Centro Militare di Studi Strategici

Rapporto di Ricerca 2011 – STEPI AE-SA-16

di Avv. Stefano MELE

data di chiusura della ricerca: Settembre 2011

Cyber Security e Cyber Intelligence.

La sicurezza dei Contingenti Militari contro le

nuove minacce

cybersec_20111109_0846 i

INDICE

SOMMARIO pag. 1

Capitolo 1 – La rilevanza sociale di Internet e dei social media pag. 4

Capitolo 2 – La rilevanza di Internet e dei social media nella diffusione del

radicalismo ideologico pag. 12

Capitolo 3 – La cyber-security come argine alle attività di cyber-

intelligence e di ingegneria sociale pag. 18

Capitolo 4 – Evoluzione tecnologica e nuove forme di minaccia per il

settore militare pag. 28

Capitolo 5 – Le strategie del Comando per i social media e l‘uso

appropriato da parte dei contingenti militari pag. 36

Capitolo 6 – Alcune contromisure tecniche e tecnologiche: anonymizing &

stealthing, cloaking, privacy settings, honeypotting pag. 54

Capitolo 7 – Il Cloud Computing pag. 58

Capitolo 8 – Tecniche di formazione del personale pag. 64

Capitolo 9 – Implicazioni giuridiche alla limitazione / controllo dei social

network pag. 67

Capitolo 10 – Riflessioni conclusive e prospettive future pag. 73

CYBER SECURITY E CYBER INTELLIGENCE.

LA SICUREZZA DEI CONTINGENTI MILITARI CONTRO LE NUOVE MINACCE

cybersec_20111109_0846 ii

SUPPORTO BIBLIOGRAFICO

Capitolo 11 – DHS Terrorist Use of Social Network. Facebook Case

Study pag. 78

Capitolo 12 - USMC Online Social Media Guidance for Unofficial Internet

Posts pag. 85

GLOSSARIO pag. 91

BIBLIOGRAFIA pag. 94

NOTA SUL Ce.Mi.S.S. e NOTA SULL’ AUTORE pag. 105

cybersec_20111109_0846 1

SOMMARIO

Alcune delle minacce più critiche nei confronti dei Paesi occidentali provengono oggi

giorno dal settore dell‟informatica. Sullo scacchiere internazionale, infatti, si muovono con

sempre più efficacia le organizzazioni criminali, interessate a sottrarre attraverso la rete

Internet le informazioni personali e il denaro degli utenti, le spie, intenzionate a rubare i

segreti e le informazioni classificate delle nazioni, nonché i terroristi, impegnati nella

ricerca di nuovi metodi per attentare alle infrastrutture critiche nazionali. Condotte, queste,

agevolate dalla digitalizzazione in massa e dalla conseguente concentrazione delle

informazioni, dall‟insicurezza intrinseca della rete Internet, nonché dall‟estrema facilità di

apparire anonimi nel compimento di questi atti e di risultare, quindi, impuniti. La rilevanza a

livello internazionale di questi argomenti è sottolineata anche dall‟esplosione

dell‟attenzione da parte dei più importanti governi che, dal 2008, hanno cominciato a

dotarsi di proprie e specifiche dottrine strategiche per il cyber-spazio e di veri e propri

“eserciti” per quella che, allo stato attuale impropriamente, viene definita “cyber-war”.

L‟obiettivo del lavoro, pertanto, è di prendere in considerazione, analizzare e valutare i

metodi tecnici e tecnologici attraverso i quali identificare e conseguentemente

neutralizzare le nuove minacce alla sicurezza nazionale e dei contingenti militari

rappresentate dalla cyber-intelligence, soprattutto nell‟ottica del cattivo utilizzo dei social

media e dei congegni tecnologici di uso quotidiano.

Attraverso l‟analisi metodologica delle strategie di sicurezza nazionale dei principali

Paesi occidentali, così come dei più importanti report e delle best practice internazionali in

materia di cyber-security, il lavoro analizza l‟attuale rilevanza di Internet, delle tecnologie

informatiche e dei social media, al fine di porre in evidenza i pericoli per la sicurezza delle

informazioni classificate e/o sensibili derivanti dal loro scorretto utilizzo.

CYBER SECURITY E CYBER INTELLIGENCE.

LA SICUREZZA DEI CONTINGENTI MILITARI CONTRO LE NUOVE MINACCE

cybersec_20111109_0846 2

Il rapporto di ricerca mette in evidenza come la cyber-security, per quanto sia

certamente un elemento indispensabile, non può e non deve rappresentare l‟unica

soluzione a questa annosa questione. La sicurezza tecnico-informatica, infatti, deve

essere affiancata in maniera imprescindibile da opportune e specifiche strategie da parte

di ogni Comando, così come da norme interne (policy) e da percorsi di formazione e

specializzazione del personale, utili a fornire quegli strumenti essenziali per comprendere

il problema piuttosto che semplicemente tamponarlo.

La ricerca, inoltre, si sofferma anche sull‟analisi dei nuovi strumenti per la condivisione

e la conservazione delle informazioni messi a disposizione della tecnologia,

approfondendo, in particolar modo, i vantaggi e le perplessità in materia di sicurezza dei

servizi di cloud computing.

Ampio approfondimento, infine, viene lasciato anche agli aspetti normativi che

entrerebbero in gioco nel caso venga autorizzato un ipotetico controllo sull‟uso fatto dei

social media da parte del personale militare, ovvero in caso di una sua limitazione.

Le conclusioni a cui giunge la ricerca non sono delle più rosee. Emerge con chiarezza,

infatti, la consapevolezza che, di fatto, dato l‟attuale livello di utilizzo per attività “sensibili”

di tecnologie non progettate per la sicurezza (principalmente Internet e il substrato dei

protocolli di trasmissione dati), non è possibile garantire un alto grado di sicurezza contro

la penetrazione di qualsiasi strumento elettronico connesso alla Rete. Pertanto,

nonostante gli investimenti, l‟attenzione, l‟efficienza e la preparazione del personale e dei

tecnici, qualsiasi nazione e/od organizzazione interconnessa elettronicamente e che

utilizzi strumenti elettronici è potenzialmente vulnerabile alla invalidazione mirata delle

informazioni – anche da remoto – nella stessa misura in cui lo è al momento alla loro

manomissione (deny, degrade, disrupt, destroy).

Non mancano le proposte, sviluppate sotto forma di previsione di sviluppo dello specifico

settore, che pur prendendo in considerazione principalmente le attività di carattere

squisitamente tecnico, volte a mettere in sicurezza canali comunicativi ritenuti allo stato

non idonei per le attività sensibili, spaziano anche in proposte di carattere strategico,

tattico e di partnership a livello internazionale.

cybersec_20111109_0846 3

cybersec_20111109_0846 4

Nella storia recente sono pochi gli eventi che sono riusciti a stravolgere

completamente la nostra società nella stessa misura della rivoluzione dell‟informazione,

attuata attraverso il crescente e massiccio uso della rete Internet.

Infatti, chi è abituato a vivere la tecnologia anche solo un singolo passo oltre il semplice

utilizzo di email e telefoni cellulari più o meno evoluti, sa bene che risulta praticamente

impossibile sapere con esattezza quanti siti web sono attualmente presenti “on-line”.

Questo non solo perché il ritmo, secondo alcune stime del dicembre 20101, cresce

incessantemente di circa 26 milioni di nuovi siti all‟anno, ma soprattutto perché i motori di

ricerca faticano a monitorare e catalogare tale crescita inarrestabile, riuscendo ad

“indicizzare” a mala pena una minuscola parte dell‟universo telematico. Per gli amanti dei

numeri, fino al mese di luglio del 2008 (una generazione fa nel mondo della Rete), il

gigante e leader mondiale dei motori di ricerca (Google) è riuscito a catalogare

complessivamente ben mille miliardi di pagine web2, eppure, nonostante la cifra

strabiliante, possiamo attualmente consultare, per loro stessa ammissione, solo “una

minuscola percentuale” delle pagine a disposizione nella Rete.

Del resto Internet viene abitualmente utilizzato dal 53,1% della popolazione italiana e dal

87,4% dei giovani italiani tra i 14 e i 29 anni3: un‟altissima percentuale se si considera che

solo 20 anni fa questo mezzo di comunicazione era praticamente sconosciuto al di fuori

1 Netcraft, “Decemberl 2010 Web Server Survey”, consultabile al seguente link: http://news.netcraft.com/archives/2010/12/01/december-2010-web-server-survey.html. 2 Jesse Alpert & Nissan Hajaj, “We knew the web was big”, Official Google Blog, 25 July 2008, raggiungibile all‟indirizzo: http://googleblog.blogspot.com/2008/07/we-knew-web-was-big.html. 3 Almeno secondo le stime offerte dal 9° Rapporto Censis/Ucsi sulla comunicazione; mentre per quanto riguarda la penetrazione europea nell‟utilizzo della rete Internet, si prendano in considerazione le stime di Eurostat 2010: http://epp.eurostat.ec.europa.eu/cache/ITY_OFFPUB/KS-QA-10-050/EN/KS-QA-10-050-EN.PDF e per le stime del Regno Unito, il continente più attivo d‟Europa in questo settore, si veda: http://www.ons.gov.uk/ons/dcp171778_227158.pdf.

La rilevanza sociale di Internet e dei social

media

1

cybersec_20111109_0846 5

dei palazzi governativi e delle più prestigiose Università. Peraltro, negli ultimi anni,

l‟esplosione del fenomeno dei social media e, soprattutto, dei social network ha

completamente rivoluzionato il modo di incontrarsi e di condividere esperienze su Internet.

I professori Andreas Kaplan e Michael Haenlein definiscono i social media4 come un

gruppo di applicazioni Internet basate sui presupposti ideologici e tecnologici del Web 2.0,

che consentono la creazione e lo scambio di contenuti generati dagli utenti, laddove,

semplificando, un social network altro non è, in un rapporto di genus a species, che

un‟applicazione creata con l‟intento di gestire le relazioni sociali5 degli utenti direttamente

sul web.

Per comprendere a pieno la rilevanza sociale che i social media ormai hanno nella vita di

tutti i giorni, è opportuno, in prima battuta, prendere in considerazione i numeri che allo

stato attuale caratterizzano questi (relativamente) recenti mezzi di comunicazione.

Sono infatti ben 750 milioni gli account aperti in tutto il mondo su Facebook6, 120 milioni

quelli su LinkedIn7, 200 milioni quelli presenti su Twitter8, 25 milioni per il neonato

Google+9 e sono all‟incirca 3 miliardi i video che ogni giorno vengono “clikkati” su

YouTube10.

4 Nell‟originale inglese: “a group of Internet-based applications that build on the ideological and technological

foundations of Web 2.0, and that allow the creation and exchange of user-generated content” - Kaplan Andreas M., Haenlein Michael, “Users of the world, unite! The challenges and opportunities of social media”, Business Horizons, Vol. 53, Issue 1, p. 59-68, 2010. 5 Per approfondire lo studio delle reti sociali inserite nel mondo elettronico, si consiglia la lettura di Mazzoni

E., “Reti sociali e reti virtuali: la Social Network Analysis applicata alle interazioni su web”, in A. Salvini (a cura di) “Analisi delle reti sociali. Teorie, metodi, applicazioni”, Franco Angeli editore, 2007. 6 http://www.facebook.com/press/info.php?statistics.

7 http://press.linkedin.com/about.

8 http://www.bbc.co.uk/news/business-12889048.

9 http://www.pcmag.com/article2/0,2817,2390356,00.asp.

10 http://www.youtube.com/t/press_statistics.

Con in termine ―Web 2.0‖ si indicano l‘insieme delle applicazioni online che permettono un elevato livello di interazione tra il sito e l‘utente, come, ad esempio, blog, forum, chat, ovvero

sistemi quali YouTube, Facebook, Myspace, Twitter, Wikipedia, ecc.. Caratteristiche essenziali dei servizi 2.0 sono: l‘interoperabilità, la collaborazione tra gli utenti, la condivisione delle informazioni contenute nell‘applicazione informatica e la progettazione dell‘applicazione

incentrata sull‘utente.

cybersec_20111109_0846 6

Schermata iniziale di Facebook

Schermata iniziale di LinkedIn

cybersec_20111109_0846 7

Del resto, utilizziamo quasi quotidianamente i più svariati social media per connetterci e

comunicare con i nostri famigliari, gli amici e i colleghi, per condividere notizie e

informazioni, ovvero anche per sviluppare e incrementare il nostro business o quello della

nostra azienda.

Schermata iniziale di Google+

Schermata iniziale di Twitter

cybersec_20111109_0846 8

Appare allora quanto mai scontato che i social media, in quanto trasposizione e

aggregazione digitale di interrelazioni umane, portino con sé ed in sé tanto gli aspetti

positivi quanto, soprattutto, gli elementi negativi degli utenti che alimentano questi

network.

All‟interno di quest‟ultima categoria, gli aspetti criminali e di sicurezza dei contenuti di

queste interrelazioni (in una parola, delle informazioni) sono senza ombra di dubbio quelli

. .

.a maggior impatto sociale ed economico, tanto per i singoli utenti quanto per le

amministrazioni pubbliche e le società private, soprattutto in considerazione dell‟altissima

capacità di concentrazione di informazioni sensibili offerta da ogni singolo social media,

nonché per l‟attuale intrinseca debolezza delle regole11 e dei meccanismi di

comunicazione12 informatici che sono sottesi alla rete Internet13.

11

Tra le altre, si consiglia l‟approfondimento del sistema di risoluzione dei nomi di dominio. Alcuni informazioni preliminari in merito possono essere rintracciate su http://it.wikipedia.org/wiki/Domain_Name_System; P. Mockapetris, “RFC 882: Domain Names - Concepts and facilities”, 1983, in http://www.rfc-archive.org/getrfc.php?rfc=882; P. Mockapetris, “RFC 883: Domain Names - Implementation and specification”, 1983, in http://www.rfc-archive.org/getrfc.php?rfc=883; J. Postel, “Domain Name System Structure and Delegation”, 1994, in http://www.rfc-archive.org/getrfc.php?rfc=1591. 12

Per un‟analisi approfondita del principale protocollo di trasmissione dei dati sulla rete Internet, il TCP/IP, si rinvia a W. Richard Stevens, “TCP/IP Illustrated, Volume 1: The Protocols”, Addison-Wesley, 1994; W. Richard Stevens e Gary R. Wright, “TCP/IP Illustrated, Volume 2: The Implementation”, Addison-Wesley, 1995; W. Richard Stevens, “TCP/IP Illustrated, Volume 3: TCP for Transactions, HTTP, NNTP, and the UNIX Domain Protocols”, Addison-Wesley, 1996; Andrew S. Tanenbaum, “Computer Networks (4

th edition)”,

Prentice Hall PTR, 2002; Craig Hunt, “TCP/IP Network Administration”, O‟Reilly, 1998; Douglas E. Comer, “Internetworking with TCP/IP - Principles, Protocols and Architecture (4

th edition)”, Prentice Hall PTR, 2000.

13 http://en.wikipedia.org/wiki/Internet.

Symantec, di recente, a stimato il valore del mercato dei cyber-crimes nel suo ―Norton Cybercrime Report 2011‖. Secondo il rapporto è di 114 miliardi di dollari il costo sopportato globalmente in conseguenza dei cyber-crimes. In particolare, ―based on the value victims

surveyed placed on time lost due to their cybercrime experiences, an additional $274 billion was lost2. With 431 million adult victims globally in the past year and at an annual price of $388

billion globally based on financial losses and time lost, cybercrime costs the world significantly more than the global black market in marijuana, cocaine and heroin combined ($288 billion)‖.

Maggiori approfondimenti su http://www.symantec.com/content/en/us/home_homeoffice/html/ncr/.

Un altro interessante report da prendere in considerazione, anche se analizza solo la realtà del Regno Unito, è senza dubbio quello dell‘UK Cabinet Office & Detica, ―The cost of cybercrimes‖, 2011, in http://www.cabinetoffice.gov.uk/sites/default/files/resources/the-cost-of-cyber-

crime-full-report.pdf

cybersec_20111109_0846 9

Di fatto, non passa ormai giorno senza che i mass media non diano notizia di nuovi

attacchi informatici14 portati a danno sia di realtà pubbliche che private e motivati dalle

logiche più disparate. Ragioni politiche, religiose, economiche, di concorrenza,

speculative, sono solo le principali cause che allo stato attuale spingono un “mercato”15,

quello dei crimini informatici, dal valore economico per chi lo commette e di danno per chi

lo subisce nella realtà difficilmente calcolabile.

Da ultimo, poi, tra i principali moventi che spingono al compimento di atti criminali

attraverso l‟uso della rete Internet, spiccano sempre più frequentemente quelli legati allo

spionaggio e all‟intelligence, soprattutto a danno di enti, pubblici16 o privati17, legati al

mondo della Difesa.

Le ragioni di un simile interesse verso questo genere di sistemi informatici sono facilmente

rintracciabili anche semplicemente rammentando le vicende dell‟agente dell‟FBI Robert

Philip Hanssen che, in 22 anni di tradimento e spionaggio (dal 1979 al 2001) a favore del

Governo russo, riuscì a fotocopiare e a vendere solo poche centinaia di pagine di

documenti riservati dell‟Agenzia, rischiando, tra l‟altro, fisicamente e in prima persona.

14

La CNET Hacker Chart, pur riportando quasi 100 violazioni a sistemi informatici critici di rilevanza internazionale, prende in considerazione, in realtà, un arco temporale di soli 6 mesi, ovvero il periodo che va dal marzo ad agosto 2011. Il documento, tenuto in costante aggiornamento, è consultabile su: http://sites.google.com/site/cnethackerchart/. 15

Per una completa e approfondita analisi del fenomeno, si prendano in considerazione il “Verizon 2011 Data Breach Investigations Report” in http://www.verizonbusiness.com/resources/reports/rp_data-breach-investigations-report-2011_en_xg.pdf; “Symantec Internet Security Threat Report. Trends for 2010” in http://www.symantec.com/business/threatreport/index.jsp; “McAfee Underground Economies” in http://www.mcafee.com/us/resources/reports/rp-underground-economies.pdf; “In the dark: McAfee Crucial Industries Confront Cyberattacks” in http://www.mcafee.com/us/resources/reports/rp-critical-infrastructure-protection.pdf. 16

Il Wall Street Journal nell‟aprile del 2009 ha svelato che spie cinesi e russe hanno già da tempo violato i sistemi elettronici delle reti elettriche nazionali degli Stati Uniti (le c.d. electricity grid), installando al loro interno programmi azionabili da Internet capaci di disattivarle e/o distruggerle in pochi minuti. L‟articolo può essere consultato qui: http://online.wsj.com/article/SB123914805204099085.html. 17

Da ultimo, l‟FBI ha annunciato pubblicamente la fuoriuscita non autorizzata a luglio 2011di 90.000 indirizzi di posta elettronica “militari” con relative password, in conseguenza della violazione dei server della società Booz Allen Hamilton. Per conoscere i pochi elementi ancora disponibili sulla vicenda, si consiglia: http://www.nextgov.com/nextgov/ng_20110902_1237.php.

Un buon punto di partenza per comprendere il fenomeno può essere rintracciato nel documento ―Significant Cyber Incidents Since 2006‖, redatto e mantenuto aggiornato dal Center for Strategic and International Studies, all‘interno del quale vengono raccolti ed elencati gli attacchi portati a segno ai sistemi informatici e alle reti dei Governi, della Difesa e delle maggiori società hi-tech

americane, nonché i crimini economici con perdite maggiori ad un milione di dollari. Il documento è consultabile su: http://csis.org/publication/cyber-events-2006

cybersec_20111109_0846 10

Attraverso la rete Internet e la digitalizzazione dei documenti, invece, si riduce il rischio di

essere personalmente scoperti durante l‟atto criminoso, quanto, e soprattutto, si possono

sottrarre svariate migliaia di pagine di documenti riservati in un colpo solo, spesso con

estrema facilità e, soprattutto, con un eccellente livello di anonimato. Emblematica, di

recente, è la vicenda del sito Wikileaks18 e dei cablogrammi diplomatici circolanti in Rete

dallo scorso anno19, ovvero quella del giovane analista dell‟intelligence americana, il

soldato di prima classe Bradley Manning20, accusato21 di aver reso pubblico, sempre

attraverso il portale Wikileaks, un filmato che documenta un‟azione militare dell‟esercito

USA22 in Iraq e di averlo trasmesso a una terza parte non governativa.

L‟impatto dei social media nel mondo odierno dell‟informazione ha implicazioni

significative anche e soprattutto per il settore militare, dove la prima e forse più importante

preoccupazione è quella legata agli individui e ai piccoli gruppi (come, ad esempio, una

piccola cellula terroristica), che possono utilizzare le informazioni e le funzionalità derivanti

da questi strumenti tecnologici come un‟efficace arma strategica e asimmetrica. Ciò

perché, la mancanza di governance sulla Rete ne aggrava facilmente e ancor più gli

effetti, in quanto consente la rapida diffusione di qualsiasi tipo di informazione senza alcun

controllo di veridicità, contesto e fondamento etico.

La maggior parte delle dottrine militari internazionali fondano la soluzione a questo e agli

altri problemi derivanti dai social media sul concetto di “Information Superiority”, definito

dal Dipartimento della Difesa (DoD) americano come:

“the capability to collect, process, and disseminate an uninterrupted flow of

information while exploiting or denying an adversary‘s ability to do the

same.”23

18

http://wikileaks.org/. 19

http://racconta.repubblica.it/wikileaks-cablegate/index.php. 20

http://it.wikipedia.org/wiki/Bradley_Manning. 21

http://www.haguejusticeportal.net/eCache/DEF/12/444.html. 22

Lo scandalo che ha portato con sé la vicenda Wikileaks ha costretto il DARPA (Defense Advanced Research Projects Agency) a sviluppare nell‟arco di un mese un programma, denominato CINDER (Cyber Insider Threat), attraverso il quale provare ad arginare la fuga di informazioni riservate da parte degli interni al settore della Difesa americana, monitorandone costantemente la ricerca, l‟indicizzazione e la copia elettronica. Maggiori informazioni su questo interessantissimo progetto possono essere ricavate dal sito https://www.fbo.gov/index?s=opportunity&mode=form&id=cf11e81b7b06330fd249804f4c247606&tab=core&tabmode=list&. 23

Joint Publication 3-13, “Joint Doctrine for Information Operations”, 2006, in http://www.fas.org/irp/doddir/dod/jp3_13.pdf.

cybersec_20111109_0846 11

Appare chiaro tuttavia come, alla luce delle peculiarità della rete Internet e soprattutto dei

social media (di cui si dirà approfonditamente nel prosieguo), attualmente questo obiettivo

sia praticamente irraggiungibile e la guerra delle e sulle informazioni – presenti e future –

in cui le operazioni militari si svolgono è tutt‟altro che vinta.

Alla luce di quanto finora delineato, risulta pertanto di primaria importanza, soprattutto

nell‟ottica della Difesa e delle Forze Armate, cercare di valutare quali siano le strade per

identificare e conseguentemente neutralizzare queste nuove minacce alla sicurezza

nazionale e ai contingenti militari derivanti dalle attività di cyber-intelligence operate da

Paesi ostili, tracciando le opportune contromisure di cyber-security per la protezione e la

tutela delle informazioni classificate e sensibili.

cybersec_20111109_0846 12

Nel settore della Difesa il termine social media è tradizionalmente legato al concetto di

gruppi terroristici e, soprattutto, all‟uso che viene fatto di queste piattaforme sociali. Ciò

non stupisce e non può stupire in quanto consapevoli che anche il radicalismo ideologico

si è messo “al passo con i tempi” ed ha da tempo spostato la sua attenzione al mondo dei

bit. Un mondo decisamente più orizzontale ed immediato nell‟accesso all‟informazione

(diremmo “globalizzato”), maggiormente flessibile nello scambio di qualsiasi tipologia di

dati (documenti, foto, video, audio ecc.) e che, tra l‟altro, permette, agevolmente, il

camuffamento stesso dell‟informazione sensibile (ad esempio, con tecniche di

steganografia24).

24 Per approfondimenti, J.R. Krenn, “Steganography and Steganalysis”, 2004; Niels Provos e Peter Honeyman, “Hide and Seek: An Introduction to Steganography”, IEEE Computer Society – IEEE Security and Privacy, pp. 32-44, 2003; R. Chandramouli, “A mathematical framework for active steganalysis”, ACM Multimedia Systems, vol. 9, no. 3, pp. 303–311, 2003; I. Avcibas, N. Memon e B. Sankur, “Steganalysis using image quality metrics”, IEEE Trans. on Image Processing, vol. 12, no. 2, pp. 221–229, 2003; Neil F. Johnson, Joe Giordano e Sushil Jajodia, “Steganography and Computer Forensics: The Investigation of Hidden Information”, George Mason University, Center for Secure Information Systems, Technical Report, CSIS-TR-99-10-NFJ, 1999; A. Westfeld e A. Pfitzmann, “Attacks on steganographic systems”, Third Information Hiding Workshop, 1999.

La rilevanza di Internet e dei social media

nella diffusione del radicalismo ideologico

2

La steganografia si pone come obiettivo quello di mantenere nascosta l‘esistenza dei dati a chi non conosce la chiave atta ad estrarli, laddove la crittografia si prefigge di non rendere accessibili i dati nascosti a chi non conosce la chiave. LSB (dall‘inglese least significant bit, ovvero bit meno significativo) è la tipologia di steganografia più diffusa. Si basa sulla teoria secondo la quale, un‘immagine digitale ad alta definizione, non cambia contenuto se i colori

vengono modificati in modo impercettibile. Ogni pixel è rappresentato da un colore differente, cambiando il bit meno significativo di ogni pixel, il singolo colore non risulterà variato, e il

contenuto dell‘immagine sarà preservato nonostante questa manipolazione. L‘algoritmo steganografico, pertanto, riceve in input un‘immagine di copertura/contenitore (C)

una chiave (K) ed un dato da nascondere (D). Estrapola da C i bit meno significativi, misurandone la dimensione e verificando se questa è sufficiente per ospitare D. Tramite K, D

viene sparpagliato tra i bit meno significativi, sovrascrivendo i valori originali. Viene così generato S, il dato steganografico. Chi analizzerà S avrà davanti a se un‘immagine plausibile, e pur conoscendo l‘algoritmo avrà bisogno di K per verificare se c‘è un messaggio nascosto

cybersec_20111109_0846 13

Un mondo, in definitiva, decisamente meno soggetto ad essere intercettato e

localizzato, purché si padroneggi efficacemente la tecnica alla base del sistema di

comunicazione prescelto.

Controllare questo genere di media è da tempo l‟obiettivo dei Governi di tutto il mondo,

che, a volte in nome della sicurezza e altre volte per la semplice conservazione del potere,

hanno talvolta cercato di censurare i network utilizzati per la diffusione dell‟ideologia

terroristica o contraria al Governo, per il reclutamento e il proselitismo, ovvero per la

raccolta di finanziamenti. Allo stato dei fatti, però, svolgere un‟attività di repressione di

queste condotte in un mondo così ampio e così poco “catalogabile”, e peraltro, così

propenso ad offrire comode vie di uscita dalle indagini per gli addetti alle attività di contro-

terrorismo, fa apparire i tradizionali metodi investigativi e repressivi come particolarmente

“rudimentali”, costosi ed in molti casi improduttivi di effetti se non minimi. Infatti, limitare

l‟accesso a quei siti che fanno, ad esempio, del radicalismo ideologico il loro servizio

offerto alla comunità, effettuando dei veri e propri defacement25, ovvero delle attività di

filtraggio o, addirittura, di oscuramento totale di questi spazi virtuali, non fa altro che

danneggiare, dopo un notevole dispendio di energie investigative ed economiche,

l‟efficacia stessa delle indagini. Il risultato sarà che “quell‟oasi” virtuale verrà chiusa, la

maggior parte delle volte senza che gli autori vengano effettivamente rintracciati, il sito

sarà quasi immediatamente riaperto altrove, magari replicandolo contemporaneamente su

più indirizzi Internet in modo da non far perdere la continuità dell‟informazione, e le

indagini dovranno essere riprese nuovamente come se niente fosse avvenuto.

Di rilevante importanza è anche l‟aspetto politico. Infatti, se è ormai da ritenere come

un valore acquisito ed ampiamente condiviso che i Governi democratici rispettino e

difendano la libertà di manifestazione del pensiero altrui, qualunque sia il suo reale fine,

allo stesso tempo è dovere di ogni Stato proteggere i propri cittadini dall‟estremismo

politico, dalle idee che polarizzano la dialettica civile e che minano il processo democratico

portando alla violenza. In questa tensione tra opposti ed ugualmente imprescindibili doveri,

pensare di utilizzare strategie repressive volte a negare l‟accesso all‟informazione, anche

nel caso di materiale reso pubblico da gruppi estremisti, rimuovendo i siti incriminati o

anche solo utilizzando dei sistemi di filtraggio, comporta che i Governi democratici

25

Nell‟ambito della sicurezza informatica, con questo termine si intende l‟attività illecita che ha come scopo quello di cambiare la home page di un sito web (la sua “faccia”, appunto) o modificarne, sostituendole, una o più pagine interne.

cybersec_20111109_0846 14

nell‟intento di proteggere i cittadini dal possibile pericolo possano vedere ridotta la propria

legittimazione, anche internazionale, a seguito di tale attività di censura su Internet

limitativa della libertà di espressione.

Ciò detto, vale la pena sottolineare che le leggi che si applicano ai media convenzionali

(televisione, radio, giornali, ecc.) devono necessariamente essere efficaci anche su

Internet. Del resto, non ci sarebbe nessuna valida tesi atta a giustificare come

un‟istigazione a commettere un omicidio possa essere tollerata se manifestata in Rete e

punita se espressa n televisione o diffusa dalle pagine di un quotidiano. Non va altresì

sottaciuto che spesso si omette di prendere in considerazione (o si ignora) che Internet è

un fenomeno slegato da qualsiasi concetto di “confine nazionale”, all‟interno del quale –

come è ovvio che sia – non si possono agevolmente applicare le leggi statali di settore, e

che nel tempo i c.d. “contenuti generati dagli utenti”26 (user generated contents) stanno

acquisendo sempre maggiore importanza in quanto consentono lo scambio diretto e

immediato di informazioni tramite l‟utilizzo dei social network, dei programmi di

messaggistica istantanea e dei web-forum, sì da rappresentare, allo stato attuale, il

principale veicolo informativo mondiale.

Svolgere un‟attività efficace di contro-terrorismo in Rete non può tuttavia sostanziarsi

nell‟utilizzo degli stessi metodi informatici adoperati dagli attori che si muovono sulla scena

del radicalismo ideologico. Svolgere questa delicata attività significa agire su più piani,

ugualmente importanti ed interoperabili tra loro, non dimenticando mai di essere in

presenza di un fenomeno legato tanto al mondo “virtuale” quanto a quello “reale”,

attualmente vero obiettivo del radicalismo ideologico, che mira a destabilizzare l‟ordine

costituito, sfruttando la coesione ideologica nata ed alimentata proprio su Internet.

Pertanto, per quanto possa apparire scontato, non è superfluo rimarcare che ogni tentativo

di contrasto che abbia inizio in Rete dovrà necessariamente trovare la sua logica e fattuale

prosecuzione nel mondo materiale, dato che l‟obiettivo ultimo è proprio quello di apportare

rilevanti cambiamenti nel “mondo reale”.

Non risulta possibile, tra l‟altro, ravvisare alcuna differenza tra la natura generica delle

motivazioni che spingono all‟utilizzo della rete Internet quei soggetti che hanno come

scopo specifico l‟ attività di terrorismo/proselitismo ideologico e le motivazioni che sono

alla base dell‟uso degli stessi strumenti tecnologici da parte degli utenti comuni.

26

Sulle problematiche giuridiche attuali ed evolutive dei contenuti generati dagli utenti, si veda, dello stesso Autore, Mele Stefano, “Privacy e user generated content (UGC)”, in “Next Privacy”, Rizzoli – ETAS, 2010.

cybersec_20111109_0846 15

Le “comodità” offerte da questo sistema di comunicazione sono sotto gli occhi di tutti e

possono essere facilmente ravvisabili:

nel quasi totale abbattimento dei costi e dei tempi di comunicazione delle

informazioni;

nella capacità di accedere ovunque al patrimonio di informazioni condivise;

nella possibilità di creare “reti” sociali anche a grande distanza e con minimi sforzi e

sacrifici (economici e non);

nella possibilità di rimanere, qualora lo si desideri e si posseggano le dovute

competenze tecniche, completamente anonimi.

Le differenze che possono emergere, allora, devono essere rintracciate nel contenuto

delle informazioni che vengono scambiate e nello scopo per il quale avviene questo

scambio. Tralasciando i contenuti, che sono comunque facilmente immaginabili, è

importante concentrare l‟attenzione sullo scopo per il quale queste informazioni possono

essere veicolate (anche) attraverso l‟utilizzo della Rete e quali sono i principali vantaggi

nel farlo, al fine di comprendere il reale ruolo di questo strumento nelle attività di

terrorismo e proselitismo ideologico. In quest‟ottica, vale la pena prendere in

considerazione che l‟uso della rete Internet:

rende più semplice ed immediato l‟ingresso e l‟integrazione di un reclutando

nell‟organizzazione terroristica, criminale, spionistica, estremista;

garantisce la possibilità per l‟organizzazione di poter comunicare anche con la

cellula più isolata;

permette agli estremisti di rinforzare agevolmente messaggi e azioni terroristiche,

supportandole con video, suoni ed immagini che diano immediatamente nei proseliti

(e non) il senso “reale” degli avvenimenti;

consente di creare un nuovo e diverso “contesto sociale” dove il potenziale affiliato

possa rendersi conto che anche le idee ritenute socialmente inaccettabili e

raccapriccianti, sono considerate “normali” ed auspicabili.

Anche solo dall‟esame di questi elementi, è indubbio, quindi, che la rete Internet e in

particolar modo i social media abbiano attualmente un ruolo più che rilevante in questo

cybersec_20111109_0846 16

contesto, poiché incentivano, intensificano ed accelerano il processo di proselitismo e di

radicamento di qualunque ideologia deviante27.

Nonostante ciò, un aspetto imprescindibile nelle fasi di indottrinamento e reclutamento

estremista resta tutt‟ora legato al vincolo instaurato attraverso i rapporti interpersonali.

Anche il caso di Younis Tsouli, più noto come “Irabhi007”, emerso agli inizi del 2004 nel

panorama terroristico come indiscusso leader del jihadismo on-line dopo aver

semplicemente aderito ad alcuni tra i più importanti web-forum, ha ricevuto un‟attenzione

rilevante perché trattasi di una eccezione inusuale e tra l‟altro, ad oggi non replicata28.

Molti studiosi della materia, infatti, hanno più volte evidenziato che Internet, pur

assumendo un ruolo primario di supporto ed agevolazione nel processo di radicamento

ideologico, non sostituisce mai completamente il bisogno di un contatto umano diretto tra il

potenziale affiliato ed il reclutatore29. Per esemplificare, un recente studio, svolto

dall‘International Centre for the study of radicalisation and political violence ed avente ad

oggetto il reclutamento del Movimento per il Jihad Islamico sul territorio europeo, ha

rilevato come nessuno tra i militanti e gli attivisti (o presunti tali), a maggior ragione tra i più

radicali, siano stati effettivamente indottrinati e reclutati solo ed esclusivamente on-line,

lasciando trasparire, al contrario, una strategia molto più ancorata al tradizionale

passaparola tra amici e tra persone fidate30. Come dimostra il caso di Hamaad Munshi31,

le attività di radicamento dell‟ideologia terroristica e di reclutamento, pur avendo una forte

componente virtuale, devono essere obbligatoriamente supportate da un processo

“interscambiabile” in cui gli avvenimenti che hanno luogo nel mondo reale devono essere

rafforzati e consolidati nel mondo virtuale e viceversa32.

27

Un interessante approfondimento su questo tema può essere rinvenuto attraverso la lettura del documento intitolato “DHS Terrorist Use of Social Network. Facebook Case Study”, riportato nella seconda parte di questo lavoro, al capitolo 11, a supporto della bibliografia. 28

Per approfondimenti, si veda Site Institute, “Irhabi 007 Unveiled: A Portrait of a Cyber-Terrorist”, SITE Report, 2006, ed Evan F. Kohlmann, “The Real Online Terrorist Threat”, Foreign Affairs, Vol.85, No.5 (2006), pp.115-124. 29

Tra tutti, si veda Marc Sageman, “Understanding Terror Networks”, Pennsylvania University Press, 2004, e, dello stesso Autore, “Leaderless Jihad: Terror Networks in the Twenty-First Century”, Pennsylvania University Press, 2008. 30

Peter R. Neumann e Brooke Rogers, “Recruitment and Mobilisation for the Islamist Militant Movement in Europe‖, ICSR, King‟s College London, per conto dell‟European Commission Directorate-General for Justice, Freedom and Security, October 2008, consultabile su: http://icsr.info/publications/papers/1234516791ICSREUResearchReport_Proof1.pdf. 31

Per la storia completa, si veda “Britain‘s youngest terrorist, Hammaad Munshi, faces jail after guilty verdict”, The Times, 18 August 2008, nonché, Evan Kohlmann, “Anatomy of a Modern Homegrown Terror Cell: Aabid Khan et al (Operation Praline)”, NEFA Foundation report, September 2008, consultabile su: http://www.nefafoundation.org/miscellaneous/nefaaabidkhan0908.pdf. 32

Nel merito, Quintan Wiktorowicz, “Joining the Cause: Al Muhajiroun and Radical Islam”, in “The Roots of Islamic Radicalism conference”, Yale University, May 8-9 2004, consultabile su: http://insct.syr.edu/Projects/islam-ihl/research/Wiktorowicz.Joining%20the%20Cause.pdf.

cybersec_20111109_0846 17

Pertanto, appare attualmente illogico – e sarebbe peraltro un grosso errore – pensare

di poter risolvere il problema del radicalismo ideologico ed arginare quello del

reclutamento svolgendo operazioni di “pulizia” della Rete dai siti che propagandano una

determinata ideologia, ovvero disconnettendo i soggetti eventualmente coinvolti in queste

attività.

L‟unica soluzione che appare percorribile risulta essere quella di svolgere interventi

proattivi, piuttosto che reattivi, affidandosi a strategie specificatamente predisposte per

Internet e i social media e tarate sulle esigenze operative della Difesa o dei contingenti

militari, che possono essere significativamente diverse a seconda degli Enti a cui si

rivolgono (ad es., Ministero degli Esteri, Ministero dell‟Interno, Ministero della Difesa, ecc.).

Ed, inoltre, ANDREW HOSKINS, BEN O‟LOUGHLIN e AKIL AWAN, “Legitimising the Discourses of Radicalisation: Political Violence in the New Media Ecology. Interim Report‖, ESRC New Security Challenges Programme.

cybersec_20111109_0846 18

Le Forze Armate sono ormai sempre più spesso impegnate in operazioni di peace

support, lotta al terrorismo, all‟immigrazione clandestina, al narcotraffico, alla pirateria. Al

riguardo, la messa a disposizione e l‟utilizzo di reti informatiche non classificate, come

Facebook, Twitter, Flickr solo per citarne alcuni, anche solo per il benessere del

personale, espone le Forze Armate a rischi sempre più elevati di perdita di informazioni

sensibili che, se inserite in un opportuno ciclo di intelligence33, possono arrecare un

notevole danno alla sicurezza del contingente militare, delle operazioni in corso e più in

generale della Difesa in toto.

E‟ pertanto opportuno per la comprensione di questa minaccia provare, in prima battuta, a

dare una definizione di strategic intelligence e tactical intelligence, per poi approdare a

quella di cyber-intelligence.

Una definizione standard di strategic intelligence è quella che la vede come:

“the knowledge and foreknowledge of the world around us – the prelude to

Presidential decision and action”34.

In estrema sintesi, quindi, si tratta della lente attraverso la quale un leader cerca di

comprendere i potenziali rischi e i possibili benefici sia a livello nazionale che

internazionale.

33

http://en.wikipedia.org/wiki/Intelligence_cycle_management. 34

Office of Public Affairs, Central Intelligence Agency, “Factbook on Intelligence”, 1991, p. 13.

La cyber-security come argine alle attività

di cyber-intelligence e di ingegneria sociale

3

cybersec_20111109_0846 19

A questa si può affiancare la definizione di intelligence in senso tattico, ovvero:

“events and conditions on specific battlefields or theaters of war, what

military commanders refer to as ‗situational awareness‘ “35.

Più frequentemente, però, la parola intelligence assume il significato di “informazione”,

ovvero:

“a tangible product collected and analyzed (assessed or interpreted) in

hopes of achieving a deeper comprehension of subversive activities at

home or political, economic, social, and military situations around the

world”36.

Un‟informazione, tuttavia, differente rispetto a quelle che normalmente possono essere

carpite dai quotidiani o apprese attraverso i mass media: quella tipica di intelligence è

un‟informazione che deve avere in sé anche una componente ben specifica, quella del

segreto. L‟intelligence, infatti, spesso37 comporta l‟accesso ad “information some other

party is trying to deny”38 e pertanto:

“intelligence in government usually has a more restricted meaning than

just information and information services. It has particular associations

with international relations, defence, national security and secrecy, and

with specialized institutions labelled ‗intelligence‘ “39.

Si può a questo punto provare a definire il concetto di cyber-intelligence come

l‟insieme degli sforzi e delle attività svolte da o per conto di un‟organizzazione, progettate

e messe in atto per identificare, tracciare, misurare e/o monitorare, attraverso l‟utilizzo di

strumenti informatici, le minacce digitali, i dati e/o le operazioni di un avversario.

Le azioni di cyber-intelligence, inoltre, devono prevedere la possibilità di attività operative

critiche o sensibili su reti private, computer, apparecchiature elettroniche, dispositivi per la

comunicazione e attrezzature fondamentali per le attività quotidiane del nemico, nonché

35

Loch K. Johnson, “Handbook of Intelligence Studies”, Routledge, 2007, pag. 1. 36

Loch K. Johnson, “Handbook of Intelligence Studies”, Routledge, 2007, pag. 1. 37

Nonostante non si possa sottacere che, da uno studio americano effettuato dall‟Aspin-Brown Commission on the Roles and Capabilities of the US Intelligence Community, “Preparing for the 21st Century: An Appraisal of US Intelligence” (Washington, DC: US Government Printing Office, March 1, 1996), il 95% delle informazioni “d‟intelligence” portate all‟attenzione dei decisori provengano in realtà da fonti aperte. 38

Abram N. Shulsky, “Silent Warfare: Understanding the World of Intelligence”, 2nd ed., revised by Gary J. Schmitt, New York: Brassey‟s US, 1993, p. 193. 39

Michael Herman, “Intelligence power in peace and war”, Cambridge University Press, 1996, pag. 1.

cybersec_20111109_0846 20

presuppongono idonee competenze per una – anche costante – raccolta informativa in

merito alle capacità offensive, difensive e d‟intelligence, presenti e future, dell‟avversario.

Com‟è ormai facile intendere, anche in conseguenza dei recenti avvenimenti40, la

cyber-intelligence deve rappresentare una priorità strategica41.

Data la peculiarità e la complessità delle attività che si celano dietro questa parola le

operazioni di cyber-intelligence spesso possono non essere sufficienti da sole a fornire al

decisore una visione informativa completa. In questi casi, dunque, ad esse potranno

essere affiancati altri metodi d‟intelligence tradizionali come, prima fra tutti, la human

intelligence (HUMINT)42. In particolar modo per mezzo di questa “category of intelligence

derived from information collected and provided by human sources“43 è possibile

generare un quadro preciso e puntuale in merito alle minacce informatiche globali,

colmando quelle lacune verso cui la signal intelligence (SIGINT)44 e la cyber-intelligence

non possono allo stato attuale far fronte. E‟ fuor di dubbio, infatti, che, a differenza delle

armi nucleari e delle altre armi di distruzione di massa, le c.d. cyber-weapons non

richiedono mai particolari infrastrutture, né tantomeno materiali speciali e, spesso, neppure

conoscenze tecniche particolarmente approfondite per essere predisposte e/o lanciate.

In quest‟ottica, quindi, si dovrebbe fare esclusivo affidamento sulle poche, spesso labili,

tracce elettroniche lasciate dall‟avversario nelle fasi preliminari all‟attacco informatico,

ovvero quelle di footprinting45, fingerprinting46, scanning47 ed enumerazione48 dei

40

CNET Hacker Chart, cit.. 41

Interessante in questo senso può essere la lettura del recentissimo studio dell‟Intelligence and National Security Alliance dal titolo “Cyber Intelligence: Setting The Landscape For An Emerging Discipline”, 2011, in https://images.magnetmail.net/images/clients/INSA/attach/INSA_CYBER_INTELLIGENCE_2011.pdf. 42

http://en.wikipedia.org/wiki/Human_intelligence_%28espionage%29, ma anche Department of the Army, “Human Intelligence Collector Operations”, 2006, in http://www.fas.org/irp/doddir/army/fm2-22-3.pdf. 43

NATO Glossary of terms and definitions, 2010, in http://www.nato.int/docu/stanag/aap006/aap-6-2010.pdf. 44

Nigel West, “The SIGINT Secrets: The Signals Intelligence War, 1900 to Today”, William Morrow, 1988. Interagency OPSEC Support Staff (IOSS), “Operations Security Intelligence Threat Handbook: Section 2, Intelligence Collection Activities and Disciplines”, IOSS Section 2, 1996. http://www.fas.org/irp/nsa/ioss/threat96/part02.htm. 45

E‟ l‟attività di raccolta d‟informazioni su un bersaglio volta a creare un profilo quasi completo dello stato di sicurezza di un‟organizzazione. Questo genere di tecniche mirano a trasformare il bersaglio in una serie di nomi di dominio, blocchi di rete, sottoreti, router e singoli indirizzi IP dei sistemi direttamente connessi ad Internet, estrapolando, qualora possibile, il maggior numero di dettagli sulla loro sicurezza. 46

Per una prima introduzione, Mark Fioravanti, “Client Fingerprinting via Analysis of Browser Scripting Environment”, 2010, in http://www.sans.org/reading_room/whitepapers/testing/client-fingerprinting-analysis-browser-scripting-environment_33503; Thomas J. Mowbray, “Solution Architecture for Cyber Deterrence”, 2010, in http://www.sans.org/reading_room/whitepapers/warfare/solution-architecture-

cybersec_20111109_0846 21

sistemi elettronici49. I tradizionali metodi di cyber-intelligence per la raccolta di

informazioni riservate, pertanto, potrebbero mostrare il fianco quando l‟obiettivo è quello di

comprendere a pieno le capacità e/o le intenzioni reali del nemico, qualora non vengano

comunque affiancati anche da attività similari nel “mondo fisico”.

Un ulteriore elemento che si collega a quanto appena analizzato e che pertanto,

seppure brevemente, deve essere tenuto in debita considerazione, è quello relativo alle

tecniche d‟ingegneria sociale50: ovvero, quella disciplina che studia il comportamento

cyber-deterrence_33348; Chris Trowbridge, “An Overview of Remote Operating System Fingerprinting”, 2003, in http://www.sans.org/reading_room/whitepapers/testing/overview-remote-operating-system-fingerprinting_1231. 47

Se le due fasi precedenti sono utili alla raccolta del maggior numero possibile di informazioni sul bersaglio, spesso anche senza inviare nemmeno un singolo pacchetto dati a destinazione, la scansione dei sistemi è il primo momento in cui l‟attaccante comincia a saggiare la sicurezza dei sistemi informatici da violare. Un‟utile risorsa per comprendere in linee generali le varie tecniche di scanning dei sistemi informatici si può rinvenire nella pagina di manuale del software NMAP, il più utilizzato per questo genere di attività, “NMAP Reference Guide” su http://nmap.org/book/man.html. Un testo certamente molto utile è quello redatto dall‟autore del programma, Gordon “Fyodor” Lyon, “Nmap Network Scanning: The Official Nmap Project Guide to Network Discovery and Security Scanning”, Nmap Project, 2009. 48

Ultimo passo delle attività preliminari ad un attacco informatico, l‟enumerazione è la fase in cui si esaminano più in dettaglio i servizi precedentemente identificati alla ricerca di eventuali punti deboli. A differenza delle altre attività, l‟enumerazione comporta sempre l‟utilizzo di connessioni attive ai sistemi bersaglio e di interrogazioni dirette ad essi. E‟ proprio in questa fase, allora, che l‟attaccante può lasciare il maggior numero di tracce elettroniche. 49

Per approfondimenti, si veda Gerardo Iovane, “I rischi per l‘infrastruttura informatica della Difesa. Individuazione delle risorse organizzative necessarie al contrasto dell‘attacco informatico per l‘attivazione di strutture dedicate all‘anti-hacker intelligence” in http://www.difesa.it/SMD/CASD/Istituti_militari/CeMISS/Pubblicazioni/News206/2011-02/Pagine/I_rischi_per_linfrastruttur_12446intelligence.aspx 50

Per uno studio introduttivo a questa disciplina si prendano in considerazione, Joshua Brower, “Which Disney© Princess are YOU?”, 2010, in http://www.sans.org/reading_room/whitepapers/privacy/disney-

Di eccezionale interesse in questo senso è l‘articolo di David Hollis intitolato ―Cyberwar Case Study: Georgia 2008‖, in Small Wars Journal, 2011, in http://smallwarsjournal.com/blog/journal/docs-

temp/639-hollis.pdf. Al suo interno l‘Autore evidenzia come ―targets in cyberspace need to be identified and accesses developed prior to any actual military operation. The actual planned attacks and activities

need to be practiced at a low level to assess their effectiveness. In future cyber combat, nations will need to conduct these preparatory operations, reconnaissance activities, and probing attacks well in advance of

any network attack conducted in support of traditional military operation. There will be an attempt to disguise these activities but it is possible that they can be detected by the target nation networks. An alert and capable national cyber defense organization (with effective cyber-intelligence capabilities) conducting

cyberspace counter-reconnaissance in combination/collaboration with an intelligence community conducting effective counter-intelligence in the cyberspace domain can effectively monitor and potentially degrade aggressor nation and hacker militia cyberspace preparatory activities. [...] Generally (not always),

only Nation-state cyberspace operators may have the patience and resources to conduct long-time line operations while hacker militias historically have less resources, shorter timelines, and often have a

strong psychological need for immediate gratification/feedback. Identifying and then monitoring the health of national critical infrastructure or ―key terrain‖ in cyberspace (ex: government networks; critical

communications nodes; national-level power, financial, and health networks; selected media outlets; and

vital enclave networks) are critical to providing advanced warning of aggression‖.

cybersec_20111109_0846 22

individuale di una persona al fine di carpirne delle informazioni. Difatti, non sono per nulla

rari i casi passati alla letteratura di atti di spionaggio industriale51 basati su questa

tipologia di attacco, così come azioni strettamente legate al mondo informatico52, pilotate

attraverso lo sfruttamento delle debolezze del comportamento umano. Non di deve

dimenticare, infatti, che la maggior parte dei virus informatici53 o delle tecniche di

phishing54, ad esempio, utilizzano, seppur in maniera generalizzata e non mirata, delle

tecniche di ingegneria sociale per far sì che l‟utente del sistema informatico sia invogliato

ad aprire l‟allegato infetto, ovvero ritenga valido e credibile il contenuto dell‟email ricevuta.

Appare indiscutibile, quindi, come simili tecniche possano essere agilmente sfruttate,

soprattutto nei confronti della psicologia dei militari impegnati in zone operative, per

carpire informazioni sensibili ovvero per indurre un soggetto ad aprire un file infetto55

allegato ad una email.

Appare evidente allora che, per fronteggiare una simile minaccia, che basa la sua

forza sull‟insicurezza degli strumenti tecnologici, sulla poca accortezza degli utenti e sulle

princess-you_33328; Jared Kee, “Social Engineering: Manipulating the Source”, 2008, in http://www.sans.org/reading_room/whitepapers/engineering/social-engineering-manipulating-source_32914; Shane W. Robinson, “Corporate Espionage 201”, 2007, in http://www.sans.org/reading_room/whitepapers/engineering/corporate-espionage-201_512; Martin Manjak, “Social Engineering Your Employees to Information Security”, 2006, in http://www.sans.org/reading_room/whitepapers/awareness/social-engineering-employees-information-security_1686; Bryan Fite, “Corporate Identity Fraud: Life-Cycle Management of Corporate Identity Assets”, 2006, in http://www.sans.org/reading_room/whitepapers/engineering/corporate-identity-fraud-life-cycle-management-corporate-identity-assets_1650; Heather Kratt, “The Inside Story: A Disgruntled Employee Gets His Revenge”, 2005, in http://www.sans.org/reading_room/whitepapers/engineering/story-disgruntled-employee-revenge_1548; Yves Lafrance, “Psychology: A Precious Security Tool”, 2004, in http://www.sans.org/reading_room/whitepapers/engineering/psychology-precious-security-tool_1409; Aaron Dolan, “Social Engineering”, 2004, in http://www.sans.org/reading_room/whitepapers/engineering/social-engineering_1365; Lawrence Dubin, “The Enemy Within: A System Administrator‘s Look at Network Security”, 2003, in http://www.sans.org/reading_room/whitepapers/engineering/enemy-within-system-administrators-network-security_530; David Gragg, “A Multi-Level Defense Against Social Engineering”, 2003, in http://www.sans.org/reading_room/whitepapers/engineering/multi-level-defense-social-engineering_920; Wendy Arthurs, “A Proactive Defence to Social Engineering”, 2003, in http://www.sans.org/reading_room/whitepapers/engineering/proactive-defence-social-engineering_511; A. Ghirardini, “Social engineering. Una guida introduttiva”, ITHB – Italian Black Hats Association, 2002, in http://www.blackhats.it/it/papers/social_engineering.pdf. 51

Ira S. Winkler, “Case study of industrial espionage through social engineering”, National Computer Security Association, in http://csrc.nist.gov/nissc/1996/papers/NISSC96/paper040/WINKLER.PDF. 52

Malcolm Allen, “Social Engineering: A Means To Violate A Computer System”, 2007, in http://www.sans.org/reading_room/whitepapers/engineering/social-engineering-means-violate-computer-system_529. 53

http://it.wikipedia.org/wiki/Virus_%28informatica%29. 54

http://en.wikipedia.org/wiki/Phishing. 55

Un esempio classico, seppure ormai datato, di ingegneria sociale “spicciola” applicata al mondo informatico, tanto banale quanto efficace, è quello legato al worm denominato “ILOVEYOU” che, nel lontano 2000, riuscì ad infettare ben 10 milioni di computer in tutto il mondo semplicemente facendo credere all‟utente che l‟allegato fosse una lettera d‟amore. Maggiori informazioni su questo storico worm possono essere trovate qui: http://it.wikipedia.org/wiki/ILOVEYOU.

cybersec_20111109_0846 23

tecniche di ingegneria sociale, un primo argine alla possibile fuoriuscita di informazioni

classificate e sensibili viene proprio da politiche di cyber-security stringenti, accorte e,

soprattutto, specificatamente tarate sulle esigenze operative del contingente.

Con il termine cyber-security56 si definiscono a livello tecnico quell‟insieme di processi –

e non di prodotti software – volti all‟analisi delle vulnerabilità e alla successiva protezione

dell‟integrità logico-funzionale dei sistemi informatici, nonché dei dati in essi contenuti

ovvero scambiati durante una comunicazione tra utenti.

In un‟ottica di sicurezza nazionale, invece, la cyber-security altro non è che la capacità di

resistere alle minacce intenzionali e non intenzionali attuate contro i sistemi informatici a

rilevanza nazionale, nonché di rispondere e rimediare a dette azioni.

Da quando nel 2009 il Presidente degli Stati Uniti d‟America ha dichiarato la sicurezza

delle reti informatiche americane “one of the most serious economic and national

security threats our nation faces”57, il tema della cyber-security è diventato di primaria

importanza per i governi di tutto il mondo che, oltre ad aver stanziato per questo settore

budget58 spesso da capogiro, hanno ben presto provveduto a formalizzare attraverso

documenti strategici dedicati i principi che devono regolare la materia.

56

http://en.wikipedia.org/wiki/Cyber_security_standards. 57

Discorso consultabile su http://www.whitehouse.gov/the-press-office/remarks-president-securing-our-nations-cyber-infrastructure. 58

Per quanto riguarda gli USA, è possibile analizzare il budget in materia di cyber-security previsto per il DHS nel “Congressional Budget Justification - Fiscal Year 2012”, reperibile su http://www.dhs.gov/xlibrary/assets/dhs-congressional-budget-justification-fy2012.pdf; per il NIST, invece, è possibile consultare questa pagina web: http://www.nist.gov/public_affairs/releases/budget_2012.cfm; le cifre riservate al DARPA sono reperibili presso http://www.darpa.mil/NewsEvents/Budget.aspx; infine, il budget del Dipartimento della Difesa è presente su http://comptroller.defense.gov/Budget2012.html. Per quanto riguarda invece il Regno Unito, il Ministro della Difesa ha previsto un aumento del budget dedicato alla cyber-security di £650 milioni, ovvero 1.07 miliardi di dollari. Maggiori approfondimenti qui: http://www.ft.com/cms/s/0/3380103a-8b21-11e0-b2f1-00144feab49a.html#axzz1XNA9Z0Gv.

cybersec_20111109_0846 24

Per quanto l‟estrema interconnessione garantita dal progresso tecnologico e informatico

stia velocemente erodendo sempre più il confine tra gli ambiti tattico, operativo e

strategico in materia di cyber-security, è ancora possibile mettere in luce come, tra le

numerose priorità strategiche che legano attraverso un filo comune le dottrine a livello

Numerosi Stati si sono già dotati di uno o più documenti ufficiali di policy per il settore della cyber-sicurezza. In ordine cronologico, si prendano in considerazione:

Ministry of Defence of Estonia, “Cyber Security Strategy”, 2008, in http://www.kmin.ee/files/kmin/img/files/Kuberjulgeoleku_strateegia_2008-2013_ENG.pdf;

National Information Security Policy Council, “The Second National Strategy on Information Security. Aiming for Strong ―Individual‖ and ―Society‖ in IT Age”, 2009, in

http://www.nisc.go.jp/eng/pdf/national_strategy_002_eng.pdf; Swedish Emergency Management Agency, “Information security in Sweden. Situational

assessment 2009”, 2009, in http://www2.msb.se/Shopping/pdf//upload/Publikationsservice/MSB/0119_09_Information

_security_in_Sweden.pdf; Australian Government, “Cyber Security Strategy”, 2009, in

http://www.ag.gov.au/www/agd/agd.nsf/Page/CyberSecurity_CyberSecurity; U.S. Government, “Cyberspace Policy Review. Assuring a Trusted and Resilient Information

and Communications Infrastructure”, 2009, in http://www.whitehouse.gov/assets/documents/Cyberspace_Policy_Review_final.pdf;

Commission of the European Communities, “Protecting Europe from large scale cyber-attacks and disruptions: enhancing preparedness, security and resilience”, 2009, in

http://ec.europa.eu/information_society/policy/nis/docs/comm_ciip/comm_en.pdf; NATO Parliamentary Assembly, “Committee Report 173 DSCFC 09 E bis - NATO and Cyber

Defence”, 2009, in http://www.nato-pa.int/default.Asp?SHORTCUT=1782; Cabinet Office “A Strong Britain in an Age of Uncertainty: The National Security Strategy”, 2010,

in http://www.direct.gov.uk/prod_consum_dg/groups/dg_digitalassets/@dg/@en/documents

/digitalasset/dg_191639.pdf; Cabinet Office, “Securing Britain in an Age of Uncertainty: The Strategic Defence and Security

Review”, 2010, in http://www.direct.gov.uk/prod_consum_dg/groups/dg_digitalassets/@dg/@en/documents

/digitalasset/dg_191634.pdf; Agence Nationale de la Sécurité des Systémes d‟Information, “Défense et sécurité des

systèmes d‘information. Stratégie de la France”, 2011, in http://www.ssi.gouv.fr/IMG/pdf/2011-02-

15_Defense_et_securite_des_systemes_d_information_strategie_de_la_France.pdf; Dutch Ministry of Security and Justice, “The National Cyber Security Strategy (NCSS)”, 2011, in

http://www.govcert.nl/binaries/live/govcert/hst%3Acontent/actueel/nieuws/nationale-cyber-security-strategie-gepresenteerd/nationale-cyber-security-strategie-

gepresenteerd/govcert%3AdocumentResource%5B3%5D/govcert%3Aresource; Federal Ministry of Interior, “Cyber security strategy for Germany”, 2011, in

http://www.cio.bund.de/SharedDocs/Publikationen/DE/IT-Sicherheit/css_engl_download.pdf?__blob=publicationFile;

Department of Defence, “International Strategy for Cyberspace”, 2011, in http://www.whitehouse.gov/sites/default/files/rss_viewer/international_strategy_for_cybe

rspace.pdf; Department of Defence, “Department of Defense Strategy for Operating in Cyberspace”, 2011,

in http://www.defense.gov/news/d20110714cyber.pdf; Czech Republic, “Cyber security strategy of the Czech Republic for the 2011 – 2015 period”,

2011, in http://www.enisa.europa.eu/media/news-items/CZ_Cyber_Security_Strategy_20112015.PDF.

cybersec_20111109_0846 25

internazionale, proprio il tema della sicurezza delle informazioni59, recentemente definita

dal legislatore italiano in maniera magistrale come “la salvaguardia e la continua e

completa protezione delle informazioni classificate o coperte da segreto di Stato,

attraverso l‘adozione di norme e procedure, organizzative ed esecutive, nei settori delle

abilitazioni di sicurezza, della sicurezza fisica, della tecnologia delle informazioni e delle

comunicazioni”60, sia al centro delle preoccupazioni dei Governi. In particolare, risulta

interessante mettere in risalto gli obiettivi che il governo statunitense si è prefissato

all‟interno della sua “International Strategy for Cyberspace“61, in cui, tra le “Policy

Priorities”, esplicitamente si pone lo scopo di “protect our networks enhancing security,

reliability, and resiliency” attraverso i seguenti principi:

1. “Promote cyberspace cooperation, particularly on norms of behavior

for states and cybersecurity, bilaterally and in a range of multilateral

organizations and multinational partnerships”;

2. “Reduce intrusions into and disruptions of U.S. networks”;

3. “Ensure robust incident management, resiliency, and recovery

capabilities for information infrastructure”

4. “Improve the security of the high-tech supply chain, in consultation

with industry”.

Questo, però, senza dimenticare che:

“in an interconnected global environment, weak security in one nation‘s

systems compounds the risk to others. No one nation can have full insight

into the world‘s networks; we have an obligation to share our insights

about our own networks and collaborate with others when events might

threaten us all. As we continue to build and enhance our own response

capabilities, we will work with other countries to expand the international

networks that support greater global situational awareness and incident

response—including between government and industry. The United States

59

Per approfondimenti, si veda Arije Antinori, “Sviluppo nell‘ambito nazionale del concetto di ‗Information Assurance‘ relativo alla protezione delle informazioni nella loro globalità”, in http://www.difesa.it/SMD/CASD/Istituti_militari/CeMISS/Pubblicazioni/News206/2011-01/Pagine/Sviluppo_nellambito_nazionale__12341globalita.aspx 60

Art. 1, comma 1, lett. b), del Decreto del Presidente del Consiglio dei Ministri 22 luglio 2011, “Disposizioni per la tutela amministrativa del segreto di Stato e delle informazioni classificate”, in Gazzetta Ufficiale n. 203, 1 settembre 2011, in http://www.gazzettaufficiale.it/guridb/dispatcher?service=1&datagu=2011-09-01&task=dettaglio&numgu=203&redaz=11A11551&tmstp=1315150251489. 61

Department of Defence, “International Strategy for Cyberspace”, cit..

cybersec_20111109_0846 26

Government actively participates in watch, warning, and incident response

through exchanging information with trusted networks of international

partners. We will expand these capabilities through international

collaboration to enhance overall resilience. The United States will also

work to engage international participation in cybersecurity exercises, to

elevate and strengthen established operating procedures with our

partners”62.

Il primo e più importante obiettivo, pertanto, è e resta quello di raggiungere una completa e

soprattutto reale cooperazione internazionale in materia di cyber.security, così come

recentemente proposto anche dall‟OCSE a ben 56 nazioni – America e Russia comprese

– nel suo “Overall approach by the OCSE to promote cybersecurity“63, al fine di:

promote a safer cyberspace to contribute to the fight against transnational

threats as well as to the security and stability of the OSCE area;

use the exhaustive geographical forum that is the OSCE, and its overall

approach to security, focused on respect of human rights and the rule of

law, to draw up confidence-building measures to promote cybersecurity in

its region; including:

a. measures promoting transparency, such as national exchanges of

views on international legal standards, and on possible political

commitments concerning codes of conduct for States in their use of

information and communication technologies, particularly in support

of the normative work by the United Nations and the Council of

Europe, or exchanges of good practice,

b. measures to promote stability and risk reduction, for example by

establishing crisis communication links;

62

Department of Defence, “International Strategy for Cyberspace”, cit.. 63

Organization for Security and Cooperation in Europe (OCSE), “Overall approach by the OCSE to promote cybersecurity”, 2011, in http://www.oscepa.org/images/stories/documents/activities/1.Annual%20Session/2011_Belgrade/Supplementary_Items/04_Overall_Approach_by_the_OSCE_to_Promote_Cybersecurity_Belgium_ENGLISH.pdf.

cybersec_20111109_0846 27

support the overall efforts of the United Nations to promote cybersecurity

[…], particularly:

a. promotion of dialogue between States to discuss the standards

concerning the use by States of information and communication

technologies, to reduce the collective risk and protect critical national

and international infrastructure;

b. development of confidence-building measures to deal with the

implications of the use by States of information and communication

technologies, including their use in conflicts;

c. exchanges of information, particularly on national legislation and best

practices, policies, technologies and security strategies.

Se il dialogo e lo scambio di informazioni tra Stati costituiscono il perno su cui

attualmente poggiano i progetti e le discussioni in atto a livello internazionale, soprattutto

per armonizzare il quadro normativo e gli standard di sicurezza, a livello interno e

strettamente nazionale, in considerazione di quanto si è detto, quattro sono quegli

elementi che, in conclusione, appaiono di fondamentale importanza per il raggiungimento

di un efficace e reale livello di sicurezza nello spazio cibernetico, utili a “tamponare” le

azioni di cyber-intelligence provenienti dagli avversari: 1. Capacità di intelligence

finalizzata all‟early warning (tattico/strategico); 2. Riconoscimento dell‟autore

(Reconnaissance); 3. Resilienza dei sistemi informatici (Resilience); 4. Risposta agli

attacchi, sia in maniera convenzionale che non convenzionale (Retaliation), ovvero con

strumenti politico/diplomatici.

cybersec_20111109_0846 28

E‟ fin troppo chiaro, allora, come l‟evoluzione dei servizi tecnologici, soprattutto quelli

che si sono sviluppati intorno al mondo di Internet e che stanno convergendo sempre più

velocemente verso quello delle comunicazioni mobili, seppure abbiano portato nei fatti ad

un indiscutibile vantaggio sociale, richiedano per il loro impiego un‟attenta valutazione in

materia di sicurezza. Non di meno, inoltre, il loro utilizzo dovrà essere contemperato alle

primarie esigenze operative, soprattutto nei casi in cui i contingenti militari si trovino ad

operare in ambienti e/o in situazioni critiche.

Inquadrato il problema principale è opportuno evidenziare come i social media non

siano per il settore militare l‟unica nuova fonte di minaccia derivante dall‟evoluzione

tecnologica: ogni operatore militare, infatti, porta (e sempre più porterà64) fisicamente con

sé apparecchiature tecnologiche utili al miglior assolvimento degli scopi operativi.

Tra l‟altro, nonostante il codice penale militare di guerra, all‟art. 65, esplicitamente punisca

con la reclusione militare fino ad un anno “chiunque nella zona delle operazioni militari ,

senza permesso dell‘autorità competente, porta o usa macchine fotografiche di qualunque

specie”, ovvero il Regolamento di disciplina militare65, all‟art. 49, comma 1, lett. b),

rubricato come “Detenzione e uso di cose di proprietà privata nei luoghi militari”,

esplicitamente rileva che “può essere proibito dal comandante del corpo o da altra autorità

superiore, in relazione a particolari esigenze di sicurezza, anche temporanee, l‘uso o la

semplice detenzione di macchine fotografiche o cinematografiche o di apparecchiature per

registrazioni foniche o audiovisive”, la detenzione e l‟utilizzo anche in zone di operazioni

militari di apparecchi tecnologici privati, capaci come nel caso di uno smartphone di

64

http://en.wikipedia.org/wiki/Future_Force_Warrior. 65

Decreto del Presidente della Repubblica 11/07/1986, n. 545, in Gazzetta Ufficiale del 15 settembre, n. 214.

Evoluzione tecnologica e nuove forme di

minaccia per il settore militare

4

cybersec_20111109_0846 29

fungere contemporaneamente da telefono cellulare, macchina fotografica, postazione per

la connessione ad Internet e rilevatore GPS, continua ad essere un comportamento

comunque non sorvegliato.

Sistemi di posizionamento e navigazione GPS, sistemi che comunicano per mezzo del

protocollo Wi-Fi66 o Bluetooth67, smartphones, pads e le loro applicazioni, ma anche

carte di credito, cartellini identificativi e carte di fidelizzazione, infatti, sono solo alcuni degli

strumenti e delle metodologie di comunicazione che, in alcuni casi, già oggi “vestono” i

nostri militari, sia quelli operativi che amministrativi. In questi casi, ulteriori minacce alla

sicurezza delle comunicazioni68 e delle informazioni scambiate e/o conservate attraverso

questo genere di tecnologie, possono derivare da:

1. insicurezza dell‟hardware69 e del software70 utilizzati all‟interno degli

apparecchi tecnologici, che già in fase di produzione (hardware) o di scrittura

(software) possono essere facilmente manomessi71, in modo tale da

consentire – in maniera quasi completamente non rilevabile per le

apparecchiature di sicurezza – l‟accesso alle informazioni gestite e la loro

sottrazione.

Emblematico in questo senso è il caso della produzione dell‟hardware,

soprattutto se si tiene in considerazione che ancor oggi la quasi totalità delle

apparecchiature elettroniche viene prodotta in Paesi orientali, la Cina72 tra

66

http://it.wikipedia.org/wiki/Wi-Fi. 67

http://it.wikipedia.org/wiki/Bluetooth. 68

Definite dal legislatore all‟art. 1, comma 1, lett. ee), del Decreto del Presidente del Consiglio dei Ministri 22 luglio 2011, come “le misure di sicurezza crittografica, delle trasmissioni, fisica e del personale, finalizzate a garantire la protezione delle informazioni classificate o coperte da segreto di Stato, trattate attraverso sistemi di comunicazione, nonché ad impedirne la conoscenza da parte di soggetti non autorizzati”. 69

R. Stiennon, “Cyber War”, Government Institute, 2010, pag. 135; Richard A. Clarke & Robert K. Knake, “Cyberwar. The next threat to national security and what to do about it”, Harper Collins, 2010; Martin C. Libiki, “Cyberdeterrence and Cyberwar”, RAND, 2009, pag. 20 e ss., in http://www.rand.org/pubs/monographs/2009/RAND_MG877.pdf. 70

SafeCode, “Software Integrity Controls: An Assurance-Based Approach to Minimizing Risks in the Software Supply Chain”, 2010, in http://www.safecode.org/publications/SAFECode_Software_Integrity_Controls0610.pdf. 71

White House, “Cyberspace Policy Review. Assuring a Trusted and Resilient Information and Communications Infrastructure”, 2009, pag. 34 in http://www.whitehouse.gov/assets/documents/Cyberspace_Policy_Review_final.pdf; The Internet Security Alliance (ISA), “Securing the Supply Chain for Electronic Equipment: A Strategy and Framework”, in http://www.whitehouse.gov/files/documents/cyber/ISA%20-%20Securing%20the%20Supply%20Chain%20for%20Electronic%20Equipment.pdf. 72

U.S.-China Economic and Security Review Commission Staff Report, “The National Security Implications Of Investments And Products From The People‘s Republic Of China In The Telecommunications Sector”, 2011, in http://www.uscc.gov/RFP/2011/FINALREPORT_TheNationalSecurityImplicationsofInvestmentsandProductsfromThePRCintheTelecommunicationsSector.pdf.

cybersec_20111109_0846 30

tutti, che, almeno apparentemente73, sembrano essere tra i maggiori

responsabili degli innumerevoli attacchi informatici subiti dai Paesi occidentali.

Infatti, manomettere le apparecchiature hardware in fase di produzione

significa, successivamente alla loro implementazione, rendere non rilevabili ai

software di sicurezza la presenza di congegni atti alla sottrazione dei dati e

delle informazioni. Per comprendere agevolmente questo ragionamento, è

sufficiente prendere in considerazione il modello ISO-OSI74, dal 1978 lo

standard di riferimento per l‟interconnessione di sistemi di computer, per

verificare come il livello fisico (Physic Layer) e quello di collegamento

(Datalink Layer) lavorano ben al di sopra e in maniera del tutto indipendente

dallo strato dei meccanismi e delle tecnologie di trasmissione usati per la

connessione (Host Layers), non lasciando così spazio al software, salvo in rari

casi, di “vedere” cosa circola a livello hardware75;

2. insicurezza e vulnerabilità del software e/o dei protocolli di comunicazione (i

c.d. bug) utilizzati dai dispositivi elettronici, che permettono a loro volta di

portare una serie di attacchi più o meno efficaci e pericolosi per la sicurezza

delle informazioni in essi contenute.

Tra le principali categorie attualmente esistenti, può essere utile richiamare

alla memoria, in ordine alfabetico e sebbene in maniera semplicistica e

sintetica, gli attacchi di tipo:

- Denial of service (o DoS)

E‟ un metodo di attacco, proveniente da una singola “sorgente”, che ha

come obiettivo quello di portare il funzionamento di un sistema informatico

73

SecDev Group, Citizen Lab and the Shadowsever foundation, “Shadows in the cloud: Investigating cyber espionage 2.0”, 2010, in http://secdev.ca/reports.php; SecDev Group, Citizen Lab and the Shadowsever foundation, “Tracking Ghostnet: Investigating a Cyber espionage network”, 2009, in http://secdev.ca/reports.php. 74

http://it.wikipedia.org/wiki/Open_Systems_Interconnection. 75

Per alcune contromisure a questa minaccia, di prenda in considerazione lo studio di Mainak Banga and Michael S. Hsiao, “A Region Based Approach for the Identification of Hardware Trojans”, Bradley Department of Electrical and Computer Engineering, Virginia Tech., 2008, in http://cs.ucsb.edu/~koc/ccs130h/2011/00-hw-trojans/02.pdf; Rajat Subhra Chakraborty, Somnath Paul and Swarup Bhunia, “On-Demand Transparency for Improving Hardware Trojan Detectability”, Department of Electrical Engineering and Computer Science, Case Western Reserve University, Cleveland, 2008; Yier Jin and Yiorgos Makris, “Hardware Trojan Detection Using Path Delay Fingerprint”, Department of Electrical Engineering Yale University, 2008 in http://www.eng.yale.edu/trela/papers/host08.pdf; Xiaoxiao Wang, Mohammad Tehranipoor and Jim Plusquellic, “Detecting Malicious Inclusions in Secure Hardware, Challenges and Solutions”, 1st IEEE International Workshop on Hardware-Oriented Security and Trust, 2008, in http://www.engr.uconn.edu/~tehrani/publications/host08_2.pdf.

cybersec_20111109_0846 31

che fornisce un servizio (ad esempio un sito web) al limite delle

prestazioni, lavorando su uno dei parametri d‟ingresso, fino a renderlo non

più in grado di erogare il servizio. Gli attacchi vengono abitualmente attuati

inviando molti pacchetti di richieste – di solito ad un server Web, FTP o di

posta elettronica – saturandone le risorse e rendendo tale sistema

“instabile”. Sfruttando i servizi disponibili sulla macchina bersaglio,

qualsiasi sistema collegato ad una rete e che fornisca servizi è soggetto al

rischio di attacchi di tipo Denial of Service.

- Distributed Denial of service (o DoS)

E‟ la variante più comune del DoS visto in precedenza, che ne amplifica

esponenzialmente gli effetti, poiché, per portare l‟attacco, sfrutta un‟intera

“rete” coordinata e distribuita di sistemi informatici (botnet76) e non una

singola “sorgente”;

- Exploit

Sono strumenti (tools), più o meno sofisticati e spesso liberamente

disponibili al pubblico, sfruttati dai criminali informatici per scovare e/o

sfruttare le vulnerabilità dei sistemi telematici e per guadagnarne

indebitamente l‟accesso;

- Logic bombs

E‟ una forma di sabotaggio elettronico, che consiste nell‟inserire una

porzione di codice malevolo all‟interno di un qualsiasi programma

apparentemente innocuo. Il programmatore fa sì che il software esegua

un‟azione distruttiva (modificare, cancellare file, bloccare il sistema o

svolgere qualsiasi altra operazione dannosa) allorché un evento, già

previsto, si verifica all‟interno del sistema;

- Sniffer

Contrazione di “packet sniffer”, sono programmi volti all‟intercettazione

passiva e all‟analisi dei dati che transitano su una rete telematica, al fine di

76

http://en.wikipedia.org/wiki/Botnet.

cybersec_20111109_0846 32

acquisire fraudolentemente password o altre informazioni sensibili degli

(ignari) utenti di quel medesimo segmento di rete (spesso una rete

interna);

- Trojan horse

Un trojan o trojan horse, in italiano “Cavallo di Troia”, è un tipo di malware.

Deve il suo nome al fatto che, come con il mitico stratagemma inventato

da Ulisse, le sue funzionalità sono nascoste all‟interno di un programma

apparentemente utile. E‟ dunque l‟utente stesso che, installando ed

eseguendo un certo programma, inconsapevolmente installa ed esegue

anche il codice malevole in esso nascosto;

- Virus

E‟ un programma che è in grado, una volta eseguito, di infettare alcune

tipologie di file in modo da riprodursi e fare più copie possibili di sé stesso,

generalmente senza farsi rilevare dall‟utente. Nell‟uso comune, il termine

virus viene frequentemente ed impropriamente usato come sinonimo di

malware, indicando quindi di volta in volta anche categorie di programmi

malevoli diversi, come ad esempio worm o trojan;

- Worm

E‟ un software indipendente che si riproduce e propaga da un sistema

infetto all‟altro attraverso una rete (come, ad esempio, Internet). A

differenza dei virus informatici, un worm non richiede l‟intervento

dell‟utente per propagarsi, essendo capace di sfruttare una o più

vulnerabilità dei programmi o servizi presenti sul sistema bersaglio;

- Zero-day exploit

Lo zero-day è un tipo di attacco informatico che inizia nel “giorno zero”,

ovvero nel momento in cui è scoperta una falla di sicurezza in un sistema.

Questo tipo di attacco può mietere molte vittime, proprio perché è lanciato

quando ancora non è stato distribuito alcun aggiornamento di sicurezza

(patch) e quindi i sistemi sono completamente scoperti contro questo

genere di minaccia telematica.

cybersec_20111109_0846 33

Ovviamente queste tecniche di attacco trovano il maggior punto di forza

nella possibilità di essere anche combinate tra loro. E‟ questo il caso

dell‟ormai famigerato worm Stuxnet77, entrato nella storia come la prima

cyber-weapon di importanza geopolitica di cui si è potuto leggere il codice

sorgente78 e valutarne gli effetti reali. Per compromettere e infettare i

sistemi informatici industriali prodotti dalla Siemens e utilizzati dall‟Iran79

nelle centrali di arricchimento dell‟uranio, questo malware, infatti, ha

impiegato contemporaneamente ben 4 diversi exploit di tipo zero-day oltre

a 2 exploit già conosciuti.

Un ulteriore elemento che deve necessariamente essere preso in

considerazione, ben conosciuto soprattutto da chi si occupa di indagini nel

settore informatico, è la possibilità di lanciare questo genere di attacchi

rimanendo (quasi) del tutto anonimi. Infatti, sfruttando le vulnerabilità

intrinseche della rete Internet – rete creata dall‟Agenzia DARPA80 per

essere funzionale e non sicura, e che, pertanto, risulta assolutamente

inadatta agli usi che oggi le vengono affidati (a maggior ragione se da

parte di militari) – è possibile, se non addirittura “facile”, far risultare che gli

attacchi informatici provenienti da indirizzi IP asiatici o russi siano stati

commessi, ad esempio, da computer fisicamente presenti in Italia. E‟

questa la logica (semplificata) che è alla base delle tecniche di IP

bouncing81, consistenti nel mascherare l‟indirizzo IP facendo “rimbalzare” il

proprio segnale e le proprie informazioni attraverso più sistemi “terzi”,

precedentemente violati e che non effettuano alcuna registrazione (log)

degli accessi e delle operazioni compiute su di essi.

77

http://en.wikipedia.org/wiki/Stuxnet. 78

http://thehackernews.com/2011/07/stuxnet-source-code-released-online.html. 79

Der Spiegel, “Stuxnet Virus Opens New Era of Cyber War”, in http://www.spiegel.de/international/world/0,1518,778912,00.html. 80

http://it.wikipedia.org/wiki/Storia_di_Internet. 81

Per un‟introduzione, invece, sulle metodologie informatiche per il rintraccio di attacchi informatici “mascherati”, si prenda in considerazione R. Stone, “CenterTrack: an IP overlay network for tracking DoS floods” in Proceeding of the 2000 USENIX Security Symposium, pag. 199-212, Denver, CO, July 2000; S. Savage, D. Wetherall, A. Karlin e T. Anderson, “Pratical network support for IP traceback” in Proceedings of the 2000 ACM SIG-COMM Conference, pag. 295-306, Stockholm, Sweden, August 2000; H. Burch e B. Cheswick, “Tracing anonymous packets to their approximate source” in Proceedings of the 2000 USENIX LISA Conference, pag. 319-327, New Orleans, December 2000; D. Dean, M. Franklin e A. Stubblefield, “An algebraic approach to IP traceback”, in Proceedings of the 2001 Network and Distributed System Security Symposium, San Diego, CA, February 2001; D. Song e A. Perring, “Advanced and authenticated marking schemes for IP traceback” in Proceeding of the 2001 IEEE INFOCOM Conference, Anchorage, AK, April 2001.

cybersec_20111109_0846 34

3. inadatta configurazione software dei dispositivi, che potrebbe consentire e

anzi agevolare gli attacchi presi in considerazione al punto precedente. Si

pensi, ad esempio, al classico caso di computer utilizzati dagli utenti con

privilegi di “root” o di “administrator”, ovvero a password troppo deboli per

proteggere la sicurezza dei sistemi o quasi mai sostituite per semplice pigrizia;

4. utilizzo poco accorto e non compliant con gli standard – anche i più semplici –

di sicurezza dei dispositivi da parte dell‟utente, che così espone i propri dati,

quelli presenti all‟interno dei dispositivi e, a volte, anche quelli degli utenti

collegati allo stesso segmento di rete locale ai medesimi attacchi visti al punto

2;

5. uso di strumenti tecnici e/o tecnologici esterni da parte di soggetti ostili, volti a

rendere inutilizzabili le apparecchiature utilizzate. E‟ questo il caso dei c.d.

jammer, ovvero dei disturbatori di frequenza capaci di emettere

intenzionalmente onde o segnali radio che interferiscono con il funzionamento

di radar, ponti radio, telefoni cellulari, sistemi GPS e, più in generale, di tutti

quegli apparecchi elettronici che ormai vengono giornalmente utilizzati.

Dato l‟ampio spettro di possibilità e metodi utili per veicolare attacchi informatici a

danno della sicurezza delle informazioni e delle comunicazioni dei contingenti militari,

appare evidente che, parallelamente alla ricerca di soluzioni tecnologiche sempre più

sicure, occorra fin da subito istruire il personale militare sull‟uso appropriato di questi

imprescindibili strumenti, primi fra tutti quelli c.d. “sociali” legati ad Internet, che, pur non

comportando un attacco diretto e immediato alla sicurezza delle informazioni, possono

comunque rappresentare un ulteriore metodo di Advanced Persistent Threat82.

82

http://en.wikipedia.org/wiki/Advanced_persistent_threat.

cybersec_20111109_0846 35

Occorre tenere presente, però, che un sostanziale ostacolo alla imprescindibilità

dell‟istruzione e formazione del personale militare è dato dal “digital divide” generazione,

che pone i principali addestratori (come, ad esempio, i superiori gerarchici) nella posizione

di essere, in realtà, proprio i soggetti meno avvezzi all‟uso e alla comprensione

approfondita di tali strumenti e delle relative problematiche di sicurezza.

Esemplificazione di un ciclo di APT derivante da malware

cybersec_20111109_0846 36

Una delle più importanti sfide che i comandanti sono attualmente chiamati ad

affrontare è quella inerente lo sviluppo di una strategia per i social media capace di

adattarsi ai cambiamenti sociali in atto e alle esigenze operative.

All‟interno del governo americano, proprio di recente, anche il GAO (U.S. Government

Accountability Office) ha evidenziato questa urgente necessità nel suo documento “Social

Media. Federal Agencies Need Policies and Procedures for Managing and Protecting

Information They Access and Disseminate“. In particolare, il GAO ha evidenziato le

seguenti necessità primarie:

- ensure that appropriate privacy and security measures are in place when commercially

provided social media services are used, the Secretary of Defense should conduct and

document a privacy impact assessment that evaluates potential privacy risks associated

with agency use of social media services and identifies protections to address them;

- ensure that appropriate security measures are in place when commercially provided

social media services are used, the Secretary of Homeland Security should conduct and

document a security risk assessment to assess security threats associated with agency

use of commercially provided social media services and identify security controls that can

be used to mitigate the identified threats;

- ensure that appropriate privacy and security measures are in place when commercially

provided social media services are used, the Secretary of State should conduct and

document a privacy impact assessment that evaluates potential privacy risks associated

with agency use of Twitter and YouTube and identifies protections to address them;

Le strategie del Comando per i social

media e l’uso appropriato da parte dei

contingenti militari

5

cybersec_20111109_0846 37

- ensure that appropriate privacy and security measures are in place when commercially

provided social media services are used, the Secretary of State should conduct and

document a security risk assessment to assess security threats associated with agency

use of commercially provided social media services and identify security controls that can

be used to mitigate the identified threats.

L‟uso efficace dei social media, inoltre, può costituire una parte importante del

potenziale necessario ad aiutare le Forze Armate a comprendere meglio l‟ambiente in cui

esse operano. I social media, inoltre, possono veicolare più agevolmente le informazioni a

sostegno delle operazioni, ovvero possono essere sfruttati per contribuire a concretizzare

la “concentrazione delle forze” con gli altri partner partecipanti al conflitto (in Italia, ad

esempio, si pensi al COCIM83), così come durante le operazioni militari diverse dalla

guerra (le c.d. MOOTW, Military Operations Other Than War). Trovare un modo

intelligente e innovativo per contribuire a raggiungere i fini desiderati potrebbe essere,

così, la chiave del successo in un ambiente in continua evoluzione come è quello dei

social media.

E‟ sotto gli occhi di tutti come questi strumenti abbiano cambiato i metodi e i tempi di

diffusione delle informazioni, nonché come il rapido incremento nell‟utilizzo dei blog, dei

siti di social networking e delle tecnologie per il media-sharing (come YouTube), aiutati

dalla diffusione esponenziale della tecnologia mobile, abbiano modificato anche le

condizioni attraverso cui gli Stati conducono le operazioni militari. La velocità e la

trasparenza delle informazioni sono aumentati drammaticamente ed eventi che solo pochi

anni fa avrebbero potuto rimanere coperti da Segreto di Stato, sono stati resi pubblici in

tutto il mondo nell‟arco di pochi minuti. Anche i ruoli tradizionali dei mezzi di

comunicazione stanno evolvendo a causa del carattere ubiquitario della tecnologia di

trasmissione dati. Oggi infatti, qualsiasi persona può con la telecamera del proprio telefono

cellulare trasmettere immagini “schiaccianti” al mondo, da qualsiasi parte del pianeta, in

maniera non filtrata e nel tempo di una telefonata. Così come comuni cittadini, possono

utilizzare i social network per mobilitare interi gruppi a sostegno di una causa, senza per

questo esporsi ai rischi e ai costi fino a poco tempo fa associati all‟attivismo.

Nonostante gli sforzi di alcuni Stati84, i Governi e le Istituzioni possono fare ancora ben

poco per arginare questo stato di cose e le conseguenze delle elezioni del giugno 2009 in

83

http://www.difesa.it/SMD/CASD/Istituti_militari/ISSMI/Corsi/Corso-COCIM/Pagine/Lineamenti.aspx 84

http://en.wikipedia.org/wiki/NSA_electronic_surveillance_program.

cybersec_20111109_0846 38

Iran85 forniscono un esempio di come i social media contribuiscano agevolmente

modificare la scacchiera del quadro politico e dei conflitti nel mondo.

Il primo passo per sviluppare una strategia – in qualsiasi settore sia – è quello di avere

ben presenti gli obiettivi e le finalità.

Nel caso di una strategia per i social media, il primo obiettivo identificabile è senza

dubbio quello di raggiungere attraverso di essi una migliore comprensione dell‟ambiente, o

meglio una migliore conoscenza della situazione operativa tra le forze (situation

awareness86), al fine di aumentare le capacità di adattamento e di reazione tempestiva e

capillare del contingente. Infatti, l‟analisi sistematica delle comunità on-line nella zona di

responsabilità, potrebbe permettere ai comandanti di accrescere in maniera inaspettata e

in “tempo reale” la cognizione e la comprensione del territorio in questione e della sua

comunità, come le eventuali minacce, tensioni e/o interessi del popolo, identificando le

tendenze e i modelli emergenti87. Blog e siti di social networking, perciò, potrebbero

aiutare nell‟analisi di ogni società dove sia presente una significativa comunità di utenti

Internet, in particolare in presenza di una popolazione relativamente giovane.

Il secondo obiettivo strategico da raggiungere in un teatro operativo attraverso l‟utilizzo

dei social media è quello di assistere il comando nel fornire informazioni pubbliche88

strategiche e/o tattiche in modo più conveniente, agile e credibile. Soltanto la piena

comprensione di quanto i social media abbiano cambiato il modo e la velocità con cui

vengono riportate le notizie e il loro massiccio impiego può infatti aiutare un comandante a

vincere la battaglia dell‟informazione. Inoltre, così facendo, i comandanti potranno essere

85

http://en.wikipedia.org/wiki/Iranian_presidential_election,_2009. 86

http://en.wikipedia.org/wiki/Situation_awareness. 87

Secondo lo IARPA e il DNI, infatti, ”research shows that many significant societal events are preceded by population-level changes in communication, consumption and movement. Some of these changes may be indirectly observable from diverse, publicly available data, but few methods have been developed for anticipating or detecting unexpected events by fusing such data. IARPA‘s OSI program will use innovative statistical methods that combine publicly available data in order to alert analysts to changes in population behavior”. A tal proposito, pertanto, l‟Intelligence americana sta avviando un programma di ricerca per lo sviluppo di sistemi automatici di monitoraggio dei social network, per “[…] development of methods that leverage population behavior change in anticipation of, and in response to, events of interest; processing of publicly available data that reflect those population behavior changes; development of data extraction techniques that focus on volume, rather than depth, by identifying shallow features of data that correlate with events; development of multivariate time series models robust to non-stationary, noisy data to reveal patterns that precede events; and innovative use of statistical methods to fuse combinations of time series for generating probabilistic warnings of events. If successful, OSI methods will ―beat the news‖ by fusing early indicators of events from multiple publicly available data sources and types”. Per approfondire questo programma di ricerca, http://www.iarpa.gov/solicitations_osi.html. 88

Per la condivisione delle informazioni legate al contrasto delle minacce derivanti dal terrorismo, si prenda in considerazione lo studio della strategia nazionale americana dal titolo “National Strategy for Information Sharing. Successes and Challenges In Improving Terrorism-Related Information Sharing”, 2007, in http://www.ise.gov/sites/default/files/nsis_book_0.pdf.

cybersec_20111109_0846 39

più tutelati se già attivamente impegnati e immersi – con una presenza on-line aggressiva

– in questo nuovo ambiente, risultando più pronti e meglio organizzati in caso si ponga la

necessità di contrastare informazioni false o negative fatte circolare tanto in Rete quando

tra la popolazione, ovvero di influenzare l‟opinione pubblica.

L‟U.S. Air Force, ad esempio, ha di recente sollecitato il settore privato affinché sviluppi un

progetto denominato “Persona Management Software“. L‟obiettivo è quello di dotarsi di

“eserciti” di finte “persone digitali” da poter manovrare e utilizzare all‟interno degli spazi

virtuali e dei social media per le attività di influenza. “These ―personas‖ were to have

detailed, fictionalized backgrounds, to make them believable to outside observers, and a

sophisticated identity protection service was to back them up, preventing suspicious

readers from uncovering the real person behind the account. They even worked out ways

to game geolocating services, so these ―personas‖ could be virtually inserted anywhere in

the world, providing ostensibly live commentary on real events, even while the operator

was not really present”.

Terzo e ultimo obiettivo strategico da acquisire per i comandanti è quello volto ad

agevolare e concretizzare la “concentrazione delle forze”. Attraverso l‟uso dei social

media, infatti, i comandanti possono agevolmente adoperarsi verso questo

importantissimo obiettivo nei confronti delle Ambasciate, con i partner internazionali, con i

leader dei governi locali, ovvero con le organizzazioni non governative (ONG), al fine di

monitorare e incentivare il lavoro di tutti per il raggiungimento del medesimo scopo

comune. Una proattiva e innovativa strategia di social media, volta all‟utilizzo consapevole

delle funzionalità tipiche dei social network, dei blog e dei servizi Twitter-like, può invero

aiutare i comandanti ad assicurare a tutti i soggetti interessati nel teatro delle operazioni la

condivisione delle opportune informazioni utili per lavorare verso un obiettivo comune.

Il secondo passo nello sviluppo di questa strategia è quello di individuare i modi

attraverso cui raggiungere gli obiettivi in precedenza fissati.

Data per acquisita l‟importanza dei media tradizionali, come giornali e TV, soprattutto

in quegli scenari non ancora pienamente raggiunti dalle tecnologie informatiche, il primo

step è nel far sì che i social media abbiano il sostegno e l‟interesse del comandante e dei

membri posti nei ruoli chiave del suo staff, formalizzando gli obiettivi, i ruoli e le

conseguenti responsabilità in uno specifico documento/piano. Il comandante, infatti, dovrà

riuscire a vedere l‟impiego dei social media come una risorsa e non come una minaccia,

cybersec_20111109_0846 40

incorporando il piano per l‟utilizzo dei social media all‟interno di quello del conflitto e della

pianificazione operativa.

Il secondo modo per ottenere un vantaggio dai social media è quello di dotarsi di

un‟organizzazione specifica per l‟obiettivo. Per far ciò, mutuando quanto già da tempo

sperimentato e ampiamente utilizzato in merito alle forme di organizzazione e gestione

della comunicazione strategica, alcuni principi possono essere efficacemente utilizzati

anche per i social media. In particolare, il “Commander’s Handbook for Strategic

Communications and Communication Strategy“89 espone cinque modelli utili a questo

scopo, che possono essere utilmente adattati anche per l‟organizzazione delle attività

inerenti i social media, ovvero:

aumentare l‟attenzione del Comando;

incaricare dell‟attività uno staff leader interno;

integrare uno specifico team di pianificazione;

centralizzare il controllo di tutte le attività relative alla comunicazione strategica

sotto una direzione separata;

prevedere un direttore per la comunicazione strategica a cui affiancare un piccolo

staff di coordinamento e supporto al gruppo di lavoro.

Quest‟ultimo modello è quello che nel tempo ha guadagnato il maggior numero di

attenzioni e adozioni nel settore della comunicazione strategica90, in quanto l‟unico

capace di offrire le migliori caratteristiche dei quattro precedenti, garantendo

contestualmente il mantenimento di un adeguata soglia di attenzione sul programma di

comunicazione strategica deciso dal comando. Questa opzione, pertanto, risulta essere

89

US Joint Forces Command, Joint Warfighting Center, “Commander‘s Handbook for Strategic Communications and Communication Strategy”, version 3.0, 2010, in http://www.carlisle.army.mil/DIME/documents/Strategic%20Communication%20Handbook%20Ver%203%20-%20June%202010%20JFCOM.pdf. 90

Per approfondire l‟attenzione che il governo americano ha nei confronti dei social media, si consiglia la lettura di nuovo progetto del DARPA dal titolo “Social Media in Strategic Communication (SMISC)”, 2011, in https://www.fbo.gov/index?s=opportunity&mode=form&id=6ef12558b44258382452fcf02942396a&tab=core&_cview=0. In particolare:

“the general goal of the Social Media in Strategic Communication (SMISC) program is to develop a new science of social networks built on an emerging technology base. In particular, SMISC will develop

automated and semi‐automated operator support tools and techniques for the systematic and methodical use of social media at data scale and in a timely fashion to accomplish four specific program goals:

1. Detect, classify, measure and track the (a) formation, development and spread of ideas and concepts (memes), and (b) purposeful or deceptive messaging and misinformation.

2. Recognize persuasion campaign structures and influence operations across social media sites and communities.

3. Identify participants and intent, and measure effects of persuasion campaigns. 4. Counter messaging of detected adversary influence operations.”.

cybersec_20111109_0846 41

quella che meglio si adatta anche per l‟attuazione dei programmi di gestione delle politiche

di social media, nonostante un buon compromesso possa essere trovato anche

nell‟integrazione di detta organizzazione in una struttura esistente di comunicazione

strategica. Spetterà ai comandanti valutare il rapporto costi/potenziali benefici a seconda

delle esigenze, nonché delle particolari e specifiche situazioni operative.

Il terzo metodo per beneficiare dei vantaggi dei social media è quello di creare un

team di controllo e monitoraggio dedicato, che agisca come gli occhi e le orecchie del

team strategico. I compiti degli appartenenti a questo gruppo devono consistere

nell‟osservazione, monitoraggio e raccolta delle informazioni sullo stato delle comunità on-

line della zona d‟interesse. Importante in questo senso è l‟approccio sistematico, al fine di

svolgere delle attività di monitoraggio quanto più accurate possibili e trarre così delle

conclusioni più aderenti al reale “sentimento” degli utenti della zona sottoposta a controllo.

Infatti, se ogni sezione deputata al monitoraggio, ad esempio, di Facebook, Twitter,

YouTube o delle versioni in lingua locale dei principali social network e blog, agisce in

maniera indipendente e senza un coordinamento all‟interno dello staff, si otterranno molto

probabilmente numerose lacune dal monitoraggio dell‟ambiente social media. Questo

team, pertanto, dovrà essere composto principalmente da soggetti con fluenti competenze

linguistiche locali, non solo per la comprensione dei messaggi, quant‟anche per

familiarizzare agevolmente con i social media tipici del luogo; dovrà inoltre essere capace

di comprendere gli usi e i costumi della zona oggetto dell‟attività, nonché essere efficiente

nel padroneggiare gli strumenti tipici dei social media e i relativi protocolli di

comunicazione.

cybersec_20111109_0846 42

Il quarto modo per garantire il successo di questa strategia è quello, fondamentale, di

trovare un giusto equilibrio tra sicurezza e condivisione. E‟ noto che le preoccupazioni

sulla sicurezza delle informazioni, soprattutto quando si parla dell‟utilizzo dei social media,

animano un dibattito ormai quotidiano anche in seno alla Difesa. Nel merito, è opportuno

qui anche solo un accenno alla possibilità di utilizzare specifici processi interni e pacchetti

software, ovvero vere e proprie reti separate per raggiungere e garantire lo scopo della

sicurezza delle informazioni, beneficiando contestualmente dell‟uso dei social media.

Anche in questo caso occorrerà che il Comando valuti il rischio nel cercare di raggiungere

questo equilibrio e prenda la decisione più ragionevole sulla base delle specifiche

necessità ed opportunità, nonché dei costi e della reale fattibilità.

L‟argomento merita un breve approfondimento. La recente audizione svolta presso la Commissione Giudiziaria del Senato - Sottocommissione Crimine e Terrorismo, intitolata “Cybersecurity: Evaluating the Administration´s Proposals“, ha posto ancora una volta sotto i riflettori il progetto americano di creare una rete Internet “parallela”, denominata “.secure” o “dotsecure”, in cui far transitare i dati e le informazioni relative alle infrastrutture critiche nazionali in maniera totalmente sicura, attraverso il costante controllo della rete e del suo traffico da parte del Governo americano e senza per questo violare, contestualmente, la struttura normativa posta in essere dal Quarto Emendamento. Le reti deputate a essere le prime candidate alla traslazione nel dominio “dotsecure” sarebbero quelle di gestione degli approvvigionamenti elettrici e idrici, nonché le reti di gestione dei flussi finanziari, dei trasporti e delle comunicazioni. Una simile idea, in realtà, non può suonare come nuova all‟orecchio attento degli esperti, dato che già dal 2005 alcune società americane legate al settore della Difesa, in maniera riservata, ne avevano proposto - senza alcun seguito - l‟attuazione. Il progetto, però, ha acquisito nuova forza e rinnovato valore quando il Gen. Keith Alexander, attuale Direttore dell‟NSA e Comandante dell‟US CYBER COMMAND, durante un‟audizione del settembre 2010 presso l‟House Committee on Armed Services, ha fatto riferimento a questa possibilità parlando del ruolo che il CYBER COMMAND svolge nel difendere le reti militari dagli attacchi provenienti dal cyber-spazio e nell‟aiutare il Dipartimento della Sicurezza Nazionale (DHS) nella protezione delle reti informatiche civili legate alle infrastrutture critiche nazionali. Concetto di recente ripreso anche da Michael Hayden, Direttore durante il governo Bush dell‟NSA fino al 2005 e successivamente Direttore della CIA, durante una tavola rotonda organizzata presso il Potomac Institute for Policy Studies, dal titolo “Cyber Challenge Symposium - Cyber Deterrence“. Stando alle poche informazioni disponibili pubblicamente, allo stato attuale la nuova rete “dotsecure” parrebbe fondarsi su questi quattro pilastri: 1. Eliminare le reti informatiche critiche da Internet, creando una rete di comunicazione dedicata; 2. Individuare in maniera certa l´identità dell´utente presente all´interno del dominio “dotsecure”; 3. Certificare le sue credenziali di accesso (immagino anche in un‟ottica di verifica dei livelli di sicurezza richiesti per l‟ingresso nella nuova rete); 4. Svolgere un controllo costante della rete alla ricerca di eventuali anomalie.

cybersec_20111109_0846 43

Riprendendo l‟argomento, occorre evidenziare come la velocità e l‟agilità siano due

elementi chiave per il successo di una strategia per i social media. Il quinto metodo per

garantirne il successo, infatti, è quello di mettere in atto politiche che assicurino alle

operazioni grande agilità ed elasticità. Per quanto questi elementi spesso siano in conflitto

con la necessità di controllare con attenzione il messaggio strategico, catene di comando

particolarmente complesse possono limitare la capacità degli operatori di ottenere i risultati

necessari. Un buon approccio per evitare simili problemi potrebbe essere quello di

centralizzare la pianificazione delle operazioni e decentralizzarne invece l‟esecuzione.

Questo soprattutto in considerazione del fatto che, quasi sempre, il nemico o l‟avversario,

per pubblicare su Internet delle informazioni, non sarà costretto a sottostare ad un

In merito all‟ultimo punto, l‟idea non è quella di operare un‟analisi approfondita sul contenuto dei pacchetti (Deep Packet Inspection) in transito all‟interno della rete “dotsecure”, come attualmente avviene in alcune nazioni che non hanno in alcuna considerazione la tutela dei diritti alla privacy dei loro cittadini, ma utilizzare un sistema che svolga un‟analisi costante e in tempo reale alla ricerca di indicatori (signatures) di attività anomale o di veri e propri attacchi informatici. Nei fatti, pertanto, si potrebbe trattare semplicemente di traslare sulla rete “dotsecure” quello che già da un po‟ di anni il programma di intrusion prevention e detection denominato EINSTEIN svolge sulle reti “.gov”, gestite dal Dipartimento della Sicurezza Nazionale (DHS) americano. Tuttavia, per quanto molto suggestiva, questa strategia – almeno così come allo stato attuale delineata – non può rappresentare una soluzione completa al problema che il governo americano si sta preoccupando di risolvere. In via preliminare, infatti, occorre anzitutto evidenziare che questo genere di strategia non può avere una provenienza esclusivamente governativa. L‟intervento dei proprietari e dei gestori delle reti critiche e la loro collaborazione per il raggiungimento di quest‟obiettivo sono in questo caso quanto mai auspicabili, se non addirittura assolutamente necessari. Cosa questa che, a quanto pare, non è ancora avvenuta. Inoltre, cambiare l‟architettura deputata alle comunicazioni (“dotsecure”, Internet, ecc.) risulterà di scarsa utilità fintantoché ci sarà il rischio di rivivere episodi in cui il personale “qualificato” all‟accesso alla rete sicura utilizza, ad esempio, dispositivi portatili di archiviazione dati (pendrive) precedentemente adoperati su computer esterni alla rete “dotsecure”. Non bisogna dimenticare, per di più, che la rete di massima sicurezza SIPRNet, utilizzata dal Dipartimento della Difesa e dal Dipartimento di Stato americano per lo scambio delle informazioni classificate, pare sia stata violata da tempo, così come il worm Stuxnet l‟estate scorsa è riuscito a infettare computer che non erano nemmeno mai stati connessi alla rete Internet. Da un punto di vista tecnico, inoltre, incentrare la sicurezza della rete “dotsecure” esclusivamente sulla certezza dell‟identità dell‟utente e sulla certificazione delle sue credenziali di accesso, non risolve il problema dell‟attribuzione delle azioni effettuate da quel soggetto all‟interno della rete. Infatti, così come avviene attualmente su Internet, una volta compromessi i dispositivi hardware dell´utente (come i laptop, i telefoni cellulari, i desktop computer, ecc.), si potrebbe personificare senza alcuna difficoltà il soggetto violato. Per ovvie ragioni, tra l‟altro, una soluzione non sopraggiungerebbe nemmeno nel caso in cui si decida d‟identificare con certezza e certificare anche i dispositivi hardware utilizzati dagli utenti. Circostanza comunque auspicabile, ma purtroppo non risolutrice.

Infine, mantenere in sicurezza una rete così vasta ed eterogenea come quella che si verrebbe a creare con questo progetto, sarebbe un compito particolarmente complesso e costoso. Una rete che, tra l‟altro, per l‟altissima concentrazione al suo interno d‟informazioni sensibili e appetibili diverrebbe immediatamente il bersaglio numero uno di Governi, organizzazioni criminali ed esperti di sicurezza in cerca di “gloria”.

cybersec_20111109_0846 44

processo di approvazione complesso ed un simile approccio, pertanto, garantirebbe al

contingente una capacità di azione/reazione molto rapida, simile a quella dell‟avversario

che si fronteggia.

Il sesto e ultimo metodo attraverso cui giungere ad un‟efficace strategia per l‟utilizzo

dei social media è quello di creare appositamente dei siti di social networking come

strumento di sensibilizzazione utile a migliorare la “concentrazione delle forze”. Sforzi

apparentemente semplici, come la creazione di una pagina Facebook, potrebbero

consentire ai partner internazionali, agli alleati, ma anche alla stampa, alle organizzazioni

civiche e alla popolazione in generale, così come alle ONG che operano nell‟area, una

migliore comprensione delle intenzioni del comandante e del suo contingente militare.

Come affermato dal Vice Admiral John Bird, Comandante della 7th Flotta, bisogna

utilizzare quanto più possibile i social media come Facebook, Twitter, MySpace, Flickr,

blogs e YouTube, per incrementare:

“the ability to engage with people and tell them not only that we are here,

but also to show them why we are here, and how our presence promotes

regional stability, enables prosperity and fosters cooperative security”.91

L‟uso appropriato dei social media, però, può essere analizzato anche nella

prospettiva dell‟utente che usufruisce della piattaforma per un uso non ufficiale92, in questo

caso privatamente e/o nei momenti di svago dei militari del contingente, dei dipendenti

della Difesa, ecc., come anche nell‟ottica delle problematiche per la sicurezza delle

informazioni che scaturiscono da un utilizzo poco accorto di questi strumenti. Questo

soprattutto in considerazione del fatto che, come si è detto, questo genere di attività

possono facilmente rivelare, anche inavvertitamente, informazioni riservate, oppure

informazioni non classificate che, aggregate tra loro, possono però fornire dei livelli di

conoscenza ad esse paragonabili.

91

http://www.c7f.navy.mil/news/2009/11-november/24.htm. 92

Un interessante approfondimento su questo tema può essere rinvenuto attraverso la lettura dalla policy intitolata “USMC Online Social Media Guidance for Unofficial Internet Posts”, predisposta dal Corpo dei Marines e riportata nella seconda parte di questo lavoro, al capitolo 12, a supporto della bibliografia.

cybersec_20111109_0846 45

Stante la materiale difficoltà di controllare ogni singolo post effettuato dal personale

militare, predisporre delle policy93 di utilizzo anche per le attività non ufficiali è certamente

il primo step per cercare di arginare un‟eventuale fuga non autorizzata di informazioni.

In particolare, occorre anzitutto mettere in evidenza i principali rischi94 di un uso poco

accorto dei social network, ovvero:

quando si inseriscono i propri dati personali su un sito di social network, se ne

perde automaticamente il controllo. I dati inseriti, infatti, possono essere registrati

anzitutto da tutti i contatti, dai loro rispettivi contatti o comunque dalla loro cerchia di

“amici” e dai componenti dei gruppi a cui si decide di aderire, possono altresì

essere rielaborati e diffusi anche a distanza di anni. A volte, inoltre, accettando di

entrare in un social network, si concede all‟impresa che gestisce il servizio la

licenza di usare senza limiti di tempo il materiale che si decide di inserire on-line, le

foto, i contenuti delle chat e delle conversazioni private, gli scritti e i messaggi

privati;

è spesso molto difficile riuscire a separare le comunicazioni personali da quelle

professionali;

non c‟è trasparenza sulle modalità di condivisione delle informazioni. Questo

comporta in alcuni casi specifici, come i social networks, che i dati presenti nei

profili degli utenti (foto, video, note, scambi di pensieri ecc.), spesso qualificabili

anche come dati riservati e sensibili, vengano condivisi in maniera assolutamente

incontrollabile da parte di chi li ha generati;

la maggior parte dei siti di social network ha sede all‟estero, così come i loro server.

In caso di dispute legali o di problemi insorti per violazione della privacy, non

sempre si è tutelati dalle leggi italiane ed europee;

è negato il diritto all‟oblio. Se si decide di uscire da un sito di social network, infatti,

spesso è permesso solo “disattivare” l‟account e non cancellarlo realmente. I dati

93

Seppure ancora in versione “draft”, può risultare utile prendere in considerazione me mosse del Governo indiano in materia di social network, attraverso la lettura di Department of Information Technology Ministry of Communications & Information Technology, Government of India, “Framework & Guidelines for Use of Social Media for Government Organisations”, 2011, in http://www.mit.gov.in/sites/upload_files/dit/files/SocialMediaFrameworkDraftforPublicConsultation_192011.pdf. Si veda anche, National Labor Relations Board‟s Acting General Counsel, “Report of the Acting General Counsel Concerning Social Media Cases”, 2011, in http://mynlrb.nlrb.gov/link/document.aspx/09031d458056e743. 94

Un interessante approfondimento, utile anche per il settore militare, può provenire dalla lettura di BITS, “Social Media Risks And Mitigation”, 2011, in http://www.bits.org/downloads/Publications%20Page/BITSSocialMediaRisksandMitigationPaperJune2011.pdf.

cybersec_20111109_0846 46

pubblicati, quindi, non vengono cancellati ed anzi, quasi sempre, continuano a

risiedere nei server “originari”, anche se la persona interessata li ha cancellati, o nei

server di soggetti terzi che svolgono, ad esempio, attività archivistiche o di ricerca di

informazioni sul Web (come i motori di ricerca attraverso la loro “copia cache”). E‟

un dato di fatto, inoltre, che alcuni fornitori di servizi basati sugli user generated

contents si rifiutino, successivamente, anche di adempiere alle richieste dirette di

cancellazione di semplici dati o di interi profili dei loro utenti;

non è garantita la trasparenza sulle modalità di utilizzazione diretta delle

informazioni. Molti dei siti che basano i propri servizi sui contenuti generati dagli

utenti, infatti, svolgono una vera e propria attività di profilazione dei fruitori,

riutilizzando i dati raccolti anche per attività di marketing diretto. Tra l‟altro, sempre

per quanto attiene le problematiche strettamente relative ai social networks, qui gli

utenti si comportano in modo diverso dal solito: usano infatti i loro veri nomi, si

mettono in contatto con i loro veri amici, pubblicano i loro veri indirizzi e-mail,

condividono opinioni genuine, gusti reali, notizie autentiche. Cosa assolutamente

“nuova” questa, rispetto a quanto abbiamo imparato dall‟attività di profilazione

effettuata dai motori di ricerca che, a parte la cronologia delle richieste e qualche

attività di navigazione, in confronto ai social networks, conoscono ben poco dei

propri utenti. Registrare, incrociare e profilare questa mastodontica mole di dati

provenienti dalla navigazione, per la prima volta non anonima, degli utenti

comporta, come è ovvio, rischi spesso incalcolabili o inconoscibili a priori;

possono bastare delle foto, il nome e qualche informazione sulla vita di una persona

per “impadronirsi” on-line della sua identità. Sono sempre in costante aumento i

casi di attori, politici, persone pubbliche, ma anche di gente comune, che hanno

trovato su social network e blog la propria identità gestita da altri;

la data e il luogo di nascita sono sufficienti per ricavare il codice fiscale. Altre

informazioni potrebbero aiutare un malintenzionato a risalire anche al conto in

banca o addirittura al nome utente e alle password utilizzate;

insicurezza delle infrastrutture e furto di dati. La messa in sicurezza dei sistemi su

cui vengono conservati i dati, spesso riservati e sensibili, degli utenti è un elemento

fondamentale per la salvaguardia stessa delle informazioni e della privacy. E‟

certamente vero che i fornitori di questi servizi hanno rivolto nel tempo sempre

maggiore attenzione alle misure atte a potenziare la sicurezza dei loro sistemi e, di

conseguenza, dei dati personali, ma molto resta ancora da fare. Allo stesso tempo,

è altamente probabile che in futuro emergano nuovi problemi nella sicurezza di

cybersec_20111109_0846 47

questi sistemi, fermo restando che risulta assai improbabile che si possa mai

conseguire l‟obiettivo di una sicurezza totale, soprattutto in considerazione della

complessità delle applicazioni software a qualunque livello dei servizi Internet.

Alla luce di queste premesse, pur ricordando – come si è già avuto modo di dire – che

i social media sono e resteranno ancora a lungo uno strumento unico e utilissimo, che ha

rivoluzionato il modo e i metodi di comunicazione, risulta comunque opportuno richiamare

alla memoria alcune regole e “divieti” che, seppur apparentemente “banali” e generici,

possono tornare utili per gli utenti singoli, per l‟Amministrazione Difesa ed, ovviamente, per

il personale militare.

In prima battuta, sulla scia della campagna di sensibilizzazione sociale americana sui

problemi derivanti dal cattivo utilizzo di Internet e dei social network, denominata “STOP.

THINK. CONNECT.“95, si possono mutuare alcuni consigli operativi, ovvero delle “regole di

comportamento e di buon senso” per gli utenti, chiamate “Safety Tips for Social

Networking”. Esse sono:

Social networking sites such as Facebook, Twitter and LinkedIn have become extremely popular in recent years. They‘re a great way to keep family and friends updated on your life and connect with colleagues and communities that share your interests. You can use social networks to build a positive online reputation. The first step is STOP. THINK. CONNECT.

Protect Your Personal Information.

Since social networking sites are about sharing, you may be prompted or tempted to reveal personal information. Make sure you are comfortable with the information you share. Draw the line between what‘s okay to share and what‘s best kept private.

Secure your accounts: Ask for protection beyond passwords. Many account providers now offer additional ways for you verify who you are before you log into that site.

Make passwords long and strong: Combine capital and lowercase letters with numbers and symbols to create a more secure password.

Unique account, unique password: Separate passwords for every account helps to thwart cybercriminals.

Own your online presence: When available, set the privacy and security settings on websites to your comfort level for information sharing. It‘s ok to limit who you share information with.

Your online reputation can be a good thing: Recruiters often respond to a strong, positive personal brand online. So show your smarts, thoughtfulness, and mastery of the environment.

95

http://stopthinkconnect.org/.

cybersec_20111109_0846 48

Connect with Care.

When you use social networks you are joining a global community. Therefore, it‘s smart to approach social networking with a degree of caution. Remember that people may not be who they say they are. If one of your friend‘s accounts is compromised, you could get spammy and suspicious posts.

When in doubt, throw it out: Links in tweets, posts, and online advertising are often the way cybercriminals compromise your computer. If it looks suspicious, even if you know the source, it‘s best to delete.

Be a Good Online Citizen.

Social networks work best when people maintain the same level of courtesy online as they would in the real world.

Safer for me more secure for all: What you do online has the potential to affect everyone – at home, at work and around the world. Practicing good online habits benefits the global digital community.

Post only about others as you have them post about you.

Know what action to take: If someone is harassing or threatening you, remove them from your friends list, block them, and report them to the site administrator.

Keep a Clean Machine.

You can‘t be safe and secure if the technology you are using is vulnerable.

Keep security software current: Having the latest security software, web browser, and operating system are the best defenses against viruses, malware, and other online threats.

STOP. Before you use the Internet, take time to understand the risks and learn how to spot potential problems.

THINK. Take a moment to be certain the path is clear ahead. Watch for warning signs and consider how your actions online could impact your safety, or your family‘s.

CONNECT. Enjoy the Internet with greater confidence, knowing you‘ve taken the right steps to safeguard yourself and your computer.

Anche la nostra Difesa, però, è già da tempo sensibile a queste delicatissime

problematiche, rilasciando liberamente in Rete, tra le altre cose, una interessante “Linea

Guida per un uso consapevole dei social network“96, in cui si evidenzia che:

96

http://www.esercito.difesa.it/Documents/soc_net_decalogo100323.pdf.

cybersec_20111109_0846 49

I Social Network (Facebook, MySpace, Twitter, Flickr, Windows Live, etc.)

consentono di mantenere i contatti con i familiari, amici, colleghi di lavoro,

facilitando lo scambio d‘informazioni e conoscenze tra i fruitori della rete

informatica. Si rivelano, quindi, uno strumento particolarmente utile soprattutto

nelle situazioni, frequenti per il personale della Forza Armata, di distanza tra la

persona e la sua cerchia di relazioni familiari e amicali.

Gli strumenti predisposti dalle reti sociali possono, in virtù delle loro

caratteristiche di accessibilità e immediato contatto tra utenti, dare l‘idea di uno

spazio privato da condividere solo con i propri ―amici‖. In realtà si tratta di un

falso senso d‘intimità che può spingere gli utenti a rivelare informazioni attinenti

al servizio o comunque sensibili in relazione all‘incolumità del personale, in Patria

e/o all‘estero, e all‘immagine dell‘Esercito.

A tal fine sono state redatte, anche sulla base di quanto indicato nell‘opuscolo

informativo dal titolo ―Social Network: attenzione agli effetti collaterali‖ realizzato

dal Garante per la protezione dei dati personali, delle linee guida da prendere in

considerazione durante la ―navigazione‖ in rete.

1. AUTOGOVERNO: riflettere sulle possibili ripercussioni per sé e per la propria

cerchia di conoscenze (in ambito personale e lavorativo) prima di pubblicare i

dati personali (in particolare: nome, cognome, indirizzo, grado, ente

d‘appartenenza, sede di servizio, attuale impegni di servizio in Patria o all‘estero,

numero di telefono, ecc.) in un profilo-utente.

2. RISPETTARE GLI ALTRI E L’ESERCITO: prima di condividere qualsiasi

commento, dato, notizia, comunicazione, video o immagine chiedersi se la loro

diffusione arrechi danno alla tutela delle informazioni militari, dei diritti individuali

delle persone (lesioni della privacy, diffamazione, etc.) e in generale all‘immagine

dell‘Istituzione. E‘ possibile incorrere anche in sanzioni disciplinari e penali.

3. USO CONSAPEVOLE: tenere a mente che immagini e informazioni di

qualsiasi natura possono riemergere in rete anche a distanza di anni. Evitare di

pubblicare/allegare file/immagini inerenti al servizio al fine di assicurare la

maggior tutela possibile dell‘incolumità personale e degli altri. Ricordarsi che

pubblicare opinioni e/o commenti, in qualità di militare, induce ad associare

quanto espresso alla Forza Armata.

cybersec_20111109_0846 50

4. ATTENZIONE ALL’IDENTITA’: in alcuni casi è possibile ―chattare‖ e

condividere informazioni con persone aventi identità diverse da ciò che si crede.

Sempre più spesso vengono create false identità (es.: personaggi famosi,

persone comuni, ecc.) per semplice divertimento ovvero per carpire informazioni

riservate. Un‘identità può essere ―clonata‖ con una foto e con poche informazioni

personali. Non si avrà mai la certezza dell‘affidabilità dei componenti del social

network di cui si fa parte.

5. PRIVACY: utilizzare impostazioni orientate alla privacy, limitando al massimo

la libera disponibilità di informazioni. Controllare le impostazioni dei livelli di

privacy del profilo utilizzato online: da chi si può essere contattati, chi può

leggere quello che si scrive, chi può inserire commenti sulle pagine personali.

6. CONDIZIONI D’USO E CONTRATTO: leggere attentamente le condizioni

d‘uso che si accettano quando ci si iscrive a un Social Network. Verificare di

poter recedere dal servizio e di poter cancellare le informazioni pubblicate sul

proprio profilo.

E‘ importante ricordare, infine, che nello scambio di informazioni sui Social

Network il personale della Forza Armata è sempre tenuto al rispetto delle regole

che disciplinano la propria condizione.

In merito ai “divieti”, invece, pare opportuno in particolare mettere in evidenza di:

evitare di rendere pubblica la propria data e il luogo di nascita quando ci si registra

all‟interno di un social network; (RISCHI: ciclo di intelligence, ingegneria sociale,

furto d‟identità)

evitare di rendere pubblico il proprio indirizzo di casa e/o di lavoro; se necessario,

inserire esclusivamente il codice di avviamento postale; (RISCHI: ciclo di

intelligence, ingegneria sociale, furto d‟identità)

non utilizzare fotografie dei propri figli, di ricorrenze celebrative (come quelle del

matrimonio, di feste private o in pubblico, ecc.) o comunque fotografie di gruppo

che abbiano altri soggetti al loro interno, della propria casa o del posto di lavoro;

(RISCHI: ciclo di intelligence, ingegneria sociale, furto d‟identità, analisi dei luoghi)

cybersec_20111109_0846 51

non rendere pubblici dei link a siti esterni, a meno che non si voglia che “chiunque”

li possa vedere; (RISCHI: ciclo di intelligence, ingegneria sociale, furto d‟identità,

profilazione97)

non rendere pubblici i propri interessi e hobbies; (RISCHI: ciclo di intelligence,

ingegneria sociale, furto d‟identità, profilazione)

non rendere pubbliche, attraverso espliciti collegamenti all‟interno del social

netowrk, le identità di moglie/marito, figli, parenti, sorelle/fratelli, ecc.; (RISCHI: ciclo

di intelligence, ingegneria sociale, furto d‟identità)

non utilizzare le utilità di geolocalizzazione per le foto e/o eventuali video che si

intende pubblicare, verificando, in caso di utilizzo, che al loro interno non

compaiano soggetti terzi, indirizzi, targhe di veicoli e altri elementi caratterizzanti

luoghi e/o persone, oltre alle informazioni presenti all‟interno stesso della foto (i tag

di metadati contenuti nei parametri EXIF98, Exchangeable Image File Format);

(RISCHI: ciclo di intelligence, ingegneria sociale, furto d‟identità)

evitare di condividere informazioni e/o commentare, sia pubblicamente che in

“privato”, argomenti personali, riservati/sensibili e/o potenzialmente polarizzanti,

come religione e politica; (RISCHI: ciclo di intelligence, ingegneria sociale, furto

d‟identità, profilazione)

non utilizzare indirizzi di posta elettronica di lavoro per aderire a qualsiasi genere di

piattaforma, strumento o comunità virtuale; (RISCHI: ciclo di intelligence, ingegneria

sociale, furto d‟identità)

creare e utilizzare un indirizzo di posta elettronica specifico per la gestione dei

social media, in modo tale che, qualora violato, possa essere facilmente sostituito

senza compromettere la sicurezza di altre informazioni personali o lavorative,

ovvero la continuità delle comunicazioni.

97

Le attività di profiling degli utenti sono da sempre molto comuni nel settore investigativo e militare (OSINT), ma godono attualmente di una nuova “giovinezza” da quando, grazie alle nuove tecnologie e soprattutto ai social network, sono diventati la nuova miniera d‟oro per le società che si occupano di (web)marketing e vendita di pubblicità mirata. Alcuni concetti introduttivi possono essere analizzati attraverso gli scritti di Marco Balduzzi, Christian Platzer, Thorsten Holz, Engin Kirda, Davide Balzarotti e Christopher Kruegel, EURECOM, “Abusing Social Networks for Automated User Profiling”, 2010, in http://iseclab.org/papers/socialabuse-TR.pdf; Silvia Schiaffino e Analía Amandi, “Intelligent User Profiling”, in Artificial Intelligence, M. Bramer (Ed.), LNAI 5640, pp. 193 – 216, 2009, in http://www.exa.unicen.edu.ar/catedras/knowmanage/apuntes/56400193.pdf. Eccellenti approfondimenti per il settore militare (OSINT), possono essere rinvenuti su Giovanni Nacci, “Osint investigativa - Tecnologie ed analisi delle informazioni” in Intelligence&Storia Top Secret n° 8, 2008; Giovanni Nacci, “Il Text Mining nelle applicazioni per la sicurezza” su Analisi Difesa, Mensile di politica e analisi militare, n. 33, 2003; Giovanni Nacci, “Nuove architetture di intelligence alle porte” su Analisi Difesa, Mensile di politica e analisi militare, n. 36, 2003. 98

http://it.wikipedia.org/wiki/Exchangeable_image_file_format.

cybersec_20111109_0846 52

A latere di questo ragionamento, ma non per questo di minor momento, occorre

mettere in risalto come il Codice penale già da alcuni anni compari – e punisca con la

reclusione fino ad un anno – il c.d. “furto d‟identità” su Internet al reato di “Sostituzione di

persona”, previsto dall‟art. 494 e consistente nella condotta di colui che “al fine di

procurare a sé o ad altri un vantaggio o di recare ad altri un danno, induce taluno in errore,

sostituendo illegittimamente la propria all‘altrui persona, o attribuendo a sé o ad altri un

falso nome, o un falso stato, ovvero una qualità a cui la legge attribuisce effetti giuridici”,

lasciando così, tanto ai singoli utenti quanto all‟Amministrazione Difesa, la possibilità di far

valere in giudizio le proprie ragioni e veder tutelati i propri diritti, ivi compresi, tra gli altri,

quelli inerenti il ristoro degli eventuali (e molto probabili) danni subiti in conseguenza della

condotta criminosa.

Oltre a queste accortezze, ulteriori sistemi – questa volta tecnici e tecnologici –

possono essere utilizzati, sia privatamente che a livello centrale, per ridurre ed arginare i

rischi finora esaminati. Sarà questo l‟argomento del prossimo capitolo.

cybersec_20111109_0846 53

Sintesi per la creazione di una strategia per i social media da parte delle Forze Armate

Sviluppare una strategia per i social media deve essere una priorità strategica per:

comprendere meglio l‟ambiente in cui le Forze Armate si trovano ad operare;

veicolare in maniera più efficiente ed efficace le informazioni a sostegno delle operazioni;

concretizzare la “concentrazione delle forze” con gli altri partner partecipanti. Per sviluppare una valida strategia in questo settore, occorre avere ben presenti gli obiettivi e le

finalità da raggiungere, che sono:

una migliore conoscenza della situazione operativa tra le forze (situation awareness);

assistere il Comando nel fornire informazioni pubbliche strategiche e/o tattiche in modo conveniente, agile e credibile;

agevolare e concretizzare la “concentrazione delle forze”. Per sviluppare una valida strategia in questo settore, occorre anche avere ben presenti i modi

attraverso cui raggiungere gli obiettivi, che sono:

far in modo che il progetto abbia il sostegno e l‟interesse del comandante e dei membri posti nei ruoli chiave del suo staff;

dotarsi di un‟organizzazione specifica per raggiungere l‟obiettivo;

creare un team di controllo e monitoraggio dedicato;

trovare un giusto equilibrio tra sicurezza e condivisione;

creare appositi siti di social network come strumento di sensibilizzazione. Per sviluppare una valida strategia in questo settore, occorre avere ben presente quali siano i

rischi connessi, nonché le regole di condotta e i divieti da rispettare, derivanti dal loro utilizzo.

cybersec_20111109_0846 54

La gestione della sicurezza delle informazioni deve passare anche attraverso l‟utilizzo

di contromisure tecniche e tecnologiche adatte a tamponare l‟eventuale fuga di dati dai

sistemi informatici. Infatti, oltre a prevedere veri e propri processi per il governo della

sicurezza informatica e predisporre opportune strategie e policy, è opportuno anche solo

accennare ad alcune generiche contromisure attuabili attraverso l‟utilizzazione di speciali

metodologie e di specifici software. In ordine alfabetico e senza alcun ordine di

importanza, si possono prendere in considerazione:

Anonymizer e stealth surfing: si tratta di software specifici o di servizi messi a

disposizione anche direttamente sul web utili a navigare su Internet in maniera

anonima99, utilizzando la tecnica dell‟IP bouncing;

Antivirus: forse il sistema software di difesa dei personal computer più conosciuto,

l‟antivirus è principalmente deputato alla protezione da software malevolo

(malware), come virus, worm, trojan. Per garantire una protezione ottimale,

l‟antivirus deve essere mantenuto costantemente aggiornato, meglio se in

automatico, e avere in continua esecuzione le funzioni di scansione in tempo reale

del sistema. Per una migliore resa, l‟utente deve avviare con regolarità la scansione

dei dispositivi del PC (dischi fissi, CD, DVD, ma anche dischi esterni e pendrive),

per verificare la presenza di software nocivo al loro interno. Per evitare la diffusione

di malware, inoltre, è utile controllare tutti i file che si ricevono o che vengono

spediti tramite posta elettronica, facendoli verificare dall‟antivirus in tempo reale

ovvero, in caso questa funzione non sia presente, prima di aprirli o allegarli;

99

Giovanni Nacci, “Sicurezza e anonimato in rete. Profili giuridici e tecnologici della navigazione anonima” a cura di A. Maggipinto, M. Iaselli, Nyberg, Milano, 2005.

Alcune contromisure tecniche e tecnologiche:

anonymizing & stealthing, cloaking, privacy

settings, honeypotting, ecc.

6

cybersec_20111109_0846 55

Antispywware: si tratta di un software specializzato nella rimozione dei “file spia”, gli

spyware appunto, programmi in grado di carpire informazioni riguardanti le attività

on-line dell‟utente, inviandole ad un terzo soggetto;

Cloaking (occultamento): è una tecnica di Search Engine Optimization100 (SEO)

che mira a fornire ai programmi dei motori di ricerca deputati all‟indicizzazione dei

contenuti dei siti Internet (i c.d. spider o web crawler) una versione della pagina web

differente da quella che è in realtà. Un uso malizioso di questa tecnica, pertanto,

può mirare a rendere nascosta all‟indicizzazione pubblica dei principali motori di

ricerca il contenuto completo di uno specifico sito;

Firewall: questo software garantisce un sistema di controllo più o meno evoluto

degli accessi ai sistemi informatici che è chiamato a proteggere, verificando tutto il

traffico che lo attraversa. Protegge sia dagli attacchi informatici provenienti

dall‟esterno, sia da eventuali programmi non precedentemente autorizzati presenti

sul computer che tentano di accedere ad Internet senza il controllo dell‟utente;

Honeypot: una honeypot (letteralmente: “barattolo del miele”) è un sistema, un

componente hardware o soltanto un software usato come “trappola” o “esca” per

attirare e monitorare le attività dei soggetti che tentano di portare attacchi

informatici ai sistemi. Solitamente consiste in un computer o un sito che sembra

essere parte della rete e contenere informazioni preziose, ma che in realtà è ben

isolato e non ha contenuti sensibili o critici;

Intrusion Detection System (IDS): sono dispositivi software e hardware, a volte

anche in combinazione tra di loro, utilizzati per identificare accessi non autorizzati

ai computer. Le intrusioni rilevate possono essere quelle prodotte da cyber-warrior,

da attaccanti esperti, da utenti inesperti che utilizzano programmi semiautomatici

ovvero da tool completamente automatizzati. Gli IDS, se ben configurati, rivelano

ogni tipologia di attacco alle reti informatiche e ai computer. Un IDS è basato su un

motore di analisi che, a sua volta, si appoggia ad un database ove sono

memorizzate una serie di regole utilizzate per identificare le violazioni alla

sicurezza;

Network Intrusion Detection System (NIDS): sono degli strumenti informatici,

software o hardware, dediti ad analizzare il traffico di uno o più segmenti di una rete

locale (LAN), al fine di individuare anomalie nei flussi ovvero probabili intrusioni

informatiche. I più comuni NIDS, analogamente agli IDS, sono composti da una o

più sonde dislocate sulla rete, che comunicano con un server centralizzato

100

http://en.wikipedia.org/wiki/Search_engine_optimization.

cybersec_20111109_0846 56

appoggiato ad un database di regole. Fra le attività anomale che possono

presentarsi e venire rilevate da un NIDS vi sono: accessi non autorizzati,

propagazione di software malevolo, acquisizione abusiva di privilegi appartenenti a

soggetti autorizzati, intercettazione del traffico (sniffing), negazioni di servizio

(DoS);

Privacy settings: questa macroarea ha come obiettivo l‟ottimizzazione delle

impostazioni di accesso ai dati che vengono – consapevolmente o

inconsapevolmente – rilasciati dagli utenti durante l‟utilizzo degli apparati elettronici

e informatici o delle piattaforme di social media. Infatti, non solo durante l‟utilizzo

dei social network, quant‟anche ad esempio durante la semplice navigazione su

Internet, questi sistemi concedono numerose informazioni ai siti visitati. Il sistema

operativo, il browser di navigazione, la posta elettronica, i social network, ma anche

gli smartphones, mettono tutti a disposizione dei pannelli di configurazione per

questo delicatissimo aspetto;

Sistemi di autenticazione: potrebbe rivelarsi utile, soprattutto nei settori più delicati

della Difesa, l‟utilizzo di metodi per il riconoscimento certo dei soggetti per mezzo di

un secondo elemento di autenticazione (oltre la classica accoppiata

username/password), basato, ad esempio, su software specifico, su metodi

crittografici, su tesserini identificativi e/o sulla rilevazione di caratteristiche

biometriche (impronta digitale, retina, voce, ecc.);

Sistemi di Crittografia e di Firma digitale: utili per proteggere da accessi non

autorizzati le informazioni sensibili presenti nelle comunicazioni e nei documenti

elettronici, l‟utilizzo di meccanismi di sicurezza come la crittografia, la firma digitale

o i certificati digitali garantisce la incomprensibilità delle informazioni scambiate

durante l‟invio di informazioni o comunicazioni, l‟impossibilità di accedere al

contenuto dei documenti illecitamente sottratti, nonché la possibilità di identificare

con certezza l‟autore di una certificazione o di un documento, un sito, uno specifico

utente o un software;

Steganografia: come si è già avuto modo di accennare, la steganografia si pone

come obiettivo quello di mantenere nascosta l‟esistenza dei dati a chi non conosce

la chiave atta ad estrarli, laddove invece la crittografia si prefigge di non rendere

accessibili i dati nascosti a chi non conosce la chiave. Se la crittoanalisi, pertanto,

mira ad estrarre i dati cifrati senza chiave, l‟obiettivo della steganalisi non è quello di

estrarre i dati nascosti (elemento secondario), ma semplicemente di dimostrarne la

presenza e l‟esistenza all‟interno di un file contenitore.

cybersec_20111109_0846 57

A livello governativo, un esempio di successo in merito al controllo delle minacce

provenienti dal cyber-spazio, nonché di gestione e mitigazione degli effetti degli attacchi

informatici è dato dall‟Australia, che, grazie alle sue “Strategies to Mitigate Targeted Cyber

Intrusions”, è riuscita negli ultimi anni ad arginare in maniera proattiva la maggior parte

delle minacce derivanti dagli attacchi informatici. Lo studio101, infatti, ha evidenziato che

“implementing the top four strategies […] as a package, these strategies would have

prevented at least 70% of the intrusions that DSD analysed and responded to in 2009, and

at least 85% of the intrusions responded to in 2010”.

101

Australian Government, Department of Defence, Intelligence & Secuirty, “Strategies to Mitigate Targeted Cyber Intrusions”, 2011, in http://www.dsd.gov.au/publications/Top_35_Mitigations.pdf.

cybersec_20111109_0846 58

Con il termine cloud computing ci si riferisce a quell‟insieme di tecnologie che

consentono, tipicamente attraverso un servizio offerto al cliente, di memorizzare/archiviare

e/o elaborare dati grazie all‟utilizzo di risorse hardware e software distribuite e

virtualizzate in una rete102.

Il NIST (National Institute of Standards and Technology) elenca le caratteristiche

principali del cloud computing103, evidenziando come questo servizio sia:

On-demand self-service. Ovvero un utente può disporre autonomamente, a

seconda delle sue esigenze e senza mai interagire con il fornitore del servizio, delle

capacità del servizio di cui intende usufruire, sia in termini di risorse computazionali

che di spazio virtuale dedicato;

Broad network access. Si può usufruire del servizio in qualsiasi momento attraverso

ogni tipo di network – utilizzando ad esempio Internet, ma niente vieta una rete

cloud privata – e da ogni tipo di client (computer portatili, smartphones, Pad, ecc.);

Resource pooling. Tutte le risorse messe a disposizione del cliente per la

conservazione e l‟elaborazione dei dati, ma anche la memoria, la banda di rete e le

macchine virtuali, vengono assegnate in modo dinamico e a seconda dei carichi e

delle esigenze del cliente;

Rapid elasticity. L‟allocazione di maggiori funzionalità utili al servizio viene

assegnata al cliente in maniera rapida ed elastica, attraverso procedimenti

completamente automatizzati, dando la sensazione di avere illimitate possibilità.

102

Un eccellente lavoro per inquadrare a livello generico il cloud computing è stato svolto dalla RAND Corporation, “The Cloud. Understanding the Security, Privacy and Trust Challenges”, 2011, in http://www.rand.org/content/dam/rand/pubs/technical_reports/2011/RAND_TR933.pdf. 103

http://www.nist.gov/itl/cloud/upload/cloud-def-v15.pdf.

Il Cloud Computing 7

cybersec_20111109_0846 59

Measured Service. I sistemi cloud gestiscono automaticamente il controllo e

l‟ottimizzazione delle risorse utilizzate, impiegando dei modelli di misurazione

appropriati alla qualità del servizio richiesto dal cliente. L‟utilizzo delle risorse,

inoltre, può essere sempre controllato, in maniera agevole e trasparente sia

dall‟utente che dal fornitore.

Le tipologie fondamentali dei servizi di cloud computing sono essenzialmente tre:

Cloud Software as a Service (SaaS). Si tratta del più comune dei servizi cloud e

consiste esclusivamente nella possibilità data all‟utente di utilizzare le applicazioni

fornite dal provider attraverso un‟infrastruttura cloud attraverso la loro

virtualizzazione. In questo caso, le applicazioni sono rese accessibili per mezzo di

thin-client gestibili normalmente per mezzo di un‟interfaccia web (esempio tipico, la

posta elettronica sul web). All‟utente non viene lasciata la libertà di gestire, in

minima parte, la configurazione delle applicazioni presenti nel cloud;

Cloud Platform as a Service (PaaS). Simile al precedente, in questo caso, però,

viene data la possibilità di gestire in remoto un‟intera piattaforma software e non

semplicemente uno o più singoli programmi, garantendogli la possibilità di gestire la

configurazione di tutta la piattaforma software messa a disposizione e delle

applicazioni fornite con essa in remoto;

Cloud Infrastructure as a Service (IaaS). In questo caso, invece, l‟utente dispone in

remoto dell‟intera infrastruttura tecnologica, comprensiva delle risorse hardware,

come gli hard disk (capacità di conservazione dei dati) e le CPU (potenza di

calcolo). In questo caso all‟utente non è comunque lasciata la libertà di gestire o

controllare l‟infrastruttura cloud sottostante al servizio, ma gli è concessa

l‟amministrazione della rete, dei server, del sistema operativo, oltre alla

configurazione di tutta la piattaforma software messa a disposizione e delle

applicazioni con essa fornite. La caratteristica principale di questo genere di servizi

cloud, che li contraddistingue dal Grid Computing104, è che le risorse vengono

utilizzate su richiesta o a domanda del cliente e solo nel momento in cui ne abbia

realmente bisogno, ovvero non vengono mai allocate a prescindere dal loro effettivo

utilizzo.

Nell‟ottica di analizzare l‟utilità o meno che la Difesa potrebbe avere, anche in termini

di sicurezza, nell‟abbracciare in determinati settori questo nuovo genere di servizi

104

http://it.wikipedia.org/wiki/Grid_Computing.

cybersec_20111109_0846 60

tecnologici occorre, in prima battuta, valutare i punti di forza e le debolezze dei servizi di

cloud computing.

In particolare, alla luce di quanto fino ad ora analizzato, i punti di forza di questi servizi

possono certamente essere rintracciati in:

Disponibilità e continuità del servizio. Tutti i servizi cloud sono distribuiti su più

server, data center e siti. I sistemi cloud, inoltre, sono progettati per trasferire tutte

le applicazioni ospitate, i dati, i siti e ogni genere di configurazione, da

un‟infrastruttura all‟altra quasi istantaneamente e in tempo reale. Pertanto, anche se

un server si guasta, la disponibilità dei servizi cloud non ne viene a risentire;

Capacità di far fronte a grandi variazioni di carico. In ragione dell‟aspetto distribuito

dei servizi cloud, di cui si è appena detto, nel caso in cui i carichi di lavoro abbiano

picchi anche improvvisi, l‟infrastruttura tecnologica non ne risente;

Aggiornamenti tempestivi e regolari. I server posti alla base dell‟infrastruttura cloud

devono sempre mantenere tra di loro una perfetta coerenza. Si può, pertanto, fare

affidamento sul fatto che ognuno di essi sarà sempre regolarmente aggiornato con

estrema rapidità;

Adattamento delle risorse. Nel caso in cui si abbia la necessità di aumentare le

risorse a disposizione per l‟esecuzione del servizio cloud, questa esigenza potrà

essere soddisfatta in tempi brevissimi, in quanto, come si è detto, ci si trova ad

operare in un ambiente di tipo multi-server distribuito.

Non di minore importanza è l‟analisi dei punti di debolezza di questo genere di servizi.

In particolare, è opportuno soffermarsi su:

Piattaforme personalizzate. Ogni fornitore di servizi cloud progetta l‟ambiente

operativo con specifiche caratteristiche, come, ad esempio, il sistema operativo

sottostante, i database, l‟application server e le piattaforme di sviluppo. Questi

elementi sono fissi all‟interno del cloud service; di conseguenza si devono

necessariamente adattare le proprie esigenze a questi standard;

Difficoltà di migrazione dei dati. Una volta adattate le proprie esigenze agli standard

imposti dal servizio cloud prescelto, può risultare molto difficile esportarle

eventualmente verso altri fornitori. Questo problema è dovuto all‟attuale mancanza

di uno standard condiviso tra i fornitori dei servizi cloud e, pertanto, un eventuale

cybersec_20111109_0846 61

cambio di operatore, magari anche in conseguenza del fallimento della Società,

risulta allo stato attuale estremamente complesso;

Violazioni dell‘isolamento della private-cloud. Su ogni singolo server del fornitore di

servizi cloud girano gli spazi virtuali (private-cloud) di più clienti. Nel caso in cui ci

sia una violazione dei sistemi di isolamento dei dati si potranno verificare accessi

abusivi a dati riservati, fughe di informazioni, ovvero utilizzazione abusiva di risorse

appartenenti ad altri clienti;

Protezione dei dati. Utilizzare un servizio di cloud computing per memorizzare dati

personali o sensibili, espone l‟utente a potenziali problemi di violazione della

privacy. I dati personali, infatti, vengono memorizzati nelle server farms di aziende

che spesso risiedono in uno stato diverso da quello dell‟utente. Un cloud provider

particolarmente scorretto o poco etico potrebbe accedere ai dati personali salvati

nella sua “nuvola” per eseguire attività di spionaggio, ricerche di mercato e

profilazione degli utenti, senza che il cliente ne venga mai a conoscenza;

Costi. I fornitori di servizi cloud hanno escogitato numerosi meccanismi innovativi

per adattare il prezzo del servizio offerto alle esigenze del cliente, prendendo in

considerazione, ad esempio, la quantità di spazio riservata all‟archivio dei dati, il

numero di CPU utilizzate dal cliente, la larghezza di banda richiesta ovvero

qualsiasi combinazione di questi fattori. Com‟è ovvio, all‟aumentare dell‟efficienza e

della disponibilità delle risorse, anche il costo lieviterà di conseguenza.

Seppure gli Stati Uniti sembrano ormai fortemente orientati – sia a livello federale105

che militare106 – all‟adozione dei servizi cloud, alcune riflessioni sull‟opportunità di questa

scelta devono essere svolte in questa sede.

Per il settore militare, infatti, i servizi cloud possono avere un‟ottima valenza per le

seguenti tre ragioni:

1. la possibilità di utilizzare grandi infrastrutture per il calcolo (come i data-center) con

un eccellente rapporto costi / benefici;

2. la possibilità di avere a disposizione capacità di calcolo computazionale on-

demand;

105

White House, “Federal Cloud Computing Strategy”, 2011, in http://www.cio.gov/documents/Federal-Cloud-Computing-Strategy.pdf; Australian Government, Department of Finance and Deregulation, “Cloud Computing Strategic Direction Paper”, 2011, in http://www.finance.gov.au/e-government/strategy-and-governance/docs/final_cloud_computing_strategy_version_1.pdf. 106

http://www.defense.gov/news/newsarticle.aspx?id=65267.

cybersec_20111109_0846 62

3. la possibilità di centralizzare una vasta quantità di dati per permetterne

agevolmente l‟analisi congiunta.

Tuttavia, benché l‟idea di poter mettere a disposizione di chi ne ha bisogno enormi

quantità di dati in qualsiasi momento e in qualsiasi parte del mondo, mettendo in cloud le

informazioni, sia certamente un‟opzione più che allettante, non si può sottacere come

questo obiettivo porti con sé due problemi non di scarsa rilevanza. Il primo è relativo

all‟attuale sicurezza delle infrastrutture tecnologiche su cui poggiano i servizi cloud, il

secondo, invece, è legato alla reale possibilità di offrire servizi di rete – qualunque sia il

metodo di trasmissione dei dati prescelto – capaci di trasferire rilevanti quantità di dati in

qualsiasi parte del mondo (teatri operativi compresi).

Per quanto attiene la sicurezza, infatti, di solito vi è un alto grado implicito di fiducia tra i

nodi di calcolo (host) all‟interno di un cloud o di una infrastruttura di calcolo distribuito, tale

da permette ad un malware di propagarsi con estrema rapidità una volta penetrato nella

“nuvola”. Le attuali infrastrutture di cloud computing integrano un gran numero di host,

utilizzando tessuti di interconnessione ad alta velocità che ben possono essere sfruttati

per la propagazione di attacchi informatici con una velocità ancora maggiore rispetto ai

convenzionali sistemi di rete.

Inoltre, come accennato precedentemente, qualora la scelta cada su servizi messi a

disposizione da società terze, la violazione del private-cloud e/o l‟azione anche solo di un

operatore della società in malafede, possono compromettere la sicurezza di tutte le

informazioni presenti nella “nuvola”.

In merito alla seconda perplessità, allo stato dei fatti risulta molto complesso riuscire a

fornire ai soldati impiegati in teatri operativi l‟adeguata capacità di banda utile per

visionare, gestire e trasferire una rilevante quantità di dati messi a disposizione attraverso

il servizio cloud107. Questo, come è facile intuire, ne limita fortemente l‟utilizzo.

107

Wired, Danger Room, “Pentagon Looks to Militarize the Cloud”, 2011, in http://www.wired.com/dangerroom/2011/02/pentagon-cloud/.

cybersec_20111109_0846 63

Non resta, pertanto, che lasciare il compito al Ministero della Difesa di valutare e bilanciare

le possibilità offerte – con i suddetti limiti – dal servizio cloud, considerati i rischi derivanti

dalle sue vulnerabilità e i costi di investimento per il servizio, non dimenticando che,

nonostante i rischi e le perplessità, “la sicurezza risulta dalle misure intraprese a cura dei

comandanti per proteggere le loro forze. […] Il rischio e‘ inerente alle operazioni militari.

L‘applicazione di questo principio include una prudente gestione del rischio, non una

indebita cautela”108.

108

US Army War College, “The Principles Of War In The 21st Century: Strategic Considerations”, Appendix A: “The Principles of War”, 1995.

Rappresentazione grafica delle tipologie di cloud services

cybersec_20111109_0846 64

La formazione del personale militare, soprattutto per un “dominio” di warfare109

totalmente nuovo (com‟è stato ormai pacificamente considerato lo spazio cibernetico), è

un elemento imprescindibile per raggiungere le finalità di sicurezza delle informazioni che

ci si è finora posti attraverso questa ricerca.

Sarà compito del Ministero della Difesa, tenute in debita considerazione le esigenze

specifiche rappresentate dalle Forze Armate, promuovere il coordinamento delle attività

presenti e future di istruzione, formazione e awareness in materia di cyber-security.

Da un punto di vista strategico, gli obiettivi da porsi in questo settore possono essere

così sintetizzati:

Sensibilizzare gli alti gradi delle Forze Armate sui rischi legati alla sicurezza

informatica e delle informazioni per la sicurezza dello Stato e dei contingenti militari,

nonché sull‟uso strategico che può essere fatto delle tecnologie e dei social media;

Sensibilizzare il personale sull‟uso responsabile di Internet, dei social media e degli

strumenti informatici, ponendo in evidenza, tra le altre cose, come la

specializzazione nel settore della cyber-security possa essere un nuovo percorso di

carriera all‟interno delle Forze Armate;

Elevare la competenza e la capacità dei professionisti e degli operatori della cyber-

security già presenti all‟interno delle Forze Armate attraverso ulteriori attività di

istruzione e formazione, magari attraverso la specializzazione per mezzo di

specifiche certificazioni a valenza internazionale.

109

Department of Defence, “Department of Defense Strategy for Operating in Cyberspace”, 2011, in http://www.defense.gov/news/d20110714cyber.pdf.

Tecniche di formazione del personale 8

cybersec_20111109_0846 65

La metodologia formativa del personale militare, fortemente interattiva e funzionale

all‟acquisizione di competenze generali e specifiche, si sostanzia in:

Lezioni didattiche frontali;

Lezioni pratiche;

Giochi di ruolo e simulazioni;

Case studies;

Brainstorming;

Autovalutazione;

Esercitazioni teoriche;

Esercitazioni pratiche;

Verifica dell‟apprendimento.

Attraverso l‟attività formativa si vogliono perseguire le seguenti finalità:

Sensibilizzare i partecipanti sui rischi derivanti dalle attività on-line, attraverso un

percorso formativo suddiviso in step intermedi;

Ampliare i “ranghi” del personale qualificato, affinché sia in grado di supportare gli

obiettivi di cyber-security a livello nazionale;

Sviluppare e mantenere una cyber-security task-force competitiva a livello

internazionale;

Creare un‟indispensabile partnership tra settore pubblico e privato, sia nelle attività

di formazione che successivamente, nella promozione di convegni, seminari e

cyber-challenge.

Conseguentemente gli obiettivi formativi sono:

1. acquisizione di un‟adeguata consapevolezza dei problemi derivanti dalla sicurezza

informatica e delle informazioni (“tutti sono a rischio”);

2. acquisizione di un‟adeguata capacità di comprensione dei problemi specifici, sia

sotto il punto di vista tecnico che sociale;

3. acquisizione di un‟adeguata capacità di riconoscere la responsabilità personale

delle azioni svolte nello spazio cibernetico;

4. acquisizione di un‟adeguata conoscenza teorica e pratica degli strumenti di

protezione per garantire la sicurezza o, quantomeno, per saper arginare i problemi

che mettono a rischio la sicurezza;

cybersec_20111109_0846 66

5. acquisizione di un‟adeguata conoscenza degli strumenti nonché della capacità di

implementazione delle tecniche apprese;

6. Acquisizione della “curiosità intellettuale” che rende inclini a consolidare le

conoscenze e le competenze acquisite, sviluppandole nel tempo attraverso un

percorso di formazione continua, in modo da poter rispondere adeguatamente

all‟evoluzione delle minacce.

cybersec_20111109_0846 67

Per il Codice della privacy un dato personale è “qualunque informazione relativa a

persona fisica, persona giuridica, ente od associazione, identificati o identificabili, anche

indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un

numero di identificazione personale”110. Quest‟ampia definizione comporta, nella pratica,

che un soggetto terzo non possa venire a conoscenza di qualunque informazione

personale relativa a una persona fisica o giuridica, senza l‟espresso consenso

dell‟interessato, ovvero della persona a cui il dato si riferisce.

L‟argomento è di assoluta pertinenza e di scottante attualità111 se lo si analizza in

relazione alle problematiche inerenti gli user generated content che, da ultimo, soprattutto

con l‟avvento dei social networks112, hanno visto riversare sulla rete Internet un‟incredibile

mole di dati personali. L‟incontenibile successo in termini di utenti e di attività on-line di

questi aggregatori sociali (come Facebook, LinkedIn, Google+, ecc.) e dei siti web 2.0

(come YouTube), infatti, se da un lato garantiscono rivoluzionarie possibilità e metodologie

110

Art. 4, comma 1, lett. b), d.lgs. 196/2003, in Garante per la protezione dei dati personali, http://www.garanteprivacy.it/garante/doc.jsp?ID=1311248. 111

Anche il Parlamento europeo, da ultimo, nella Relazione sulla concentrazione e il pluralismo dei mezzi d‟informazione nell‟Unione europea (2007/2253(INI), redatta dalla Commissione per la Cultura e l‟Istruzione, si è impegnato a “chiarire lo status giuridico dei weblog e dei siti basati su contenuti generati dagli utenti, assimilandoli, a fini giuridici, ad ogni altra forma di espressione pubblica”. 112

Il Garante della Privacy illustra il fenomeno dei social network identificandoli come “dei luoghi in cui via Internet ci si ritrova portando con sé e condividendo con altri fotografie, filmati, pensieri, indirizzi di amici e tanto altro. I social network sono lo strumento di condivisione per eccellenza e rappresentano straordinarie forme di comunicazione, anche se comportano dei rischi per la sfera personale degli individui coinvolti. I primi social network sono nati in ambito universitario, tra colleghi che no si volevano ―perdere di vista‖, che desideravano ―fare squadra‖ una volta entrati nel mondo del lavoro. Facebook, per citare uno dei più famosi, agli inizi era esattamente la traduzione virtuale del ―libro delle fotografie‖ della scuola, dell‘annuario. Una bacheca telematica dove ritrovare i colleghi di corso e scambiare con loro informazioni. […] I social network sono strumenti che danno l‘impressione di uno spazio personale, o di piccola comunità. Si tratta però di un falso senso di intimità che può spingere gli utenti a esporre troppo la propria vita privata, a rivelare informazioni strettamente personali, provocando ―effetti collaterali‖, anche a distanza di anni, che non devono essere sottovalutati”, in Garante per la protezione dei dati personali, Social Network: attenzione agli effetti collaterali, 2009, pag. 5, http://www.garanteprivacy.it/garante/document?ID=1617433.

Implicazioni giuridiche alla limitazione /

controllo dei social network

9

cybersec_20111109_0846 68

di comunicazione e di interrelazione sociale, dall‟altro stanno facendo emergere numerose

e “nuove” strade di responsabilità giuridica.

Occorre evidenziare, in prima battuta, che il Garante per la protezione dei dati

personali ha più volte ribadito per il settore privato la regola generale che, tanto sul posto

di lavoro quanto nella vita privata113, la privacy degli utenti è un bene primario nell‟attuale

società dell‟informazione e non può, pertanto, essere sottoposta ad attività di

monitoraggio, registrazione e controllo.

L‟art. 4 della legge 20 maggio 1970, n. 300 (il c.d. “Statuto dei lavoratori”) stabilisce che “è

vietato l‘uso di impianti audiovisivi e di altre apparecchiature per finalità di controllo a

distanza dell‘attività dei lavoratori”. Inoltre, qualora gli impianti e le apparecchiature di

controllo siano richiesti per far fronte ad esigenze organizzative e produttive ovvero di

sicurezza sul lavoro, se dalla loro installazione ne deriva anche la possibilità di controllo a

distanza dell‟attività dei lavoratori, il datore di lavoro è obbligato ad informare i dipendenti

in modo particolareggiato e prendere opportuni accordi con i loro rappresentanti sindacali

oppure, in mancanza, con la commissione interna (art. 4, comma 2, legge 300 del 1970).

Pertanto, è consentita la vigilanza dell‟impresa (c.d. controlli difensivi), ma non il controllo

investigativo sull‟attività dei lavoratori.

Medesimo ragionamento deve essere fatto per i controlli del datore di lavoro sugli

strumenti informatici in dotazione ai dipendenti, ad esclusione della casella di posta

elettronica aziendale – che si ritiene essere strumento di lavoro114 e pertanto in alcuni

casi controllabile – ritenuti, tanto dalla giurisprudenza quanto dalla dottrina, controlli a

113

L‟art. 2, comma 1, del d.lgs. 30 giugno 2003, n. 196 (il c.d. “Codice della Privacy”) afferma che il trattamento dei dati personali deve essere svolto “nel rispetto dei diritti e delle libertà fondamentali, nonché della dignità dell‘interessato, con particolare riferimento alla riservatezza, all‘identità personale e al diritto alla protezione dei dati personali”. La Dichiarazione dei diritti umani, consultabile in italiano al seguente indirizzo http://www.ohchr.org/EN/UDHR/Pages/Language.aspx?LangID=itn, all‟art. 12, dispone che “nessun individuo potrà essere sottoposto ad interferenze arbitrarie nella sua vita privata, nella sua famiglia, nella sua casa, nella sua corrispondenza, né a lesione del suo onore e della sua reputazione. Ogni individuo ha diritto ad essere tutelato dalla legge contro tali interferenze o lesioni”. La Costituzione europea, invece, all‟art II-68, si sofferma solo sulla obbligatorietà della protezione dei dati personali e, dopo aver affermato al primo comma che “ogni persona ha diritto alla protezione dei dati di carattere personale che la riguardano”, successivamente prescrive che i dati debbano essere trattati “secondo il principio di lealtà, per finalità determinate e in base al consenso della persona interessata o a un altro fondamento legittimo previsto dalla legge”. Il testo integrale della Costituzione europea è consultabile su: http://eur-lex.europa.eu/JOHtml.do?uri=OJ:C:2004:310:SOM:IT:HTML 114

Garante per la protezione dei dati personali, “Lavoro: le linee guida del Garante per posta elettronica e internet”, 2007, in Gazzetta Ufficiale n. 58 del 10 marzo 2007 e su http://www.garanteprivacy.it/garante/doc.jsp?ID=1387522.

cybersec_20111109_0846 69

distanza a tutti gli effetti e, quindi, ricompresi nel dettato dell‟articolo 4 precedentemente

richiamato.

Anzi, per quanto attiene la navigazione su Internet, i sistemi informatici predisposti dal

datore di lavoro devono essere configurati per cancellare periodicamente i dati personali

relativi agli accessi ad Internet e al traffico telematico dei dipendenti, la cui conservazione

non sia strettamente necessaria. Concetto ripreso anche dal Garante della Privacy con il

Divieto 2 aprile 2009 – Lavoro privato: monitoraggio degli accessi Internet del

dipendente115, in cui si afferma in maniera lapalissiana che “è illecito monitorare in modo

sistematico e continuativo la navigazione in Internet dei lavoratori”, violando questa

condotta lo Statuto dei lavoratori.

Il datore di lavoro, ad ogni modo, non risulta completamente sguarnito di mezzi di “difesa”

dai comportamenti non corretti dei propri dipendenti. Ancora le Linee Guida del Garante

per la posta elettronica e Internet del 2007 ammettono per il datore di lavoro la possibilità

di controllare l‟effettivo adempimento della prestazione lavorativa e il corretto utilizzo degli

strumento di lavoro. Nell‟esercizio di tali prerogative, però, si dovrà rispettare la libertà e la

dignità dei lavoratori, tenendo presente, al riguardo, quanto previsto dallo Statuto dei

lavoratori, di cui si è detto.

Inoltre, in accordo con i principi di pertinenza e non eccedenza, i mezzi e l‟ampiezza del

controllo devono essere proporzionati allo scopo. Alla luce di questa considerazione,

pertanto, il datore di lavoro potrebbe, ad esempio, in alcuni casi (e con le dovute

procedure) arrivare persino a verificare se vi è stato indebito utilizzo della connessione ad

Internet da parte del dipendente attraverso il controllo degli accessi e dei tempi di

connessione, senza mai però avere la possibilità di indagare sul contenuto dei siti visitati.

I lavoratori, comunque, devono obbligatoriamente essere messi in grado di conoscere

attraverso uno specifico disciplinare interno quali siano le attività consentite, a quali

controlli potrebbero essere sottoposti, le modalità del trattamento dei dati e in quali

sanzioni possono incorrere nel caso di abusi.

Sul datore di lavoro, infine, grava l‟onere di predisporre misure per ridurre il rischio di usi

impropri di Internet, consistenti in attività non correlate alla prestazione di lavoro, quali la

115

http://www.garanteprivacy.it/garante/doc.jsp?ID=1606053.

cybersec_20111109_0846 70

visione di siti non pertinenti, l‟upload e il download di files, l‟uso di servizi di rete con finalità

ludiche o comunque estranee all‟attività lavorativa.

Medesimo ragionamento deve essere effettuato per i dipendenti pubblici. La

Direttiva 02/2009116 del Ministro per la Pubblica Amministrazione e l‟Innovazione

sull‟utilizzo di Internet sul luogo di lavoro, infatti, richiama quanto previsto dal Garante

Privacy all‟interno delle Linee Guida del 2007 per l‟utilizzo della posta elettronica e di

Internet, già analizzate.

In particolare, la Direttiva del Ministro specifica come, nell‟esercizio del potere di controllo,

le Amministrazioni debbano attenersi ad alcune regole generali e principi:

innanzitutto deve essere rispettato il principio di proporzionalità, che si concentra

nella pertinenza e non eccedenza delle attività di controllo. Le limitazioni della

libertà e dei diritti individuali devono, infatti, essere proporzionate allo scopo

perseguito; è in ogni caso esclusa l‟ammissibilità di controlli prolungati, costanti e

indiscriminati;

inoltre, l‟introduzione di tecnologie e di strumenti di per il controllo sull‟uso della rete

e della posta elettronica deve essere fatto rispettando le procedure di

informazione/consultazione delle rappresentanze dei lavoratori previste dai contratti

collettivi;

infine, i lavoratori devono essere preventivamente informati dell‟esistenza di

dispositivi di controllo atti a raccogliere i dati personali.

A fronte del potere di controllo dell‟Amministrazione/datore di lavoro, però, esiste in capo

ai dipendenti l‟obbligo, sancito da norme di legge (anche di rilevanza penale) e di

contratto, di adottare comportamenti conformi al corretto espletamento della prestazione

lavorativa ed idonei a non causare danni o pericoli ai beni mobili ed agli strumenti ad essi

affidati, tra i quali vi sono le attrezzature ICT ed i sistemi informativi messi a disposizione

dall‟Amministrazione.

Al riguardo, pertanto, la Direttiva del Ministro ricorda, oltre alle disposizioni del Codice

disciplinare contenuto nei contratti collettivi di comparto – che dispongono sanzioni in caso

di “negligenza nella cura […] di beni mobili o strumenti affidati [al lavoratore pubblico]” –

anche il dettato del Codice di comportamento dei dipendenti delle pubbliche

116

http://comunicazione.formez.it/sites/all/files/direttiva_n2_09.pdf.

cybersec_20111109_0846 71

amministrazioni di cui al Decreto del Ministro per la funzione pubblica del 28 novembre

2000 che costituisce vero e proprio obbligo la cui inosservanza da parte dei dipendenti è

passibile di sanzione.

In particolare, l‟art. 10, comma 3, del Codice di comportamento dispone che “il dipendente

non utilizza a fini privati materiale o attrezzature di cui dispone per ragioni di ufficio”.

Pertanto, l‟utilizzo delle risorse ICT da parte dei dipendenti, oltre a non dover

compromettere la sicurezza e la riservatezza del Sistema informativo, non deve

pregiudicare ed ostacolare le attività dell‟Amministrazione od essere destinato al

perseguimento di interessi privati in contrasto con quelli pubblici.

Infine, come si è accennato, al punto 2. della Direttiva del Ministro, vengono in toto

richiamate le Linee Guida del Garante del 2007, che costituiscono, in particolare per

quanto attiene alla disciplina del trattamento dei dati personali, sicuro punto di riferimento

e regolamentazione delle modalità di utilizzo del Sistema informativo delle pubbliche

amministrazioni da parte dei dipendenti nell‟ambito del rapporto di lavoro. Pertanto, si

rimanda a quanto detto in precedenza per i dipendenti privati.

Anche nel settore della pubblica sicurezza, tuttavia, la Direttiva 2002/58/CE del

Parlamento europeo e del Consiglio, datata 12 luglio 2002, all‟art. 5, ha da tempo

affermato, come principio fondante, che gli Stati membri devono garantire, attraverso la

loro legislazione nazionale, la riservatezza delle comunicazioni effettuate tramite una rete

pubblica di comunicazioni elettroniche, proibendo, in particolare, ad ogni altro soggetto

che non sia l‟utente interessato di ascoltare, intercettare o memorizzare qualsiasi tipo di

comunicazione non preventivamente ed esplicitamente autorizzata117.

L‟unica eccezione a questo assunto è data dal successivo art. 15, paragrafo 1, in cui viene

prescritto che gli Stati membri possono adottare disposizioni legislative volte a limitare i

diritti e gli obblighi degli utenti nel solo caso in cui tale restrizione costituisca “una misura

necessaria, opportuna e proporzionata all‘interno di una società democratica per la

salvaguardia della sicurezza nazionale (cioè della sicurezza dello Stato), della difesa, della

sicurezza pubblica; e la prevenzione, ricerca, accertamento e perseguimento dei reati,

117

L‟art. 5, paragrafo 1, della Direttiva 2002/58/CE del Parlamento europeo e del Consiglio, Direttiva relativa alla vita privata e alle comunicazioni elettroniche, letteralmente statuisce che “gli Stati membri assicurano, mediante disposizioni di legge nazionali, la riservatezza delle comunicazioni effettuate tramite la rete pubblica di comunicazione e i servizi di comunicazione elettronica accessibili al pubblico, nonché dei relativi dati sul traffico. In particolare essi vietano l‘ascolto, la captazione, la memorizzazione e altre forme di intercettazione o di sorveglianza delle comunicazioni, e dei relativi dati sul traffico, ad opera di persone diverse dagli utenti, senza consenso di questi ultimi”.

cybersec_20111109_0846 72

ovvero dell‘uso non autorizzato del sistema di comunicazione elettronica”118, derogando

così ai principi dell‟anonimità e della cancellazione dei dati personali non più necessari119.

Su una linea di pensiero più cauta, però, si pone il legislatore italiano che, all‟interno del

Codice della privacy, ammette il trattamento dei dati personali sensibili e giudiziari da parte

delle forze di polizia120, purché sia “autorizzato da espressa disposizione di legge nella

quale sono specificati i tipi di dati che possono essere trattati e di operazioni eseguibili e le

finalità di rilevante interesse pubblico perseguite”121 e sempre che ne sia precedentemente

verificata la loro pertinenza, completezza, non eccedenza e indispensabilità rispetto agli

obiettivi perseguiti nei singoli casi122, soprattutto nell‟ipotesi in cui la raccolta dei dati non

avvenga presso l‟interessato.

Cautele molto simili a quelle appena richiamate sono previste, poi, per il trattamento dei

dati effettuato da soggetti pubblici per finalità di difesa o di sicurezza dello Stato123, per il

quale, in ragione della “delicatezza” dei compiti assegnati, si applicano però solo una

piccola parte delle disposizioni del Codice124.

118

Art. 15, paragrafo 1, Direttiva 2002/58/CE del Parlamento europeo e del Consiglio, cit. 119

Deroga già prevista anche dall‟art. 8, paragrafo 4, della Direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, Direttiva relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali nonché alla libera circolazione di tali dati, in G.U. n. L 281/31, in cui l‟utilizzo di informazioni concernenti la salute, la vita sessuale, la sfera religiosa, politico-sindacale o filosofica, nonché l‟origine razziale ed etnica degli utenti deve essere soggetto a rigorose cautele, in base alle quali è vietato il loro trattamento a meno che non ricorrano “specifici motivi di interesse pubblico rilevante e siano altresì assicurate opportune garanzie”. 120

Art. 53, comma 1, d.lgs. 30 giugno 2003, n. 196, Codice in materia di protezione dei dati personali, in http://www.garanteprivacy.it/garante/doc.jsp?ID=1311248. 121

Art. 20, comma 1, d.lgs. 30 giugno 2003, n. 196, cit. 122

Art. 22, comma 5, d.lgs. 30 giugno 2003, n. 196, cit. Completa il quadro normativo l‟art. 54, comma 3, che demanda al Centro elaborazioni dati delle forze di polizia “l‘aggiornamento periodico e la pertinenza e non eccedenza dei dati personali trattati”. 123

Art. 58, d.lgs. 30 giugno 2003, n. 196, cit. 124

L‟art. 58, comma 1, infatti, afferma che “ai trattamenti effettuati dagli organismi di cui agli articoli 3, 4 e 6 della legge 24 ottobre 1977, n. 801, ovvero sui dati coperti da segreto di Stato ai sensi dell‘articolo 12 della medesima legge, le disposizioni del presente codice si applicano limitatamente a quelle previste negli articoli da 1 a 6, 11, 14, 15, 31, 33, 58, 154, 160 e 169”, “nonché alle disposizioni di cui agli articoli 37, 38 e 163”, così come previsto dal comma 2 del medesimo articolo.

cybersec_20111109_0846 73

In una società che ormai poggia le fondamenta sul concetto stesso di informazione125

e sulla rilevanza che questo concetto ha all‟interno dei meccanismi di funzionamento di

tutti i sistemi cibernetici126, risulta particolarmente intuitivo comprendere come

impossessarsi, proteggere e usare la maggior quantità possibile di esse sia lo sforzo più

rilevante a supporto di un‟efficace strategia di vittoria per molti dei conflitti che saranno

combattuti in futuro.

Se è vero, infatti, che:

“In linea di massima, a proposito della battaglia, l‘attacco diretto mira al

coinvolgimento; quello di sorpresa, alla vittoria.”127

allo stato attuale, proprio gli attacchi informatici possono essere ancora in grado di

conseguire con facilità questo stratagemma.

125

Il concetto di informazione è particolarmente vasto e differenziato. In termini generici, informazione è qualsiasi aggregazione di dati di cui sia noto non solo il valore, ma anche il significato: i dati in un archivio, ad esempio, possono certamente essere considerati come informazioni, così come anche è informazione la configurazione degli atomi di un gas. L‟informazione, quindi, non solo è sempre esistita, ma può anche essere misurata come tutte le altre entità fisiche. Anche se la sua importanza è stata riconosciuta solo nel XX secolo, quando la sua elaborazione attraverso i computer ha certamente avuto un impatto inimmaginabile nella vita quotidiana, già in latino la parola veniva usata per indicare un “concetto” o una “idea”, laddove in Grecia la parola corrispondente “εἶδος”, “idea” appunto, veniva tecnicamente usata in ambito filosofico da Platone e Aristotele per indicare l‟identità ideale o l‟essenza di qualcosa. Secondo la “teoria dell‟informazione”, in una comunicazione che avviene attraverso un dato alfabeto di simboli, l‟informazione viene associata a ciascun simbolo trasmesso e viene definita come “la riduzione di incertezza che si poteva avere a priori sul simbolo trasmesso”. 126

Per uno studio corretto sulla scienza della cibernetica e sul suo significato corretto, si veda N. WIENER, “Introduzione alla cibernetica”, Universale Bollati Boringhieri, 1997. Sinteticamente, la cibernetica è la scienza che studia i fenomeni di autoregolazione e comunicazione, sia negli organismi naturali quanto nei sistemi artificiali. La cibernetica si pone, dunque, come un campo di studi interdisciplinare tra le scienze e l‟ingegneria, allontanandosi dal concetto „giornalistico‟ strettamente legato ai soli sistemi elettronici. 127

Sun Tzu, “L‘arte della guerra”, in http://it.wikipedia.org/wiki/Sun_Tzu.

Riflessioni conclusive e prospettive future 10

cybersec_20111109_0846 74

Per quanto finora analizzato, infatti, non può sfuggire come l‟insicurezza dei sistemi

socio-tecnici abbia, in primo luogo, conseguenze operative dirette.

Ciò che rileva ancor più, però, è la consapevolezza che, di fatto, dato l‟attuale livello di

utilizzo per attività “sensibili” di tecnologie non progettate per la sicurezza (principalmente

Internet e il substrato dei protocolli di trasmissione dati), non è possibile garantire un alto

grado di sicurezza contro la penetrazione di qualsiasi strumento elettronico connesso alla

Rete. Pertanto, nonostante gli investimenti, l‟attenzione, l‟efficienza e la preparazione del

personale e dei tecnici, qualsiasi nazione e/od organizzazione interconnessa

elettronicamente e che utilizzi strumenti elettronici è potenzialmente vulnerabile alla

distruzione mirata delle informazioni – anche da remoto – nella stessa misura in cui lo è al

momento al furto di informazioni.

In secondo luogo, occorre evidenziare che questo rischio non può essere oggi

eliminato, ma solo gestito e mitigato.

Il Governo e le compagnie che si occupano della gestione dei sistemi informatici delle

infrastrutture critiche nazionali128, infatti, devono necessariamente operare quegli

investimenti ormai indispensabili per ricreare quelle strutture distribuite di ridondanza che

hanno reso la rete telefonica cablata quel sistema particolarmente robusto che tutti

conosciamo. Resilienza e piani di disaster recovery efficienti – soprattutto in termini di

velocità nel ripristino della situazione quo ante – dovrebbero essere, allo stato attuale delle

cose, l‟unico reale ed immediato obiettivo. Infatti, soprattutto in un‟ottica di deterrenza, se

si riescono a ridurre al minimo le conseguenze portate dagli attacchi informatici, i tentativi

di accesso non autorizzati aio sistemi cesserebbero in maniera proporzionale.

Terzo elemento, è che le aziende private, detentrici della maggior parte delle

infrastrutture critiche nazionali, devono individuare, isolare e proteggere

autonomamente129 tanto le risorse fisiche quanto quelle immateriali (proprietà intellettuale

128

http://it.wikipedia.org/wiki/Infrastrutture_critiche. 129

In questo senso, illuminante è il recentissimo lavoro pubblicato da Chatham House dal titolo “Cyber Security and the UK‘s Critical National Infrastructure”, 2011, in http://www.chathamhouse.org/sites/default/files/public/Research/International%20Security/r0911cyber.pdf, all‟interno del quale si pone in evidenzia che:

Government cannot provide all the answers and guarantee national cyber security in all respects for all stakeholders. As a result, Critical National Infrastructure enterprises should seek to take on greater responsibilities and instil greater awareness across their organizations;

All organisations should look in more depth at their dependencies and vulnerabilities. Awareness and understanding of cyberspace should be ‗normalised‘ and incorporated and embedded into standard management and business practices within and across government and the public and private sectors;

cybersec_20111109_0846 75

e privacy). La tecnologia, infatti, è solo uno degli strumenti che mettono costantemente in

pericolo questi asset strategici. L‟hardening dell‟infrastruttura tecnologica, pertanto, deve

essere ineluttabilmente integrato con la formazione del personale sui temi della sicurezza

informatica operativa. Questa strada si traduce certamente nella predisposizione di

percorsi formativi, ma, soprattutto, nella scrittura e adozione di specifiche policy di

sicurezza interne, in audit ciclici volti a verificarne l‟adozione e, più in generale, nella

previsione di creare team in cui il management, gli avvocati e i tecnici lavorano a stretto

contatto per questo obiettivo.

Alcune prospettive per il futuro, allora, sembrano tracciabili, se non addirittura

auspicabili come vere e proprie proposte, da questo percorso:

gli attacchi informatici cresceranno costantemente in numero, rilevanza e qualità,

evolvendosi anche nell‟obiettivo principale: da semplici azioni portate per il furto di

informazioni a veri e propri atti di cyber-warfare;

verranno sviluppate nuove forme (protocolli) di comunicazione e nuove tipologie di

network all‟interno delle quali far transitare in maniera sicura i dati sensibili e/o

classificati;

verranno sviluppate nuove tecnologie utili ad ampliare le capacità di trasferimento

dei dati elettronici (banda), soprattutto per permettere l‟invio di informazioni sensibili

e/o classificate direttamente agli operatori dei contingenti militari impegnati anche

nei teatri operativi più tecnologicamente inaccessibili del mondo;

nonostante le numerose incertezze in materia di sicurezza delle infrastrutture cloud,

con sempre maggior frequenza questi strumenti verranno utilizzati nel settore

militare per la condivisione delle informazioni, anche sensibili e/o classificate;

le informazioni “vestiranno” e viaggeranno sempre più con gli operatori dei nostri

contingenti militari, grazie alla miniaturizzazione e alla concentrazione delle

tecnologie verso il “mobile”;

i social media assumeranno un ruolo strategico/tattico/operativo nelle operazioni

militari, con un ruolo predominante nelle attività di influenza130;

Cyber terminology should be clear and language proportionate to the threat. It should also

encourage a clear distinction to be made between IT mishaps and genuine cyber attacks;

Research and investment in cyber security are essential to meeting and responding to the threat in a timely fashion. However, cyber security/protection should not be the preserve of IT departments but of senior executive boards, strategists and business leaders and it should be incorporated into all levels of an organization.

130 RAND Corporation, “Foundations of Effective Influence Operations. A Framework for Enhancing Army

Capabilities”, 2011, in http://www.rand.org/pubs/monographs/2009/RAND_MG654.pdf.

cybersec_20111109_0846 76

resilienza ed affidabilità diverranno le due parole chiave per la sicurezza dei sistemi

che governano le infrastrutture critiche nazionali;

verranno implementati i primi sistemi di valutazione e reazione automatica alle

minacce provenienti dal cyber-spazio;

la partnership a livello internazionale tra gli Stati, le Forze Armate e le Forze

dell‟Ordine sarà consolidata e rafforzata, sia attraverso nuove norme che attraverso

iniziative comuni;

la partnership tra pubblico e privato diventerà indispensabile per la protezione delle

infrastrutture tecnologiche;

verrà creato un framework comune di norme giuridiche internazionali per far fronte

alla minaccia derivante da un uso scorretto degli strumenti informatici, tutelando le

libertà fondamentali e la privacy dei cittadini;

il problema della sicurezza delle informazioni e delle comunicazioni non verrà

comunque risolto.

Le sfide che la Difesa, le Forze Armate e i nostri contingenti militari sono e saranno

sempre più chiamati ad affrontare nel settore della cyber-intelligence e della cyber-security

sono certamente tanto complesse, quanto affascinanti. Queste minacce, infatti,

impongono comportamenti adattivi e di reazione che tagliano trasversalmente sia i settori

della ricerca tecnica e tecnologica, che quelli strategico, tattici ed operativi, i quali per la

prima volta, proprio attraverso Internet e la tecnologia, stanno vedendo svanire la loro

tipica compartimentazione settoriale.

Che ci si trovi di fronte a vere e proprie cyber-war, come alcuni prestigiosi analisti131 già da

tempo hanno evidenziato, ovvero a singoli atti di cyber-warfare, o ancora ad azioni tese ad

impadronirsi esclusivamente delle informazioni sensibili e/o classificate dei Governi, la

priorità resta e deve restare sempre la protezione degli asset strategici – anche immateriali

– della nostra nazione, per la difesa della Patria e la salvaguardia delle nostre libere

istituzioni.

131

Richard A. Clarke & Robert K. Knake, “Cyberwar. The next threat to national security and what to do about it”, cit..

cybersec_20111109_0846 77

SUPPORTO BIBLIOGRAFICO

cybersec_20111109_0846 78

Fox News – 09 dicembre 2010 http://www.foxnews.com/scitech/2010/12/09/facebook-friends-terror/

Terrorists have traditionally sought to exploit new and alternative media, particularly on

the Internet, to spread their propaganda and to a lesser extent, operational and tactical

guidance to prospective supporters through websites, forums, blogs, chat rooms etc. In

recent years, Islamic terrorists have expanded the purview of their online endeavors into

social networking sites, websites that create and foster online communities organized

around shared affinities and affiliations that connect people based on interests and

relationships. In most cases, social networking sites are openly viewable to any participant

on the site.

As part of this trend, jihad supporters and mujahideen are increasingly using Facebook,

one of the largest, most popular and diverse social networking sites, both in the United

States and globally, to propagate operational information, including IED recipes primarily in

Arabic, but in English, Indonesian, Urdu and other languages as well. While some tactical

information is available on Facebook, the majority of extremist use of Facebook focuses

on disseminating ideological information and exploiting the site as an alternative media

outlet for terrorist propaganda. However, to a lesser degree, the site is used as a gateway

to radical forums and jihadi sites with explicit radical agendas (and easily downloadable

operational information) and as a platform to promulgate some tactical and operational

information.

Terrorist Use of Facebook:

As a way to share operational and tactical information, such as bomb recipes, AK-

47 maintenance and use, tactical shooting, etc.

DHS Terrorist Use of Social Network.

Facebook Case Study

11

cybersec_20111109_0846 79

As a gateway to extremist sites and other online radical content by linking on

Facebook group pages and in discussion forums.

As a media outlet for terrorist propaganda and extremist ideological messaging.

As a wealth of information for remote reconnaissance for targeting purposes.

Operational & Tactical Information

Two Arabic-language IED recipes, one for explosive ammonal and one for a poisonous

smoke bomb, along with Arabic-language instructions on how to prepare nitric acid were

collected from the discussion board of a Facebook group with a clear radical preference.

While the group only boasted 47 members and all the posts were from the same user

whose profile picture and user name was Osama bin Laden (obscuring the user‟s true

identity), all content on the group‟s Facebook page is open to the public, meaning anyone

with a Facebook account has access to the posts.

By making a group open to the public, its actual membership number becomes almost

irrelevant in terms of access to information sharing. It is worth noting that the same toxic

smoke bomb recipe posted on the Facebook page was collected at roughly the same time

from an Arabic-language radical forum, suggesting that there is some cross-over between

radical content disseminated on Facebook and on Islamist extremist forums. In addition to

explosives related material, informational videos with titles such as “tactical shooting,”

“getting to know your AK-47,” “how to field strip an AK-47” etc. were collected from a

radical Facebook group with over 2,000 members, which was open and accessible to non-

members.

While how-to videos about firearms are not inherently terrorist source material pertaining

to tactics and procedures, and are not nefarious in isolation (they are within the scope of

acceptable content on Facebook, YouTube, and other social networking sites), the ones

found on Facebook were taken from radical groups dedicated to jihad. These combined

with the juxtaposition of a video on tactical shooting with video clips from al- Qaeda‟s

media wing, As-Sahab, featuring Osama bin Laden and Adam Gadahn from a Facebook

page explicitly dedicated to jihad (“wherever the mujahedeen are fighting, they are doing

their religious duty as well as fighting for their right”), makes these videos terrorist source

material.

cybersec_20111109_0846 80

Facebook as a Gateway

While a plethora of radical content and terrorist propaganda is already being posted on

Facebook, radicals are also using Facebook group discussion forums and wall posts to

link to radical forums, media sites for extremist groups, and recruitment pages. Some

Islamist radical forums even have Facebook pages, which facilitate navigation between the

two. In this way, Facebook acts as a gateway or launching pad for further radicalization

and for easy access to sites where explosives recipes and IED information are regularly

posted. For example, a Facebook group with over 5,000 members claiming to defend

Islam had links to Hizb ut Tahrir and al- Aqsa‟s homepage.

Links to al-Qaeda videos on YouTube, propaganda videos featuring wounded and dead

Palestinians in Gaza, and videos promoting female suicide bombers were all openly

accessible as well. Facebook has also become a popular platform for the dissemination

and quick spread of Osama bin Laden statements, whether audio or video. His most

recent statements have appeared on a number of Facebook group pages within 48 hours

of release. There were also a number of groups dedicated to Hezbollah and Hassan Nasr

Allah that had propaganda videos showing the organization‟s weapons arsenal and

training.

Radical Forums and Facebook as Jihadi Media

While social networking sites have recently become popular with radicals, forums have

long been used by terrorists to exchange ideas, and spread ideological, tactical and

operational information among a sympathetic audience. A number of discussion threads

have been collected from these well-established, radical forums that focus on expanding

into other social networking interfaces, especially Facebook:

This [Facebook] is a great idea, and better than the forums. Instead of waiting for

people to [come to you so you can] inform them, you go to them and teach them!

God willing, the mujahedeen, their supporters, and proud jihadi journalists will [use

the site, too]. [First,] it has become clear that the market of social networking

websites is developing in an astonishing manner and that it fulfills important needs

for Internet users, particularly younger ones.

Facebook has become very successful in this field; therefore, it is our duty to use it,

as adherents of jihad and [members] of the blessed jihadi media. [I] mean, if you

have a group of 5,000 people, with the press of a button you [can] send them a

cybersec_20111109_0846 81

standardized message. [That] means if you send one message with a link to [forum

names], a clear [path] to jihadi media is open.

I entreat you, by God, to begin registering for Facebook as soon as you [finish]

reading this post. Familiarize yourselves with it. This post is a seed and a

beginning, to be followed by serious efforts to optimize our Facebook usage. Let‟s

start distributing Islamic jihadi publications, posts, articles, and pictures. Let‟s

anticipate a reward from the Lord of the Heavens, dedicate our purpose to God, and

help our colleagues.

General Goals of the Invasion

1. Reach the wide base of Muslims who [use] Facebook.

2. Encourage brothers to devise new online media in support of jihadi media.

3. Form a solid base on Facebook and shed light on it as a medium for reaching

people.

4. Move from an elite society ([on] jihadi forums and websites) to mainstream Muslims,

[encourage] their participation, and interact with them.

5. Advance media operations and encourage creativity, innovation, flexibility, and

change. Reach large [numbers] of Crusaders, broadcast the losses of their armies,

expose the lies of their leaders, and call Muslims to jihad.

These posts call for the organized, strategic exploitation of Facebook, recognizing its value

as a platform for reaching a wider, younger audience. The user who posted steps for

„invading‟ Facebook recognizes the inherent value in exploiting a non-ideological medium,

namely its wide user base that is comprised of the general public.

It also serves as recognition that jihadi forums are mostly frequented by people who have

already become radicalized or support jihad, i.e. “elite society,” whereas Facebook offers a

space to interact with “mainstream Muslims” and attract and recruit new supporters. Given

that in terror networks social bonds tend to be more significant than external factors like

shared hatred or ideology, social networking interfaces whose purpose is to virtually

connect people based on such common social bonds clearly lend themselves to extremist

use and recruitment efforts.

cybersec_20111109_0846 82

Operational Security (OPSEC)

In addition to discussing the exploitation of Facebook to promote jihadi media, a number of

forum threads also discuss how best to do so while maintaining a high level of operational

security. The posts explicate OPSEC measures that should be taken to maintain

anonymity, encourage users to fictionalize and use artifice and demonstrate a

sophisticated understanding of the online security environment and the need for anonymity

even within a medium that is relatively un-policed like Facebook. The following terrorist

source material was harvested from a number of Arabic-language radical forum threads:

First, we make clear that [you should] use Tor to email, register, and [use Facebook]. Don‟t

join unless you are using Tor. Take care that all data be “fictional,” and the Facebook

password should not be the [same] as the email password. In general, don‟t use a

password twice, meaning don‟t [use] your password for [forum] or [forum] on another

forum.

[Make sure] all the data is fictional and that the password for Facebook is a new

password [you have] never used before. [Make sure the password] is complicated

[and includes] some uppercase and lowercase letters, numbers, and symbols. Save

it in your notebook on the [computer] or on a flash (USB) [drive].

I [think it‟s best] not to post a picture with jihadi meaning, so that the eyes of the

idolater dogs won‟t be on you. If you want, post a picture that calls attention to God,

so that you will benefit from good things. Don‟t [use a picture] of yourself.

In order for the maximum number of “Facebookers” to join your group, you should

reveal to them that you are, for example, an expert in terrorist groups. You don‟t

have to reveal that you sympathize with al-Qaeda. The group‟s members will

automatically sympathize with the organization once they become familiar with the

organization‟s tapes and jihadi operations. You must use artifice.

While radical Islamist forum discussion threads demonstrate acuity for the need for strong

OPSEC, there may be little need for such care on sites like Facebook. The much higher

frequency with which radical content appears on Arabic-language Facebook group pages,

as opposed to radical content in Spanish and English, may be due to the lack of oversight

of the Arabic-language in comparison to the other two languages, which are well

monitored because of the relative ease of doing so.

cybersec_20111109_0846 83

According to Facebook Rights and Responsibilities on the website, “You will not post

content or take any action on Facebook that infringes or violates someone else‟s rights or

otherwise violates the law.” It also states that “We can remove any content or information

you post on Facebook if we believe that it violates this Statement.” However, information is

not screened before it is posted, so posts that violate the rules remain on the site until they

are detected and removed.

Remote Reconnaissance

In addition to using Facebook to disseminate information, information posted by users can

also be exploited by adversaries for targeting purposes. For example, Facebook postings

have been used domestically by robbers to determine when a user would be out of the

house. The Shin Bet security agency (part of the Israeli Ministry of Defense) has

recognized terrorist use of social networking sites for remote reconnaissance, warning

Israeli soldiers about posting sensitive information: “terror organizations are using these

[social networking] sites to tempt Israelis to meet up in person in order to either abduct

them, kill them or recruit them as spies.” The English-language Lebanese media outlet, Ya

Libnan, has also reported that an Israeli soldier was sentenced to 19 days in a military brig

after posting a photograph of the base where he was assigned.” Although there have been

no reported cases of social network sites being used for targeting in explosives related

cases, it is another reconnaissance resource available to terrorists.

Conclusions

The vast size, linguistically and culturally diverse user base, and lack of verification of user

supplied biographical information on social networking sites make monitoring and

evaluation of potential threats on these sites extremely difficult. Moreover, the presence of

non-violent extremist material on user profiles and in “linked” content complicates the task

of isolating and assessing more credible threats. These attributes, combined with the

complicated array of privacy settings users may employ–or augment with secondary forms

of communication, ranging from traditional web forums to email–make social networking

sites a viable tool for terrorists to use.

While Facebook is currently being used as a platform to share operational and tactical

information, a gateway to extremist sites and forums, an outlet for propaganda and

extremist ideological messaging and for conducting remote reconnaissance, it is by no

means the only social networking site being employed for extremist use.

cybersec_20111109_0846 84

Radical material including documents, videos, and audio files have been disseminated on

other popular social networking sites, such as Twitter, YouTube, and MySpace.

The radical Islamist group, the Muslim Brotherhood, has even created and launched its

own social networking site that operates in much the same way as Facebook called

Ikhwan Book. These sites, with their vast user bases and profusion of user generated

information present both challenges and opportunities for law enforcement. While social

networking sites are difficult to police given the sheer volume of information and

complicated privacy settings, they do contain a wealth of knowledge about potential

threats and current tactics and techniques being disseminated on the web.

Fox News – 09 dicembre 2010 http://www.foxnews.com/scitech/2010/12/09/facebook-friends-terror/

cybersec_20111109_0846 85

Marines Offical Site – summer 2010 http://www.marines.mil/usmc/Pages/SocialMediaGuidance.aspx

1. Overview

a. This guidance is provided for Marines who, in their personal capacity, desire to make

unofficial posts online, regarding Marine Corps-related topics. (The term “Marines” on this

guidance refers to active-duty and reserve Marines and sailors).

―Unofficial Internet posts,‖ referred to below, are considered any content about the Marine

Corps or related to the Marine Corps that are posted on any Internet site by Marines in an

unofficial and personal capacity. Content includes, but is not limited to, personal

comments, photographs, video, and graphics. Internet sites include social networking

sites, blogs, forums, photo and video-sharing sites, and other sites to include sites not

owned, operated or controlled by the Marine Corps or Department of Defense.

b. Unofficial Internet posts are not initiated by any part of the Marine Corps or reviewed

within any official Marine Corps approval process. By contrast, official Internet posts

involve content released in an official capacity by public affairs Marines, Marine Corps

Community Services marketing directors, or commanders designated as releasing

authorities. Policy for Family Readiness Officers will be provided in separate guidance.

c. In accordance with these guidelines, Marines are encouraged to responsibly engage in

unofficial Internet posts about the Marine Corps and Marine Corps-related topics. The

Marine Corps performs a valuable service around the world every day and Marines are

often in the best position to share the Marine Corps‟ story with the domestic and foreign

publics.

USMC Online Social Media Guidance for

Unofficial Internet Posts

12

cybersec_20111109_0846 86

2. Guidelines

a. Marines are personally responsible for all content they publish on social networking

sites, blogs, or other websites. In addition to ensuring Marine Corps content is accurate

and appropriate, Marines also must be thoughtful about the non-Marine related content

they post, since the lines between a Marine‟s personal and professional life often blur in

the online space. Marines must be acutely aware that they lose control over content

they post on the Internet and that many social media sites have policies that give these

sites ownership of all content and information posted or stored on those systems. Thus

Marines should use their best judgment at all times and keep in mind how the

content of their posts will reflect upon themselves, their unit, and the Marine Corps.

b. As with other forms of communication, Marines are responsible for adhering to Federal

law, Marine Corps regulations and governing policies when making unofficial Internet

posts. Marines must abide by certain restrictions and policy to ensure good order and

discipline. Federal law, regulations and policies that directly impact a Marine‟s conduct

mandate personal standards of conduct, operational security, information assurance,

release of personally identifiable information, ethics regulations, and the release of

information to the public. A Marine who violates Federal law, regulations or policies

through inappropriate personal online activity is subject to disciplinary action under

the Uniform Code of Military Justice (UCMJ). See the references listed below for more

details.

c. Marines who communicate online about the Marine Corps in unofficial Internet posts

may identify themselves as Marines, to include their rank, military component (e.g.,

Captain Smith, USMC), and status (active or reserve) if desired. However, if Marines

decide not to identify themselves as Marines, they should not disguise, impersonate or

otherwise misrepresent their identity or affiliation with the Marine Corps. When

expressing personal opinions, Marines should make clear that they are speaking for

themselves and not on behalf of the Marine Corps. Use a disclaimer such as: “the

postings on this site are my own and don‟t represent Marine Corps‟ positions or opinions.”

cybersec_20111109_0846 87

d. As with other forms of personal public engagement, Marines should avoid offensive

and inappropriate behavior that could bring discredit upon themselves and the

Marine Corps. This behavior includes posting any defamatory, libelous, obscene,

abusive, threatening, racially or ethnically hateful, or otherwise offensive or illegal

information or material.

e. Marines shall not post classified, controlled unclassified information (CUI), or sensitive

information (for example, tactics, troop movements, force size, weapon system details,

etc). When in doubt, Marines should contact the unit operations officer, security officer,

intelligence officer, or public affairs officer for guidance.

f. Marines should be extremely judicious when disclosing personal details on the Internet,

and should not release personal identifiable information (PII) that could be used to

distinguish their individual identity or that of another Marine. Examples of PII include a

Marine‟s social security number, home address, birthday, birth place, driver‟s license

number, etc. Marines must be aware that criminals use the Internet to gain information for

unscrupulous activities such as identity theft. By piecing together information provided

on different websites, criminals can use information to, among other things,

impersonate Marines and steal passwords. In addition, Marines should utilize privacy

settings on social networking sites so posted personal information and photos can be

viewed only by designated people. Remember, what happens online, is available to

everyone, everywhere. There is no immediate assumption of privacy once users begin to

interact with others online.

g. Marines should not post information that would infringe upon the privacy, proprietary, or

personal rights of others.

h. Marines should not use any words, logos or other marks that would infringe upon the

trademark, service mark, certification mark, or other intellectual property rights of the

owners of such marks without the permission of such owners.

i. Marines may use the eagle, globe and anchor; coat of arms (ega in the center, encircled

with words “United States – Marine Corps”); and other symbols in unofficial posts so long

as the symbols are used in a manner that does not bring discredit upon the Corps, does

not result in personal financial gain, or does not give the impression of official or implied

endorsement. Marines should contact HQMC Division of Public Affairs Trademark and

Licensing office for further clarification or contact their local legal office for an ethics

cybersec_20111109_0846 88

determination prior to engaging in Internet activity that could violate the standards of

conduct. Marines who violate the Marine Corps’ symbols (ega and/or coat of arms)

are potentially subject to legal proceedings.

j. The posting or disclosure of internal Marine Corps documents or information that

the Marine Corps has not officially released to the public is prohibited. This policy

applies no matter how a Marine comes into possession of a document. Examples

include, but are not limited to, memos, e-mails, meeting notes, message traffic, white

papers, public affairs guidance, pre-decisional materials, investigatory information, and

proprietary information. Marines are also prohibited from releasing Marine Corps e-

mail addresses, telephone numbers, or fax numbers not already authorized for

public release.

k. Marines should only discuss Marine Corps issues related to their professional

expertise, personal experiences, or personal knowledge.

l. Marines are encouraged to professionally and respectfully correct errors and

misrepresentations made, by others, about the Marine Corps. Marines must remember

however, to respond and act with their minds and not their emotions when posting

content. Marines should refer to the chain of command or public affairs for guidance if

uncertain about the need for or appropriateness of a response.

m. Marines must adhere to policy in Department of Defense Directive 1344.10 when

posting political content. Marines also should take care not to express or imply Marine

Corps endorsement of any opinions, products or causes other than those already officially

endorsed by the Marine Corps.

n. Marines should be cautious and guard against cyber criminals and attackers by

following sound security procedures (Questions regarding security issues can be directed

to HQMC C4 Information Assurance personnel). When using the Internet and social

media, Marines should not click links or open attachments unless the source can be

trusted. Oftentimes, cyber criminals pretend to be people they are not in order to

deceive Marines into performing actions that launch cyber attacks, download

viruses, and install malware and spyware onto computers.

cybersec_20111109_0846 89

o. Marines should always use strong passwords (10-digit passwords comprised of lower-

and upper-case letters, numbers, and symbols) to protect their online / social media

accounts from getting hacked. Marines also should frequently change their passwords.

p. Marines should be thoughtful about who they allow to access their social media profiles

and personal information (e.g., who Marines allow to be their “friend” on Facebook and

thus allow access to their personal information). Marines should also recognize that

social network “friends” and “followers” may potentially constitute relationships

that could affect determinations in background investigations and periodic

reinvestigations associated with security clearances.

q. Marines must be careful about which online applications they use, since such

applications often have access to a user‟s personal information (e.g., third-party

applications on Facebook).

r. Marines should learn about and use the privacy settings on social media sites.

s. Marines should review their accounts daily for possible use or changes by unauthorized

users.

t. Marines should install and maintain current anti-virus and anti-spyware software on their

personal computers.

u. For answers to social media questions, Marines should contact their local public affairs

office; top level guidance, support and questions can be directed to the appropriate and

applicable points of contact listed below:

3. References:

a. Responsible and Effective Use of Internet-based Capabilities Directive Type Memorandum 09-026 (DTM 09-026) http://www.dtic.mil/whs/directives/corres/pdf/DTM-09-026.pdf b. Joint Ethics Regulation Department of Defense 5500.7-R http://www.dod.mil/dodgc/defense_ethics/ethics_regulation/jer1-6.doc c. Political Activities by Members of the Armed Forces Department of Defense Directive 1344.10 http://www.dtic.mil/whs/directives/corres/pdf/134410p.pdf d. Handling Dissident and Protest Activities Among Members of the Armed Forces

cybersec_20111109_0846 90

Department of Defense Directive 1325.06 http://www.dtic.mil/whs/directives/corres/pdf/132506p.pdf e. Department of the Navy Privacy Program Secretary of Navy Instruction 5211.5E http://doni.daps.dla.mil/Directives/05000%20General%20Management%20Security%20and%20Safety%20Services/05-200%20Management%20Program%20and%20Techniques%20Services/5211.5E.pdf f. Marine Corps Information Assurance Program Marine Corps Order 5239.2 http://www.Marines.mil/news/publications/Documents/MCO%205239.2.pdf g. Clearance of DoD Information for Public Release Marine Corps Order 5230.18 http://www.marines.mil/news/publications/Documents/MCO%205230.18.pdf h. Marine Corps Operations Security Program Marine Corps Order 3070.2 http://www.marines.mil/news/publications/Documents/MCO%203070.2.pdf i. Immediate Ban of Social Networking Sites on the Marine Corps Enterprise Network MARADMIN 0458/09 http://www.Marines.mil/news/messages/Pages/MARADMIN0458-09.aspx j. Responsible and Effective Use of Internet Based Capabilities MARADMIN 181/10 http://www.Marines.mil/news/messages/Pages/MARADMIN181-10.aspx

Marines Offical Site – summer 2010

http://www.marines.mil/usmc/Pages/SocialMediaGuidance.aspx

cybersec_20111109_0846 91

GLOSSARIO

Per una migliore comprensione degli argomenti trattati all‟interno della ricerca, nonché

per la sua rilevanza per l‟intero settore, si riportano di seguito alcuni stralci del Decreto del

Presidente del Consiglio dei Ministri 22 luglio 2011, “Disposizioni per la tutela

amministrativa del segreto di Stato e delle informazioni classificate“132, in particolare

per quanto attiene alle definizioni utili alla ricerca:

Capo I

Principi di sicurezza delle informazioni

Art. 1.

Definizioni

1. Ai fini del presente regolamento si intende per:

a) “legge”, la legge 3 agosto 2007, n. 124;

b) “Sicurezza delle informazioni”, la salvaguardia e la continua e completa protezione delle

informazioni classificate o coperte da segreto di Stato, attraverso l‟adozione di norme e

procedure, organizzative ed esecutive, nei settori delle abilitazioni di sicurezza, della

sicurezza fisica, della tecnologia delle informazioni e delle comunicazioni;

[…]

f) “Segreto di Stato”, il segreto come definito dall‟articolo 39, comma 1, della legge;

g) “Informazione coperta da segreto di Stato”, l‟informazione, la notizia, il documento,

l‟atto, l‟attività, la cosa o il luogo sui quali il vincolo del segreto di Stato sia stato apposto o

opposto e confermato e, ove possibile,annotato;

132

http://www.interno.it/mininterno/export/sites/default/it/sezioni/servizi/legislazione/intelligence/093_2011_07_22_

DPCM22072011.html

cybersec_20111109_0846 92

h) “Classifica di segretezza”, il livello di segretezza attribuito ad un‟informazione ai sensi

dell‟articolo 42 della legge e dell‟articolo 4 del DPCM n. 7 del 12 giugno 2009;

[…]

m) “Informazione classificata”, ogni informazione, atto, attività, documento, materiale o

cosa, cui sia stata attribuita una delle classifiche di segretezza previste dall‟articolo 42,

comma 3, della legge;

n) “Documento classificato”, l‟informazione classificata rappresentata in forma grafica, foto

cinematografica,elettromagnetica, informatica o in ogni altra forma;

o) “Materiale classificato”, qualsiasi oggetto, cosa o componente di macchinario, prototipo,

equipaggiamento, arma, sistema elementare o dispositivo o parte di esso, compreso il

software operativo, prodotto a mano o meccanicamente, automaticamente o

elettronicamente, finito o in corso di lavorazione, compresi i materiali per la sicurezza delle

comunicazioni (COMSEC), l‟elaborazione automatica dei dati (EAD), nonché i prodotti

della tecnologia dell‟informazione (ICT) coperti da una classifica di segretezza;

[…]

r) “Trattazione delle informazioni classificate o coperte da segreto di Stato”, la gestione,

l‟accesso, la conoscenza, la consultazione, l‟elaborazione, la selezione, l‟estrazione, il

raffronto, l‟utilizzo, la comunicazione delle informazioni classificate o coperte da segreto di

Stato;

s) “Gestione dei documenti classificati o coperti da segreto di Stato”, la protezione fisica,

logica e tecnica, l‟originazione, la spedizione, la contabilizzazione, la diramazione, la

ricezione, la registrazione, la riproduzione, la conservazione, la custodia, l‟archiviazione, il

trasporto e la distruzione legittima dei documenti classificati, nonché la preparazione dei

relativi plichi;

[…]

u) “Violazione della sicurezza”, la conseguenza di azioni od omissioni contrarie ad una

disposizione in materia di protezione e tutela delle informazioni classificate, che

potrebbero mettere a repentaglio o compromettere le informazioni stesse;

cybersec_20111109_0846 93

v) “Compromissione di informazioni classificate”, la conoscenza di informazioni classificate

da parte di persona non autorizzata ovvero non adeguatamente abilitata ai fini della

sicurezza o che non abbia la necessità di conoscerle.

[…]

dd) “INFOSEC” (sicurezza delle informazioni), le misure di sicurezza atte a tutelare le

informazioni classificate, o coperte da segreto di Stato, elaborate e memorizzate con

sistemi informatici e trasmesse con sistemi di comunicazione ed altri sistemi elettronici;

ee) “COMSEC” (sicurezza delle comunicazioni), le misure di sicurezza crittografica, delle

trasmissioni, fisica e del personale, finalizzate a garantire la protezione delle informazioni

classificate o coperte da segreto di Stato, trattate attraverso sistemi di comunicazione,

nonché ad impedirne la conoscenza da parte di soggetti non autorizzati;

[…]

gg) “COMPUSEC” (sicurezza dei sistemi EAD), le misure di sicurezza finalizzate a

prevenire la deliberata o involontaria acquisizione, manipolazione, modifica o perdita delle

informazioni classificate, o coperte da segreto di Stato, contenute o elaborate da un

sistema EAD e l‟uso non autorizzato del suddetto sistema;

hh) “TEMPEST”, le tecnologie atte ad eliminare, o ridurre entro valori non pericolosi ai fini

della sicurezza, le emissioni prodotte dalle apparecchiature elettroniche che elaborano e

trattano informazioni classificate o coperte da segreto di Stato;

ii) “Sicurezza cibernetica”, l‟insieme delle misure di sicurezza da attuare per contrastare gli

attacchi informatici che, attraverso le connessioni di rete, possono essere perpetrati ai

danni di sistemi informatici che trattano informazioni classificate o coperte da segreto di

Stato.

cybersec_20111109_0846 94

BIBLIOGRAFIA

­ A. Ghirardini, “Social engineering. Una guida introduttiva”, ITHB – Italian Black Hats

Association, 2002, su http://www.blackhats.it/it/papers/social_engineering.pdf;

­ A. Westfeld e A. Pfitzmann, “Attacks on steganographic systems”, Third Information

Hiding Workshop, 1999;

­ Aaron Dolan, “Social Engineering”, 2004, su

http://www.sans.org/reading_room/whitepapers/engineering/social-

engineering_1365;

­ Abram N. Shulsky, “Silent Warfare: Understanding the World of Intelligence”, 2nd

ed., revised by Gary J. Schmitt, New York: Brassey‟s US, 1993;

­ Agence Nationale de la Sécurité des Systémes d‟Information, “Défense et sécurité

des systèmes d‘information. Stratégie de la France”, 2011, in

http://www.ssi.gouv.fr/IMG/pdf/2011-02-

15_Defense_et_securite_des_systemes_d_information_strategie_de_la_France.pdf

­ Andrew Hoskins, Ben O‟Loughlin e Akil Awan, “Legitimising the Discourses of

Radicalisation: Political Violence in the New Media Ecology. Interim Report‖, ESRC

New Security Challenges Programme;

­ Andrew S. Tanenbaum, “Computer Networks (4th edition)”, Prentice Hall PTR, 2002;

­ Arije Antinori, “Sviluppo nell‘ambito nazionale del concetto di ‗Information

Assurance‘ relativo alla protezione delle informazioni nella loro globalità”, in

http://www.difesa.it/SMD/CASD/Istituti_militari/CeMISS/Pubblicazioni/News206/201

1-01/Pagine/Sviluppo_nellambito_nazionale__12341globalita.aspx;

­ Aspin-Brown Commission on the Roles and Capabilities of the US Intelligence

Community, “Preparing for the 21st Century: An Appraisal of US Intelligence”,

Washington, DC: US Government Printing Office, March 1, 1996;

­ Australian Government, “Cyber Security Strategy”, 2009, in

http://www.ag.gov.au/www/agd/agd.nsf/Page/CyberSecurity_CyberSecurity;

­ Australian Government, Department of Defence, Intelligence & Secuirty, “Strategies

to Mitigate Targeted Cyber Intrusions”, 2011, in

http://www.dsd.gov.au/publications/Top_35_Mitigations.pdf;

cybersec_20111109_0846 95

­ Australian Government, Department of Finance and Deregulation, “Cloud

Computing Strategic Direction Paper”, 2011, in http://www.finance.gov.au/e-

government/strategy-and-

governance/docs/final_cloud_computing_strategy_version_1.pdf;

­ BITS, “Social Media Risks And Mitigation”, 2011, in

http://www.bits.org/downloads/Publications%20Page/BITSSocialMediaRisksandMiti

gationPaperJune2011.pdf;

­ Bryan Fite, “Corporate Identity Fraud: Life-Cycle Management of Corporate Identity

Assets”, 2006, su

http://www.sans.org/reading_room/whitepapers/engineering/corporate-identity-

fraud-life-cycle-management-corporate-identity-assets_1650;

­ Cabinet Office “A Strong Britain in an Age of Uncertainty: The National Security

Strategy”, 2010, in

http://www.direct.gov.uk/prod_consum_dg/groups/dg_digitalassets/@dg/@en/docu

ments/digitalasset/dg_191639.pdf;

­ Cabinet Office, “Securing Britain in an Age of Uncertainty: The Strategic Defence

and Security Review”, 2010, in

http://www.direct.gov.uk/prod_consum_dg/groups/dg_digitalassets/@dg/@en/docu

ments/digitalasset/dg_191634.pdf;

­ Censis/Ucsi 9° Rapporto sulla comunicazione;

­ Chris Trowbridge, “An Overview of Remote Operating System Fingerprinting”, 2003,

su http://www.sans.org/reading_room/whitepapers/testing/overview-remote-

operating-system-fingerprinting_1231;

­ Commission of the European Communities, “Protecting Europe from large scale

cyber-attacks and disruptions: enhancing preparedness, security and resilience”,

2009, in

http://ec.europa.eu/information_society/policy/nis/docs/comm_ciip/comm_en.pdf;

­ Craig Hunt, “TCP/IP Network Administration”, O‟Reilly, 1998;

­ CSIS, “Significant Cyber Incidents Since 2006” su http://csis.org/publication/cyber-

events-2006;

­ Czech Republic, “Cyber security strategy of the Czech Republic for the 2011 – 2015

period”, 2011, in http://www.enisa.europa.eu/media/news-

items/CZ_Cyber_Security_Strategy_20112015.PDF;

cybersec_20111109_0846 96

­ D. Dean, M. Franklin e A. Stubblefield, “An algebraic approach to IP traceback”, in

Proceedings of the 2001 Network and Distributed System Security Symposium, San

Diego, CA, February 2001;

­ D. Song e A. Perring, “Advanced and authenticated marking schemes for IP

traceback” in Proceeding of the 2001 IEEE INFOCOM Conference, Anchorage, AK,

April 2001;

­ DARPA “Social Media in Strategic Communication (SMISC)”, 2011, in

https://www.fbo.gov/index?s=opportunity&mode=form&id=6ef12558b44258382452f

cf02942396a&tab=core&_cview=0;

­ DARPA, CINDER (Cyber Insider Threat) su

https://www.fbo.gov/index?s=opportunity&mode=form&id=cf11e81b7b06330fd2498

04f4c247606&tab=core&tabmode=list&;

­ David Gragg, “A Multi-Level Defense Against Social Engineering”, 2003, su

http://www.sans.org/reading_room/whitepapers/engineering/multi-level-defense-

social-engineering_920;

­ David Hollis, “Cyberwar Case Study: Georgia 2008”, in Small Wars Journal, 2011,

in http://smallwarsjournal.com/blog/journal/docs-temp/639-hollis.pdf;

­ Decreto del Presidente del Consiglio dei Ministri 22 luglio 2011, “Disposizioni per la

tutela amministrativa del segreto di Stato e delle informazioni classificate”, in

Gazzetta Ufficiale n. 203, 1 settembre 2011, in

http://www.gazzettaufficiale.it/guridb/dispatcher?service=1&datagu=2011-09-

01&task=dettaglio&numgu=203&redaz=11A11551&tmstp=1315150251489;

­ Department of Defence, “Department of Defense Strategy for Operating in

Cyberspace”, 2011, in http://www.defense.gov/news/d20110714cyber.pdf;

­ Department of Defence, “International Strategy for Cyberspace”, 2011, in

http://www.whitehouse.gov/sites/default/files/rss_viewer/international_strategy_for_

cyberspace.pdf;

­ Department of Information Technology Ministry of Communications & Information

Technology, Government of India, “Framework & Guidelines for Use of Social

Media for Government Organisations”, 2011, in

http://www.mit.gov.in/sites/upload_files/dit/files/SocialMediaFrameworkDraftforPubli

cConsultation_192011.pdf;

­ Department of the Army, “Human Intelligence Collector Operations”, 2006, su

http://www.fas.org/irp/doddir/army/fm2-22-3.pdf;

cybersec_20111109_0846 97

­ Douglas E. Comer, “Internetworking with TCP/IP - Principles, Protocols and

Architecture (4th edition)”, Prentice Hall PTR, 2000;

­ Dutch Ministry of Security and Justice, “The National Cyber Security Strategy

(NCSS)”, 2011, in

http://www.govcert.nl/binaries/live/govcert/hst%3Acontent/actueel/nieuws/nationale-

cyber-security-strategie-gepresenteerd/nationale-cyber-security-strategie-

gepresenteerd/govcert%3AdocumentResource%5B3%5D/govcert%3Aresource;

­ Evan Kohlmann, “Anatomy of a Modern Homegrown Terror Cell: Aabid Khan et al

(Operation Praline)”, NEFA Foundation report, September 2008, consultabile su:

http://www.nefafoundation.org/miscellaneous/nefaaabidkhan0908.pdf;

­ Federal Ministry of Interior, “Cyber security strategy for Germany”, 2011, in

http://www.cio.bund.de/SharedDocs/Publikationen/DE/IT-

Sicherheit/css_engl_download.pdf?__blob=publicationFile;

­ GAO (U.S. Government Accountability Office), “Social Media. Federal Agencies

Need Policies and Procedures for Managing and Protecting Information They

Access and Disseminate”, 2011, in http://www.gao.gov/new.items/d11605.pdf;

­ Garante per la protezione dei dati personali, “Lavoro: le linee guida del Garante per

posta elettronica e internet”, 2007, in Gazzetta Ufficiale n. 58 del 10 marzo 2007 e

su http://www.garanteprivacy.it/garante/doc.jsp?ID=1387522;

­ Gerardo Iovane, “I rischi per l‘infrastruttura informatica della Difesa. Individuazione

delle risorse organizzative necessarie al contrasto dell‘attacco informatico per

l‘attivazione di strutture dedicate all‘anti-hacker intelligence” in

http://www.difesa.it/SMD/CASD/Istituti_militari/CeMISS/Pubblicazioni/News206/201

1-02/Pagine/I_rischi_per_linfrastruttur_12446intelligence.aspx;

­ Giovanni Nacci, “Il Text Mining nelle applicazioni per la sicurezza” su Analisi Difesa,

Mensile di politica e analisi militare, n. 33, 2003;

­ Giovanni Nacci, “Nuove architetture di intelligence alle porte” su Analisi Difesa,

Mensile di politica e analisi militare, n. 36, 2003;

­ Giovanni Nacci, “Osint investigativa - Tecnologie ed analisi delle informazioni” in

Intelligence&Storia Top Secret n° 8, 2008;

­ Giovanni Nacci, “Sicurezza e anonimato in rete. Profili giuridici e tecnologici della

navigazione anonima” a cura di A. Maggipinto, M. Iaselli, Nyberg, Milano, 2005;

­ Gordon “Fyodor” Lyon, “Nmap Network Scanning: The Official Nmap Project Guide

to Network Discovery and Security Scanning”, Nmap Project, 2009;

cybersec_20111109_0846 98

­ H. Burch e B. Cheswick, “Tracing anonymous packets to their approximate source”

in Proceedings of the 2000 USENIX LISA Conference, New Orleans, December

2000;

­ Heather Kratt, “The Inside Story: A Disgruntled Employee Gets His Revenge”, 2005,

in http://www.sans.org/reading_room/whitepapers/engineering/story-disgruntled-

employee-revenge_1548;

­ I. Avcibas, N. Memon e B. Sankur, “Steganalysis using image quality metrics”, IEEE

Trans. on Image Processing, vol. 12, no. 2, 2003;

­ Intelligence and National Security Alliance dal titolo “Cyber Intelligence: Setting The

Landscape For An Emerging Discipline”, 2011, in

https://images.magnetmail.net/images/clients/INSA/attach/INSA_CYBER_INTELLI

GENCE_2011.pdf;

­ Interagency OPSEC Support Staff (IOSS), “Operations Security Intelligence Threat

Handbook: Section 2, Intelligence Collection Activities and Disciplines”, IOSS

Section 2, 1996. http://www.fas.org/irp/nsa/ioss/threat96/part02.htm;

­ Ira S. Winkler, “Case study of industrial espionage through social engineering”,

National Computer Security Association, su

http://csrc.nist.gov/nissc/1996/papers/NISSC96/paper040/WINKLER.PDF;

­ J. Postel, “Domain Name System Structure and Delegation”, 1994, su

http://www.rfc-archive.org/getrfc.php?rfc=1591;

­ J.R. Krenn, “Steganography and Steganalysis”, 2004;

­ Jared Kee, “Social Engineering: Manipulating the Source”, 2008, su

http://www.sans.org/reading_room/whitepapers/engineering/social-engineering-

manipulating-source_32914;

­ Joint Publication 3-13, “Joint Doctrine for Information Operations”, 2006, in

http://www.fas.org/irp/doddir/dod/jp3_13.pdf;

­ Joshua Brower, “Which Disney© Princess are YOU?”, 2010, su

http://www.sans.org/reading_room/whitepapers/privacy/disney-princess-you_33328;

­ Kaplan Andreas M., Haenlein Michael, “Users of the world, unite! The challenges

and opportunities of social media”, Business Horizons, Vol. 53, Issue 1;

­ Lawrence Dubin, “The Enemy Within: A System Administrator‟s Look at Network

Security”, 2003, su

http://www.sans.org/reading_room/whitepapers/engineering/enemy-within-system-

administrators-network-security_530;

­ Loch K. Johnson, “Handbook of Intelligence Studies”, Routledge, 2007;

cybersec_20111109_0846 99

­ Mainak Banga and Michael S. Hsiao, “A Region Based Approach for the

Identification of Hardware Trojans”, Bradley Department of Electrical and Computer

Engineering, Virginia Tech., 2008, in http://cs.ucsb.edu/~koc/ccs130h/2011/00-hw-

trojans/02.pdf;

­ Malcolm Allen, “Social Engineering: A Means To Violate A Computer System”,

2007, su http://www.sans.org/reading_room/whitepapers/engineering/social-

engineering-means-violate-computer-system_529;

­ Marc Sageman, “Leaderless Jihad: Terror Networks in the Twenty-First Century”,

Pennsylvania University Press, 2008;

­ Marc Sageman, “Understanding Terror Networks”, Pennsylvania University Press,

2004;

­ Marco Balduzzi, Christian Platzer, Thorsten Holz, Engin Kirda, Davide Balzarotti e

Christopher Kruegel, EURECOM, “Abusing Social Networks for Automated User

Profiling”, 2010, in http://iseclab.org/papers/socialabuse-TR.pdf;

­ Mark Fioravanti, “Client Fingerprinting via Analysis of Browser Scripting

Environment”, 2010, su

http://www.sans.org/reading_room/whitepapers/testing/client-fingerprinting-analysis-

browser-scripting-environment_33503;

­ Martin C. Libiki, “Cyberdeterrence and Cyberwar”, RAND, 2009, in

http://www.rand.org/pubs/monographs/2009/RAND_MG877.pdf;

­ Martin C. Libiki, “Cyberdeterrence and Cyberwar”, RAND, 2009, pag. 20 e ss., in

http://www.rand.org/pubs/monographs/2009/RAND_MG877.pdf;

­ Martin Manjak, “Social Engineering Your Employees to Information Security”, 2006,

su http://www.sans.org/reading_room/whitepapers/awareness/social-engineering-

employees-information-security_1686;

­ Mazzoni E., “Reti sociali e reti virtuali: la Social Network Analysis applicata alle

interazioni su web”, in A. Salvini (a cura di), “Analisi delle reti sociali. Teorie, metodi,

applicazioni”, Franco Angeli editore, 2007;

­ McAfee, “In the dark: McAfee Crucial Industries Confront Cyberattacks” su

http://www.mcafee.com/us/resources/reports/rp-critical-infrastructure-protection.pdf;

­ McAfee, “McAfee Underground Economies” su

http://www.mcafee.com/us/resources/reports/rp-underground-economies.pdf;

­ Mele Stefano, “Privacy e user generated content (UGC)”, in “Next Privacy”, Rizzoli –

ETAS, 2010;

cybersec_20111109_0846 100

­ Michael Herman, “Intelligence power in peace and war”, Cambridge University

Press, 1996;

­ Ministry of Defence of Estonia, “Cyber Security Strategy”, 2008, in

http://www.kmin.ee/files/kmin/img/files/Kuberjulgeoleku_strateegia_2008-

2013_ENG.pdf;

­ National Information Security Policy Council, “The Second National Strategy on

Information Security. Aiming for Strong ―Individual‖ and ―Society‖ in IT Age”, 2009,

in http://www.nisc.go.jp/eng/pdf/national_strategy_002_eng.pdf;

­ National Intelligence Council, “Disruptive Civil Technologies Six Technologies with

Potential Impacts on US Interests out to 2025”, 2008, in

http://www.fas.org/irp/nic/disruptive.pdf;

­ National Labor Relations Board‟s Acting General Counsel, “Report of the Acting

General Counsel Concerning Social Media Cases”, 2011, in

http://mynlrb.nlrb.gov/link/document.aspx/09031d458056e743;

­ NATO Glossary of terms and definitions, 2010, su

http://www.nato.int/docu/stanag/aap006/aap-6-2010.pdf;

­ NATO Parliamentary Assembly, “Committee Report 173 DSCFC 09 E bis - NATO

and Cyber Defence”, 2009, in http://www.nato-

pa.int/default.Asp?SHORTCUT=1782;

­ Neil F. Johnson, Joe Giordano e Sushil Jajodia, “Steganography and Computer

Forensics: The Investigation of Hidden Information”, George Mason University,

Center for Secure Information Systems, Technical Report, CSIS-TR-99-10-NFJ,

1999;

­ Niels Provos e Peter Honeyman, “Hide and Seek: An Introduction to

Steganography”, IEEE Computer Society – IEEE Security and Privacy, 2003;

­ Nigel West, “The SIGINT Secrets: The Signals Intelligence War, 1900 to Today”,

William Morrow, 1988;

­ Nmap Project, “NMAP Reference Guide” su http://nmap.org/book/man.html;

­ Office of Public Affairs, Central Intelligence Agency, “Factbook on Intelligence”,

1991;

­ Organization for Security and Cooperation in Europe (OCSE), “Overall approach by

the OCSE to promote cybersecurity”, 2011, in

http://www.oscepa.org/images/stories/documents/activities/1.Annual%20Session/20

11_Belgrade/Supplementary_Items/04_Overall_Approach_by_the_OSCE_to_Prom

ote_Cybersecurity_Belgium_ENGLISH.pdf;

cybersec_20111109_0846 101

­ P. Mockapetris, “RFC 882: Domain Names - Concepts and facilities”, 1983, su

http://www.rfc-archive.org/getrfc.php?rfc=882;

­ P. Mockapetris, “RFC 883: Domain Names - Implementation and specification”,

1983, su http://www.rfc-archive.org/getrfc.php?rfc=883;

­ Peter R. Neumann e Brooke Rogers, “Recruitment and Mobilisation for the Islamist

Militant Movement in Europe‖, ICSR, King‟s College London, per conto

dell‟European Commission Directorate-General for Justice, Freedom and Security,

October 2008, consultabile su:

http://icsr.info/publications/papers/1234516791ICSREUResearchReport_Proof1.pdf

­ Quintan Wiktorowicz, “Joining the Cause: Al Muhajiroun and Radical Islam”, in “The

Roots of Islamic Radicalism conference”, Yale University, May 8-9 2004,

consultabile su: http://insct.syr.edu/Projects/islam-

ihl/research/Wiktorowicz.Joining%20the%20Cause.pdf;

­ R. Chandramouli, “A mathematical framework for active steganalysis”, ACM

Multimedia Systems, vol. 9, no. 3, 2003;

­ R. Stiennon, “Cyber War”, Government Institute, 2010;

­ R. Stone, “CenterTrack: an IP overlay network for tracking DoS floods” in

Proceeding of the 2000 USENIX Security Symposium, Denver, CO, July 2000;

­ Rajat Subhra Chakraborty, Somnath Paul and Swarup Bhunia, “On-Demand

Transparency for Improving Hardware Trojan Detectability”, Department of

Electrical Engineering and Computer Science, Case Western Reserve University,

Cleveland, 2008;

­ RAND Corporation, “Foundations of Effective Influence Operations. A Framework

for Enhancing Army Capabilities”, 2011, in

http://www.rand.org/pubs/monographs/2009/RAND_MG654.pdf;

­ RAND Corporation, “The Cloud. Understanding the Security, Privacy and Trust

Challenges”, 2011, in

http://www.rand.org/content/dam/rand/pubs/technical_reports/2011/RAND_TR933.p

df;

­ Richard A. Clarke & Robert K. Knake, “Cyberwar. The next threat to national

security and what to do about it”, Harper Collins, 2010;

­ S. Savage, D. Wetherall, A. Karlin e T. Anderson, “Pratical network support for IP

traceback” in Proceedings of the 2000 ACM SIG-COMM Conference, Stockholm,

Sweden, August 2000;

cybersec_20111109_0846 102

­ SafeCode, “Software Integrity Controls: An Assurance-Based Approach to

Minimizing Risks in the Software Supply Chain”, 2010, in

http://www.safecode.org/publications/SAFECode_Software_Integrity_Controls0610.

pdf;

­ SecDev Group, Citizen Lab and the Shadowsever foundation, “Shadows in the

cloud: Investigating cyber espionage 2.0”, 2010, in http://secdev.ca/reports.php;

­ SecDev Group, Citizen Lab and the Shadowsever foundation, “Tracking Ghostnet:

Investigating a Cyber espionage network”, 2009, in http://secdev.ca/reports.php;

­ Shane W. Robinson, “Corporate Espionage 201”, 2007, su

http://www.sans.org/reading_room/whitepapers/engineering/corporate-espionage-

201_512;

­ Silvia Schiaffino e Analía Amandi, “Intelligent User Profiling”, in Artificial Intelligence,

M. Bramer (Ed.), LNAI 5640, pp. 193 – 216, 2009, in

http://www.exa.unicen.edu.ar/catedras/knowmanage/apuntes/56400193.pdf;

­ Singer P. W., “Wired for War: The Robotics Revolution and Conflict in the 21st

Century”, Reprint edition, 2009;

­ Site Institute, “Irhabi 007 Unveiled: A Portrait of a Cyber-Terrorist”, SITE Report,

2006, ed Evan F. Kohlmann, “The Real Online Terrorist Threat”, Foreign Affairs,

Vol.85, No.5 (2006);

­ Swedish Emergency Management Agency, “Information security in Sweden.

Situational assessment 2009”, 2009, in

http://www2.msb.se/Shopping/pdf//upload/Publikationsservice/MSB/0119_09_Infor

mation_security_in_Sweden.pdf;

­ Symantec, “Symantec Internet Security Threat Report. Trends for 2010” su

http://www.symantec.com/business/threatreport/index.jsp;

­ The Internet Security Alliance (ISA), “Securing the Supply Chain for Electronic

Equipment: A Strategy and Framework”, in

http://www.whitehouse.gov/files/documents/cyber/ISA%20-

%20Securing%20the%20Supply%20Chain%20for%20Electronic%20Equipment.pdf

­ The Times, “Britain‘s youngest terrorist, Hammaad Munshi, faces jail after guilty

verdict”, 18 August 2008;

­ Thomas J. Mowbray, “Solution Architecture for Cyber Deterrence”, 2010, su

http://www.sans.org/reading_room/whitepapers/warfare/solution-architecture-cyber-

deterrence_33348;

cybersec_20111109_0846 103

­ U.S. Government, “Cyberspace Policy Review. Assuring a Trusted and Resilient

Information and Communications Infrastructure”, 2009, in

http://www.whitehouse.gov/assets/documents/Cyberspace_Policy_Review_final.pdf

­ U.S.-China Economic and Security Review Commission Staff Report, “The National

Security Implications Of Investments And Products From The People‘s Republic Of

China In The Telecommunications Sector”, 2011, in

http://www.uscc.gov/RFP/2011/FINALREPORT_TheNationalSecurityImplicationsofI

nvestmentsandProductsfromThePRCintheTelecommunicationsSector.pdf;

­ UK Cabinet Office & Detica, “The cost of cybercrimes”, 2011, in

http://www.cabinetoffice.gov.uk/sites/default/files/resources/the-cost-of-cyber-crime-

full-report.pdf;

­ United States Air Force Chief Scientist, “Report on Technology Horizons. A Vision

for Air Force Science & Technology During 2010-2030”, Volume 1, 2010, in

http://www.af.mil/shared/media/document/AFD-101130-062.pdf;

­ United States, “National Strategy for Information Sharing. Successes and

Challenges In Improving Terrorism-Related Information Sharing”, 2007, in

http://www.ise.gov/sites/default/files/nsis_book_0.pdf;

­ US Army War College, “The Principles Of War In The 21st Century: Strategic

Considerations”, Appendix A: “The Principles of War”, 1995;

­ US Joint Forces Command, Joint Warfighting Center, “Commander‘s Handbook for

Strategic Communications and Communication Strategy”, version 3.0, 2010, in

http://www.carlisle.army.mil/DIME/documents/Strategic%20Communication%20Han

dbook%20Ver%203%20-%20June%202010%20JFCOM.pdf;

­ Verizon, “Verizon 2011 Data Breach Investigations Report” su

http://www.verizonbusiness.com/resources/reports/rp_data-breach-investigations-

report-2011_en_xg.pdf;

­ W. Richard Stevens e Gary R. Wright, “TCP/IP Illustrated, Volume 2: The

Implementation”, Addison-Wesley, 1995;

­ W. Richard Stevens, “TCP/IP Illustrated, Volume 1: The Protocols”, Addison-

Wesley, 1994;

­ W. Richard Stevens, “TCP/IP Illustrated, Volume 3: TCP for Transactions, HTTP,

NNTP, and the UNIX Domain Protocols”, Addison-Wesley, 1996;

­ Wendy Arthurs, “A Proactive Defence to Social Engineering”, 2003, su

http://www.sans.org/reading_room/whitepapers/engineering/proactive-defence-

social-engineering_511;

cybersec_20111109_0846 104

­ White House, “Cyberspace Policy Review. Assuring a Trusted and Resilient

Information and Communications Infrastructure”, 2009, in

http://www.whitehouse.gov/assets/documents/Cyberspace_Policy_Review_final.pdf

­ White House, “Federal Cloud Computing Strategy”, 2011, in

http://www.cio.gov/documents/Federal-Cloud-Computing-Strategy.pdf;

­ Xiaoxiao Wang, Mohammad Tehranipoor and Jim Plusquellic, “Detecting Malicious

Inclusions in Secure Hardware, Challenges and Solutions”, 1st IEEE International

Workshop on Hardware-Oriented Security and Trust, 2008, in

http://www.engr.uconn.edu/~tehrani/publications/host08_2.pdf;

­ Yier Jin and Yiorgos Makris, “Hardware Trojan Detection Using Path Delay

Fingerprint”, Department of Electrical Engineering Yale University, 2008 in

http://www.eng.yale.edu/trela/papers/host08.pdf;

­ Yves Lafrance, “Psychology: A Precious Security Tool”, 2004, su

http://www.sans.org/reading_room/whitepapers/engineering/psychology-precious-

security-tool_1409.

cybersec_20111109_0846 105

Ce.Mi.S.S.133

Il Centro Militare di Studi Strategici (Ce.Mi.S.S.) e‟ l‟Organismo che gestisce, nell‟ambito e per conto del Ministero della Difesa, la ricerca su temi di carattere strategico.

Costituito nel 1987 con Decreto del Ministro della Difesa, il Ce.Mi.S.S. svolge la propria opera valendosi si esperti civili e militari, italiani ed esteri, in piena libertà di espressione di pensiero.

Quanto contenuto negli studi pubblicati riflette quindi esclusivamente l‟opinione del Ricercatore e non quella del Ministero della Difesa.

Stefano MELE134

Avvocato specializzato in Diritto delle Tecnologie, Privacy, Sicurezza e Intelligence.

Dottore di ricerca presso l‟Università degli Studi di Foggia.

Vive e lavora a Milano, presso un primario Studio legale italiano, dove svolge attività di consulenza per grandi aziende, anche multinazionali, sulle problematiche legali inerenti la Privacy e la protezione dei dati personali, Internet e computer crimes, e-commerce e digital marketing, web services 2.0 e cloud computing, servizi bancari e sanitari elettronici.

E‟ altresì esperto di sicurezza, cyber-terrorismo e cyber-warfare.

E‟ membro del Gruppo di lavoro “CyberWorld” presso l‟OSN (Osservatorio per la Sicurezza Nazionale) del Ce.Mi.S.S.;

E‟ Segretario Generale dell‟Istituto Italiano di Studi Strategici “Nicolò Machiavelli”;

E‟ Senior Researcher del “Dipartimento di Studi d‘Intelligence Strategica e Sicurezza” della Link Campus University di Roma, nonché docente del loro “Master in Studi d‘Intelligence e Sicurezza Nazionale” per i moduli relativi al cyber-terrorismo e al cyber-warfare.

Ha scritto numerosi articoli e approfondimenti giuridici e di strategia pubblicati su riviste e siti web specializzati.

133

http://www.difesa.it/SMD/CASD/Istituti+militari/CeMISS/ 134

http://www.linkedin.com/in/stefanomele