di amici e tanto altro. I social network sono lo strumento di condivisione per eccellenza e rappresentano straordinarie forme di comunicazione, anche se comportano dei rischi per la sfera personale degli individui coinvolti. I primi social network sono nati in ambito universitario, tra colleghi che no si volevano ―perdere di vista‖, che desideravano ―fare squadra‖ una volta entrati nel mondo del lavoro. Facebook, per citare uno dei più famosi, agli inizi era esattamente la traduzione virtuale del ―libro delle fotografie‖ della scuola, dell‘annuario. Una bacheca telematica dove ritrovare i colleghi di corso e scambiare con loro informazioni. […] I social network sono strumenti che danno l‘impressione di uno spazio personale, o di piccola comunità. Si tratta però di un falso senso di intimità che può spingere gli utenti a esporre troppo la propria vita privata, a rivelare informazioni strettamente personali, provocando ―effetti collaterali‖, anche a distanza di anni, che non devono essere sottovalutati”, in Garante per la protezione dei dati personali, Social Network: attenzione agli effetti collaterali, 2009, pag. 5, http://www.garanteprivacy.it/garante/document?ID=1617433.
Implicazioni giuridiche alla limitazione /
controllo dei social network
9
cybersec_20111109_0846 68
di comunicazione e di interrelazione sociale, dall‟altro stanno facendo emergere numerose
e “nuove” strade di responsabilità giuridica.
Occorre evidenziare, in prima battuta, che il Garante per la protezione dei dati
personali ha più volte ribadito per il settore privato la regola generale che, tanto sul posto
di lavoro quanto nella vita privata113, la privacy degli utenti è un bene primario nell‟attuale
società dell‟informazione e non può, pertanto, essere sottoposta ad attività di
monitoraggio, registrazione e controllo.
L‟art. 4 della legge 20 maggio 1970, n. 300 (il c.d. “Statuto dei lavoratori”) stabilisce che “è
vietato l‘uso di impianti audiovisivi e di altre apparecchiature per finalità di controllo a
distanza dell‘attività dei lavoratori”. Inoltre, qualora gli impianti e le apparecchiature di
controllo siano richiesti per far fronte ad esigenze organizzative e produttive ovvero di
sicurezza sul lavoro, se dalla loro installazione ne deriva anche la possibilità di controllo a
distanza dell‟attività dei lavoratori, il datore di lavoro è obbligato ad informare i dipendenti
in modo particolareggiato e prendere opportuni accordi con i loro rappresentanti sindacali
oppure, in mancanza, con la commissione interna (art. 4, comma 2, legge 300 del 1970).
Pertanto, è consentita la vigilanza dell‟impresa (c.d. controlli difensivi), ma non il controllo
investigativo sull‟attività dei lavoratori.
Medesimo ragionamento deve essere fatto per i controlli del datore di lavoro sugli
strumenti informatici in dotazione ai dipendenti, ad esclusione della casella di posta
elettronica aziendale – che si ritiene essere strumento di lavoro114 e pertanto in alcuni
casi controllabile – ritenuti, tanto dalla giurisprudenza quanto dalla dottrina, controlli a
113
L‟art. 2, comma 1, del d.lgs. 30 giugno 2003, n. 196 (il c.d. “Codice della Privacy”) afferma che il trattamento dei dati personali deve essere svolto “nel rispetto dei diritti e delle libertà fondamentali, nonché della dignità dell‘interessato, con particolare riferimento alla riservatezza, all‘identità personale e al diritto alla protezione dei dati personali”. La Dichiarazione dei diritti umani, consultabile in italiano al seguente indirizzo http://www.ohchr.org/EN/UDHR/Pages/Language.aspx?LangID=itn, all‟art. 12, dispone che “nessun individuo potrà essere sottoposto ad interferenze arbitrarie nella sua vita privata, nella sua famiglia, nella sua casa, nella sua corrispondenza, né a lesione del suo onore e della sua reputazione. Ogni individuo ha diritto ad essere tutelato dalla legge contro tali interferenze o lesioni”. La Costituzione europea, invece, all‟art II-68, si sofferma solo sulla obbligatorietà della protezione dei dati personali e, dopo aver affermato al primo comma che “ogni persona ha diritto alla protezione dei dati di carattere personale che la riguardano”, successivamente prescrive che i dati debbano essere trattati “secondo il principio di lealtà, per finalità determinate e in base al consenso della persona interessata o a un altro fondamento legittimo previsto dalla legge”. Il testo integrale della Costituzione europea è consultabile su: http://eur-lex.europa.eu/JOHtml.do?uri=OJ:C:2004:310:SOM:IT:HTML 114
Garante per la protezione dei dati personali, “Lavoro: le linee guida del Garante per posta elettronica e internet”, 2007, in Gazzetta Ufficiale n. 58 del 10 marzo 2007 e su http://www.garanteprivacy.it/garante/doc.jsp?ID=1387522.
cybersec_20111109_0846 69
distanza a tutti gli effetti e, quindi, ricompresi nel dettato dell‟articolo 4 precedentemente
richiamato.
Anzi, per quanto attiene la navigazione su Internet, i sistemi informatici predisposti dal
datore di lavoro devono essere configurati per cancellare periodicamente i dati personali
relativi agli accessi ad Internet e al traffico telematico dei dipendenti, la cui conservazione
non sia strettamente necessaria. Concetto ripreso anche dal Garante della Privacy con il
Divieto 2 aprile 2009 – Lavoro privato: monitoraggio degli accessi Internet del
dipendente115, in cui si afferma in maniera lapalissiana che “è illecito monitorare in modo
sistematico e continuativo la navigazione in Internet dei lavoratori”, violando questa
condotta lo Statuto dei lavoratori.
Il datore di lavoro, ad ogni modo, non risulta completamente sguarnito di mezzi di “difesa”
dai comportamenti non corretti dei propri dipendenti. Ancora le Linee Guida del Garante
per la posta elettronica e Internet del 2007 ammettono per il datore di lavoro la possibilità
di controllare l‟effettivo adempimento della prestazione lavorativa e il corretto utilizzo degli
strumento di lavoro. Nell‟esercizio di tali prerogative, però, si dovrà rispettare la libertà e la
dignità dei lavoratori, tenendo presente, al riguardo, quanto previsto dallo Statuto dei
lavoratori, di cui si è detto.
Inoltre, in accordo con i principi di pertinenza e non eccedenza, i mezzi e l‟ampiezza del
controllo devono essere proporzionati allo scopo. Alla luce di questa considerazione,
pertanto, il datore di lavoro potrebbe, ad esempio, in alcuni casi (e con le dovute
procedure) arrivare persino a verificare se vi è stato indebito utilizzo della connessione ad
Internet da parte del dipendente attraverso il controllo degli accessi e dei tempi di
connessione, senza mai però avere la possibilità di indagare sul contenuto dei siti visitati.
I lavoratori, comunque, devono obbligatoriamente essere messi in grado di conoscere
attraverso uno specifico disciplinare interno quali siano le attività consentite, a quali
controlli potrebbero essere sottoposti, le modalità del trattamento dei dati e in quali
sanzioni possono incorrere nel caso di abusi.
Sul datore di lavoro, infine, grava l‟onere di predisporre misure per ridurre il rischio di usi
impropri di Internet, consistenti in attività non correlate alla prestazione di lavoro, quali la
115
http://www.garanteprivacy.it/garante/doc.jsp?ID=1606053.
cybersec_20111109_0846 70
visione di siti non pertinenti, l‟upload e il download di files, l‟uso di servizi di rete con finalità
ludiche o comunque estranee all‟attività lavorativa.
Medesimo ragionamento deve essere effettuato per i dipendenti pubblici. La
Direttiva 02/2009116 del Ministro per la Pubblica Amministrazione e l‟Innovazione
sull‟utilizzo di Internet sul luogo di lavoro, infatti, richiama quanto previsto dal Garante
Privacy all‟interno delle Linee Guida del 2007 per l‟utilizzo della posta elettronica e di
Internet, già analizzate.
In particolare, la Direttiva del Ministro specifica come, nell‟esercizio del potere di controllo,
le Amministrazioni debbano attenersi ad alcune regole generali e principi:
innanzitutto deve essere rispettato il principio di proporzionalità, che si concentra
nella pertinenza e non eccedenza delle attività di controllo. Le limitazioni della
libertà e dei diritti individuali devono, infatti, essere proporzionate allo scopo
perseguito; è in ogni caso esclusa l‟ammissibilità di controlli prolungati, costanti e
indiscriminati;
inoltre, l‟introduzione di tecnologie e di strumenti di per il controllo sull‟uso della rete
e della posta elettronica deve essere fatto rispettando le procedure di
informazione/consultazione delle rappresentanze dei lavoratori previste dai contratti
collettivi;
infine, i lavoratori devono essere preventivamente informati dell‟esistenza di
dispositivi di controllo atti a raccogliere i dati personali.
A fronte del potere di controllo dell‟Amministrazione/datore di lavoro, però, esiste in capo
ai dipendenti l‟obbligo, sancito da norme di legge (anche di rilevanza penale) e di
contratto, di adottare comportamenti conformi al corretto espletamento della prestazione
lavorativa ed idonei a non causare danni o pericoli ai beni mobili ed agli strumenti ad essi
affidati, tra i quali vi sono le attrezzature ICT ed i sistemi informativi messi a disposizione
dall‟Amministrazione.
Al riguardo, pertanto, la Direttiva del Ministro ricorda, oltre alle disposizioni del Codice
disciplinare contenuto nei contratti collettivi di comparto – che dispongono sanzioni in caso
di “negligenza nella cura […] di beni mobili o strumenti affidati [al lavoratore pubblico]” –
anche il dettato del Codice di comportamento dei dipendenti delle pubbliche
116
http://comunicazione.formez.it/sites/all/files/direttiva_n2_09.pdf.
cybersec_20111109_0846 71
amministrazioni di cui al Decreto del Ministro per la funzione pubblica del 28 novembre
2000 che costituisce vero e proprio obbligo la cui inosservanza da parte dei dipendenti è
passibile di sanzione.
In particolare, l‟art. 10, comma 3, del Codice di comportamento dispone che “il dipendente
non utilizza a fini privati materiale o attrezzature di cui dispone per ragioni di ufficio”.
Pertanto, l‟utilizzo delle risorse ICT da parte dei dipendenti, oltre a non dover
compromettere la sicurezza e la riservatezza del Sistema informativo, non deve
pregiudicare ed ostacolare le attività dell‟Amministrazione od essere destinato al
perseguimento di interessi privati in contrasto con quelli pubblici.
Infine, come si è accennato, al punto 2. della Direttiva del Ministro, vengono in toto
richiamate le Linee Guida del Garante del 2007, che costituiscono, in particolare per
quanto attiene alla disciplina del trattamento dei dati personali, sicuro punto di riferimento
e regolamentazione delle modalità di utilizzo del Sistema informativo delle pubbliche
amministrazioni da parte dei dipendenti nell‟ambito del rapporto di lavoro. Pertanto, si
rimanda a quanto detto in precedenza per i dipendenti privati.
Anche nel settore della pubblica sicurezza, tuttavia, la Direttiva 2002/58/CE del
Parlamento europeo e del Consiglio, datata 12 luglio 2002, all‟art. 5, ha da tempo
affermato, come principio fondante, che gli Stati membri devono garantire, attraverso la
loro legislazione nazionale, la riservatezza delle comunicazioni effettuate tramite una rete
pubblica di comunicazioni elettroniche, proibendo, in particolare, ad ogni altro soggetto
che non sia l‟utente interessato di ascoltare, intercettare o memorizzare qualsiasi tipo di
comunicazione non preventivamente ed esplicitamente autorizzata117.
L‟unica eccezione a questo assunto è data dal successivo art. 15, paragrafo 1, in cui viene
prescritto che gli Stati membri possono adottare disposizioni legislative volte a limitare i
diritti e gli obblighi degli utenti nel solo caso in cui tale restrizione costituisca “una misura
necessaria, opportuna e proporzionata all‘interno di una società democratica per la
salvaguardia della sicurezza nazionale (cioè della sicurezza dello Stato), della difesa, della
sicurezza pubblica; e la prevenzione, ricerca, accertamento e perseguimento dei reati,
117
L‟art. 5, paragrafo 1, della Direttiva 2002/58/CE del Parlamento europeo e del Consiglio, Direttiva relativa alla vita privata e alle comunicazioni elettroniche, letteralmente statuisce che “gli Stati membri assicurano, mediante disposizioni di legge nazionali, la riservatezza delle comunicazioni effettuate tramite la rete pubblica di comunicazione e i servizi di comunicazione elettronica accessibili al pubblico, nonché dei relativi dati sul traffico. In particolare essi vietano l‘ascolto, la captazione, la memorizzazione e altre forme di intercettazione o di sorveglianza delle comunicazioni, e dei relativi dati sul traffico, ad opera di persone diverse dagli utenti, senza consenso di questi ultimi”.
cybersec_20111109_0846 72
ovvero dell‘uso non autorizzato del sistema di comunicazione elettronica”118, derogando
così ai principi dell‟anonimità e della cancellazione dei dati personali non più necessari119.
Su una linea di pensiero più cauta, però, si pone il legislatore italiano che, all‟interno del
Codice della privacy, ammette il trattamento dei dati personali sensibili e giudiziari da parte
delle forze di polizia120, purché sia “autorizzato da espressa disposizione di legge nella
quale sono specificati i tipi di dati che possono essere trattati e di operazioni eseguibili e le
finalità di rilevante interesse pubblico perseguite”121 e sempre che ne sia precedentemente
verificata la loro pertinenza, completezza, non eccedenza e indispensabilità rispetto agli
obiettivi perseguiti nei singoli casi122, soprattutto nell‟ipotesi in cui la raccolta dei dati non
avvenga presso l‟interessato.
Cautele molto simili a quelle appena richiamate sono previste, poi, per il trattamento dei
dati effettuato da soggetti pubblici per finalità di difesa o di sicurezza dello Stato123, per il
quale, in ragione della “delicatezza” dei compiti assegnati, si applicano però solo una
piccola parte delle disposizioni del Codice124.
118
Art. 15, paragrafo 1, Direttiva 2002/58/CE del Parlamento europeo e del Consiglio, cit. 119
Deroga già prevista anche dall‟art. 8, paragrafo 4, della Direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, Direttiva relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali nonché alla libera circolazione di tali dati, in G.U. n. L 281/31, in cui l‟utilizzo di informazioni concernenti la salute, la vita sessuale, la sfera religiosa, politico-sindacale o filosofica, nonché l‟origine razziale ed etnica degli utenti deve essere soggetto a rigorose cautele, in base alle quali è vietato il loro trattamento a meno che non ricorrano “specifici motivi di interesse pubblico rilevante e siano altresì assicurate opportune garanzie”. 120
Art. 53, comma 1, d.lgs. 30 giugno 2003, n. 196, Codice in materia di protezione dei dati personali, in http://www.garanteprivacy.it/garante/doc.jsp?ID=1311248. 121
Art. 20, comma 1, d.lgs. 30 giugno 2003, n. 196, cit. 122
Art. 22, comma 5, d.lgs. 30 giugno 2003, n. 196, cit. Completa il quadro normativo l‟art. 54, comma 3, che demanda al Centro elaborazioni dati delle forze di polizia “l‘aggiornamento periodico e la pertinenza e non eccedenza dei dati personali trattati”. 123
Art. 58, d.lgs. 30 giugno 2003, n. 196, cit. 124
L‟art. 58, comma 1, infatti, afferma che “ai trattamenti effettuati dagli organismi di cui agli articoli 3, 4 e 6 della legge 24 ottobre 1977, n. 801, ovvero sui dati coperti da segreto di Stato ai sensi dell‘articolo 12 della medesima legge, le disposizioni del presente codice si applicano limitatamente a quelle previste negli articoli da 1 a 6, 11, 14, 15, 31, 33, 58, 154, 160 e 169”, “nonché alle disposizioni di cui agli articoli 37, 38 e 163”, così come previsto dal comma 2 del medesimo articolo.
cybersec_20111109_0846 73
In una società che ormai poggia le fondamenta sul concetto stesso di informazione125
e sulla rilevanza che questo concetto ha all‟interno dei meccanismi di funzionamento di
tutti i sistemi cibernetici126, risulta particolarmente intuitivo comprendere come
impossessarsi, proteggere e usare la maggior quantità possibile di esse sia lo sforzo più
rilevante a supporto di un‟efficace strategia di vittoria per molti dei conflitti che saranno
combattuti in futuro.
Se è vero, infatti, che:
“In linea di massima, a proposito della battaglia, l‘attacco diretto mira al
coinvolgimento; quello di sorpresa, alla vittoria.”127
allo stato attuale, proprio gli attacchi informatici possono essere ancora in grado di
conseguire con facilità questo stratagemma.
125
Il concetto di informazione è particolarmente vasto e differenziato. In termini generici, informazione è qualsiasi aggregazione di dati di cui sia noto non solo il valore, ma anche il significato: i dati in un archivio, ad esempio, possono certamente essere considerati come informazioni, così come anche è informazione la configurazione degli atomi di un gas. L‟informazione, quindi, non solo è sempre esistita, ma può anche essere misurata come tutte le altre entità fisiche. Anche se la sua importanza è stata riconosciuta solo nel XX secolo, quando la sua elaborazione attraverso i computer ha certamente avuto un impatto inimmaginabile nella vita quotidiana, già in latino la parola veniva usata per indicare un “concetto” o una “idea”, laddove in Grecia la parola corrispondente “εἶδος”, “idea” appunto, veniva tecnicamente usata in ambito filosofico da Platone e Aristotele per indicare l‟identità ideale o l‟essenza di qualcosa. Secondo la “teoria dell‟informazione”, in una comunicazione che avviene attraverso un dato alfabeto di simboli, l‟informazione viene associata a ciascun simbolo trasmesso e viene definita come “la riduzione di incertezza che si poteva avere a priori sul simbolo trasmesso”. 126
Per uno studio corretto sulla scienza della cibernetica e sul suo significato corretto, si veda N. WIENER, “Introduzione alla cibernetica”, Universale Bollati Boringhieri, 1997. Sinteticamente, la cibernetica è la scienza che studia i fenomeni di autoregolazione e comunicazione, sia negli organismi naturali quanto nei sistemi artificiali. La cibernetica si pone, dunque, come un campo di studi interdisciplinare tra le scienze e l‟ingegneria, allontanandosi dal concetto „giornalistico‟ strettamente legato ai soli sistemi elettronici. 127
Sun Tzu, “L‘arte della guerra”, in http://it.wikipedia.org/wiki/Sun_Tzu.
Riflessioni conclusive e prospettive future 10
cybersec_20111109_0846 74
Per quanto finora analizzato, infatti, non può sfuggire come l‟insicurezza dei sistemi
socio-tecnici abbia, in primo luogo, conseguenze operative dirette.
Ciò che rileva ancor più, però, è la consapevolezza che, di fatto, dato l‟attuale livello di
utilizzo per attività “sensibili” di tecnologie non progettate per la sicurezza (principalmente
Internet e il substrato dei protocolli di trasmissione dati), non è possibile garantire un alto
grado di sicurezza contro la penetrazione di qualsiasi strumento elettronico connesso alla
Rete. Pertanto, nonostante gli investimenti, l‟attenzione, l‟efficienza e la preparazione del
personale e dei tecnici, qualsiasi nazione e/od organizzazione interconnessa
elettronicamente e che utilizzi strumenti elettronici è potenzialmente vulnerabile alla
distruzione mirata delle informazioni – anche da remoto – nella stessa misura in cui lo è al
momento al furto di informazioni.
In secondo luogo, occorre evidenziare che questo rischio non può essere oggi
eliminato, ma solo gestito e mitigato.
Il Governo e le compagnie che si occupano della gestione dei sistemi informatici delle
infrastrutture critiche nazionali128, infatti, devono necessariamente operare quegli
investimenti ormai indispensabili per ricreare quelle strutture distribuite di ridondanza che
hanno reso la rete telefonica cablata quel sistema particolarmente robusto che tutti
conosciamo. Resilienza e piani di disaster recovery efficienti – soprattutto in termini di
velocità nel ripristino della situazione quo ante – dovrebbero essere, allo stato attuale delle
cose, l‟unico reale ed immediato obiettivo. Infatti, soprattutto in un‟ottica di deterrenza, se
si riescono a ridurre al minimo le conseguenze portate dagli attacchi informatici, i tentativi
di accesso non autorizzati aio sistemi cesserebbero in maniera proporzionale.
Terzo elemento, è che le aziende private, detentrici della maggior parte delle
infrastrutture critiche nazionali, devono individuare, isolare e proteggere
autonomamente129 tanto le risorse fisiche quanto quelle immateriali (proprietà intellettuale
128
http://it.wikipedia.org/wiki/Infrastrutture_critiche. 129
In questo senso, illuminante è il recentissimo lavoro pubblicato da Chatham House dal titolo “Cyber Security and the UK‘s Critical National Infrastructure”, 2011, in http://www.chathamhouse.org/sites/default/files/public/Research/International%20Security/r0911cyber.pdf, all‟interno del quale si pone in evidenzia che:
Government cannot provide all the answers and guarantee national cyber security in all respects for all stakeholders. As a result, Critical National Infrastructure enterprises should seek to take on greater responsibilities and instil greater awareness across their organizations;
All organisations should look in more depth at their dependencies and vulnerabilities. Awareness and understanding of cyberspace should be ‗normalised‘ and incorporated and embedded into standard management and business practices within and across government and the public and private sectors;
cybersec_20111109_0846 75
e privacy). La tecnologia, infatti, è solo uno degli strumenti che mettono costantemente in
pericolo questi asset strategici. L‟hardening dell‟infrastruttura tecnologica, pertanto, deve
essere ineluttabilmente integrato con la formazione del personale sui temi della sicurezza
informatica operativa. Questa strada si traduce certamente nella predisposizione di
percorsi formativi, ma, soprattutto, nella scrittura e adozione di specifiche policy di
sicurezza interne, in audit ciclici volti a verificarne l‟adozione e, più in generale, nella
previsione di creare team in cui il management, gli avvocati e i tecnici lavorano a stretto
contatto per questo obiettivo.
Alcune prospettive per il futuro, allora, sembrano tracciabili, se non addirittura
auspicabili come vere e proprie proposte, da questo percorso:
gli attacchi informatici cresceranno costantemente in numero, rilevanza e qualità,
evolvendosi anche nell‟obiettivo principale: da semplici azioni portate per il furto di
informazioni a veri e propri atti di cyber-warfare;
verranno sviluppate nuove forme (protocolli) di comunicazione e nuove tipologie di
network all‟interno delle quali far transitare in maniera sicura i dati sensibili e/o
classificati;
verranno sviluppate nuove tecnologie utili ad ampliare le capacità di trasferimento
dei dati elettronici (banda), soprattutto per permettere l‟invio di informazioni sensibili
e/o classificate direttamente agli operatori dei contingenti militari impegnati anche
nei teatri operativi più tecnologicamente inaccessibili del mondo;
nonostante le numerose incertezze in materia di sicurezza delle infrastrutture cloud,
con sempre maggior frequenza questi strumenti verranno utilizzati nel settore
militare per la condivisione delle informazioni, anche sensibili e/o classificate;
le informazioni “vestiranno” e viaggeranno sempre più con gli operatori dei nostri
contingenti militari, grazie alla miniaturizzazione e alla concentrazione delle
tecnologie verso il “mobile”;
i social media assumeranno un ruolo strategico/tattico/operativo nelle operazioni
militari, con un ruolo predominante nelle attività di influenza130;
Cyber terminology should be clear and language proportionate to the threat. It should also
encourage a clear distinction to be made between IT mishaps and genuine cyber attacks;
Research and investment in cyber security are essential to meeting and responding to the threat in a timely fashion. However, cyber security/protection should not be the preserve of IT departments but of senior executive boards, strategists and business leaders and it should be incorporated into all levels of an organization.
130 RAND Corporation, “Foundations of Effective Influence Operations. A Framework for Enhancing Army
Capabilities”, 2011, in http://www.rand.org/pubs/monographs/2009/RAND_MG654.pdf.
cybersec_20111109_0846 76
resilienza ed affidabilità diverranno le due parole chiave per la sicurezza dei sistemi
che governano le infrastrutture critiche nazionali;
verranno implementati i primi sistemi di valutazione e reazione automatica alle
minacce provenienti dal cyber-spazio;
la partnership a livello internazionale tra gli Stati, le Forze Armate e le Forze
dell‟Ordine sarà consolidata e rafforzata, sia attraverso nuove norme che attraverso
iniziative comuni;
la partnership tra pubblico e privato diventerà indispensabile per la protezione delle
infrastrutture tecnologiche;
verrà creato un framework comune di norme giuridiche internazionali per far fronte
alla minaccia derivante da un uso scorretto degli strumenti informatici, tutelando le
libertà fondamentali e la privacy dei cittadini;
il problema della sicurezza delle informazioni e delle comunicazioni non verrà
comunque risolto.
Le sfide che la Difesa, le Forze Armate e i nostri contingenti militari sono e saranno
sempre più chiamati ad affrontare nel settore della cyber-intelligence e della cyber-security
sono certamente tanto complesse, quanto affascinanti. Queste minacce, infatti,
impongono comportamenti adattivi e di reazione che tagliano trasversalmente sia i settori
della ricerca tecnica e tecnologica, che quelli strategico, tattici ed operativi, i quali per la
prima volta, proprio attraverso Internet e la tecnologia, stanno vedendo svanire la loro
tipica compartimentazione settoriale.
Che ci si trovi di fronte a vere e proprie cyber-war, come alcuni prestigiosi analisti131 già da
tempo hanno evidenziato, ovvero a singoli atti di cyber-warfare, o ancora ad azioni tese ad
impadronirsi esclusivamente delle informazioni sensibili e/o classificate dei Governi, la
priorità resta e deve restare sempre la protezione degli asset strategici – anche immateriali
– della nostra nazione, per la difesa della Patria e la salvaguardia delle nostre libere
istituzioni.
131
Richard A. Clarke & Robert K. Knake, “Cyberwar. The next threat to national security and what to do about it”, cit..
cybersec_20111109_0846 77
SUPPORTO BIBLIOGRAFICO
cybersec_20111109_0846 78
Fox News – 09 dicembre 2010 http://www.foxnews.com/scitech/2010/12/09/facebook-friends-terror/
Terrorists have traditionally sought to exploit new and alternative media, particularly on
the Internet, to spread their propaganda and to a lesser extent, operational and tactical
guidance to prospective supporters through websites, forums, blogs, chat rooms etc. In
recent years, Islamic terrorists have expanded the purview of their online endeavors into
social networking sites, websites that create and foster online communities organized
around shared affinities and affiliations that connect people based on interests and
relationships. In most cases, social networking sites are openly viewable to any participant
on the site.
As part of this trend, jihad supporters and mujahideen are increasingly using Facebook,
one of the largest, most popular and diverse social networking sites, both in the United
States and globally, to propagate operational information, including IED recipes primarily in
Arabic, but in English, Indonesian, Urdu and other languages as well. While some tactical
information is available on Facebook, the majority of extremist use of Facebook focuses
on disseminating ideological information and exploiting the site as an alternative media
outlet for terrorist propaganda. However, to a lesser degree, the site is used as a gateway
to radical forums and jihadi sites with explicit radical agendas (and easily downloadable
operational information) and as a platform to promulgate some tactical and operational
information.
Terrorist Use of Facebook:
As a way to share operational and tactical information, such as bomb recipes, AK-
47 maintenance and use, tactical shooting, etc.
DHS Terrorist Use of Social Network.
Facebook Case Study
11
cybersec_20111109_0846 79
As a gateway to extremist sites and other online radical content by linking on
Facebook group pages and in discussion forums.
As a media outlet for terrorist propaganda and extremist ideological messaging.
As a wealth of information for remote reconnaissance for targeting purposes.
Operational & Tactical Information
Two Arabic-language IED recipes, one for explosive ammonal and one for a poisonous
smoke bomb, along with Arabic-language instructions on how to prepare nitric acid were
collected from the discussion board of a Facebook group with a clear radical preference.
While the group only boasted 47 members and all the posts were from the same user
whose profile picture and user name was Osama bin Laden (obscuring the user‟s true
identity), all content on the group‟s Facebook page is open to the public, meaning anyone
with a Facebook account has access to the posts.
By making a group open to the public, its actual membership number becomes almost
irrelevant in terms of access to information sharing. It is worth noting that the same toxic
smoke bomb recipe posted on the Facebook page was collected at roughly the same time
from an Arabic-language radical forum, suggesting that there is some cross-over between
radical content disseminated on Facebook and on Islamist extremist forums. In addition to
explosives related material, informational videos with titles such as “tactical shooting,”
“getting to know your AK-47,” “how to field strip an AK-47” etc. were collected from a
radical Facebook group with over 2,000 members, which was open and accessible to non-
members.
While how-to videos about firearms are not inherently terrorist source material pertaining
to tactics and procedures, and are not nefarious in isolation (they are within the scope of
acceptable content on Facebook, YouTube, and other social networking sites), the ones
found on Facebook were taken from radical groups dedicated to jihad. These combined
with the juxtaposition of a video on tactical shooting with video clips from al- Qaeda‟s
media wing, As-Sahab, featuring Osama bin Laden and Adam Gadahn from a Facebook
page explicitly dedicated to jihad (“wherever the mujahedeen are fighting, they are doing
their religious duty as well as fighting for their right”), makes these videos terrorist source
material.
cybersec_20111109_0846 80
Facebook as a Gateway
While a plethora of radical content and terrorist propaganda is already being posted on
Facebook, radicals are also using Facebook group discussion forums and wall posts to
link to radical forums, media sites for extremist groups, and recruitment pages. Some
Islamist radical forums even have Facebook pages, which facilitate navigation between the
two. In this way, Facebook acts as a gateway or launching pad for further radicalization
and for easy access to sites where explosives recipes and IED information are regularly
posted. For example, a Facebook group with over 5,000 members claiming to defend
Islam had links to Hizb ut Tahrir and al- Aqsa‟s homepage.
Links to al-Qaeda videos on YouTube, propaganda videos featuring wounded and dead
Palestinians in Gaza, and videos promoting female suicide bombers were all openly
accessible as well. Facebook has also become a popular platform for the dissemination
and quick spread of Osama bin Laden statements, whether audio or video. His most
recent statements have appeared on a number of Facebook group pages within 48 hours
of release. There were also a number of groups dedicated to Hezbollah and Hassan Nasr
Allah that had propaganda videos showing the organization‟s weapons arsenal and
training.
Radical Forums and Facebook as Jihadi Media
While social networking sites have recently become popular with radicals, forums have
long been used by terrorists to exchange ideas, and spread ideological, tactical and
operational information among a sympathetic audience. A number of discussion threads
have been collected from these well-established, radical forums that focus on expanding
into other social networking interfaces, especially Facebook:
This [Facebook] is a great idea, and better than the forums. Instead of waiting for
people to [come to you so you can] inform them, you go to them and teach them!
God willing, the mujahedeen, their supporters, and proud jihadi journalists will [use
the site, too]. [First,] it has become clear that the market of social networking
websites is developing in an astonishing manner and that it fulfills important needs
for Internet users, particularly younger ones.
Facebook has become very successful in this field; therefore, it is our duty to use it,
as adherents of jihad and [members] of the blessed jihadi media. [I] mean, if you
have a group of 5,000 people, with the press of a button you [can] send them a
cybersec_20111109_0846 81
standardized message. [That] means if you send one message with a link to [forum
names], a clear [path] to jihadi media is open.
I entreat you, by God, to begin registering for Facebook as soon as you [finish]
reading this post. Familiarize yourselves with it. This post is a seed and a
beginning, to be followed by serious efforts to optimize our Facebook usage. Let‟s
start distributing Islamic jihadi publications, posts, articles, and pictures. Let‟s
anticipate a reward from the Lord of the Heavens, dedicate our purpose to God, and
help our colleagues.
General Goals of the Invasion
1. Reach the wide base of Muslims who [use] Facebook.
2. Encourage brothers to devise new online media in support of jihadi media.
3. Form a solid base on Facebook and shed light on it as a medium for reaching
people.
4. Move from an elite society ([on] jihadi forums and websites) to mainstream Muslims,
[encourage] their participation, and interact with them.
5. Advance media operations and encourage creativity, innovation, flexibility, and
change. Reach large [numbers] of Crusaders, broadcast the losses of their armies,
expose the lies of their leaders, and call Muslims to jihad.
These posts call for the organized, strategic exploitation of Facebook, recognizing its value
as a platform for reaching a wider, younger audience. The user who posted steps for
„invading‟ Facebook recognizes the inherent value in exploiting a non-ideological medium,
namely its wide user base that is comprised of the general public.
It also serves as recognition that jihadi forums are mostly frequented by people who have
already become radicalized or support jihad, i.e. “elite society,” whereas Facebook offers a
space to interact with “mainstream Muslims” and attract and recruit new supporters. Given
that in terror networks social bonds tend to be more significant than external factors like
shared hatred or ideology, social networking interfaces whose purpose is to virtually
connect people based on such common social bonds clearly lend themselves to extremist
use and recruitment efforts.
cybersec_20111109_0846 82
Operational Security (OPSEC)
In addition to discussing the exploitation of Facebook to promote jihadi media, a number of
forum threads also discuss how best to do so while maintaining a high level of operational
security. The posts explicate OPSEC measures that should be taken to maintain
anonymity, encourage users to fictionalize and use artifice and demonstrate a
sophisticated understanding of the online security environment and the need for anonymity
even within a medium that is relatively un-policed like Facebook. The following terrorist
source material was harvested from a number of Arabic-language radical forum threads:
First, we make clear that [you should] use Tor to email, register, and [use Facebook]. Don‟t
join unless you are using Tor. Take care that all data be “fictional,” and the Facebook
password should not be the [same] as the email password. In general, don‟t use a
password twice, meaning don‟t [use] your password for [forum] or [forum] on another
forum.
[Make sure] all the data is fictional and that the password for Facebook is a new
password [you have] never used before. [Make sure the password] is complicated
[and includes] some uppercase and lowercase letters, numbers, and symbols. Save
it in your notebook on the [computer] or on a flash (USB) [drive].
I [think it‟s best] not to post a picture with jihadi meaning, so that the eyes of the
idolater dogs won‟t be on you. If you want, post a picture that calls attention to God,
so that you will benefit from good things. Don‟t [use a picture] of yourself.
In order for the maximum number of “Facebookers” to join your group, you should
reveal to them that you are, for example, an expert in terrorist groups. You don‟t
have to reveal that you sympathize with al-Qaeda. The group‟s members will
automatically sympathize with the organization once they become familiar with the
organization‟s tapes and jihadi operations. You must use artifice.
While radical Islamist forum discussion threads demonstrate acuity for the need for strong
OPSEC, there may be little need for such care on sites like Facebook. The much higher
frequency with which radical content appears on Arabic-language Facebook group pages,
as opposed to radical content in Spanish and English, may be due to the lack of oversight
of the Arabic-language in comparison to the other two languages, which are well
monitored because of the relative ease of doing so.
cybersec_20111109_0846 83
According to Facebook Rights and Responsibilities on the website, “You will not post
content or take any action on Facebook that infringes or violates someone else‟s rights or
otherwise violates the law.” It also states that “We can remove any content or information
you post on Facebook if we believe that it violates this Statement.” However, information is
not screened before it is posted, so posts that violate the rules remain on the site until they
are detected and removed.
Remote Reconnaissance
In addition to using Facebook to disseminate information, information posted by users can
also be exploited by adversaries for targeting purposes. For example, Facebook postings
have been used domestically by robbers to determine when a user would be out of the
house. The Shin Bet security agency (part of the Israeli Ministry of Defense) has
recognized terrorist use of social networking sites for remote reconnaissance, warning
Israeli soldiers about posting sensitive information: “terror organizations are using these
[social networking] sites to tempt Israelis to meet up in person in order to either abduct
them, kill them or recruit them as spies.” The English-language Lebanese media outlet, Ya
Libnan, has also reported that an Israeli soldier was sentenced to 19 days in a military brig
after posting a photograph of the base where he was assigned.” Although there have been
no reported cases of social network sites being used for targeting in explosives related
cases, it is another reconnaissance resource available to terrorists.
Conclusions
The vast size, linguistically and culturally diverse user base, and lack of verification of user
supplied biographical information on social networking sites make monitoring and
evaluation of potential threats on these sites extremely difficult. Moreover, the presence of
non-violent extremist material on user profiles and in “linked” content complicates the task
of isolating and assessing more credible threats. These attributes, combined with the
complicated array of privacy settings users may employ–or augment with secondary forms
of communication, ranging from traditional web forums to email–make social networking
sites a viable tool for terrorists to use.
While Facebook is currently being used as a platform to share operational and tactical
information, a gateway to extremist sites and forums, an outlet for propaganda and
extremist ideological messaging and for conducting remote reconnaissance, it is by no
means the only social networking site being employed for extremist use.
cybersec_20111109_0846 84
Radical material including documents, videos, and audio files have been disseminated on
other popular social networking sites, such as Twitter, YouTube, and MySpace.
The radical Islamist group, the Muslim Brotherhood, has even created and launched its
own social networking site that operates in much the same way as Facebook called
Ikhwan Book. These sites, with their vast user bases and profusion of user generated
information present both challenges and opportunities for law enforcement. While social
networking sites are difficult to police given the sheer volume of information and
complicated privacy settings, they do contain a wealth of knowledge about potential
threats and current tactics and techniques being disseminated on the web.
Fox News – 09 dicembre 2010 http://www.foxnews.com/scitech/2010/12/09/facebook-friends-terror/
cybersec_20111109_0846 85
Marines Offical Site – summer 2010 http://www.marines.mil/usmc/Pages/SocialMediaGuidance.aspx
1. Overview
a. This guidance is provided for Marines who, in their personal capacity, desire to make
unofficial posts online, regarding Marine Corps-related topics. (The term “Marines” on this
guidance refers to active-duty and reserve Marines and sailors).
―Unofficial Internet posts,‖ referred to below, are considered any content about the Marine
Corps or related to the Marine Corps that are posted on any Internet site by Marines in an
unofficial and personal capacity. Content includes, but is not limited to, personal
comments, photographs, video, and graphics. Internet sites include social networking
sites, blogs, forums, photo and video-sharing sites, and other sites to include sites not
owned, operated or controlled by the Marine Corps or Department of Defense.
b. Unofficial Internet posts are not initiated by any part of the Marine Corps or reviewed
within any official Marine Corps approval process. By contrast, official Internet posts
involve content released in an official capacity by public affairs Marines, Marine Corps
Community Services marketing directors, or commanders designated as releasing
authorities. Policy for Family Readiness Officers will be provided in separate guidance.
c. In accordance with these guidelines, Marines are encouraged to responsibly engage in
unofficial Internet posts about the Marine Corps and Marine Corps-related topics. The
Marine Corps performs a valuable service around the world every day and Marines are
often in the best position to share the Marine Corps‟ story with the domestic and foreign
publics.
USMC Online Social Media Guidance for
Unofficial Internet Posts
12
cybersec_20111109_0846 86
2. Guidelines
a. Marines are personally responsible for all content they publish on social networking
sites, blogs, or other websites. In addition to ensuring Marine Corps content is accurate
and appropriate, Marines also must be thoughtful about the non-Marine related content
they post, since the lines between a Marine‟s personal and professional life often blur in
the online space. Marines must be acutely aware that they lose control over content
they post on the Internet and that many social media sites have policies that give these
sites ownership of all content and information posted or stored on those systems. Thus
Marines should use their best judgment at all times and keep in mind how the
content of their posts will reflect upon themselves, their unit, and the Marine Corps.
b. As with other forms of communication, Marines are responsible for adhering to Federal
law, Marine Corps regulations and governing policies when making unofficial Internet
posts. Marines must abide by certain restrictions and policy to ensure good order and
discipline. Federal law, regulations and policies that directly impact a Marine‟s conduct
mandate personal standards of conduct, operational security, information assurance,
release of personally identifiable information, ethics regulations, and the release of
information to the public. A Marine who violates Federal law, regulations or policies
through inappropriate personal online activity is subject to disciplinary action under
the Uniform Code of Military Justice (UCMJ). See the references listed below for more
details.
c. Marines who communicate online about the Marine Corps in unofficial Internet posts
may identify themselves as Marines, to include their rank, military component (e.g.,
Captain Smith, USMC), and status (active or reserve) if desired. However, if Marines
decide not to identify themselves as Marines, they should not disguise, impersonate or
otherwise misrepresent their identity or affiliation with the Marine Corps. When
expressing personal opinions, Marines should make clear that they are speaking for
themselves and not on behalf of the Marine Corps. Use a disclaimer such as: “the
postings on this site are my own and don‟t represent Marine Corps‟ positions or opinions.”
cybersec_20111109_0846 87
d. As with other forms of personal public engagement, Marines should avoid offensive
and inappropriate behavior that could bring discredit upon themselves and the
Marine Corps. This behavior includes posting any defamatory, libelous, obscene,
abusive, threatening, racially or ethnically hateful, or otherwise offensive or illegal
information or material.
e. Marines shall not post classified, controlled unclassified information (CUI), or sensitive
information (for example, tactics, troop movements, force size, weapon system details,
etc). When in doubt, Marines should contact the unit operations officer, security officer,
intelligence officer, or public affairs officer for guidance.
f. Marines should be extremely judicious when disclosing personal details on the Internet,
and should not release personal identifiable information (PII) that could be used to
distinguish their individual identity or that of another Marine. Examples of PII include a
Marine‟s social security number, home address, birthday, birth place, driver‟s license
number, etc. Marines must be aware that criminals use the Internet to gain information for
unscrupulous activities such as identity theft. By piecing together information provided
on different websites, criminals can use information to, among other things,
impersonate Marines and steal passwords. In addition, Marines should utilize privacy
settings on social networking sites so posted personal information and photos can be
viewed only by designated people. Remember, what happens online, is available to
everyone, everywhere. There is no immediate assumption of privacy once users begin to
interact with others online.
g. Marines should not post information that would infringe upon the privacy, proprietary, or
personal rights of others.
h. Marines should not use any words, logos or other marks that would infringe upon the
trademark, service mark, certification mark, or other intellectual property rights of the
owners of such marks without the permission of such owners.
i. Marines may use the eagle, globe and anchor; coat of arms (ega in the center, encircled
with words “United States – Marine Corps”); and other symbols in unofficial posts so long
as the symbols are used in a manner that does not bring discredit upon the Corps, does
not result in personal financial gain, or does not give the impression of official or implied
endorsement. Marines should contact HQMC Division of Public Affairs Trademark and
Licensing office for further clarification or contact their local legal office for an ethics
cybersec_20111109_0846 88
determination prior to engaging in Internet activity that could violate the standards of
conduct. Marines who violate the Marine Corps’ symbols (ega and/or coat of arms)
are potentially subject to legal proceedings.
j. The posting or disclosure of internal Marine Corps documents or information that
the Marine Corps has not officially released to the public is prohibited. This policy
applies no matter how a Marine comes into possession of a document. Examples
include, but are not limited to, memos, e-mails, meeting notes, message traffic, white
papers, public affairs guidance, pre-decisional materials, investigatory information, and
proprietary information. Marines are also prohibited from releasing Marine Corps e-
mail addresses, telephone numbers, or fax numbers not already authorized for
public release.
k. Marines should only discuss Marine Corps issues related to their professional
expertise, personal experiences, or personal knowledge.
l. Marines are encouraged to professionally and respectfully correct errors and
misrepresentations made, by others, about the Marine Corps. Marines must remember
however, to respond and act with their minds and not their emotions when posting
content. Marines should refer to the chain of command or public affairs for guidance if
uncertain about the need for or appropriateness of a response.
m. Marines must adhere to policy in Department of Defense Directive 1344.10 when
posting political content. Marines also should take care not to express or imply Marine
Corps endorsement of any opinions, products or causes other than those already officially
endorsed by the Marine Corps.
n. Marines should be cautious and guard against cyber criminals and attackers by
following sound security procedures (Questions regarding security issues can be directed
to HQMC C4 Information Assurance personnel). When using the Internet and social
media, Marines should not click links or open attachments unless the source can be
trusted. Oftentimes, cyber criminals pretend to be people they are not in order to
deceive Marines into performing actions that launch cyber attacks, download
viruses, and install malware and spyware onto computers.
cybersec_20111109_0846 89
o. Marines should always use strong passwords (10-digit passwords comprised of lower-
and upper-case letters, numbers, and symbols) to protect their online / social media
accounts from getting hacked. Marines also should frequently change their passwords.
p. Marines should be thoughtful about who they allow to access their social media profiles
and personal information (e.g., who Marines allow to be their “friend” on Facebook and
thus allow access to their personal information). Marines should also recognize that
social network “friends” and “followers” may potentially constitute relationships
that could affect determinations in background investigations and periodic
reinvestigations associated with security clearances.
q. Marines must be careful about which online applications they use, since such
applications often have access to a user‟s personal information (e.g., third-party
applications on Facebook).
r. Marines should learn about and use the privacy settings on social media sites.
s. Marines should review their accounts daily for possible use or changes by unauthorized
users.
t. Marines should install and maintain current anti-virus and anti-spyware software on their
personal computers.
u. For answers to social media questions, Marines should contact their local public affairs
office; top level guidance, support and questions can be directed to the appropriate and
applicable points of contact listed below:
3. References:
a. Responsible and Effective Use of Internet-based Capabilities Directive Type Memorandum 09-026 (DTM 09-026) http://www.dtic.mil/whs/directives/corres/pdf/DTM-09-026.pdf b. Joint Ethics Regulation Department of Defense 5500.7-R http://www.dod.mil/dodgc/defense_ethics/ethics_regulation/jer1-6.doc c. Political Activities by Members of the Armed Forces Department of Defense Directive 1344.10 http://www.dtic.mil/whs/directives/corres/pdf/134410p.pdf d. Handling Dissident and Protest Activities Among Members of the Armed Forces
cybersec_20111109_0846 90
Department of Defense Directive 1325.06 http://www.dtic.mil/whs/directives/corres/pdf/132506p.pdf e. Department of the Navy Privacy Program Secretary of Navy Instruction 5211.5E http://doni.daps.dla.mil/Directives/05000%20General%20Management%20Security%20and%20Safety%20Services/05-200%20Management%20Program%20and%20Techniques%20Services/5211.5E.pdf f. Marine Corps Information Assurance Program Marine Corps Order 5239.2 http://www.Marines.mil/news/publications/Documents/MCO%205239.2.pdf g. Clearance of DoD Information for Public Release Marine Corps Order 5230.18 http://www.marines.mil/news/publications/Documents/MCO%205230.18.pdf h. Marine Corps Operations Security Program Marine Corps Order 3070.2 http://www.marines.mil/news/publications/Documents/MCO%203070.2.pdf i. Immediate Ban of Social Networking Sites on the Marine Corps Enterprise Network MARADMIN 0458/09 http://www.Marines.mil/news/messages/Pages/MARADMIN0458-09.aspx j. Responsible and Effective Use of Internet Based Capabilities MARADMIN 181/10 http://www.Marines.mil/news/messages/Pages/MARADMIN181-10.aspx
Marines Offical Site – summer 2010
http://www.marines.mil/usmc/Pages/SocialMediaGuidance.aspx
cybersec_20111109_0846 91
GLOSSARIO
Per una migliore comprensione degli argomenti trattati all‟interno della ricerca, nonché
per la sua rilevanza per l‟intero settore, si riportano di seguito alcuni stralci del Decreto del
Presidente del Consiglio dei Ministri 22 luglio 2011, “Disposizioni per la tutela
amministrativa del segreto di Stato e delle informazioni classificate“132, in particolare
per quanto attiene alle definizioni utili alla ricerca:
Capo I
Principi di sicurezza delle informazioni
Art. 1.
Definizioni
1. Ai fini del presente regolamento si intende per:
a) “legge”, la legge 3 agosto 2007, n. 124;
b) “Sicurezza delle informazioni”, la salvaguardia e la continua e completa protezione delle
informazioni classificate o coperte da segreto di Stato, attraverso l‟adozione di norme e
procedure, organizzative ed esecutive, nei settori delle abilitazioni di sicurezza, della
sicurezza fisica, della tecnologia delle informazioni e delle comunicazioni;
[…]
f) “Segreto di Stato”, il segreto come definito dall‟articolo 39, comma 1, della legge;
g) “Informazione coperta da segreto di Stato”, l‟informazione, la notizia, il documento,
l‟atto, l‟attività, la cosa o il luogo sui quali il vincolo del segreto di Stato sia stato apposto o
opposto e confermato e, ove possibile,annotato;
132
http://www.interno.it/mininterno/export/sites/default/it/sezioni/servizi/legislazione/intelligence/093_2011_07_22_
DPCM22072011.html
cybersec_20111109_0846 92
h) “Classifica di segretezza”, il livello di segretezza attribuito ad un‟informazione ai sensi
dell‟articolo 42 della legge e dell‟articolo 4 del DPCM n. 7 del 12 giugno 2009;
[…]
m) “Informazione classificata”, ogni informazione, atto, attività, documento, materiale o
cosa, cui sia stata attribuita una delle classifiche di segretezza previste dall‟articolo 42,
comma 3, della legge;
n) “Documento classificato”, l‟informazione classificata rappresentata in forma grafica, foto
cinematografica,elettromagnetica, informatica o in ogni altra forma;
o) “Materiale classificato”, qualsiasi oggetto, cosa o componente di macchinario, prototipo,
equipaggiamento, arma, sistema elementare o dispositivo o parte di esso, compreso il
software operativo, prodotto a mano o meccanicamente, automaticamente o
elettronicamente, finito o in corso di lavorazione, compresi i materiali per la sicurezza delle
comunicazioni (COMSEC), l‟elaborazione automatica dei dati (EAD), nonché i prodotti
della tecnologia dell‟informazione (ICT) coperti da una classifica di segretezza;
[…]
r) “Trattazione delle informazioni classificate o coperte da segreto di Stato”, la gestione,
l‟accesso, la conoscenza, la consultazione, l‟elaborazione, la selezione, l‟estrazione, il
raffronto, l‟utilizzo, la comunicazione delle informazioni classificate o coperte da segreto di
Stato;
s) “Gestione dei documenti classificati o coperti da segreto di Stato”, la protezione fisica,
logica e tecnica, l‟originazione, la spedizione, la contabilizzazione, la diramazione, la
ricezione, la registrazione, la riproduzione, la conservazione, la custodia, l‟archiviazione, il
trasporto e la distruzione legittima dei documenti classificati, nonché la preparazione dei
relativi plichi;
[…]
u) “Violazione della sicurezza”, la conseguenza di azioni od omissioni contrarie ad una
disposizione in materia di protezione e tutela delle informazioni classificate, che
potrebbero mettere a repentaglio o compromettere le informazioni stesse;
cybersec_20111109_0846 93
v) “Compromissione di informazioni classificate”, la conoscenza di informazioni classificate
da parte di persona non autorizzata ovvero non adeguatamente abilitata ai fini della
sicurezza o che non abbia la necessità di conoscerle.
[…]
dd) “INFOSEC” (sicurezza delle informazioni), le misure di sicurezza atte a tutelare le
informazioni classificate, o coperte da segreto di Stato, elaborate e memorizzate con
sistemi informatici e trasmesse con sistemi di comunicazione ed altri sistemi elettronici;
ee) “COMSEC” (sicurezza delle comunicazioni), le misure di sicurezza crittografica, delle
trasmissioni, fisica e del personale, finalizzate a garantire la protezione delle informazioni
classificate o coperte da segreto di Stato, trattate attraverso sistemi di comunicazione,
nonché ad impedirne la conoscenza da parte di soggetti non autorizzati;
[…]
gg) “COMPUSEC” (sicurezza dei sistemi EAD), le misure di sicurezza finalizzate a
prevenire la deliberata o involontaria acquisizione, manipolazione, modifica o perdita delle
informazioni classificate, o coperte da segreto di Stato, contenute o elaborate da un
sistema EAD e l‟uso non autorizzato del suddetto sistema;
hh) “TEMPEST”, le tecnologie atte ad eliminare, o ridurre entro valori non pericolosi ai fini
della sicurezza, le emissioni prodotte dalle apparecchiature elettroniche che elaborano e
trattano informazioni classificate o coperte da segreto di Stato;
ii) “Sicurezza cibernetica”, l‟insieme delle misure di sicurezza da attuare per contrastare gli
attacchi informatici che, attraverso le connessioni di rete, possono essere perpetrati ai
danni di sistemi informatici che trattano informazioni classificate o coperte da segreto di
Stato.
cybersec_20111109_0846 94
BIBLIOGRAFIA
A. Ghirardini, “Social engineering. Una guida introduttiva”, ITHB – Italian Black Hats
Association, 2002, su http://www.blackhats.it/it/papers/social_engineering.pdf;
A. Westfeld e A. Pfitzmann, “Attacks on steganographic systems”, Third Information
Hiding Workshop, 1999;
Aaron Dolan, “Social Engineering”, 2004, su
http://www.sans.org/reading_room/whitepapers/engineering/social-
engineering_1365;
Abram N. Shulsky, “Silent Warfare: Understanding the World of Intelligence”, 2nd
ed., revised by Gary J. Schmitt, New York: Brassey‟s US, 1993;
Agence Nationale de la Sécurité des Systémes d‟Information, “Défense et sécurité
des systèmes d‘information. Stratégie de la France”, 2011, in
http://www.ssi.gouv.fr/IMG/pdf/2011-02-
15_Defense_et_securite_des_systemes_d_information_strategie_de_la_France.pdf
Andrew Hoskins, Ben O‟Loughlin e Akil Awan, “Legitimising the Discourses of
Radicalisation: Political Violence in the New Media Ecology. Interim Report‖, ESRC
New Security Challenges Programme;
Andrew S. Tanenbaum, “Computer Networks (4th edition)”, Prentice Hall PTR, 2002;
Arije Antinori, “Sviluppo nell‘ambito nazionale del concetto di ‗Information
Assurance‘ relativo alla protezione delle informazioni nella loro globalità”, in
http://www.difesa.it/SMD/CASD/Istituti_militari/CeMISS/Pubblicazioni/News206/201
1-01/Pagine/Sviluppo_nellambito_nazionale__12341globalita.aspx;
Aspin-Brown Commission on the Roles and Capabilities of the US Intelligence
Community, “Preparing for the 21st Century: An Appraisal of US Intelligence”,
Washington, DC: US Government Printing Office, March 1, 1996;
Australian Government, “Cyber Security Strategy”, 2009, in
http://www.ag.gov.au/www/agd/agd.nsf/Page/CyberSecurity_CyberSecurity;
Australian Government, Department of Defence, Intelligence & Secuirty, “Strategies
to Mitigate Targeted Cyber Intrusions”, 2011, in
http://www.dsd.gov.au/publications/Top_35_Mitigations.pdf;
cybersec_20111109_0846 95
Australian Government, Department of Finance and Deregulation, “Cloud
Computing Strategic Direction Paper”, 2011, in http://www.finance.gov.au/e-
government/strategy-and-
governance/docs/final_cloud_computing_strategy_version_1.pdf;
BITS, “Social Media Risks And Mitigation”, 2011, in
http://www.bits.org/downloads/Publications%20Page/BITSSocialMediaRisksandMiti
gationPaperJune2011.pdf;
Bryan Fite, “Corporate Identity Fraud: Life-Cycle Management of Corporate Identity
Assets”, 2006, su
http://www.sans.org/reading_room/whitepapers/engineering/corporate-identity-
fraud-life-cycle-management-corporate-identity-assets_1650;
Cabinet Office “A Strong Britain in an Age of Uncertainty: The National Security
Strategy”, 2010, in
http://www.direct.gov.uk/prod_consum_dg/groups/dg_digitalassets/@dg/@en/docu
ments/digitalasset/dg_191639.pdf;
Cabinet Office, “Securing Britain in an Age of Uncertainty: The Strategic Defence
and Security Review”, 2010, in
http://www.direct.gov.uk/prod_consum_dg/groups/dg_digitalassets/@dg/@en/docu
ments/digitalasset/dg_191634.pdf;
Censis/Ucsi 9° Rapporto sulla comunicazione;
Chris Trowbridge, “An Overview of Remote Operating System Fingerprinting”, 2003,
su http://www.sans.org/reading_room/whitepapers/testing/overview-remote-
operating-system-fingerprinting_1231;
Commission of the European Communities, “Protecting Europe from large scale
cyber-attacks and disruptions: enhancing preparedness, security and resilience”,
2009, in
http://ec.europa.eu/information_society/policy/nis/docs/comm_ciip/comm_en.pdf;
Craig Hunt, “TCP/IP Network Administration”, O‟Reilly, 1998;
CSIS, “Significant Cyber Incidents Since 2006” su http://csis.org/publication/cyber-
events-2006;
Czech Republic, “Cyber security strategy of the Czech Republic for the 2011 – 2015
period”, 2011, in http://www.enisa.europa.eu/media/news-
items/CZ_Cyber_Security_Strategy_20112015.PDF;
cybersec_20111109_0846 96
D. Dean, M. Franklin e A. Stubblefield, “An algebraic approach to IP traceback”, in
Proceedings of the 2001 Network and Distributed System Security Symposium, San
Diego, CA, February 2001;
D. Song e A. Perring, “Advanced and authenticated marking schemes for IP
traceback” in Proceeding of the 2001 IEEE INFOCOM Conference, Anchorage, AK,
April 2001;
DARPA “Social Media in Strategic Communication (SMISC)”, 2011, in
https://www.fbo.gov/index?s=opportunity&mode=form&id=6ef12558b44258382452f
cf02942396a&tab=core&_cview=0;
DARPA, CINDER (Cyber Insider Threat) su
https://www.fbo.gov/index?s=opportunity&mode=form&id=cf11e81b7b06330fd2498
04f4c247606&tab=core&tabmode=list&;
David Gragg, “A Multi-Level Defense Against Social Engineering”, 2003, su
http://www.sans.org/reading_room/whitepapers/engineering/multi-level-defense-
social-engineering_920;
David Hollis, “Cyberwar Case Study: Georgia 2008”, in Small Wars Journal, 2011,
in http://smallwarsjournal.com/blog/journal/docs-temp/639-hollis.pdf;
Decreto del Presidente del Consiglio dei Ministri 22 luglio 2011, “Disposizioni per la
tutela amministrativa del segreto di Stato e delle informazioni classificate”, in
Gazzetta Ufficiale n. 203, 1 settembre 2011, in
http://www.gazzettaufficiale.it/guridb/dispatcher?service=1&datagu=2011-09-
01&task=dettaglio&numgu=203&redaz=11A11551&tmstp=1315150251489;
Department of Defence, “Department of Defense Strategy for Operating in
Cyberspace”, 2011, in http://www.defense.gov/news/d20110714cyber.pdf;
Department of Defence, “International Strategy for Cyberspace”, 2011, in
http://www.whitehouse.gov/sites/default/files/rss_viewer/international_strategy_for_
cyberspace.pdf;
Department of Information Technology Ministry of Communications & Information
Technology, Government of India, “Framework & Guidelines for Use of Social
Media for Government Organisations”, 2011, in
http://www.mit.gov.in/sites/upload_files/dit/files/SocialMediaFrameworkDraftforPubli
cConsultation_192011.pdf;
Department of the Army, “Human Intelligence Collector Operations”, 2006, su
http://www.fas.org/irp/doddir/army/fm2-22-3.pdf;
cybersec_20111109_0846 97
Douglas E. Comer, “Internetworking with TCP/IP - Principles, Protocols and
Architecture (4th edition)”, Prentice Hall PTR, 2000;
Dutch Ministry of Security and Justice, “The National Cyber Security Strategy
(NCSS)”, 2011, in
http://www.govcert.nl/binaries/live/govcert/hst%3Acontent/actueel/nieuws/nationale-
cyber-security-strategie-gepresenteerd/nationale-cyber-security-strategie-
gepresenteerd/govcert%3AdocumentResource%5B3%5D/govcert%3Aresource;
Evan Kohlmann, “Anatomy of a Modern Homegrown Terror Cell: Aabid Khan et al
(Operation Praline)”, NEFA Foundation report, September 2008, consultabile su:
http://www.nefafoundation.org/miscellaneous/nefaaabidkhan0908.pdf;
Federal Ministry of Interior, “Cyber security strategy for Germany”, 2011, in
http://www.cio.bund.de/SharedDocs/Publikationen/DE/IT-
Sicherheit/css_engl_download.pdf?__blob=publicationFile;
GAO (U.S. Government Accountability Office), “Social Media. Federal Agencies
Need Policies and Procedures for Managing and Protecting Information They
Access and Disseminate”, 2011, in http://www.gao.gov/new.items/d11605.pdf;
Garante per la protezione dei dati personali, “Lavoro: le linee guida del Garante per
posta elettronica e internet”, 2007, in Gazzetta Ufficiale n. 58 del 10 marzo 2007 e
su http://www.garanteprivacy.it/garante/doc.jsp?ID=1387522;
Gerardo Iovane, “I rischi per l‘infrastruttura informatica della Difesa. Individuazione
delle risorse organizzative necessarie al contrasto dell‘attacco informatico per
l‘attivazione di strutture dedicate all‘anti-hacker intelligence” in
http://www.difesa.it/SMD/CASD/Istituti_militari/CeMISS/Pubblicazioni/News206/201
1-02/Pagine/I_rischi_per_linfrastruttur_12446intelligence.aspx;
Giovanni Nacci, “Il Text Mining nelle applicazioni per la sicurezza” su Analisi Difesa,
Mensile di politica e analisi militare, n. 33, 2003;
Giovanni Nacci, “Nuove architetture di intelligence alle porte” su Analisi Difesa,
Mensile di politica e analisi militare, n. 36, 2003;
Giovanni Nacci, “Osint investigativa - Tecnologie ed analisi delle informazioni” in
Intelligence&Storia Top Secret n° 8, 2008;
Giovanni Nacci, “Sicurezza e anonimato in rete. Profili giuridici e tecnologici della
navigazione anonima” a cura di A. Maggipinto, M. Iaselli, Nyberg, Milano, 2005;
Gordon “Fyodor” Lyon, “Nmap Network Scanning: The Official Nmap Project Guide
to Network Discovery and Security Scanning”, Nmap Project, 2009;
cybersec_20111109_0846 98
H. Burch e B. Cheswick, “Tracing anonymous packets to their approximate source”
in Proceedings of the 2000 USENIX LISA Conference, New Orleans, December
2000;
Heather Kratt, “The Inside Story: A Disgruntled Employee Gets His Revenge”, 2005,
in http://www.sans.org/reading_room/whitepapers/engineering/story-disgruntled-
employee-revenge_1548;
I. Avcibas, N. Memon e B. Sankur, “Steganalysis using image quality metrics”, IEEE
Trans. on Image Processing, vol. 12, no. 2, 2003;
Intelligence and National Security Alliance dal titolo “Cyber Intelligence: Setting The
Landscape For An Emerging Discipline”, 2011, in
https://images.magnetmail.net/images/clients/INSA/attach/INSA_CYBER_INTELLI
GENCE_2011.pdf;
Interagency OPSEC Support Staff (IOSS), “Operations Security Intelligence Threat
Handbook: Section 2, Intelligence Collection Activities and Disciplines”, IOSS
Section 2, 1996. http://www.fas.org/irp/nsa/ioss/threat96/part02.htm;
Ira S. Winkler, “Case study of industrial espionage through social engineering”,
National Computer Security Association, su
http://csrc.nist.gov/nissc/1996/papers/NISSC96/paper040/WINKLER.PDF;
J. Postel, “Domain Name System Structure and Delegation”, 1994, su
http://www.rfc-archive.org/getrfc.php?rfc=1591;
J.R. Krenn, “Steganography and Steganalysis”, 2004;
Jared Kee, “Social Engineering: Manipulating the Source”, 2008, su
http://www.sans.org/reading_room/whitepapers/engineering/social-engineering-
manipulating-source_32914;
Joint Publication 3-13, “Joint Doctrine for Information Operations”, 2006, in
http://www.fas.org/irp/doddir/dod/jp3_13.pdf;
Joshua Brower, “Which Disney© Princess are YOU?”, 2010, su
http://www.sans.org/reading_room/whitepapers/privacy/disney-princess-you_33328;
Kaplan Andreas M., Haenlein Michael, “Users of the world, unite! The challenges
and opportunities of social media”, Business Horizons, Vol. 53, Issue 1;
Lawrence Dubin, “The Enemy Within: A System Administrator‟s Look at Network
Security”, 2003, su
http://www.sans.org/reading_room/whitepapers/engineering/enemy-within-system-
administrators-network-security_530;
Loch K. Johnson, “Handbook of Intelligence Studies”, Routledge, 2007;
cybersec_20111109_0846 99
Mainak Banga and Michael S. Hsiao, “A Region Based Approach for the
Identification of Hardware Trojans”, Bradley Department of Electrical and Computer
Engineering, Virginia Tech., 2008, in http://cs.ucsb.edu/~koc/ccs130h/2011/00-hw-
trojans/02.pdf;
Malcolm Allen, “Social Engineering: A Means To Violate A Computer System”,
2007, su http://www.sans.org/reading_room/whitepapers/engineering/social-
engineering-means-violate-computer-system_529;
Marc Sageman, “Leaderless Jihad: Terror Networks in the Twenty-First Century”,
Pennsylvania University Press, 2008;
Marc Sageman, “Understanding Terror Networks”, Pennsylvania University Press,
2004;
Marco Balduzzi, Christian Platzer, Thorsten Holz, Engin Kirda, Davide Balzarotti e
Christopher Kruegel, EURECOM, “Abusing Social Networks for Automated User
Profiling”, 2010, in http://iseclab.org/papers/socialabuse-TR.pdf;
Mark Fioravanti, “Client Fingerprinting via Analysis of Browser Scripting
Environment”, 2010, su
http://www.sans.org/reading_room/whitepapers/testing/client-fingerprinting-analysis-
browser-scripting-environment_33503;
Martin C. Libiki, “Cyberdeterrence and Cyberwar”, RAND, 2009, in
http://www.rand.org/pubs/monographs/2009/RAND_MG877.pdf;
Martin C. Libiki, “Cyberdeterrence and Cyberwar”, RAND, 2009, pag. 20 e ss., in
http://www.rand.org/pubs/monographs/2009/RAND_MG877.pdf;
Martin Manjak, “Social Engineering Your Employees to Information Security”, 2006,
su http://www.sans.org/reading_room/whitepapers/awareness/social-engineering-
employees-information-security_1686;
Mazzoni E., “Reti sociali e reti virtuali: la Social Network Analysis applicata alle
interazioni su web”, in A. Salvini (a cura di), “Analisi delle reti sociali. Teorie, metodi,
applicazioni”, Franco Angeli editore, 2007;
McAfee, “In the dark: McAfee Crucial Industries Confront Cyberattacks” su
http://www.mcafee.com/us/resources/reports/rp-critical-infrastructure-protection.pdf;
McAfee, “McAfee Underground Economies” su
http://www.mcafee.com/us/resources/reports/rp-underground-economies.pdf;
Mele Stefano, “Privacy e user generated content (UGC)”, in “Next Privacy”, Rizzoli –
ETAS, 2010;
cybersec_20111109_0846 100
Michael Herman, “Intelligence power in peace and war”, Cambridge University
Press, 1996;
Ministry of Defence of Estonia, “Cyber Security Strategy”, 2008, in
http://www.kmin.ee/files/kmin/img/files/Kuberjulgeoleku_strateegia_2008-
2013_ENG.pdf;
National Information Security Policy Council, “The Second National Strategy on
Information Security. Aiming for Strong ―Individual‖ and ―Society‖ in IT Age”, 2009,
in http://www.nisc.go.jp/eng/pdf/national_strategy_002_eng.pdf;
National Intelligence Council, “Disruptive Civil Technologies Six Technologies with
Potential Impacts on US Interests out to 2025”, 2008, in
http://www.fas.org/irp/nic/disruptive.pdf;
National Labor Relations Board‟s Acting General Counsel, “Report of the Acting
General Counsel Concerning Social Media Cases”, 2011, in
http://mynlrb.nlrb.gov/link/document.aspx/09031d458056e743;
NATO Glossary of terms and definitions, 2010, su
http://www.nato.int/docu/stanag/aap006/aap-6-2010.pdf;
NATO Parliamentary Assembly, “Committee Report 173 DSCFC 09 E bis - NATO
and Cyber Defence”, 2009, in http://www.nato-
pa.int/default.Asp?SHORTCUT=1782;
Neil F. Johnson, Joe Giordano e Sushil Jajodia, “Steganography and Computer
Forensics: The Investigation of Hidden Information”, George Mason University,
Center for Secure Information Systems, Technical Report, CSIS-TR-99-10-NFJ,
1999;
Niels Provos e Peter Honeyman, “Hide and Seek: An Introduction to
Steganography”, IEEE Computer Society – IEEE Security and Privacy, 2003;
Nigel West, “The SIGINT Secrets: The Signals Intelligence War, 1900 to Today”,
William Morrow, 1988;
Nmap Project, “NMAP Reference Guide” su http://nmap.org/book/man.html;
Office of Public Affairs, Central Intelligence Agency, “Factbook on Intelligence”,
1991;
Organization for Security and Cooperation in Europe (OCSE), “Overall approach by
the OCSE to promote cybersecurity”, 2011, in
http://www.oscepa.org/images/stories/documents/activities/1.Annual%20Session/20
11_Belgrade/Supplementary_Items/04_Overall_Approach_by_the_OSCE_to_Prom
ote_Cybersecurity_Belgium_ENGLISH.pdf;
cybersec_20111109_0846 101
P. Mockapetris, “RFC 882: Domain Names - Concepts and facilities”, 1983, su
http://www.rfc-archive.org/getrfc.php?rfc=882;
P. Mockapetris, “RFC 883: Domain Names - Implementation and specification”,
1983, su http://www.rfc-archive.org/getrfc.php?rfc=883;
Peter R. Neumann e Brooke Rogers, “Recruitment and Mobilisation for the Islamist
Militant Movement in Europe‖, ICSR, King‟s College London, per conto
dell‟European Commission Directorate-General for Justice, Freedom and Security,
October 2008, consultabile su:
http://icsr.info/publications/papers/1234516791ICSREUResearchReport_Proof1.pdf
Quintan Wiktorowicz, “Joining the Cause: Al Muhajiroun and Radical Islam”, in “The
Roots of Islamic Radicalism conference”, Yale University, May 8-9 2004,
consultabile su: http://insct.syr.edu/Projects/islam-
ihl/research/Wiktorowicz.Joining%20the%20Cause.pdf;
R. Chandramouli, “A mathematical framework for active steganalysis”, ACM
Multimedia Systems, vol. 9, no. 3, 2003;
R. Stiennon, “Cyber War”, Government Institute, 2010;
R. Stone, “CenterTrack: an IP overlay network for tracking DoS floods” in
Proceeding of the 2000 USENIX Security Symposium, Denver, CO, July 2000;
Rajat Subhra Chakraborty, Somnath Paul and Swarup Bhunia, “On-Demand
Transparency for Improving Hardware Trojan Detectability”, Department of
Electrical Engineering and Computer Science, Case Western Reserve University,
Cleveland, 2008;
RAND Corporation, “Foundations of Effective Influence Operations. A Framework
for Enhancing Army Capabilities”, 2011, in
http://www.rand.org/pubs/monographs/2009/RAND_MG654.pdf;
RAND Corporation, “The Cloud. Understanding the Security, Privacy and Trust
Challenges”, 2011, in
http://www.rand.org/content/dam/rand/pubs/technical_reports/2011/RAND_TR933.p
df;
Richard A. Clarke & Robert K. Knake, “Cyberwar. The next threat to national
security and what to do about it”, Harper Collins, 2010;
S. Savage, D. Wetherall, A. Karlin e T. Anderson, “Pratical network support for IP
traceback” in Proceedings of the 2000 ACM SIG-COMM Conference, Stockholm,
Sweden, August 2000;
cybersec_20111109_0846 102
SafeCode, “Software Integrity Controls: An Assurance-Based Approach to
Minimizing Risks in the Software Supply Chain”, 2010, in
http://www.safecode.org/publications/SAFECode_Software_Integrity_Controls0610.
pdf;
SecDev Group, Citizen Lab and the Shadowsever foundation, “Shadows in the
cloud: Investigating cyber espionage 2.0”, 2010, in http://secdev.ca/reports.php;
SecDev Group, Citizen Lab and the Shadowsever foundation, “Tracking Ghostnet:
Investigating a Cyber espionage network”, 2009, in http://secdev.ca/reports.php;
Shane W. Robinson, “Corporate Espionage 201”, 2007, su
http://www.sans.org/reading_room/whitepapers/engineering/corporate-espionage-
201_512;
Silvia Schiaffino e Analía Amandi, “Intelligent User Profiling”, in Artificial Intelligence,
M. Bramer (Ed.), LNAI 5640, pp. 193 – 216, 2009, in
http://www.exa.unicen.edu.ar/catedras/knowmanage/apuntes/56400193.pdf;
Singer P. W., “Wired for War: The Robotics Revolution and Conflict in the 21st
Century”, Reprint edition, 2009;
Site Institute, “Irhabi 007 Unveiled: A Portrait of a Cyber-Terrorist”, SITE Report,
2006, ed Evan F. Kohlmann, “The Real Online Terrorist Threat”, Foreign Affairs,
Vol.85, No.5 (2006);
Swedish Emergency Management Agency, “Information security in Sweden.
Situational assessment 2009”, 2009, in
http://www2.msb.se/Shopping/pdf//upload/Publikationsservice/MSB/0119_09_Infor
mation_security_in_Sweden.pdf;
Symantec, “Symantec Internet Security Threat Report. Trends for 2010” su
http://www.symantec.com/business/threatreport/index.jsp;
The Internet Security Alliance (ISA), “Securing the Supply Chain for Electronic
Equipment: A Strategy and Framework”, in
http://www.whitehouse.gov/files/documents/cyber/ISA%20-
%20Securing%20the%20Supply%20Chain%20for%20Electronic%20Equipment.pdf
The Times, “Britain‘s youngest terrorist, Hammaad Munshi, faces jail after guilty
verdict”, 18 August 2008;
Thomas J. Mowbray, “Solution Architecture for Cyber Deterrence”, 2010, su
http://www.sans.org/reading_room/whitepapers/warfare/solution-architecture-cyber-
deterrence_33348;
cybersec_20111109_0846 103
U.S. Government, “Cyberspace Policy Review. Assuring a Trusted and Resilient
Information and Communications Infrastructure”, 2009, in
http://www.whitehouse.gov/assets/documents/Cyberspace_Policy_Review_final.pdf
U.S.-China Economic and Security Review Commission Staff Report, “The National
Security Implications Of Investments And Products From The People‘s Republic Of
China In The Telecommunications Sector”, 2011, in
http://www.uscc.gov/RFP/2011/FINALREPORT_TheNationalSecurityImplicationsofI
nvestmentsandProductsfromThePRCintheTelecommunicationsSector.pdf;
UK Cabinet Office & Detica, “The cost of cybercrimes”, 2011, in
http://www.cabinetoffice.gov.uk/sites/default/files/resources/the-cost-of-cyber-crime-
full-report.pdf;
United States Air Force Chief Scientist, “Report on Technology Horizons. A Vision
for Air Force Science & Technology During 2010-2030”, Volume 1, 2010, in
http://www.af.mil/shared/media/document/AFD-101130-062.pdf;
United States, “National Strategy for Information Sharing. Successes and
Challenges In Improving Terrorism-Related Information Sharing”, 2007, in
http://www.ise.gov/sites/default/files/nsis_book_0.pdf;
US Army War College, “The Principles Of War In The 21st Century: Strategic
Considerations”, Appendix A: “The Principles of War”, 1995;
US Joint Forces Command, Joint Warfighting Center, “Commander‘s Handbook for
Strategic Communications and Communication Strategy”, version 3.0, 2010, in
http://www.carlisle.army.mil/DIME/documents/Strategic%20Communication%20Han
dbook%20Ver%203%20-%20June%202010%20JFCOM.pdf;
Verizon, “Verizon 2011 Data Breach Investigations Report” su
http://www.verizonbusiness.com/resources/reports/rp_data-breach-investigations-
report-2011_en_xg.pdf;
W. Richard Stevens e Gary R. Wright, “TCP/IP Illustrated, Volume 2: The
Implementation”, Addison-Wesley, 1995;
W. Richard Stevens, “TCP/IP Illustrated, Volume 1: The Protocols”, Addison-
Wesley, 1994;
W. Richard Stevens, “TCP/IP Illustrated, Volume 3: TCP for Transactions, HTTP,
NNTP, and the UNIX Domain Protocols”, Addison-Wesley, 1996;
Wendy Arthurs, “A Proactive Defence to Social Engineering”, 2003, su
http://www.sans.org/reading_room/whitepapers/engineering/proactive-defence-
social-engineering_511;
cybersec_20111109_0846 104
White House, “Cyberspace Policy Review. Assuring a Trusted and Resilient
Information and Communications Infrastructure”, 2009, in
http://www.whitehouse.gov/assets/documents/Cyberspace_Policy_Review_final.pdf
White House, “Federal Cloud Computing Strategy”, 2011, in
http://www.cio.gov/documents/Federal-Cloud-Computing-Strategy.pdf;
Xiaoxiao Wang, Mohammad Tehranipoor and Jim Plusquellic, “Detecting Malicious
Inclusions in Secure Hardware, Challenges and Solutions”, 1st IEEE International
Workshop on Hardware-Oriented Security and Trust, 2008, in
http://www.engr.uconn.edu/~tehrani/publications/host08_2.pdf;
Yier Jin and Yiorgos Makris, “Hardware Trojan Detection Using Path Delay
Fingerprint”, Department of Electrical Engineering Yale University, 2008 in
http://www.eng.yale.edu/trela/papers/host08.pdf;
Yves Lafrance, “Psychology: A Precious Security Tool”, 2004, su
http://www.sans.org/reading_room/whitepapers/engineering/psychology-precious-
security-tool_1409.
cybersec_20111109_0846 105
Ce.Mi.S.S.133
Il Centro Militare di Studi Strategici (Ce.Mi.S.S.) e‟ l‟Organismo che gestisce, nell‟ambito e per conto del Ministero della Difesa, la ricerca su temi di carattere strategico.
Costituito nel 1987 con Decreto del Ministro della Difesa, il Ce.Mi.S.S. svolge la propria opera valendosi si esperti civili e militari, italiani ed esteri, in piena libertà di espressione di pensiero.
Quanto contenuto negli studi pubblicati riflette quindi esclusivamente l‟opinione del Ricercatore e non quella del Ministero della Difesa.
Stefano MELE134
Avvocato specializzato in Diritto delle Tecnologie, Privacy, Sicurezza e Intelligence.
Dottore di ricerca presso l‟Università degli Studi di Foggia.
Vive e lavora a Milano, presso un primario Studio legale italiano, dove svolge attività di consulenza per grandi aziende, anche multinazionali, sulle problematiche legali inerenti la Privacy e la protezione dei dati personali, Internet e computer crimes, e-commerce e digital marketing, web services 2.0 e cloud computing, servizi bancari e sanitari elettronici.
E‟ altresì esperto di sicurezza, cyber-terrorismo e cyber-warfare.
E‟ membro del Gruppo di lavoro “CyberWorld” presso l‟OSN (Osservatorio per la Sicurezza Nazionale) del Ce.Mi.S.S.;
E‟ Segretario Generale dell‟Istituto Italiano di Studi Strategici “Nicolò Machiavelli”;
E‟ Senior Researcher del “Dipartimento di Studi d‘Intelligence Strategica e Sicurezza” della Link Campus University di Roma, nonché docente del loro “Master in Studi d‘Intelligence e Sicurezza Nazionale” per i moduli relativi al cyber-terrorismo e al cyber-warfare.
Ha scritto numerosi articoli e approfondimenti giuridici e di strategia pubblicati su riviste e siti web specializzati.
133
http://www.difesa.it/SMD/CASD/Istituti+militari/CeMISS/ 134
http://www.linkedin.com/in/stefanomele