Computer Network Operations

Centro Militare di Studi Strategici

Rapporto di Ricerca 2012 – STEPI AF-SA-22

Prof. Gerardo IOVANE

data di chiusura della ricerca: Ottobre 2012

Le Computer Network Operations (CNO).

Evoluzione dottrinale ed organizzativa

nelle Forze Armate dei principali paesi Europei.

http://www.difesa.it/smd/casd/istituti_militari/CeMISS/Pagine/default.aspx

CNO_20121107_1304.doc i T.Col. (A.M.) Monaci ing. Volfango

INDICE

SOMMARIO pag. 1

PARTE GENERALE / ANALITICA / PROPOSITIVA

Capitolo 1 - Introduzione pag. 4

Capitolo 2 - Classificazione delle C.N.O. pag. 22

Capitolo 3 - Approccio dei principali paesi Europei. pag. 33

Capitolo 4 - Implicazioni Giuridiche. pag. 41

PARTE SPECIALISTICA / DI SUPPORTO / BIBLIOGRAFICA

Capitolo 5 - Computer Network Attacks. pag. 53

Capitolo 6 - Computer Network Defense: strategie difensive

contro la minaccia cibernetica. pag. 104

Conclusioni pag. 115

Bibliografia pag. 118

NOTA SUL Ce.Mi.S.S. e NOTA SULL' AUTORE pag. 124



nelle Forze Armate dei principali paesi europei.

CNO_20121107_1304.doc ii T.Col. (A.M.) Monaci ing. Volfango

CNO_20121107_1304.doc 1 Author: IOVANE Prof. Gerardo - Edit: T.Col. (A.M.) Monaci ing. Volfango

SOMMARIO

L‟incessante progresso tecnologico, specie nel campo informatico e delle

telecomunicazioni, ha drasticamente modificato la maggior parte delle nostre azioni

quotidiane. Molti dei servizi erogati da aziende pubbliche o private, il cui prodotto finale

puo‟ annoverarsi tra i beni primari (acqua, elettricita‟, ecc.) sono oggi controllate da

calcolatori, o meglio da reti di computer per il controllo automatico.

La forte interconnessione di queste infrastrutture critiche rappresenta a tutti gli effetti un

nodo cruciale: dal loro grado di sicurezza, infatti, dipende la sicurezza di centinaia di

migliaia di cittadini. L‟evoluzione tecnologica ha portato con se‟ un progresso anche nelle

tecniche illegali finalizzate a sfruttare eventuali vulnerabilita‟. In questo studio, partendo dai

risultati ottenuti nei Rapporti di Ricerca del CeMiSS del 2008, 2010 e del 2011,

rispettivamente sulla Cyberwarfare ed il Cyberspazio1, sui Rischi per l’Infrastruttura

Informatica per la Difesa2 e sui Sistemi di Supporto alle Decisioni 3, si intende

esplorare il nuovo scenario del cyberspace ed, in particolare, quello delle Computer

Network Operations (CNO) e, di conseguenza, la necessita‟ di ciascun governo di porre in

essere metodologie e strategie finalizzate ad un duplice scopo: lo sfruttamento delle CNO

1 Rapporto di Ricerca Ce.Mi.S.S. " Cyberwarfare e Cyberspace: aspetti concettuali, fasi ed applicazione allo scenario

nazionale ed all’ambito militare - Gerardo Iovane

http://www.difesa.it/SMD/CASD/Istituti_militari/CeMISS/Pubblicazioni/News206/2008-

01/Pagine/Cyberwarfare_e_Cyberspace_aspet_9342militare.aspx (ultima visita 2012 Nov 06) 2 Rapporto di Ricerca Ce.Mi.S.S. "I rischi per l'infrastruttura informatica della Difesa. Individuazione delle risorse

organizzative necessarie al contrasto dell'attacco informatico per l'attivazione di strutture dedicate all'anti-hacker

intelligence" - Gerardo Iovane


02/Pagine/I_rischi_per_linfrastruttur_12446intelligence.aspx (ultima visita 2012 Nov 06) 3 Rapporto di Ricerca Ce.Mi.S.S. "Sistemi di Supporto alle Decisioni basati su metodologie avanzate di pianificazione,

(modelli matematici della complessita’, soft-computing) per usi di Stato Maggiore." - Gerardo Iovane

http://www.difesa.it/SMD/CASD/Istituti_militari/CeMISS/Pubblicazioni/News206/2012-04/Pagine/iovane.aspx (ultima visita 2012 Nov 06)




http://www.difesa.it/SMD/CASD/Istituti_militari/CeMISS/Pubblicazioni/News206/2008-01/Pagine/Cyberwarfare_e_Cyberspace_aspet_9342militare.aspx

http://www.difesa.it/SMD/CASD/Istituti_militari/CeMISS/Pubblicazioni/News206/2011-02/Pagine/I_rischi_per_linfrastruttur_12446intelligence.aspx


http://www.difesa.it/SMD/CASD/Istituti_militari/CeMISS/Pubblicazioni/News206/2012-04/Pagine/iovane.aspx







come strumento di cyberwarfare di tipo offensivo e la protezione della Global Information

Grid (GIG) o anche delle smart net, ovvero delle reti informatiche interconnesse per il

controllo automatico, che interessano gli ambiti piu‟ svariati, da quello militare o

governativo a quello economico.

Come è noto ad oggi, le guerre vengono ormai combattute su piu‟ fronti e gli Stati devono

utilizzare le risorse a disposizione per contrastare tutte quelle operazioni finalizzate

all‟interruzione o alla compromissione dei sistemi informativi, appunto le CNO.

In questo studio presenteremo dapprima una classificazione delle CNO fornendo alcuni

cenni storici sulla loro evoluzione; verranno quindi analizzate le soluzioni dottrinali ed

organizzative delle Forze Armate dei principali paesi europei. Un sezione sara‟ inoltre

dedicata alle implicazioni giuridiche delle CNO e, quindi, alla conseguente necessita‟ di

aggiornare il quadro normativo per tenere il passo del progresso in ambito cyberwarfare.

.


Parte

GENERALE / ANALITICA / PROPOSITIVA


L‟Era dell‟Informazione ha significativamente modificato le modalità di svolgimento di

molte delle nostre azioni quotidiane, con un conseguente incremento della rapidita‟ con cui

la conoscenza viene trasferita da un capo all‟altro del globo4. Nei campi applicativi piu‟

disparati, il progresso tecnologico dei dispositivi ha reso non solo piu‟ efficiente lo

svolgimento di azioni specifiche ma, al contempo, ne ha radicalmente modificato le

infrastrutture di riferimento. Da tale processo di trasformazione non e‟ esente l‟ambito

militare, dal momento che computer e reti di computer hanno profondamente modificato la

natura del warfare. Infatti, la maggior parte delle strategie di warfare dei secoli scorsi

erano incentrate sull‟occupazione fisica dei territori, con conseguente ingente

approvvigionamento di armi, dispiegamento di forze navali, aeree e terrestri a protezione

delle coste e deli spazi aerei per il raggiungimento della superiorita‟ sul campo di battaglia

contro i rispettivi avversari. Gli eventi degli ultimi decenni hanno gradualmente ma

significativamente modificato questo paradigma, favorendo cosi‟ la transizione dall‟era

industriale del warfare all‟era della cyber defence warfare5. Sarebbe infatti impensabile, ad

oggi, immaginare di controllare ad esempio una battaglia aerea usando modelli fisici come

avveniva durante la battaglia d‟Inghilterra della Seconda Guerra Mondiale, o tentare di

coordinare una missione aerea usando penne e telefoni. In definitiva, dall‟amministrazione

alla logistica al comando e controllo, la information technology ha profondamente

modificato il modo di condurre le operazioni belliche (warfare).

Anche le industrie civili operanti in settori critici hanno dovuto rinnovarsi e mettersi al

passo con l‟era digitale, affinche‟ le loro azioni fossero piu‟ veloci, efficaci ed economiche.

Ad oggi le reti di computer (computer networks) controllano la creazione e distribuzione di

energia elettrica, gli acquedotti, il traffico aereo, ferroviario e stradale e le transazioni 4 Richard A. Lipsey, Network Warfare Operations: Unleashing the Potential, CeCenter for Strategy and Technology,

Air War College, Air University, November 2005. 5 John Bumgarner, Computers as Weapons of War, IO Journal, Maggio 2010.

Introduzione

1


finanziarie di ogni tipo; in piu‟ tali reti stanno incrementando esponenzialmente il loro grado

di connettivita’, essendo connesse alla rete internet. Il risultato che ne consegue e‟ un

mondo sempre piu‟ interconnesso e, di conseguenza, la possibilita‟ di una notevole

varieta‟ di strategie di warfare semplicemente “a colpi di elettroni”.

Non e‟ un caso, infatti, che proprio il governo degli Stati Uniti nel 2009 abbia classificato il

cyberspace come strategicamente importante per la sicurezza nazionale, affiancandolo di

fatto agli altri quattro domini di guerra: terra, mare, aria e spazio.

Il presente studio intende fornire un quadro di riferimento aggiornato sull‟evoluzione

dottrinale ed organizzativa delle Computer Network Operations come soluzioni adottate

dai principali paesi europei e mondiali per consentire alla Forze Armate di contrastare in

maniera efficace la minaccia cibernetica.

Saranno oggetto principale di studio le Computer Network Operations, di cui sara‟ fornita

una classificazione, una cronologia dell‟evoluzione nel contesto internazionale e gli aspetti

giuridico-legali ad esse correlati.

1.1 Introduzione al mondo cibernetico

La crescente dipendenza della societa‟ moderna dalla tecnologia e la crescita costante

delle reti digitali hanno reso indispensabile la definizione di strategie di difesa dello spazio

cibernetico (cyber defense). Questo crescente bisogno, pero‟, si e‟ spinto ben oltre la

prevenzione dei furti di identita‟, la diffusione di malware e, piu‟ in generale, la

perpetrazione di attacchi di tipo informatico (hacking, cracking). Come gia‟ evidenziato nel

precedente Rapporto di Ricerca “Sistemi di supporto alle decisioni basati su

metodologie avanzare di pianificazione, (modelli matematici della complessita’, soft-

computing) per usi di Stato Maggiore”6 del 2011, cio‟ ha favorito l‟adozione di

metodologie proprie della Teoria della Complessita‟, della Teoria dei Giochi, di approcci di

logica sfumata (Soft Computing) e di Sistemi di Supporto alle Decisioni (Decision Support

Systems), finalizzate alla protezione delle infrastrutture critiche di una nazione.

6 Rapporto di Ricerca Ce.Mi.S.S. "Sistemi di Supporto alle Decisioni basati su metodologie avanzate di pianificazione,








Va inoltre osservato che la necessita‟ di cyber warfare da parte delle Nazioni mondiali non

si limita all‟ambito militare ma include, tra gli altri, lo spionaggio industriale cibernetico e le

odierne intrusioni nei sistemi pubblici di controllo del traffico aereo, dell‟elettricita‟ o di altre

reti di servizio pubblico e delle transazioni bancarie, da cui il bisogno di strategie di

intelligence congiunte da parte dei governi e del settore privato.

Per una corretta comprensione degli aspetti della cyber warfare, occorre specificare alcuni

termini di uso comune. Con il termine Electronic Warfare ci si riferisce in genere ad

attacchi a reti di computer con utilizzo di energia elettromagnetica, avendo come obiettivi i

circuiti elettronici nemici; il termine Information Warfare implica invece l‟utilizzo di tecniche

di information technology finalizzate ad ottenere un vantaggio competitivo su un

avversario. Le influence operations indicano invece la collezione di informazioni

sull‟avversario per ottenerne un vantaggio.

Piu‟ in generale, i suddetti termini possono essere ricondotti alla piu‟ ampia categoria delle

information operations, ovvero l‟impiego integrato di capacita‟ di electronic warfare,

operazioni su reti di computer, operazioni psicologiche e di sicurezza, utilizzate per

influenzare, interrompere o usurpare il potere decisionale avversario, umano o

automatizzato, garantendo allo stesso tempo la protezione del proprio.

Con l‟acronimo CONOPS, concept of operations, ci si riferisce in genere ad un

comunicato, verbale o grafico, che definisce in maniera chiara e concisa gli obiettivi

specifici di un comando di forze congiunte e le modalita‟ di utilizzo delle risorse. In merito

alle Information Operations (IO), il CONOPS identifica tre differenti elementi operativi:

influence operations, electronic warfare operations e network warfare operations.

La figura 1 mostra un diagramma gerarchico delle IO delle forze aeree statunitensi.


Figura 1. Gerarchia delle information operations della U.S. Air Force7.

Le network warfare operations differiscono dalle influence e dalle electronic warfare

operations nell‟utilizzo di capacità basate sulle reti di manipolare informazione per il

raggiungimento degli obiettivi della missione; in questo ambito, con il termine reti non si

indicano soltanto le reti di computer, ma vengono inclusi anche tutti quei sistemi atti a

trasmettere o ricevere informazioni, come sistemi di telecomunicazioni, reti radio,

collegamenti di informazioni tattiche digitali e sistemi SCADA8 (Supervisory Control And

Data Acquisition) per il controllo di infrastrutture critiche come reti energetiche, reti di

trasporti e simili.

7 Richard A. Lipsey, Network Warfare Operations: Unleashing the Potential, CeCenter for Strategy and Technology,

Air War College, Air University, November 2005. 8 http://it.wikipedia.org/wiki/SCADA

http://it.wikipedia.org/wiki/SCADA

http://it.wikipedia.org/wiki/SCADA


1.2 Nato-UE - Cyberthreat: una sfida da affrontare insieme

“Cyber Security has become the hot issue both for the EU and for NATO and will remain

such in the years to come”, Gilles de Kerchove d‟Ousselghem, EU Counter-Terrorism

Coordinator, ASD Conference, Istanbul 6 Ottobre 2011.

La natura distribuita degli attacchi, propria delle operazioni di cyber terrorism, rende

indispensabile la cooperazione tra le nazioni giacché una singola nazione, pur

profondendo il massimo sforzo in termini di infrastrutture e strategie di cyber defense, non

puo‟ sentirsi al sicuro senza la sottoscrizione di protocolli di collaborazione in caso di

attacchi in ambito cyberspace. Come sottolineato in precedenza, la distinzione tra militare

e civile sta sfumando sempre piu‟, rendendo indispensabile che i singoli domini nell‟ambito

di una Nazione debbano inter-operare per essere poi totalmente integrati nella cyber

intelligence. Dal momento che tutte le infrastrutture di una nazione possono essere

danneggiate e fatte oggetto di cyber attacks, soltanto la collaborazione tra Nazioni puo‟

dare luogo ad una difesa efficace; per questo, l‟adesione alle iniziative delle

Organizzazioni Internazionali (NATO, EU, ecc.) di cui facciamo parte e‟ imprescindibile.

Allo stato attuale e‟ opinione comune che la sicurezza del cyber-spazio sia una delle

nuove sfide alla sicurezza comune e che ciascuna Organizzazione Internazionale debba

dotarsi di capacita‟ specifiche e specialistiche per farvi fronte9 .

Per quanto concerne, ad esempio, la NATO, e‟ utile riportare alcuni dei momenti chiave

nella definizione delle strategie di cyber defense. Lo “Strategic Concept 2010”, a tal

proposito, si ripropone di “sviluppare ulteriormente le proprie capacita‟ di prevenzione,

rilevamento, difesa e recupero da cyber-attacks…”. Il North Atlantic Council (NAC) ha

avuto mandato dai Capi di Stato, al meeting di Lisbona 2010, di rielaborare la NATO

Cyber Defense Policy; il Cyber Defense Policy Committee (DPPC) ha emesso infatti due

documenti, entrambi approvati dal NAC a livello di Ministri della Difesa: NATO Cyber

Defense Policy e Cyber Defense Action Plan.

9 G. Grasso, Cyber Warfare & Cyber Intelligence NATO-EU: una sfida da affrontare insieme, IWC 2011


Tra i principi fondamentali all‟interno dei suddetti documenti troviamo:

la prevenzione e resilienza, da preferire alla reazione;

la non duplicazione degli sforzi;

la condivisione dell‟informazione e sicurezza.

In questi documenti vengono inoltre indicate le seguenti strategie di governance:

sviluppo delle capacita‟ di cyber defense proprie della NATO, definite dalle autorita‟

militari in base alle decisioni prese dal NAC e specificate nel NATO Defence

Planning Process;

La responsabilita‟ diretta degli alleati sui Common Information System (CIS)

nazionali, con il requisito che questi siano affidabili e sicuri nelle loro connessioni con

il proprio CIS NATO;

L‟elaborazione dei requisiti minimi di cyber defense equivalenti e compatibili con

quelli del CIS NATO in un processo di governance condiviso con gli Alleati;

La certificazione NATO del raggiungimento dei requisiti minimi.

Sempre con l‟obiettivo di coordinare gli sforzi congiunti dei Paesi membri in ambito cyber

defense, la NATO ha:

Istituito il Cyber Defense Management Authority/Board (NCDMA) per la

pianificazione strategica, la supervisione e la guida della cyber war, il coordinamento

centralizzato di tutti i servizi di cyber defense per il CIS NATO e la gestione delle

interazioni con gli Alleati;

Ha attribuito alla Consultation, Command and Control Agency (NC3A) gli aspetti

tecnici e implementativi della cyber defense, dalla identificazione dei requisiti

operativi ed il relativo ottenimento;

Ha avviato il Computer Incident Response Capability Technical Center (NCIRCTC),

responsabile della fornitura dei servizi di cyber security NATO. Tale centro opera

direttamente in caso di incidenti e dissemina le informazioni relative ad essi ai gestori

dei sistemi di sicurezza ed ai loro utilizzatori;


Ha assegnato alla nuova Emerging Security Challenges Division (ESCD) il

coordinamento degli approcci NATO al terrorismo ed il supporto agli alleati per lo

sviluppo di politiche coerenti di risposta ad altre minacce trasversali, come cyber

attack, minacce energetiche e la proliferazione di armi di distruzione di massa;

Ha accreditato il Cooperative Cyber Defense di Tallin, Estonia, come Centro di

Eccellenza, con i compiti di addestramento, ricerca e sviluppo, miglioramento delle

capacità e della cooperazione e scambio di informazione ed esperienze tra gli alleati.

Per quanto concerne invece la Comunita‟ Europea, particolare importanza ha rivestito il

Forum europeo degli Stati membri (EFMS), in occasione del quale sono state promosse le

discussioni e gli scambi tra autorita‟ competenti sulle “best pratices” in materia di sicurezza

e resilienza delle infrastrutture TIC (Tecnologie dell‟Informazione e della Comunicazione)

per la definizione di:

Un insieme minimo di capacita‟ e servizi di base con relative raccomandazioni

strategiche;

La valutazione del grado di sicurezza informatica attuale dell‟Europa;

La definizione di incentivi, sia dal punto di vista economico che regolamentare, per

favorire la sicurezza e la resilienza;

L‟organizzazione di esercitazioni paneuropee;

L‟analisi delle priorita‟ da trattare in un quadro internazionale.

A tal fine sono inoltre stati promossi il Partenariato pubblico-privato europeo per la

resilienza (EP3R) ed i Partenariati strategici di dimensione internazionale, entrambi atti a

favorire ed incentivare la cooperazione su questione strategiche della politica dell‟Unione

Europea.

Vale la pena, infine, riportare alcuni dei piu‟ importanti enti europei in materia di cyber

security, come riportato nel seguito.


ENISA10

European Network

Information Security Agency

Nata nel 2004 con sede a Creta, la ENISA e‟ una

piattaforma di scambio di informazioni e best pratices

tra istituzioni UE, autorita‟ nazionali ed imprese.

EDA11

European Defence Agency

La EDA ha avviato iniziative per lo sviluppo delle

Cyber Defence Capabilities e per il miglioramento

delle attuali architetture.

CERT

Computer Emergency

Response Team

Esiste un CERT delle istituzioni dell‟UE ed un CERT

per ogni stato membro (entro il 2012).

EISAS12

European Information Sharing

and Alert System

E‟ il sistema europeo di condivisione della cyber

intelligence e di allarme per il grande pubblico.

1.3 Procedure per la gestione ottimale delle computer networks

Nell‟identificazione delle procedure di gestione delle reti informatiche che controllano le

infrastrutture critiche13, i governi devono necessariamente affidarsi a personale

competente in materia. Negli scorsi anni, a seguito di discussioni di tavoli tecnici, esperti di

settore ed ufficiali di differenti reparti, alcuni governi hanno identificato una serie di misure

necessarie per una corretta gestione delle reti informatiche. In questo paragrafo vengono

riportate le procedure individuate in un contesto locale (lo stato del Minnesota) che ben si

applicano alle esigenze di efficienza e sicurezza di un governo nazionale.

10

http://www.enisa.europa.eu/ (ultima visita 2012 Nov 6 ) 11

http://www.eda.europa.eu/ (ultima visita 2012 Nov 6 ) 12

http://www.enisa.europa.eu/activities/cert/other-work/eisas_folder/EISAS_finalreport.pdf (ultima visita 2012 Nov 6 ) 13

Rapporto di Ricerca Ce.Mi.S.S. " La strategia globale di protezione delle infrastrutture e risorse critiche contro gli

attacchi terroristici" - Roberto Setola


02/Pagine/Lastrategiaglobal.aspx (ultima visita 2012 Nov 6 )

http://www.enisa.europa.eu/

http://www.eda.europa.eu/

http://www.enisa.europa.eu/activities/cert/other-work/eisas_folder/EISAS_finalreport.pdf

http://www.difesa.it/SMD/CASD/Istituti_militari/CeMISS/Pubblicazioni/News206/2012-02/Pagine/Lastrategiaglobal.aspx

http://www.enisa.europa.eu/

http://www.eda.europa.eu/

http://www.enisa.europa.eu/activities/cert/other-work/eisas_folder/EISAS_finalreport.pdf




Le procedure migliori per la gestione dei sistemi informatici possono essere raggruppate in

tre gruppi14:

1. Corretta gestione dei sistemi informatici:

Gli inventari dovrebbero identificare in maniera chiara l‟equipaggiamento

hardware e software con utilizzo degli standard di riferimento;

Documentazione di policies, procedure e ambienti operativi;

Monitoraggio dell‟utilizzo di policies e procedure;

Revisione ed aggiornamento periodico di policies e procedure.

2. Mantenimento ed uso dei sistemi informatici da parte di staff esperto:

Stima dell‟esperienza tecnologica dello staff;

Reclutamento e mantenimento dello staff tecnico;

Addestramento continuo dello staff;

Addestramento degli utenti;

Supporto agli utenti.

3. Sicurezza dei sistemi informatici:

Policies di sicurezza basate su analisi dei rischi;

Gestione degli account utente con profilazione degli utenti;

Impiego e monitoraggio di firewall e antivirus;

Sviluppo di un piano di recupero da disastro e procedure di back-up;

Testing del piano di sicurezza;

Utilizzo di professionisti esperti per la pianificazione, il monitoraggio ed il

rafforzamento della sicurezza.

L‟utilizzo di pratiche ottimali permette di definire in maniera chiara i requisiti per

l‟ottimizzazione dell‟uso ed il controllo dei rischi dei sistemi informatici.

Nel seguito verranno analizzate le tre suddette categorie.

14

Program Evaluation Division, Managing local government computer systems: a best practices review, Office of the

Legislative Auditor, State of Minnesota, 2002


1.3.1 Procedure per la gestione ottimale delle computer networks

Per una corretta gestione dei sistemi di computer occorre produrre e manutenere

correttamente gli inventari delle componenti e delle policies di utilizzo del sistema.

Gli inventari dovrebbero identificare in maniera chiara l’equipaggiamento hardware

e software con utilizzo degli standard di riferimento

Chiunque gestisca un sistema informatico deve conoscere la lista completa delle

componenti hardware e software; e‟ necessario, quindi, un inventario aggiornato per il

tracciamento delle componenti in possesso ed uso, che comprenda le risorse e le

configurazioni del sistema.

Una corretta documentazione degli acquisti software contribuisce ad una migliore gestione

delle licenze. Il massimo sforzo va profuso nella standardizzazione del sistema: l‟utilizzo di

standard nell‟acquisto di nuove risorse hardware e software e‟ garanzia di compatibilita‟

degli stessi con il resto delle componenti in dotazione nel sistema15. Infine, l‟adozione di

standard facilita il supporto agli utenti in quanto lo staff tecnico deve manutenere un

insieme minore di tipologie di componenti.

Documentazione di policies, procedure e ambienti operativi

La manutenzione e l‟amministrazione dei sistemi informatici deve essere affidata a

programmi di gestione documentati, contenenti policies e procedure che specifichino le

modalita‟ di gestione delle risorse hardware e software delle computer networks ed il

supporto, l‟addestramento, la sicurezza ed il controllo degli accessi utente. I programmi di

gestione sono una risorsa essenziale per il miglioramento della produttivita‟, il

mantenimento della stabilita‟ del sistema e la riduzione dei costi operativi attraverso la

limitazione dei guasti.

Per una maggiore efficienza, i programmi di gestione devono essere allineati ai requisiti

tecnologici, contenendo procedure che siano applicabili e non eccessivamente restrittive.

15

Gartner Research, Desktop PC Life: Four Years For The Mainstream, TechRepublic, 19 Dicembre 2001.


Il costo ed il livello di dettaglio dei programmi di gestione dovrebbero essere proporzionati

alla complessita‟ del sistema ed ai requisiti specifici.

Sebbene la responsabilita‟ per la definizione delle policies e delle procedure potrebbe

variare in base alle competenze, per un governo che si affida al proprio staff per la

gestione delle reti informatiche ciascuna delle figure deve dare il suo contributo, da chi

definisce le policies, allo staff tecnico fino agli utenti finali.

Dal momento che la gestione delle reti di computer richiede decisioni sull‟allocazione delle

risorse e compromessi tra le necessita‟ dello staff tecnico e quelle degli utenti, un governo

locale deve coinvolgere i suoi dirigenti nell‟adozione delle policies delle reti informatiche.

Monitoraggio dell’utilizzo di policies e procedure

Deve essere assicurata l‟adesione degli utenti alle policies e le procedure definite; cio‟

puo‟ avvenire attraverso il monitoraggio degli utenti al fine di evitare l‟uso scorretto dei

computer/sistemi, tale da creare impatti negativi sul sistema complessivo. Un esempio

classico e‟ la restrizione presente in molte reti informatiche (banche, alcune aziende, ecc.)

di scaricare dal Web programmi software non espressamente consentiti, o addirittura

l‟impossibilita‟ di accesso ad alcune pagine web.

Revisione ed aggiornamento periodico di policies e procedure

La gestione delle reti di computer prevede la revisione e l‟aggiornamento periodico delle

policies e delle procedure16. In particolare, le policies di sicurezza, affinche‟ siano efficaci,

richiedono un costante aggiornamento a causa della continua evoluzione dei fattori di

rischio. E‟ inoltre utile che il parere degli utilizzatori del sistema, ottenuto ad esempio

attraverso interviste, contribuisca alla gestione del sistema per il suggerimento di

modifiche o l‟identificazione di problematiche specifiche.

16

Richard Mackey and Jonathan Gossels, Mastering Fundamentals: Part 3, Information Security Magazine, 2000.


1.3.2 Mantenimento ed uso dei sistemi informatici da parte di staff esperto

Per garantire performance ottimali, le computer network richiedono staff specializzato nella

gestione ed amministrazione dei sistemi informatici; per un utilizzo efficiente e

responsabile, inoltre, e‟ necessario che gli utenti siano addestrati e supportati nell‟utilizzo.

Stima dell’esperienza tecnologica dello staff

La competenza del personale IT (Information Technology) deve essere nota: sofisticati

servizi tecnologici richiedono un alto livello di esperienza dello staff. Nella definizione dei

requisiti dello staff tecnico, i governi locali devono tenere in considerazione fattori come la

complessita‟ e la sofisticazione dei sistemi informatici, le dipendenza da provider esterni,

la dimensione della giurisdizione, il grado di centralizzazione del sistema ed il numero di

utenti17.

Reclutamento e mantenimento dello staff tecnico

E‟ necessaria una completa conoscenza delle pratiche di reclutamento e mantenimento

dello staff tecnico; ad esempio, stage o partnership con altre istituzioni contribuiscono al

reclutamento di potenziali impiegati. I governi locali che affidano la gestione delle reti

informatiche a personale interno devono competere con il settore privato nel reclutamento

di personale qualificato, con tutte le difficolta‟ che ne conseguono (diverso inquadramento

professionale, minore capacita‟ di offerte economiche sostanziose, ecc.).

Addestramento continuo dello staff

La velocita‟ con cui la tecnologia evolve richiede che il processo di addestramento del

personale sia un processo continuo. Per l‟aggiornamento dello staff devono essere definite

le fonti di informazione; il CERT (nel caso specifico si tratta del Centro di Coordinamento

della Carnegie Mellon University), ad esempio, fornisce una varieta‟ di risorse on-line per

la sicurezza. E‟ necessario che il personale consulti quotidianamente le risorse di

aggiornamento affinche‟ siano noti i nuovi sviluppi nel campo delle reti informatiche e sia

cosi‟ possibile intraprendere le misure necessarie.

17

Gartner Research, Distributed Security Staffing Levels, Research Note TG-06-4474, 17 Novembre 1998


Addestramento degli utenti

I governi locali devono assicurare che il personale deputato alla gestione dei sistemi

informatici possieda un adeguato piano di addestramento del personale che utilizzera‟ il

sistema. Un corretto e ben organizzato addestramento degli utenti permette di:

risparmiare una notevole quantita‟ di tempo, che gli utenti avrebbero altrimenti speso

nello sperimentare l‟utilizzo degli applicativi;

incrementare la produttivita‟ attraverso la minimizzazione della rielaborazione dei

processi;

ridurre le richieste di supporto dello staff IT;

rendere gli utenti consci dei requisiti di sicurezza del sistema, sia nelle sue

componenti singole che nella sua interezza.

Supporto agli utenti

Unitamente a processi di addestramento degli utenti, i governi locali devono garantire

anche l‟offerta di un appropriato livello di supporto agli utenti. I nuovi utenti avranno

necessita‟ di supporto nella loro fase iniziale, mentre gli utenti “esperti” dovranno essere

supportati in caso di utilizzo di nuove applicazioni o modifiche al sistema18 .

Il piano di supporto deve includere informazioni dettagliate su cosa sarà supportato

(dispositivi hardware e applicativi software) e su come tale supporto sara‟ fornito (metodi di

risoluzione di problemi tecnici). E‟ necessaria la definizione di differenti tipologie di

supporto, dal momento che ciascun utente ha una propria capacita‟ di apprendimento e

richiede supporto in tempi diversi in un‟ottica di profilazione e personalizzazione delle

attività di learning.

18

Justice Management Division, The Department of Justice Systems Development Life Cycle Guidance Document

Chapter 11: Operations and Maintenance Phase, U.S. Department of Justice, Marzo 2000.


1.3.3 Sicurezza dei sistemi informatici

Eventuali carenze nella sicurezza ed affidabilita‟ dei sistemi informatici minano l‟efficacia e

la credibilita‟ dei governi e contribuiscono ad un notevole incremento dei costi di sistema.

Una corretta gestione dei sistemi informatici include la conoscenza ed il controllo dei

rischi, necessario sia in caso di gestione interna che nel caso essa sia deputata a

collaborazioni tecnologiche intergovernative.

Policies di sicurezza basate su analisi dei rischi

Le policies di sicurezza vanno definite sulla base dei rischi identificati. Il rischio e‟ funzione

del valore delle risorse informatiche, della vulnerabilita‟ di sistema, delle probabilita‟ di

essere attaccati e dei costi che si e‟ disposti ad affrontare19; ad esempio, un sistema

informatico molto costoso che sia connesso alla rete Internet e di utilizzo governativo e‟

caratterizzato da un fattore di rischio molto alto.

Le minacce alla sicurezza possono provenire sia dall‟esterno che dall‟interno

dell‟istituzione considerata e possono minare le proprieta‟ fisiche o la disponibilita’ e

l’integrita’ delle informazioni20 presenti. Ad esempio, l‟accesso ad allegati di posta

elettronica senza alcuna protezione dai malware informatici puo‟ mettere a rischio l‟intera

rete informatica ed informativa. Per questi motivi e‟ necessaria una accurata fase di analisi

dei rischi di sistema, che contribuira‟ nella identificazione delle vulnerabilita‟ e nello

sviluppo delle strategie di sicurezza. L‟analisi dei rischi richiede inoltre di prendere in

considerazione anche le attivita‟ ed i sistemi dei provider esterni con cui si collabora, dal

momento che minacce alla sicurezza potrebbero essere convogliate attraverso servizi

esterni.

Una corretta definizione delle policies di sicurezza, basata sull‟analisi dei rischi, consente

di prevenire l‟accesso non autorizzato al sistema, i furti e le alterazioni nel sistema

informativo.

19

Gary C. Kessler, Gary Kessler’s Musings About Network Security, Vermont Telecom News, Luglio 2001. 20

Rapporto di Ricerca Ce.Mi.S.S. " Sviluppo nell'ambito nazionale del concetto di ''Information Assurance'' relativo

alla protezione delle informazioni nella loro globalita'." - Arije ANTINORI


01/Pagine/Sviluppo_nellambito_nazionale__12341globalita.aspx (ultima visita 2012 Nov 6 )

http://www.difesa.it/SMD/CASD/Istituti_militari/CeMISS/Pubblicazioni/News206/2011-01/Pagine/Sviluppo_nellambito_nazionale__12341globalita.aspx





Le politiche e le procedure di sicurezza devono specificare cosa puo‟ accadere di

negativo, le misure per ridurre le probabilita‟ di attacchi, come rilevare e reagire ad

eventuali falle nella sicurezza e chi sara‟ responsabile di ciascuna di queste attivita‟ 21.

Gestione degli account utente con profilazione degli utenti

E‟ necessario specificare quali tipologie di utenti possono avere permessi di accesso e/o

modifica di computer o dati caratterizzati da diversi gradi di sicurezza. Una corretta

profilazione degli utenti permette di stabilire, in maniera univoca, i permessi relativi ad

operazioni che potrebbero influire sulla sicurezza del sistema, come le modifiche

hardware, l‟installazione o la rimozione di software, le attivita‟ non specificamente previste,

l‟uso di servizi di rete specifici (internet e posta elettronica), la trasmissione di informazioni

in rete, le modifiche di configurazione, ecc.

L‟utilizzo di chiavi di accesso (password) rappresenta soltanto un primo livello di

autenticazione degli utenti; sistemi ad alto rischio, come quelli governativi, caratterizzati da

alta riservatezza delle informazioni e ad alto rischio di attacco, necessitano dell‟impiego di

ulteriori metodologie di autenticazione, dalle password multiple alla identificazione

biometrica, oltre a meccanismi di cifratura dei dati.

Impiego e monitoraggio di firewall e antivirus

Le computer network di qualsiasi dimensione sono vulnerabili ad attacchi esterni ed

interni. Un primo livello di protezione consiste nell‟assicurarsi che gli utenti utilizzatori dei

sistemi, in possesso delle autorizzazioni del caso, adoperino regolarmente software

antivirus e firewall. Un firewall e‟ un dispositivo hardware o un‟applicazione software

posizionata tra la rete Internet e la computer network con la funzione di prevenire gli

accessi non autorizzati. L‟installazione di tali dispositivi e‟ un primo passo indispensabile

per incrementare il grado di sicurezza di una rete; il passo successivo consiste nel tenere

aggiornate queste componenti.

21

Si veda anche: "Dottrina interforze nazionale per la Protezione delle Forze" (PID interim-3.14)

Staff dello Stato Maggiore della Difesa

http://www.difesa.it/SMD/Staff/Reparti/III-reparto/Dottrina/Pagine/PID_interim-3.14.aspx

(ultima visita 2012 Nov 6 )

http://www.difesa.it/SMD/Staff/Reparti/III-reparto/Dottrina/Pagine/PID_interim-3.14.aspx


In particolare, un programma antivirus va aggiornato ogni giorno sulla base delle nuove

minacce che vengono diffuse in rete; i firewall, inoltre, necessitano spesso di “patches” di

aggiornamento (generalmente rilasciate dagli stessi produttori, sono aggiornamenti per la

correzione di errori riscontrati dopo il rilascio) per operare correttamente.

Esiste inoltre la possibilita‟ di impiegare appositi applicativi per il rilevamento delle

intrusioni, capaci di rilevare i tentativi di accesso non autorizzato alla rete; questi

programmi vanno inseriti in un piu‟ ampio framework di sicurezza informatica, in quanto il

loro utilizzo risulta inefficace senza monitoraggio ed analisi costanti22. Di fatto, pero‟,

bisogna riconoscere che neppure cio‟ e‟ sufficiente; infatti, l‟unica tecnica efficace, ad oggi,

per proteggersi è o la produzione di hardware proprietario (mentre si continua a comprare

hardware di produzione asiatico con backdoor di accesso semplice) o produrre filtri

hardware/software proprietari da agganciare a risorse hardware prodotte da Paesi terzi,

come quelli asiatici. Detto in altre parole, si ritiene che l‟unico modo di contrastare il

crescente potenziale di minaccia sia lo sviluppo di tecnologie hardware/software nazionali;

ciò poiche‟ se e‟ vero che per meglio comunicare c‟è bisogno di un linguaggio comune,

ovvero di standard, è evidente che per proteggersi c‟è bisogno di “armi” non note ad altri,

ovvero di cosiddetti “zero day”, cioè di strumenti non conosciuti fino al giorno zero in cui si

verifica un attacco in grado di manifestare la nuova risorsa.

Sviluppo di un piano di recupero da disastro e procedure di back-up

Una delle pratiche essenziali per la corretta gestione di una computer network e‟

l‟esistenza di un piano di recupero da disastro, ovvero un piano per garantire il

funzionamento dei servizi informatici in caso di emergenza.

22 Peter Mell, Intrusion Detection: A Guide To The Options, TechRepublic, 6 Novembre 2001.


Il piano di recupero da disastro deve essere accuratamente documentato; nel seguito si

riportano alcune attivita‟ chiave per lo sviluppo di un piano di recupero:

Assicurare il supporto di manager esperti nella stesura del piano;

Identificare le componenti da recuperare, che necessitano di funzionamento a lungo

termine;

Assegnare un indice di priorita‟ alle operazioni per determinare l‟ordine di ripristino;

Determinare le procedure di backup elettronico dei dati, che includano:

o Elaborare un piano di backup e recupero dei dati;

o Documentare le tecnologie utilizzate (ad esempio, uso di una rete privata

virtuale);

o Sviluppare un prospetto di pianificazione delle operazioni di backup dei dati;

o Utilizzare la memorizzazione off-site;

o Fornire le procedure di sicurezza idonee per il backup dei dati;

Creare un piano completo che comprenda la lista delle figure responsabili di

ciascuna operazione;

Sviluppare procedure di test;

Installare strumenti di backup dei dati elettronici;

Verificare che i dati siano collezionati e possano essere recuperati come previsto dal

piano;

Riesaminare, riallineare e validare il piano in caso di modifiche all‟infrastruttura;

Riesaminare, riallineare e validare le procedure di backup quando le tecnologie

cambiano.

La memorizzazione dei dati di backup off-site permette la disponibilita‟ dei dati quando

richiesto, anche in caso di incendio o altri disastri all‟infrastruttura informatica.

Le procedure di backup e ripristino dei dati devono essere parte di un piano piu‟ ampio per

garantire le funzionalita‟ principali di una rete di computer in caso di interruzione; e‟

necessario identificare quali tipologie di incidenti possono verificarsi (guasti energetici,

incendi, malfunzionamenti hardware), misurare l‟impatto di ciascuna di queste evenienze

sui vari processi funzionali, impostare un ordine di priorita‟ per il ripristino delle funzionalita‟

di sistema e definire le misure necessarie al ripristino del sistema informatico.


Testing del piano di sicurezza

Gli amministratori di sistema devono continuamente monitorare e periodicamente

verificare che le procedure di sicurezza rispondano ai requisiti identificati. A causa della

continua evoluzione tecnologica e, di conseguenza, del progresso anche nelle tipologie di

Cyber Network Attack (CNA), sebbene siano state corrette le falle nella sicurezza

identificate nella fase iniziale, una continua fase di testing permette di identificare e

correggere le nuove vulnerabilita‟.

Come molte ricerche dimostrano, la procedura di testing delle procedure di sicurezza

risulta piu‟ efficace quando effettuata da personale che non conosce il sistema informatico,

ovvero esterno al gruppo di lavoro e quando i test avvengono senza la consapevolezza da

parte degli utenti23.

Utilizzo di professionisti esperti per la pianificazione, il monitoraggio ed il

rafforzamento della sicurezza

Tutto il personale incaricato della gestione di una computer network deve essere

specificamente formato e possedere esperienza adeguata per poter correttamente

pianificare le procedure di sicurezza, monitorarle regolarmente e intraprendere le

appropriate contromisure in caso di minacce alla sicurezza del sistema. Data la continua

evoluzione delle minacce informatiche, assume particolare rilevanza il continuo

aggiornamento del personale tecnico24.

23

Computer Science and Telecommunications Board, Cybersecurity Today and Tomorrow: Pay Now or Pay Later,

National Academy Press, 2002. 24

Program Evaluation Division, Managing local government computer systems: a best practices review, Office of the

Legislative Auditor, State of Minnesota, 2002.


2.1 Introduzione alle CNO

Come gia‟ accennato nel precedente capitolo, le Computer Network Operations (CNO)

possono essere annoverate tra le Information Operations (IO), che consistono nelle azioni

poste in essere allo scopo di influenzare le informazioni ed i sistemi informativi avversari in

difesa dei propri; quando le IO sono condotte in tempi di crisi o conflitto allo scopo di

ottenere o promuovere obiettivi specifici nei confronti di specifici avversari, le IO vengono

anche indicate come Information Warfare (IW) e prevedono l‟utilizzo integrato di cinque

componenti:

operazioni psicologiche (Psychological Operations, PSYOPS);

operazioni di sicurezza (Operations Security, OPSEC);

espedienti militari (Military Deception, MILDEC);

l‟Electronic Warfare (EW);

Computer Network Operations (CNO);

vi sono inoltre distruzione fisica (physical destruction) ed altre misure appropriate,

supportate da intelligence, diniego di informazioni, influenza, degrado o distruzione delle

capacita‟ informative avversarie. Ognuna delle suddette componenti puo‟ essere impiegata

indipendentemente, ma il loro uso integrato permette di neutralizzare o sfruttare i sistemi

informativi nemici in maniera coordinata.

Tutte queste operazioni sono finalizzate ad uno scopo comune: l‟Information Superiority,

ovvero il grado di dominanza nel dominio informativo che permette di condurre operazioni

senza opposizione efficace (o comunque di efficacia notevolmente ridotta).

Le CNO (Computer Network Operations)

2


La Information Superiority richiede misure di IW sia offensive che difensive; la IW di tipo

offensivo mira al degrado o lo sfruttamento dei sistemi informativi nemici, e deve includere

sia metodi tradizionali, come attacchi di precisione o distruzione delle capacita‟ di

comando e controllo avversarie, sia metodi non tradizionali come intrusione elettronica

all‟interno di una rete informativa e di controllo avversaria allo scopo di influenzare,

confondere o ingannare i poteri decisionali militari avversari25.

Le CNO possono essere utilizzate sia per sfruttare sistemi avversari (offensive CNO) sia

per proteggere i propri (defensive CNO); in generale, le CNO sono operazioni militari o

con strategie pseudo militari con impiego di sistemi e tecnologie informatiche per

l‟interruzione, il diniego, il degrado o la distruzione di informazioni residenti in computer o

reti di computer, o per la distruzione delle reti di computer stesse, sia in tempi di pace che

in contesti di conflitto.

Le CNO possono essere paragonate all‟impiego dell‟arco da guerra prima della battaglia di

Crécy del 1346: l‟arco lungo, un arco di legno disegnato a mano e tenuto verticalmente

dagli arcieri medievali inglesi, era gia‟ stato inventato ed utilizzato in battaglia. Fu il tipo di

uso di quest‟arma nota da due secoli, da parte degli Inglesi guidati da Eduardo III, a fare di

essa un‟arma decisiva contro le forze francesi: a fare la differenza fu la nuova modalita‟

d‟impiego, che ne rese schiacciante la superiorita‟ derivante dal suo utilizzo. La tecnologia

informatica si e‟ evoluta tanto da renderne decisivo l‟impiego in molto contesti, compreso

quello militare o della Difesa26.

Il nodo fondamentale e‟ che la tecnologia esiste, ed ognuno in possesso di un computer e

delle capacita‟ di utilizzarlo al meglio puo‟ avvantaggiarsi dall‟uso stesso di questa

tecnologia. L‟industria privata e‟ ormai leader nelle applicazioni dei sistemi informatici; le

applicazioni sono imperfette e le imperfezioni implicano vulnerabilita‟, come nel caso di

difetti di progettazione o errori di implementazione. Che tali vulnerabilita‟ siano

intenzionalmente create o meno conta poco; esse possono essere (e vengono) sfruttate

per ottenere vantaggi sugli avversari.

25

Joint Chiefs of Staff, Joint Vision 2010, Washington D.C., Luglio 1996 26

Juan Carlos Vega, Computer Network Operations Methodology, Naval Postgraduate School of Monterey, California.


Allo stato attuale, riuscire a scovare ed avvantaggiarsi di falle all‟interno di infrastrutture

informatiche e‟ una minaccia (cyber threat, minaccia cibernetica) che coinvolge tutti gli

Stati ed e‟ potenzialmente distruttiva, dal momento che alle reti informatiche e alla loro

interconnessione e‟ deputato il controllo delle risorse piu‟ importanti.

2.2 Le CNO

Il cyberspazio e‟ decisamente la nuova frontiera delle operazioni militari; le CNO sono

operazioni informative mirate a distruggere, interrompere, negare o degradare le

operazioni avversarie. Le CNO sono classificate in tre tipologie principali: Computer

Network Attack (CNA), Computer Network Exploitation (CNE) e Computer Network

Defense (CND); quest‟ultima, la CND, e‟ un fattore altamente indicativo delle capacita‟ di

CNA e CNE.

L‟obiettivo primario delle operazioni di CND e‟ la protezione di informazioni e sistemi critici

che formano quell‟infrastruttura informativa cui ci si riferisce con il termine cyberspazio.

La CND consiste nel dissuadere, prevenire, proteggere, rilevare, recuperare, ristabilire e

rispondere.

Con CNA si intendono tutte le azioni con utilizzo di reti informatiche per l‟interruzione, il

diniego, il degrado o la distruzione delle informazioni presenti nei computer o nelle reti

informatiche e delle reti informatiche stesse avversarie. CNE, infine, include tutte quelle

operazioni e l‟insieme delle capacita‟ di intelligence condotte attraverso l‟impiego di

computer o reti informatiche per l‟ottenimento di dati da sistemi informatici automatizzati o

reti informatiche avversarie. CNE e CNA differiscono in un fatto sostanziale: la CNE,

intesa come capacità, non influisce realmente sulla rete avversaria, ma fornisce a dei

potenziali attacchi o attaccanti le informazioni necessarie per l‟ottenimento di informazioni

dalla rete obiettivo.

Le informazioni e le infrastrutture informatiche dei sistemi di computer interconnessi sono

generalmente dette reti e, di solito, sono esse stesse parti di una struttura connessa di

dimensione maggiore note come griglia informativa globale (Global Information Grid, GIG).

La GIG, quindi, e‟ l‟insieme complessivo interconnesso di capacita‟ informative e processi

associati; fra questi e‟ incluso l‟elemento umano, che coordina e pone in essere un‟ampia

varieta‟ di attivita‟ associate alla gestione e al processamento delle informazioni.


E‟ proprio rispetto a questo ultimo punto, ovvero al fattore umano ed alla complessità, che

lo studio del 2011 del CeMiSS sui Sistemi Avanzati di Supporto alle Decisioni27, come

il SACS (Sistema Avanzato di Controllo, Supervisione e Sviluppo del Territorio), ha voluto

dare risposta.

Le CNO possono includere contemporaneamente componenti di attacco, difesa e

sfruttamento delle informazioni e vengono usualmente classificate in CNO di natura

offensiva o difensiva. Le CNO di natura offensiva sono caratterizzate da attacco e

sfruttamento dei sistemi avversari e, allo stesso tempo, difesa e protezione dei punti di

accesso o di intrusione potenziale da parte di una rete nemica durante l‟attacco. Le CNO

di natura difensiva, al contrario, implicano la protezione della propria rete dai tentativi di

attacco o sfruttamento. Tra le tecniche di CND sono annoverati i tentativi di attacco e

sfruttamento della propria rete al fine di identificare eventuali debolezze e vulnerabilita‟: tali

operazioni sono note come “penetration testing” e possono avere come obiettivo la propria

rete o una rete amica/alleata.

La Computer Network Defense, quindi, puo‟ essere anche definita come l‟insieme delle

misure volte a neutralizzare i tentativi di CNA e CNE, ovvero quelle attivita‟ finalizzate alla

ricerca, l‟attenuazione e la prevenzione delle vulnerabilita‟ cibernetiche delle reti. E‟ utile a

questo punto chiarire una sostanziale differenza tra CND e cyber security, dal momento

che le due cose sembrano avere la stessa finalita‟, ed in effetti esse differiscono nel

seguente punto: mentre la cyber security mira alla definizione di strategie di difesa nel

caso di attacchi esterni alle proprie risorse, la CND comprende la ricerca delle proprie

vulnerabilita‟. Per spiegare con un esempio questa differenza, potremmo pensare ad una

citta‟ che debba difendere le strutture al suo interno: mentre la cyber security entrerebbe in

gioco in caso di attacchi esterni, la CND non aspetterebbe il verificarsi di attacchi volti a

rilevare eventuali vulnerabilita‟, ma ricercherebbe essa stessa tali vulnerabilita‟ e le

correggerebbe.

La storia della cyber intelligence e, piu‟ nello specifico, delle CNO, puo‟ difficilmente

essere riferita ad un momento specifico del passato, sebbene ci siano stati degli

accadimenti che hanno fortemente condizionato le iniziative militari di tutte le nazioni per la

difesa delle proprie risorse. Ad esempio, quando nel 2008 la Russia sferro‟ un attacco

militare contro la Georgia, il governo georgiano fu anche oggetto di un altro tipo di attacco:

27

Rapporto di Ricerca Ce.Mi.S.S. "Sistemi di Supporto alle Decisioni basati su metodologie avanzate di pianificazione,






l‟attacco digitale. Su un sito temporaneo ospitato dal servizio di hosting di Goggle‟s blog,

infatti, il Ministro degli Esteri georgiano affermo‟ “Una campagna di cyber warfare da parte

della Russia sta seriamente danneggiando molti siti georgiani, incluso quello del Ministero

degli Esteri”. Come e‟ facile immaginare, la Russia nego‟ di aver mai orchestrato questi

attacchi, ma cio‟ ovviamente assume scarsa importanza rispetto alle implicazioni: la cyber

warfare era stata utilizzata in congiunzione con un attacco militare tradizionale.

I Computer Network Attacks hanno anche il potere di causare danni molto seri

direttamente collegabili agli attacchi stessi. Cio‟ accadde, ad esempio, quando nel 2007

l‟Estonia, paese membro sia della NATO che della Unione Europea (European Union,

EU), fu fatta oggetto di "un‟invasione digitale" di dimensioni enormi: l‟accesso ad internet

dell‟intera nazione fu compromesso. Siti di informazione, banche e comunicazioni

governative furono resi irraggiungibili a causa di un attacco tramite una botnet, cioe‟ di

una rete di computer che, consapevolmente o meno, erano stati organizzati in un insieme

distribuito di attaccanti. Sebbene le botnet non siano assolutamente una novita‟ dal

momento che altri episodi di attacco attraverso botnet si erano gia‟ verificati, questo

accadimento assunse un connotato di maggiore rilevanza in quanto fu il primo caso in cui

una singola nazione fu scelta come obiettivo di questi attacchi. Il punto cruciale e‟ che

l‟Estonia fu resa incapace di utilizzare internet non solo all‟interno della propria nazione,

ma anche verso il mondo esterno, compromettendo contemporaneamente la possibilita‟ di

comunicare all‟esterno cosa stesse accadendo.

E‟ utile a questo punto analizzare il contesto in cui tale episodio si e‟ verificato, in quanto

cio‟ fornisce una misura precisa di come la minaccia cibernetica debba essere affrontata

con la consapevolezza che non sempre sara‟ chiaro chi sia l'avversario e, ancora piu‟, se

esso sia un altro stato o piu‟ stati insieme, o NSA Non State Actors, o aziende private, o

semplici individui organizzati in gruppi attaccanti.

Per capire le ragioni dell‟ "attacco digitale all‟Estonia" occorre ricostruire lo scenario storico

in cui si verifico‟. Il 27 Aprile 2007 il governo estone aveva finalmente deciso di rimuovere

la statua di bronzo sovietica nella citta‟ di Tallin, sua capitale, costruita per commemorare i

soldati caduti alla fine del secondo conflitto mondiale. Per molti cittadini estoni la statua

rappresentava un simbolo dell‟oppressione da cui si erano liberati 16 anni prima ottenendo

l‟indipendenza. Il governo russo, di contro, ammoni‟ l‟Estonia circa la rimozione della

statua, ma questa fu comunque rimossa e spostata in un cimitero militare. Sembrerebbe

quindi chiaro, a questo punto, quale fu la risposta del governo russo.


Eppure non ando‟ esattamente cosi‟. Dopo la rimozione della statua, centinaia di messaggi

pervenirono alla bacheca elettronica russa invocando una qualche reazione.

Coloro che concordavano con questa linea, semplicemente copiarono delle righe di codice

informatico da siti di hackers. Il risultato fu il coinvolgimento di cittadini russi consapevoli e

molti altri cittadini inconsapevoli in altri stati del mondo (attraverso le botnet), con attacchi

mirati a sovraccaricare di richieste e rallentare il traffico della rete internet in Estonia; gli

hackers piu‟ organizzati attaccarono specifici siti internet, rimpiazzando i contenuti originali

con altri da essi inseriti. L‟attacco coordinato fu mosso il 9 Maggio. Alle 10 dell‟8 Maggio il

traffico internet in Estonia era regolare, fatto salvo per alcune avvisaglie di attacchi nei due

giorni precedenti. Alle 23 (mezzanotte in Russia) il traffico dati verso l‟Estonia era gia‟

aumentato di un fattore di 200, e circa un milione di computer stava effettuando l‟accesso

ai siti estoni. Fortunatamente per l‟Estonia, quattro dei piu‟ esperti in cyber defense del

quartier generale del Computer Emergency Response Team (CERT) alla Carnegie Mellon

University erano in attesa dell‟attacco. Grazie alle loro capacita‟, essi riuscirono a dirottare

parte del traffico prima che esso raggiungesse la rete internet estone e, dopo due

settimane di attacchi continui, tutto si concluse. Il governo russo nego‟ ogni coinvolgimento

e, a tutti gli effetti, non si puo‟ dire che l‟attacco sia partito dagli Stati Maggiori russi,

sebbene il coinvolgimento di qualche membro del governo sembrerebbe probabile.

Il punto e‟ che non ha grossa importanza chi abbia davvero architettato l‟attacco, quanto il

fatto che sia davvero possibile e neanche troppo complesso effettuare cyber attacks

compromettendo un‟intera nazione.

I passati episodi di cybercrime hanno inoltre contribuito a sensibilizzare governi ed

aziende private circa la necessita‟ di proteggersi dai cyber attacks. Un caso in tal senso e‟

rappresentato dall‟attacco della Contea Marocchina nel Queensland, in Australia.

In questo caso tale Vitek Boden, ex impiegato della Hunter Watertech, azienda australiana

che si occupava di installare sistemi SCADA per il controllo delle acque di scarico per la

contea marocchina, decise di vendicarsi del licenziamento subito, a suo giudizio ingiusto.

Boden, infatti, grazie alle sue capacita‟ ed alle informazioni ottenute nel periodo in cui

lavorava per la contea, effettuo‟ diversi attacchi ai computer che controllavano il flusso e le

valvole di scarico della contea marocchina in Australia.

Tali attacchi causarono la fuoriuscita di circa 800.000 litri di acque di scarico nei fiumi, nei

parchi e nelle proprieta‟ dell‟area circostante.


Dopo tali accadimenti, l‟ingegnere civile responsabile dei sistemi di scarico della contea

marocchina del Queensland pubblico‟ una serie di raccomandazioni, tra le quali:

Le comunicazioni radio comunemente usate nei sistemi SCADA sono solitamente

insicure o impropriamente configurate;

I dispositivi ed il software SCADA dovrebbe prevedere controlli sia logici che fisici per

assicurare la sicurezza e validare l‟identita‟ di chi li utilizza;

I sistemi SCADA devono memorizzare tutti gli accessi, specialmente quelli che

riguardano la connessione a e da siti remoti.

Cio‟ fornisce un chiaro esempio delle conoscenze necessarie per garantire una corretta

protezione in materia di cyber security.

Ad oggi, le tipologie di minacce cibernetiche sono notevolmente aumentate e possiedono

capacita‟ ed implicazioni molto maggiori e piu‟ complesse rispetto ai suddetti esempi28.

2.3 Classificazione delle CNO

Come ampiamente osservato, le CNO sono operazioni che prevedono l‟utilizzo di sistemi

informatici per attaccare e sfruttare le informazioni, i processi e le reti di computer

avversarie; in particolare, cio‟ che caratterizza le CNO rispetto ad altre metodologie e‟ il

mezzo attraverso il quale esse operano, ovvero hardware e software. In definitiva, le CNO

sono operazioni con uso di sistemi informatici per condurre operazioni militari (o pseudo

tali), che hanno effetti paragonabili a quelle sul campo di battaglia.

Dal momento che il successo delle CNO dipende dall‟intelligence e dalla preparazione

rispetto a ciascuna situazione specifica, in una fase preliminare alle operazioni e‟ utile

usare metodi di preparazione, come l‟Intelligence Preparation of the Battlefield (IPB).

Affinche‟ le CNO siano efficaci, nella fase preparatoria occorre:

Effettuare una ricognizione della rete obiettivo;

Mappare gli attributi come sistema operativo, architettura e specifiche versioni di

servizi, mantenendosi in ascolto per sfruttare eventuali vulnerabilita‟ note;

Acquisire l‟obiettivo identificando e selezionando i sistemi chiave;

Effettuare una lista prioritaria dei punti di ingresso potenziali.

28

B. Lockridge, Reggie Barnett, Cyber Defense, 11th

Annual Freshman Conference, University of Pittsburgh.


2.3.1 CNA (Computer Network Attack)

I CNA sono progettati per negare, interrompere, degradare o distruggere sia le

informazioni presenti nei computer che le reti di computer stesse; solitamente i CNA

mirano ad intaccare la confidenzialita‟, la disponibilita‟ e l‟integrita‟ delle informazioni.

Negazione – lo scopo di questa tipologia di attacchi è la negazione dell‟accesso alle

informazioni. Una delle tecniche piu‟ comuni e‟ il cosiddetto attacco DOS

(Denial of Service), che ha come obiettivo l‟interruzione della disponibilita‟

delle informazioni ad utenti autorizzati per un determinato intervallo

temporale.

Interruzione – si basa sul principio che:

“gli attaccanti potrebbero riprogrammare in maniera surrettizia i

computer nemici per interrompere i processi che controllano”29.

Alcuni esempi tipici in questa categoria di attacchi sono la forzata

interruzione dell‟energia elettrica in una data area attraverso la

riprogrammazione dei computer che controllano la distribuzione

dell‟energia stessa. Un generico attacco di interruzione introduce disordine

ed inibisce l‟effettivo utilizzo delle informazioni nei sistemi informatici

oggetto dell‟attacco.

Degrado – Questa tipologia di attacchi mira alla riduzione delle capacita‟ di

elaborazione dati (throughput) dei sistemi informatici, ottenuta obbligando

l‟avversario ad usare comunicazione e mezzi di elaborazione meno

efficienti, rallentando i suoi cicli logistici e decisionali. Un attacco di

degrado introduce, in effetti, una certa latenza all‟interno di un sistema, ad

esempio attraverso la canalizzazione delle informazioni su sistemi meno

sicuri e/o meno veloci.

Distruzione – Come il nome stesso suggerisce, tali attacchi sono i piu‟ potenti fra i CNA.

Un tipico CNA di tipo distruzione puo‟ prevedere l‟utilizzo di virus e/o altro

codice malevole per la distruzione di una rete di computer e le sue risorse

software ed hardware.

29

William J. Bayles, The Ethics of Computer Network Attack, Settembre 2003.


2.3.2 CNE (Computer Network Exploitation)

I CNE consistono nella collezione delle operazioni di intelligence finalizzate all‟ottenimento

di dati dai sistemi informativi automatici (Automated Information Systems, AID) o dalle reti

avversarie. L‟ottenimento e la manipolazione delle informazioni sono asserviti

all‟accrescimento del potere informativo, proprio o dei propri alleati, circa il campo di

battaglia, minando al contempo quello del nemico. Gli obiettivo delle CNE sono comando,

controllo, comunicazioni, computer, intelligence, sorveglianza e ricognizione (C4ISR); in

particolare, lo scopo e‟ l‟Informazione, mentre il mezzo e‟ lo sfruttamento del mezzo

trasmissivo. Le CNE consistono quindi nell‟atto deliberato di infiltrarsi all‟interno di un

sistema informativo avversario allo scopo di minarne le capacita‟ di decision making ed

incrementando quelle di intelligence proprie e dei propri alleati. Le CNE permettono da un

lato di estrarre le informazioni di intelligence dalle reti nemiche grazie alle quali e‟ possibile

migliorare le proprie capacita‟ presenti e future, dall‟altro lato esse permettono anche di

“iniettare” informazioni opportunamente adattate allo scopo di degradare le abilita‟

nemiche di corretta osservazione e analisi della scena di battaglia:

Estrazione – consiste nel catturare flussi di dati in transito su una rete o ottenere l‟accesso

a file memorizzati nei sistemi nemici; a tal fine e‟ indispensabile riuscire ad

accedere ai collegamenti ed i nodi della rete obiettivo. Le CNE di tipo

estrazione sono tecniche passive (di ascolto), in quanto mirano ad ottenere

conoscenze ed intelligence in possesso del nemico attraverso l‟osservazione

delle informazioni memorizzate nei computer avversari; in una fase

successiva, tali informazioni possono essere usate per iniettare nuove

informazioni.

Iniezione – implica l‟inserimento di flussi di dati o file attraverso la manipolazione delle

informazioni avversarie. Le CNE di tipo inezione sono tecniche attive

(di_modifica), dal momento che una dalle finalita‟ di tale operazione puo‟

essere la distorsione della percezione nemica del campo di battaglia.

L‟attacco ad una rete puo‟ avvenire sia nella spazio fisico che nel cyberspazio: nel primo

caso, vengono utilizzate risorse hardware o software atte alla raccolta e memorizzazione

di informazioni, nel secondo caso invece si ottiene l‟accesso non autorizzato alla rete

dall‟esterno, o dall'interno.


2.4 Il dilemma strategico

In un estremo tentativo di sintesi di quanto finora osservato, si puo‟ affermare che la

difficolta‟ maggiore dei paesi NATO allo stato attuale ed in tale contesto consiste nella

capacita‟ di sfruttare le proprie capacità di CNO nell‟ambito militare e, al tempo stesso,

proteggere il sistema informativo globale.

Spinte dagli Stati Uniti, le nazioni NATO stanno sviluppando dottrine e capacita‟ finalizzate

allo sfruttamento del cyberspace a scopi militari, con particolare attenzione alle CNO nella

pianificazione militare. Al contempo, queste nazioni sono molto attente al sistema

informativo interconnesso della societa‟ post-industriale, allo scopo di mitigare i rischi

risultanti, sia con azioni unilaterali che congiunte.

Il dilemma, quindi, consiste nel tentativo contemporaneo di sfruttamento e limitazione delle

CNO; tale paradosso puo‟ essere affrontato da almeno due punti di vista differenti.

Il primo prevede la identificazione delle fonti di rischio connesso alle CNO con il crimine

organizzato, il vandalismo elettronico, lo spionaggio industriale ed il terrorismo. In tale

contesto, le nazioni sono fortemente interessate a trovare in maniera coordinata una

strategia internazionale capace di assicurare fedelta‟ e sopravvivenza delle reti

informative; in tal senso, questo e‟ chiaramente un gioco non a somma zero.

Il secondo punto di vista e‟ diametralmente opposto e identifica, infatti, le CNO come un

problema a somma zero. IO e CNO sono percepite come strumenti di coercizione

strategica; sebbene sarebbe poco realistico tentare di controllare le CNE come strumenti

di ottenimento di intelligence, i CNA che effettivamente intaccano la condifenzialita‟,

l‟integrita‟ o la disponibilita‟ dei sistemi informativi potrebbero in linea teorica essere

considerati sistemi d‟arma e riportati, di conseguenza, al controllo delle armi o alle leggi

del conflitto armato.

Il contrasto tra questi due differenti approcci trova riscontro, ad esempio, nel dibattito che

la Russia sta effettuando circa la necessità di approcci di controllo delle armi per le IO e le

CNO.


Nella bozza di risoluzione UNGA 53/70 la Russia invita gli stati membri delle Nazioni Unite

a

“promuovere in maniera multilaterale le considerazioni dei rischi

esistenti e potenziali connessi al campo della information security”

e auspica progressi nello

“sviluppo di principi internazionali per incrementare la sicurezza dei

sistemi informativo e di telecomunicazioni e per contribuire a

combattere la criminalita’ed il terrorismo informativo”30 .

30

Russia, Developments in the field of information and telecommunications in the context of information security,

bozza di risoluzione 53/70, Assemblea Generale delle Nazioni Unite


Pur in uno sforzo sempre crescente di sviluppare proprie capacita‟ di intelligence in

materia di CNO, le nazioni europee continuano ad oggi a dover fare riferimento agli Stati

Uniti. L‟esercito statunitense, infatti, fu la prima Forza delle Forze Armate USA a

pubblicare una dottrina sulle IO gia‟ nel 199631. Nella successiva pubblicazione US

Joint_Publication 3-1332, l‟Information Superiority (IS) veniva vista come pietra angolare

della dottrina statunitense del 21-esimo secolo e definita come “la capacita‟ di raccogliere,

processare e disseminare un flusso ininterrotto di informazioni nello sfruttamento o la

negazione delle capacita‟ avversarie di fare lo stesso”, all‟interno di questo framework, la

JP3-13 fu improntata alla definizione dell‟importanza di un uso integrato delle IO in tutti gli

aspetti delle operazioni militari33.

IncentivatI dalle iniziative americane, gli stati europei hanno iniziato a vedere le CNO

come una componente fondamentale delle loro operazioni militari, sebbene forti differenze

nelle definizioni e nelle limitate risorse da investire abbiano portato ad una integrazione

graduale e poco ordinata34.

31

LTC Garry J. Beavers and LTC Stephen W. Shanahan, Operationalizing IO in Bosnia – Herzegovina, Military

Review, Vol. LXXVII n. 6 dicembre 1997 32

JP 3-13, Information Operations, 13 February 2006 http://www.dtic.mil/doctrine/new_pubs/jp3_13.pdf

(ultima visita 2012 Nov 06) 33

Dipartimento della Difesa, Joint Doctrine for Information Operations, Stato Maggiore degli Stati Uniti, Washington

D.C., 9 Ottobre 1998. 34

Dr. Andrew Rathmell, Strategic and Organisational Implications for Euro-Atlantic Security of Information

Operations, Final Reporto of NATO Individual Fellowship, 2001.

Approcci dei principali paesi Europei

3

http://www.dtic.mil/doctrine/new_pubs/jp3_13.pdf



Nella Strategic Defense Review (SDR) dell‟Inghilterra, 1997, le IO e le CNO venivano

definite come attivita‟ militarI di importanza crescente35, riconoscendo come la

digitalizzazione potesse portare dei vantaggi, sebbene cio‟ avrebbe creato una maggiore

dipendenza da CNA.

Dopo una breve sperimentazione delle proprie capacita‟ di CNO nella campagna del

Kosovo, il Ministero della Difesa britannico osservo‟: “le nostre capacita‟ di condurre IO

devono essere ulteriormente sviluppate”36.

In una bozza dottrinale del 2001 il Joint Doctrine and Concepts Centre britannico definisce

le IO come la componente militare per influenzare la percezione nemica e sottolinea la

necessita‟ di campagne di IO integrate coordinate di governi.

La Francia ha sempre affiancato la Gran Bretagna nello sviluppo di capacita‟ di CNO,

sebbene non vi siano stati annunci pubblici sullo sviluppo di una dottrina ufficiale del

governo francese in materia di CNO.

Cio‟ nonostante, due centri di ricerca appaiono essere i nodi centrali francesi in materia di

IO: il CELAR (Centre d'Electronique de l’Armement37), specializzato negli studi di

teniche di IW e la Ecole de Guerre Economique38, interessati ad applicazioni di IO e

CNO che comprendono vulnerabilita‟ elettroniche, psychological warfare e information

security.

L‟opinione della Germania sull‟importanza delle CNO nel warfare moderno fu

originariamente cristallizzata in una bozza dal titolo First Position of the German MoD on

InfoOps. Successivamente, altri contributi sottolineavano l‟importanza di sviluppare

“capacita‟ di manipolazione, interruzione, compromissione, ecc delle informazione e dei

sistemi informativi avversari”39.

35

Ministero della Difesa, Strategic Defense Review, The Stationary Office, 1998. 36

Ministero della Difesa, Kosovo, Lessons from the Crisis, The Stationary Office, 2000.

http://www.publications.parliament.uk/pa/cm199900/cmselect/cmdfence/347/34718.htm#a53


http://www.hyper-rf.com/Hyperfrequences/Entreprises/technopoles/Le-Celar.html (ultima visita 2012 Nov 06) 38

http://www.ege.fr/ (ultima visita 2012 Nov 06) 39

Susanne Jantsch, Comparative Approaches to Critical Infrastructure Protection – German Approach, 22nd

National

Information Systems Security Conference, Ottobre 1999, Washington D.C.

http://www.hyper-rf.com/Hyperfrequences/Entreprises/technopoles/Le-Celar.html

http://www.ege.fr/


http://www.hyper-rf.com/Hyperfrequences/Entreprises/technopoles/Le-Celar.html

http://www.ege.fr/


3.1 La situazione attuale

Albania

Il Ministro della Difesa albanese nel 2010 ha istituito l‟Interinstitutional Maritime

Operational Center (IMOC), responsabile di emergenze civili, controllo aerospaziale e

sviluppo delle capacita‟ di cyberdefence. Il governo albanese vede i cyber attacks come

una minaccia emergente ma, ad oggi, non e‟ stata ancora identificata una strategia di

cyber warfare nazionale. Il 13 Giugno 2011 l‟agenzia statunitense per lo sviluppo

internazionale ha lanciato l‟Albanian Cyber-Security Program, un‟iniziativa volta a

migliorare le capacita‟ di previsione e contromisura agli incidenti nel cyberspazio40.

Austria

Il Ministero della Difesa austriaco nel White Book del 2008 pone la cybersecurity tra i punti

chiave della propria strategia difensiva; nello stesso documento vengono presentati piani

di ristrutturazione degli uffici di gabinetto per l‟istituzione di un comparto cibernetico.

Recentemente, all‟interno del documento Shaping Security in a New Decade del marzo

2011, vengono affrontate le minacce odierne, cybersecurity inclusa: una organizzazione di

intelligence militare austriaca, l‟Abwehramt, si occupa principalmente di electronic defence

e malware protection41.

40

USAID launches the Albanian cyber-security program, United States Agency for International Development, 13

Giugno 2011. 41

Benjamin S. Buckland, Fred Schreier e Theodor H. Winkler, Democratic Governance and the Challenges of Cyber

Security, DCAF Horizon 2151 Working Paper 1, Geneva Centre for the Democratic Control of Armed Forces.

http://genevasecurityforum.org/files/DCAF-GSF-cyber-Paper.pdf (ultima visita 2012 Nov 06)

http://genevasecurityforum.org/files/DCAF-GSF-cyber-Paper.pdf


Danimarca

La dottrina militare danese identifica il cyberspace come campo di battaglia militare ma

non fornisce dettagli sulle concrete capacita‟ tecniche ed operative. La strategia difensiva

danese è essenzialmente difensiva e focalizzata sulla protezione dei sistemi informatici

militari da intrusioni o interruzioni, senza fornire un approfondimento esplicito pubblico

sullo sviluppo di capacita‟ offensive o meccanismi di contromisura.

Nel Danish Defence Agreement 2010-2014 viene evidenziata la necessita‟ di istituire una

unita‟ per le CNO; la Danish Defence Commission ha raccomandato lo sviluppo delle

capacita‟ in materia CNO per la protezione delle risorse tecnologiche informatiche delle

Forze Armate dai cyber attacks. Va sottolineato, inoltre, che l‟esercito danese possiede la

terza azienda di Electronic Warfare, i cui scopi sono l‟interruzione o l‟intrusione nei sistemi

di comunicazioni nemici. La Danimarca, infine, partecipera‟ alla Nordic Resource Network,

volta al miglioramento delle strategie di cyberdefence42.

Estonia

L‟incidente del 2007, documentato nei paragrafi precedenti, ha catalizzato le attenzioni

del governo estone sulle politiche e le capacita‟ di cyberdefence. Dopo l‟incidente, infatti,

fu istituito il Cyber Security Strategy Committee, presieduto dal Ministro della Difesa in

collaborazione con il Ministero degli Esteri, degli Interni, dell‟Educazione e della Ricerca,

della Giustizia e dell‟Economia. L‟obiettivo primario della strategia consiste nella riduzione

delle vulnerabilita‟ nel cyberspace, nella prevenzione dei cyberattacks e nel recupero

immediato delle infrastrutture critiche in caso di attacchi. A tal fine, sono stati identificati i

seguenti scopi strategici: stabilire un sistema multi-livello di misure per la sicurezza,

ampliare l‟esperienza nella information security, istituire riforme legislative e favorire la

cooperazione internazionale; il raggiungimento di tali obiettivi deve avvenire anche

attraverso la NATO, di cui l‟Estonia e‟ paese membro, in particolare attraverso il NATO

Cooperative Cyber Defence Centre of Excellence43, istituito proprio a Tallin nel 2008

per promuovere la collaborazione degli stati, lo scambio di informazioni e la ricerca nel

campo della cyber security.

42

Denmark Country Report, European Network and Information Security Agency, 2011.

http://www.enisa.europa.eu/activities/stakeholder-relations/files/country-reports/Denmark.pdf


http://www.ccdcoe.org/ (ultima visita 2012 Nov 06)

http://www.ccdcoe.org/

http://www.enisa.europa.eu/activities/stakeholder-relations/files/country-reports/Denmark.pdf

http://www.ccdcoe.org/


L‟Estonia, infine, ha creato anche un Dipartimento di Protezione delle Infrastrutture

Critiche, che conduce valutazioni di rischio, raccoglie informazioni sulle infrastrutture

critiche e propone misure difensive per contrastare i cyberthreats (minacce cibernetiche)44.

Francia

Nel White Paper on Defence and National Security del 2008, il Ministero della Difesa

identifico‟ la minaccia di attacchi cibernetici su larga scala contro le infrastrutture critiche

come un fattore di fondamentale importanza per la sicurezza nazionale, tale da rendere

necessarie nuove strategie di cyberdefence. Nello stesso documento, il cyberspace e‟

definito come un‟area in cui la sovranita‟ francese deve essere espressa nella sua

massima forma, attraverso una strategia allo stesso tempo difensiva ed offensiva.

La massima autorita‟ per la cyberdefence in Francia e‟ la National Agency for the Security

of Information Systems, la cui missione include il rilevamento e la reazione ai

cyberattacks, la prevenzione delle minacce cibernetiche con supporto alla ricerca ed allo

sviluppo e l‟interazione informativa con il governo e le infrastrutture critiche. Le diverse

forze armate francesi possiedono reparti di electronic warfare, mentre le strategie

offensive sono in carico ai servizi di intelligence.

Nel Febbraio 2011, la Network and Information Security agency ha rilasciato la dottrina

ufficiale cibernetica francese, nella quale vengono identificati quattro obiettivi nel

cyberspace: diventare un potere globale nella cyberdefence, garantire la sovranita‟

informativa e la liberta‟ decisionale, assicurare le infrastrutture critiche e mantenere la

privacy nel cyberspace45.

Germania

Di recente la Germania ha definito una nuova strategia in materia di cybersecurity

pianificando la creazione di due nuove organizzazione per contrastare i cyberthreats; il

governo tedesco, infatti, istituira‟ un centro nazionale di cyberdefence supervisionato dal

Ministero degli Interni. Questo nuovo centro raccogliera‟ informazioni da diverse agenzie

44

Estonia Country Report, European Network and Information Security Agency, 2011.

http://www.enisa.europa.eu/activities/stakeholder-relations/files/country-reports/Estonia.pdf (ultima visita 2012 Nov 06) 45

Défense et sécurité des systèmes d’informations: Stratégie de la France, National Network and Information Security

Agency, 2011.

http://www.enisa.europa.eu/activities/stakeholder-relations/files/country-reports/Estonia.pdf


governative, incluse polizia federale e agenzia di intelligence per gli esteri; non manchera‟,

inoltre, il contributo dell‟industria. La nuova dottrina tedesca prevede:

la protezione delle infrastrutture critiche;

la messa in sicurezza dei sistemi informatici;

la costituzione del National Cyber Response Centre e del National Cyber Security

Council;

il rafforzamento degli aspetti legislativi;

la promozione del‟impegno internazionale;

la garanzia di protocolli di information technology affidabili e sicuri;

l‟addestramento di una forza di cyber war46.

Il National Cyberdefense Centre e‟ il principale referente per le strategie di cyber security

tedesche; esso fara‟ rapporto al Federal Office e non sara‟ dotato di capacita‟ offensive.

La struttura sara‟ inizialmente composta da sei impiegati dell‟agenzia di sicurezza tedesca

BSI e due dal German Office for the Protection of the Constitution (l‟agenzia di intelligence

interna) ed, infine, dal Federal Office of Civil Protection and Disaster Assistance (BBK); a

questi, nel prossimo futuro, si aggiungeranno altre risorse provenienti dalla Federal Police,

il Federal Office of Criminal Investigation, la Bundesnachrichtendienst (il Servizio

Informazioni Federale), Bundeswehr (le Forze Armate della Germania) ed il Customs

Criminal Investigation Office (ZKA). Il National Cybersecurity Council sara‟ responsabile

del coordinamento delle tecniche di difesa e delle politiche cibernetiche; nel suo staff

saranno presenti rappresentanze militari.

Ad oggi, le unita‟ military e le agenzie di intelligence tedesche possiedano gia‟ al loro

interno delle componenti che si occupano di cyber warfare. L‟agenzia di sicurezza tedesca

BSI sta investendo fortemente sulla ricerca e lo sviluppo delle capacita‟ nel cyberspace.

Il Department of Information and CNOs, all‟interno dell‟Unita‟ di Ricognizione Strategica

del Bundeswehr, e‟ guidato da un Generale di Brigata dell‟Aeronautica, con un personale

di 76 militari del dipartimento informatico del Bundeswehr e sviluppera‟ le capacita‟ sia

offensive che difensive47.

46

Cyber Security Strategy for Germany, Ministero Federale Tedesco degli Interni, 2011. . 47

John Goetz, Marcel Rosenbach e Alexander Szandar, National defense in cyberspace, Der Spiegel, 11 Febbraio 2009.


Italia

L‟Italia e‟ in piena fase di formulazione delle sue strategie cibernetiche e di miglioramento

delle sue capacita‟ di difesa. Le diverse forze armate includono unita‟ di electronic warfare

responsabile in materia di intelligence, sorveglianza, acquisizione del target e

ricognizione48. Inoltre, la sezione Telematica dell‟Arma dei Carabinieri e‟ preposta alla lotta

contro il cyber crime ed il terrorismo49. Infine, tra gli altri attori dello scenario italiano del

cyberspace ci sono il Centro di Innovazione della Difesa e la Divisione di Information

Security del Ministero della Difesa. Il DIS, l‟AISE e l‟AISI si stanno organizzando per

rispondere alle nuove esigenze territoriali ed ai riferimenti normativi emergenti a partire

dalla L.133/2008 e successive emanazioni in tema di cybersecurity.

Regno Unito

Come espresso nel documento del 2009 Cyber Security Strategy of the United Kingdom,

l‟approccio britannico si prefigge tre scopi primari: la riduzione dei rischi, le opportunita‟ di

exploiting ed il miglioramento delle strategie di risposta agli incidenti cibernetici.

La riduzione dei rischi nel cyberspace implica la riduzione delle vulnerabilita‟ e la

mitigazione dell‟impatto degli incidenti cibernetici. Il Regno Unito si dotera‟ di risorse di

intelligence, promuovera‟ politiche governative e prendera‟ parte in maniera attiva contro

gli avversari. Infine, il miglioramento delle strategie di risposta comportera‟ l‟accrescimento

delle capacita‟ e della consapevolezza, lo sviluppo di dottrine e politiche mirate, il

progresso delle strutture di governante e deicision-making ed il potenziamento delle

capacita‟ tecniche ed umane50.

48

Chapter Four: Europe, The Military Balance, vol. 111 2011 49

Italy Country Report, European Network and Information Security Agency, 2011.

http://www.enisa.europa.eu/activities/stakeholder-relations/files/country-reports/Italy.pdf


Cyber Security Strategy of the United Kingdom, UK Office of Cyber Security, 2009.

http://www.enisa.europa.eu/activities/stakeholder-relations/files/country-reports/Italy.pdf


Come sottolineato dal National Security Strategy del 2010, gli attacchi ostili nel

cyberspace britannico da parte di altri stati, ed il cyber crime su larga scala, devono essere

considerati tra le massime priorita‟ per la sicurezza nazionale: per i quattro anni dal 2009

al 2013, infatti, il Regno Unito ha stanziato 650 milioni di sterline per le suddette

iniziative51.

Il Cyber Security Operations Centre inglese e‟ responsabile dello sviluppo delle capacita‟

offensive e difensive; tra i suoi compiti principali vi e‟ il monitoraggio dello sviluppo e dello

stato di salute dei sistemi informatici governativi, l‟analisi dei trend ed il miglioramento

delle capacita‟ di cyberdefence. Il centro e‟ operativo dal 2011 e, nel suo primo anno di

attivita‟, e‟ stato finanziato dal Quartier Generale delle Comunicazioni, dal Consiglio dei

Ministri, da agenzie di sicurezza e dalle forze dell‟ordine52.

A coordinare le politiche governative e le strategie con l‟Ufficio di Presidenza del Consiglio

dei Ministri e‟ invece l‟Office for Cyber Security and Information Assurance, che si occupa

essenzialmente di supportare l‟educazione e la consapevolezza in materia di cyber

security e promuovere la cooperazione internazionale; il Regno Unito ha pianificato di

investire 1.06 miliardi di sterline in quattro anni per la cyber security53.

51

A Strong Britain in an Age of Uncertainty: The National Security Strategy, UK Prime Minister’s Office, 2010. 52

UK House of Lords, vol. 714, part n. 134, 11 Novembre 2009.

http://www.publications.parliament.uk/pa/ld200809/ldhansrd/text/91111w0004.htm


Eleanor Keymer, UK recruits cyber experts to protect key networks, Jane’s Defence Weekly, 6 Febbraio 2011.



4.1 Terminologia nella legislazione internazionale

In accordo alla definizione presente nel Dictionary of Military Terms54, i CNA sono azioni

intraprese con utilizzo di reti di computer al fine di interrompere, negare, degradare o

distruggere le informazioni residenti all‟interno di computer o reti di computer, o i computer

e le reti stesse. La NATO mutua questa definizione all‟interno del Glossary of Terms,

aggiungendo pero‟ che i CNA rientrano nelle tipologie di cyber attack55; purtroppo, il

glossario non contiene affatto una definizione di cyber attack.

Da un punto di vista non legislativo, con il termine CNA vengono identificate le operazioni

di CND, CNE, ed altre attivita‟ nel cyberspace. In ambito legale, di contro, il termine

“attack” ha due accezioni specifiche all‟interno di due diversi ambiti legali governativi in

scenari di crisi o conflitti. In entrambi i casi, il termine attack rappresenta il limite che divide

la legalita‟ di specifiche operazioni cibernetiche ed, in alcuni casi, la legalita‟ delle strategie

di risposta ad esse.

Nel seguito si tentera‟ di approfondire le due differenti prospettive, quella legale e quella

non legale, al fine di giungere ad un compromesso sulla terminologia: sebbene le due

categorie parlino lingue diverse, entrambe troveranno giovamento nell‟essere bilingui56.

54

Dictionary of Military and Associated Terms, Dipartimento della Difesa degli Stati Uniti, 8 Novembre 2010.

http://www.dtic.mil/doctrine/new_pubs/jp1_02.pdf (ultima visita 2012 Nov 06) 55

NATO Glossary of Terms and Definitions, NATO Standardization Agency, 2010 56 Michael N. Schmitt, “Attack” as a Term of Art in International Law: The Cyber Operations Context, 4

th

International Conference on Cyber Conflict, NATO CCD COE Publications, 2012.

Implicazioni Giuridiche

4




Infine, anche se non oggetto di questa ricerca riteniamo utile evidenziare che nello

scenario internazionale si stanno affermando altri due nuovi profili che rientrano nel

contesto della cyber diplomacy ovvero il profilo del cyber ambassador e cyber evangelist.

Il primo similmente all‟ambasciatore di uno Stato in una dimensione extraterritoriale svolge

funzioni di rappresentanza e di diplomazia internazionale, mentre il secondo in analogia ai

passi biblici ed in contrasto alle figure dell‟hacker e del cracker svolge la funzione di

evangelizzatore nel contesto cyber.

4.2 L’architettura legislativa

Nella legislazione internazionale governativa i conflitti sono trattati in due differenti corpi

legislativi: lo jus ad bellum e lo jus in bello: il primo contempla i casi in cui gli Stati, come

strumento della propria politica nazionale, possono fare ricorso alla forza; in particolare,

definisce il principio generale di proibizione dell‟uso della forza da parte degli Stati e le

eccezioni ad esso, ad esempio per il diritto di autodifesa o in caso di mandato del Security

Council delle Nazioni Unite. Lo jus in bello, al contrario, attiene alle modalita‟ con cui gli

Stati e le loro forze armate possono fare ricorso alla forza e verso chi e cosa57.

Le norme di jus in bello, anche dette “leggi del conflitto armato” o “leggi umanitarie

internazionali”, trovano applicazione in situazioni di conflitto armato indipendentemente dal

fatto che il Paese abbia adito alla forza in conformita‟ allo jus ad bellum.

I due corpi legislativi sono motivati da obiettivi e scopi profondamente diversi. Lo jus ad

bellum mira al mantenimento di relazioni pacifiche all‟interno della comunita‟ internazionale

attraverso la definizione di criteri stringenti in termini di diplomazia, sanzioni economiche e

contromisure. Va sottolineato in particolare il diritto di azione in caso di autodifesa da

attacco armato (“armed attack”) o difesa in aiuto di un altro Stato (“collective self-

defence”). Al contrario, le leggi umanitarie internazionali mirano a minimizzare i danni nel

caso in cui un conflitto armato sia o superfluo per il raggiungimento effettivo di legittimi

scopi militari o eccessivo in relazione ad essi, stabilendo limiti legislativi alla condotta degli

attacchi.

Non deve quindi sorprendere che al termine “attack” vengano associati differenti obiettivi e

scopi, sulla base del corpo legislativo di riferimento. Nell‟articolo 51 dello jus ad bellum

57

U.N. Charter, articoli 2(4), 42 & 51.


dello United Nations Charter viene stabilito il diritto imprescindibile di ciascun individuo o

gruppo di individui all‟autodifesa in caso di attacco armato ad un paese membro della

Nazioni Unite, fino a che il Security Council non abbia posto in essere le misure

necessarie a mantenere la pace e la sicurezza delle nazioni. Cio‟ costituisce a tutti gli

effetti un‟eccezione all‟articolo 2(4), che invita tutti gli stati membri ad astenersi dall‟uso

della forza contro l‟integrita‟ territoriale o l‟indipendenza politica di una nazione, o a

qualsiasi azione che contrasti con gli scopi delle Nazioni Unite. In un tentativo di sintesi dei

suddetti due articoli, decisamente contrastanti ed apparentemente inconciliabili, uno stato

e‟ autorizzato all‟uso della forza, senza violare i principi espressi dall‟articolo 2(4), se e

solo se esso e‟ vittima di un attacco armato, come sancito dall‟articolo 51; il meccanismo

di autodifesa non prevede un‟autorizzazione ex-ante del Security Council.

L‟equivoco fondamentale sulla legislazione in materia di cyberwarfare viene alimentato poi

dalla non univocita‟ di interpretazione del termine “attacco armato”, che puo‟ rientrare o

meno nei termini di legalita‟ sanciti dai corpi legislativi a seconda dello status dell‟obiettivo

dell‟attacco e di come tale attacco sia stato condotto. In particolare, il termine attacco

armato puo‟ assumere connotati internazionali quando esso avviene tra nazioni, o non

internazionali quando il conflitto coinvolge uno stato ed uno o piu‟ gruppi armati

organizzati.

Appare quindi evidente che non vi sono restrizioni specifiche all‟utilizzo di strategie di

autodifesa in risposta ad operazioni qualificabili come attacchi armati; ad esempio, le

cyber operations devono rispettare il principio di necessita’ dello jus ad bellum, secondo il

quale l‟uso difensivo della forza e‟ giustificato solo nel caso in cui misure meno forti non

siano sufficienti; devono inoltre rispettare anche il principio di proporzionalita’ dello jus ad

bellum, che permette solo quel grado di utilizzo della forza per una difesa efficace58.

L‟uso della forza nel cyberspace, infine, deve osservare i requisiti di imminenza ed

immediatezza, che limitano rispettivamente le strategie di risposta in attesa e,

conseguentemente, successive ad un attacco. Le suddette considerazioni, unitamente ad

una corretta interpretazione del significato legale del termine “uso della forza”, verranno

affrontate nel Tallin Manual (o Manual on the International Law Applicable to Cyber

Warfare), che si prevede verra‟ pubblicato nel 2013.

58

Military and Paramilitary Activities in and against Nicaragua, 1986, Legality of the Threat or Use of Nuclear

Weapons, 1996.


Il punto cruciale per la comprensione dei casi in cui sia permesso l‟uso della forza e‟ quindi

fortemente dipendente dalla interpretazione dell‟aggettivo “armato”. La International Court

of Justice ha riconosciuto l‟esistenza di un gap normativo nel Nicaragua Judgement,

affermando che vi sono “misure che non costituiscono attacco armato ma possono

comunque richiedere l‟uso della forza” e distinguendo tra “forme piu‟ gravi di uso della

forza ed altre meno gravi”. La stessa Corte cita, a titolo di esempio, la fornitura di armi e di

supporto logistico ad un gruppo ribelle in un altro stato come non equivalente ad un

attacco armato contro quello stato.

Il quadro normativo risultante e‟ il seguente: tutti gli “attacchi armati” rientrano nei casi di

“uso della forza”, ma non tutte le configurazioni di “uso della forza” devono essere

considerati “attacco armato”. Di conseguenza, una nazione potrebbe essere costretta a

dover fronteggiare cyber operations classificabili come “uso della forza” ma essere allo

stesso tempo non autorizzata a rispondere in quanto le stesse operazioni non siano

sufficientemente forti da poter essere considerate attacco armato. In questi casi, la

nazione obiettivo dell‟attacco puo‟ rispondere legalmente, ad esempio con proteste

diplomatiche o sanzioni economiche, rispondere con cyber operations che rientrino nelle

misure legittime, o ancora rivolgersi al Security Council, legittimato ad intervenire in casi di

“minacce alla pace o atti di aggressione”59.

In effetti la definizione di attacco armato rappresentava una soluzione bilanciata per

l‟apprensione generale delle nazioni verso l‟uso unilaterale della forza e la paura di non

avere strumenti legislativi di difesa in caso di attacco, fin tanto che le minacce che

necessitavano di meccanismi di autodifesa come eccezione all‟illegittimita‟ dell‟uso della

forza erano rappresentate da operazioni militari classiche.

L‟avvento delle cyber operations ha ovviamente implicato la necessita‟ di ridefinire i limiti di

tali definizioni principalmente perché esse appaiono difficilmente riconducibili al termine

“armato”, sebbene gli effetti da esse derivanti siano potenzialmente anche piu‟ distruttivi.

Ad oggi, sebbene la comunita‟ internazionale non abbia ancora raggiunto consenso

unanime sulla riconcettualizzazione del termine “attacco armato” nel contesto della cyber

warfare, esso può‟ essere interpretato comprensivo di tutti quegli atti che risultino in

conseguenze analoghe a quelle causate da azioni militari classiche originariamente

59

United Nations Charter, art. 39 e 42.


previste dal termine “attacco armato”. In questa definizione assurge a ruolo chiave

l‟interpretazione del termine “conseguenze”, in relazione a due diversi fattori: le limitazioni

nell‟uso della forza sancite dall‟articolo 2(4) ed il divieto di fare ricorso a forza unilaterale

dello United Nations Charter. Il significato classico del termine “armato” corrisponde a

“equipaggiato di armi, incluse armi da fuoco o armi preparate ad attivarsi o esplodere”.

Considerando inoltre l‟accezione del termine “uso della forza” dell‟articolo 2(4) senza

ricorso all‟aggettivo armato, si puo‟ concludere che possono essere considerate

conseguenze di un attacco armato tutte quelle azioni che causano morte o infortunio

(incluse malattie o sofferenze serie) ad individui o danneggiamento e distruzione di

oggetti. Ma qual e‟ la soglia minima di danno affinché un‟azione possa essere definita

attacco armato? Nel caso del Nicaragua la Corte Internazionale di Giustizia ha tentato di

fornire una soluzione in tal senso, definendo ad esempio un “mero incidente di frontiera”

come non sufficientemente grave da essere considerato un attacco armato;

sfortunatamente, il tentativo non sembra aver avuto successo nel senso che non risultano

correttamente definiti i criteri di giudizio.

In effetti tentare di fornire una definizione quantitativa del termine “attacco armato” e‟, a

tutti gli effetti, un problema mal posto; e‟ molto piu‟ utile, invece, focalizzarsi sulla natura

qualitativa delle conseguenze di un‟azione ai attacco armato.

Le definizioni ad oggi presenti nel quadro normativo internazionale sono certamente non

coerenti con la crescente dipendenza della nostra societa‟ dai computer e le reti di

computer; fortunatamente, le leggi internazionali non sono statiche e, via via che i governi

accresceranno le loro conoscenze sulle Computer Network Operations, la comunita‟

internazionale sara‟ capace di dotarsi di strumenti legislativi piu‟ aggiornati, cio‟ poiche‟

considerati sia gli effetti che i relativi usi le tecnologie internet possono considerasi dei

sistemi d‟arma o sistemi ad essi assimilabili.


4.3 I “cyber attack” secondo la Legge Umanitaria Internazionale

Il termine attacco armato all‟interno dello jus ad bellum, cosi‟ come analizzato nel

precedente paragrafo, viene utilizzato con accezione differente nell‟ambito della Legge

Umanitaria Internazionale, seconda la quale al concetto di attacco sono legate una serie di

protezioni legali, generalmente connesse al principio di distinzione: tutte le parti coinvolte

in un conflitto devono in ogni momento distinguere tra popolazione civile e combattenti e

tra obiettivi civili e militari, in accordo alle loro operazioni verso obiettivi militari.

Sebbene il principio di distinzione sia espresso in termini di operazioni militari, non tutte le

tipologie di operazioni militari vengono prese in considerazione da questa norma.

Si pensi, infatti, alle operazioni non distruttive dirette alla popolazione civile, come la

distribuzione di volantini o il broadcasting alla popolazione: queste risultano a tutti gli effetti

operazioni legittime, purche‟ non vi siano conseguenze fisiche ai loro obiettivi.

Va inoltre sottolineato come il principio di distinzione sia inserito nell‟articolo 48 del

Protocollo Aggiuntivo I, cioe‟ prima dell‟articolo 49, che definisce gli attacchi.

L‟articolo 51 e‟ piu‟ descrittivo, in quanto stabilisce che la popolazione civile debba essere

protetta dai pericoli derivanti dalle operazioni militari, senza che questo pero‟ implichi la

possibilita‟ di attaccare singoli cittadini o intere popolazioni civili, condurre un attacco che

non abbia un obiettivo militare, attuare rappresaglie sulla popolazione civile, lanciare

attacchi le cui possibilita‟ di danni collaterali siano eccessive rispetto ai vantaggi militari

attesi, trattare piu‟ obiettivi militari come un unico obiettivo quando questi sono

chiaramente separati e distinti in una concentrazione di civili, ed infine usare metodi o

mezzi di warfare che non siano chiaramente identificabili come legittimi o non o che

abbiano effetti non controllabili60.

60

Relating to the Protection of Victims of International Armed Conflicts, articolo 51(4), 8 Giugno 1977


Gli articoli successivi attengono invece a proibizioni o restrizione connesse agli attacchi; il

piu‟ importante di essi proibisce l‟attacco di obiettivi civili, stabilendo una serie di

precauzioni che devono essere adottate per evitare il danneggiamento della popolazione

civile. In sintesi, questi articoli proibiscono la conduzione di attacchi verso obiettivi e

popolazione civile ma, in assenza di un criterio definitivo per qualificare una data azione

come attacco, la conduzione di operazioni militari che non rientrino nella definizione legale

di attacco è consentita. Come fare allora ad identificare l‟occorrenza di un attacco?

L‟articolo 49 concorre a risolvere questo dilemma, riferendosi ad atti di violenza contro

avversari, sia in difesa che in offesa; il concetto chiave in questa frase non e‟ la parola

“avversari”, ma la parola “violenza”: l‟articolo 49 regolamenta infatti non solo gli obiettivi

militari ma anche quelli civili, identificando come condizione essenziale la presenza di

violenza. D‟altro canto, il termine violenza all‟interno del Protocollo Aggiuntivo I e‟

affrontato in maniera precisa, identificando come “atti di violenza” tutte quelle azioni che

denotano forza fisica.

4.4 Le CNO nel quadro normativo

In relazione all‟oggetto di questo studio, le CNO, resta ancora da risolvere una questione:

le cyber operations non includono necessariamente l‟uso della violenza.

In accordo alla Carta delle Nazioni Unite, nel Protocollo Aggiuntivo del 1977 non vi era una

specifica menzione alle azioni capaci di causare danno senza l‟uso della violenza.

Tuttavia, apparve chiaro da subito come il punto cruciale non fosse la violenza dell‟atto in

se‟. Circa cinquant‟anni prima, infatti, l‟utilizzo di armi chimiche e biologiche era gia‟

considerato un attacco a tutti gli effetti di legge61, in quanto strumenti capaci di danni

significativi. Secondo questa logica, gli atti di violenza sono semplicemente associabili a

tutti quegli strumenti il cui uso proprio o improprio causa conseguenze regolamentate dal

quadro legislativo.

61

1925 Geneva Protocol for the Prohibition of the Use in War of Asphyxiating, Poisonous or Other Gases, and of

Bacteriological Methods of Warfare, 7 Giugno 1925.


Inoltre, il trattato va interpretato nel suo contesto ed in ragione dei suoi obiettivi: ad

un‟attenta lettura delle proibizioni e delle restrizioni presenti nel Protocollo Aggiuntivo I,

infatti, risulta chiaro che non si considerano atti violenti in se‟, ma le cui conseguenze sono

di natura violenta.

Ad esempio, sono proibite tutte le azioni volte a terrorizzare la popolazione civile62.

Il principio di proporzionalita‟ definisce un‟azione in luce della “conseguente perdita di vite

civili, ferite ai cittadini, danni ad obiettivi civili o combinazione di questi elementi” come

conseguenze di un attacco63. Un altro principio fondamentale e‟ la ricerca continua di

risparmiare la popolazione civile64 , sia nella scelta delle armi e le tattiche da impiegare,

sia nel preferire obiettivi che causino il minor danno alla popolazione civile e nelle

operazione aeree o marine65.

Le medesime restrizioni si applicano agli obiettivi speciali, come le dighe e le centrali

nucleari, proibendo di fatto attacchi che possano causare perdite significative tra la

popolazione civile o diffusi, significativi e duraturi danni all‟ambiente naturale, in tal modo

pregiudicando la salute o la sopravvivenza della popolazione66.

Sulla base delle misure legislative precedenti, si puo‟ concludere che l‟articolo 49 definisce

gli attacchi sulla base degli aspetti delle operazioni militari che condizionano piu’

direttamente la salvezza della popolazione civile e l‟integrita‟ degli obiettivi civili67.

A questo punto e‟ possibile derivare l‟accezione del termine attacco nel contesto delle

CNO attraverso un processo di induzione: gli attacchi possono essere definiti come le

operazioni che causino (o che erano intese a causare, ma non hanno avuto successo)

morte o ferimento di individui o distruzione o danneggiamento di oggetti.

62

Relating to the Protection of Victims of International Armed Conflicts, articolo 51(3), 8 Giugno 1977 63

.... articoli 51(5)(b) e 57(2)(a)(iii). 64

.... articolo 51(1). 65

.... articolo 57. 66

.... articolo 55(1). 67

Commentary on the Additional Protocols of 8 June 1977 to the Geneva Conventions of 12 August 1949..


Nell‟accezione di ferimenti rientrano le malattie causate da un CNA, come il

danneggiamento del sistema idrico e la conseguente contaminazione dell‟acqua potabile,

o comunque tutte quelle azioni che producono serie sofferenze non giustificabili dalle

necessita‟ militari.

Il termine distruzione include quelle operazioni che, pur non causando danni fisici, rendono

inefficace un obiettivo, come nel caso di CNA che causano l‟interruzione della operativita‟

di un computer o di una rete di computer. In base alle precedenti osservazioni, il concetto

legale di “attacco” all‟interno della Legge Umanitaria Internazionale non differisce molto

dall‟interpretazione che esso ha nel contesto dello jus ad bellum; di conseguenza, e‟

possibile fare ricorso a CNOs verso sistemi civili purche‟ i danni causati non siano tra

quelli citati dalla Legge Umanitaria Internazionale e non trovi applicazione nessuna delle

proibizioni specifiche della legge stessa.

In occasione della 37th International Conference of the Red Cross and Red Crescent

Society del 2011, l‟International Committee of the Red Cross (ICRC) ha presentato un

approccio leggermente differente, facendo notare come all‟interno dell‟articolo 49 il termine

“atti di violenza” facesse riferimento alla forza fisica. Di conseguenza, le CNO che fanno

uso di virus, worm (tipo di virus capace di replicarsi e consumare memoria), ecc., che

causano danno fisico alle persone o agli oggetti al di la‟ dei programmi informatici o i dati

obiettivo dell‟attacco, possono essere qualificati come “atti di violenza” nel senso indicato

dalla Legge Umanitaria Internazionale68.

68

International Committee of the Red Cross, International Law and the Challenges of Contemporary Armed Conflicts,

Ottobre 2011.


Nello stesso documento viene poi specificato che “le cyber operations non ricadono nella

definizione di „attacco‟ fin tanto che esse non causino distruzione fisica o i loro effetti siano

reversibili”; per chiarire questa frase, e‟ utile riportare nel seguito la traduzione di uno

stralcio del documento in questione:

“se cio’ implica che un attacco contro un obiettivo civile debba essere

considerato legittimo nei suddetti casi, allora non trova fondamento

nelle leggi vigenti secondo il punto di vista dell’ICRC. In base alla

Legge Umanitaria Internazionale, gli attacchi possono essere diretti

solo verso obiettivi militari, mentre gli obiettivi che non rientrano in

tale definizione sono da considerarsi civili e non dovrebbero essere

attaccati. La definizione di obiettivi militari non dipende dalla

tipologia di warfare usata e deve essere applicato sia ai mezzi fisici

che non; il fatto che una cyber operation non porti alla distruzione

dell’obiettivo e’ non rilevante. In base all’articolo 52 (2) del

Protocollo Aggiuntivo I, possono essere attaccati solo quegli oggetti

che forniscano un contributo effettivo alle azioni militari e la cui

distruzione, totale o parziale, la cattura o la neutralizzazione offrano

un vantaggio militare ben preciso. Facendo riferimento non solo alla

distruzione o alla cattura ma anche alla neutralizzazione degli

oggetti, questa definizione implica che non ha alcuna importanza se

tale neutralizzazione avvenga tramite distruzione o in qualsiasi altro

modo"69

.

Il fatto che l‟ICRC faccia esplicito riferimento alla Legge Umanitaria Internazionale riflette il

panorama giuridico: non vi puo‟ essere alcun dubbio sul fatto che un attacco contro un

obiettivo civile sia illegittimo e che i metodi o i mezzi utilizzati per l‟attacco non facciano

alcuna differenza dal punto di vista legale, sia in caso di obiettivi civili che per gli obiettivi

militari. Il riferimento al termine “neutralizzazione”, inoltre, esplicita chiaramente come il

fatto che un vantaggio militare sia considerato un obiettivo militare non scaturisce

direttamente dal danno fisico all‟obiettivo. Tali norme sono fondamentali non soltanto per i

partecipanti al Protocollo Aggiuntivo I, ma anche per tutti gli altri stati in quanto esse

riflettono la giurisdizione internazionale.

69

International Committee of the Red Cross, International Law and the Challenges of Contemporary Armed Conflicts,

at 37, Ottobre 2011.


4.5 Conclusioni

Avendo analizzato il divario terminologico tra la comunita‟ dei tecnici e quella legislativa,

allo stato attuale non appare soddisfacente un corretto inquadramento delle Computer

Network Operations come “attacchi” nel contesto della Legge Umanitaria Internazionale.

Il punto cruciale consiste nella possibilita‟ che anche attacchi di tipo non distruttivo e che

non mettano a rischio fisico individui o obiettivi possono pero‟ comportare conseguenze

serie. Sulla base dell‟attuale quadro legislativo, appare evidente la necessita‟ di addivenire

a norme che definiscano piu‟ chiaramente i termini della cyber warfare nella legislazione

internazionale; ogni altra considerazione e‟ da riferirsi a norme future. Va certamente detto

che un termine legale puo‟ vedere ampliato o modificato il suo significato giuridico con

l‟adozione di nuovi trattati, la creazione di norme specifiche o con l‟emergere di nuovi

scenari nel contesto cui esso e‟ riferito. Sta di fatto che vista la gravità dei danni

provocabili da una cyber offensive action non c‟e‟ da meravigliarsi se in risposta ad un

cyber attacco violento si possa ipotizzare di rispondere con un attacco nucleare.


Parte

SPECIALISTICA / DI SUPPORTO / BIBLIOGRAFICA


Il volume, la sofisticatezza e la distribuzione dei Computer Network Attacks sono in

continua crescita, specie per gli attacchi con motivazioni politiche70. Ad esempio, nell‟arco

di una sola settimana, circa 1200 siti web statunitensi, inclusi alcuni appartenenti alla Casa

Bianca e ad altre agenzie governative, sono stati oggetto di attacchi di tipo denial of

service (negazione di servizio) o defacing (defacciamento, modifica della homepage o

anche altre pagine di un sito web) con immagini pro-Cina.

Gli attacchi del 2011 hanno raggiunto dimensioni enormi grazie all‟impegno coordinato di

gruppi di hackers, che hanno impiegato chat room protette da password e altre tecnologie

per coordinare il lancio di un attacco congiunto verso obiettivi americani.

5.1 Tipologie di “attackers”

Una delle informazioni piu‟ importanti affinche‟ si possano implementare strategie di

risposta efficienti e‟ la conoscenza della fonte dell‟attacco. Sebbene sia molto complicato

identificare in maniera univoca l‟attacker, e‟ estremamente utile conoscere almeno a quale

categoria esso appartenga. Nel seguito verranno descritte le principali categorie di

“attackers” con alcuni cenni storici.

Minacce Interne

Come molti casi testimoniano, gli addetti ai lavori (o ex) scontenti costituiscono la fonte

principale di attacco in quanto a crimini informatici. Cio‟ e‟ dovuto principalmente al fatto

che non sia richiesta loro una eccessiva abilita‟ o conoscenza dei CNA: essi, infatti, nella

maggior parte dei casi conoscono perfettamente i sistemi che vogliono attaccare. Questa

70

Michael Vatis, Cyber Attacks: Protecting America’s Security Against Digital Threats, ESDP 2002-04.

Computer Network Attacks

5


conoscenza puo‟ permettere loro l‟accesso illimitato alle risorse, allo scopo ad esempio di

danneggiare i sistemi o di rubare dati. Un caso esemplificativo riguarda la Guardia

Costiera statunitense: nel 1998 un‟impiegata, usando le sue capacita‟ e la password di un

collega, riusci‟ a cancellare dati dal database del personale della Guardia Costiera71.

L‟impiegata fu scoperta, condannata a 5 mesi di reclusione e 5 mesi di arresti domiciliari e

fu condannata a restituire 35.000 dollari come indennizzo. Un altro caso ha riguardato la

famosa rivista economica Forbes: l‟intrusione nei sistemi informatici da parte di un ex

impiegato causo‟ il crash di quasi meta‟ dei server delle reti di computer societarie, oltre

alla cancellazione definitiva di tutti i dati in essi presenti. I danni stimati furono di circa

100.000 dollari.

Gruppi Criminali

Gruppi di individui appartenenti al crimine organizzato stanno sempre piu‟ avvicinandosi al

mondo delle CNO; in particolare, vi e‟ stato un aumento esponenziale dei casi di intrusione

cibernetica a scopo economico. Nel 1999, ad esempio, i membri di un gruppo chiamato

“Phonemasters” furono condannati per aver effettuato accessi non autorizzati in computer

federali. Essi, infatti, riuscirono ad ottenere l‟accesso ai computer dell‟MCI (Istituto

Superiore di Innsbruck), di Sprint (un provider di servizi telefonici ed internet), della AT&T,

di Equifax (un‟agenzia economica) e persino del National Crime Information Center (NCIC)

dell‟FBI. Grazie a tecniche di “dumpster diving” (letteralmente “rovistare nei rifiuti”), a

partire da vecchie rubriche telefoniche e manuali tecnici essi riuscirono ad ottenere le

credenziali di accesso ai sistemi dagli impiegati. Cio‟ porta ad una riflessione sulla

necessita‟ di formare in maniera specifica i dipendenti per proteggersi da tecniche basate

su social engineering.

Programmatori di virus

I programmatori di virus possono potenzialmente apportare danni maggiori degli hackers.

Le statistiche ottenute da interviste agli addetti ai lavori evidenziano come la maggior parte

degli amministratori di reti (comprese quelle governative) consideri i virus e gli altri tipi di

codice malizioso come la principale minaccia alle loro reti72.

71 Laura DiDio, U.S. Coast Guard Beefs Up Security After Hack, 22 Luglio 1998. 72

Richard W. Walker, Feds Say Virus Threats Keep Them Awake at Night, Government Computer News, 20 Agosto

2001.


Mediamente, ogni giorno decine di nuovi virus vengono disseminati in rete ed il numero di

virus conosciuti ha ormai superato il milione dal 200873. A contribuire alla loro diffusione vi

e‟ non solo l‟aumento del numero di programmatori capaci di scrivere virus molto

pericolosi, ma anche la proliferazione di reti di computer molto veloci.

Servizi di Intelligence

I servizi di intelligence dei diversi Paesi fanno sempre piu‟ frequentemente ricorso a

strumenti di CNO per la raccolta di informazioni e lo spionaggio governativo. Il fenomeno,

tuttavia, non riguarda solo i tempi piu‟ recenti. Risale infatti al periodo tra il 1986 ed il 1989

uno dei primi esempi in tal senso: una rete di hackers della Germania Ovest riusci‟ a

penetrare diversi computer militari, scientifici e aziendali negli Stati Uniti, nell‟Europa

Occidentale ed in Giappone, riuscendo a rubare password di accesso, programmi ed altre

informazioni che furono poi vendute alla Russia74. Cio‟ accadeva oltre 20 anni fa, in un‟era

che puo‟ oggi essere considerata preistoria per internet e le reti di computer. Con il

progresso tecnologico e la diffusione delle reti di computer, le intrusioni di computer per i

servizi di intelligence costituiscono oggi uno strumento fondamentale per acquisire dati

sensibili governativi e del settore privato.

Information Warfare

Come ampiamente documentato nei capitoli precedenti, l‟impiego di tecniche di

information warfare da parte di forze militari contro infrastrutture strategiche o critiche

rappresenta ad oggi la minaccia piu' temuta per la sicurezza della nostra Nazione.

Ciascuna nazione sta lavorando allo sviluppo, alla dottrina, l‟organizzazione e le

competenze in materia di information warfare; appare chiaro, infatti, che anche laddove un

paese non possa competere in termini di forze militari “canoniche”, le computer network

operations sono uno strumento che annulla questo divario, permettendo l‟accesso alle

risorse piu‟ importanti di una nazione. Non deve sorprendere, quindi, la pubblicazione ad

opera di due ufficiali militari cinesi di un libro in cui si invita all‟utilizzo di misure non

73

Number of known computer viruses exceeds 1 million, PRLOG Press Release Distribution.

http://www.prlog.org/10814398-number-of-known-computer-viruses-exceeds-1-million.html


Clifford Stoll, The Cuckoo’s Egg, New York: Pocket Books, 1989.



convenzionali, compresa la propagazione di virus informatici, per contrastare il potere

militare americano75. Sebbene gli Stati Uniti siano il principale bersaglio di tali attacchi, non

e‟ esente l‟Europa occidentale, come testimoniano gli attacchi ai server web della NATO

da parte di hacker simpatizzanti per la Serbia durante il conflitto in Jugoslavia76.

In tale occasione, hackers dalla Russia ed altri paesi filo-sovietici attaccarono una serie di

siti web di molti paesi europei grazie a mail infette da virus ed altri strumenti informatici;

diverse organizzazioni in Gran Bretagna subirono perdite di dati e database. Una delle

caratteristiche piu‟ preoccupanti dell‟Information Warfare attiene alla natura stessa del

web: la facilita‟ con cui e‟ possibile mascherare l‟origine degli attacchi, permettendo cosi‟

ad una nazione, non direttamente coinvolta in un conflitto, di prendervi parte senza che

cio‟ diventi necessariamente pubblico.

Terroristi

E‟ noto che le organizzazioni terroristiche usano in maniera massiva la rete internet per

formulare piani, diffondere messaggi propagandistici, raccogliere fondi e comunicare in

maniera sicura; le CNO forniscono loro uno strumento per la distruzione o il

danneggiamento di sistemi critici, sia governativi che relativi alla popolazione civile, come

accadde nel caso di un gruppo dal nome “Internet Black Tigers”, che condussero con

successo un attacco di tipo DoS (Denial of Service) ai server governativi dell‟ambasciata

dello Sri Lanka, oppure nel caso degli attacchi da parte di simpatizzanti zapatisti alle

pagine web del presidente messicano Ernesto Zedillo, della Casa Bianca, del Pentagono e

della borsa di Francoforte77. Un rapporto del governo canadese riferisce l‟intenzione della

Irish Republican Army (un gruppo terroristico irlandese) di usare le CNO contro la Gran

Bretagna. Riguardo l‟attacco di gas nervino (di tipo sarin) del 1995 contro il sistema

metropolitano di Tokyo, vi sono forti sospetti che l‟autore, Aum Shinrikyo, abbia usato le

sue competenze informatiche nello sviluppo di un‟arma cibernetica da usare contro

interessi giapponesi ed americani; sebbene non vi siano prove in tal senso, la necessita‟ di

proteggere le proprie nazioni dalla interruzione su larga scale delle proprie infrastrutture

critiche spinge a considerare nella giusta dimensione questi fenomeni.

75

Kevin Anderson, Cyber-Terrorists Wield Weapons of Mass Destruction, BBC News, 22 Febbraio 2000.

http://news.bbc.co.uk/2/hi/sci/tech/specials/washington_2000/648429.stm (ultima visita 2012 Nov 06) 76

Institute for Security Technology Stuidies, Cyber Attacks During the War on Terrorism: A Predictive Analysis, 22

Settembre 2001. 77

Dorothy E. Denning, Information Warfare and Security, Ethics and information Technology Vol. 1 numero 3, 1999.

http://news.bbc.co.uk/2/hi/sci/tech/specials/washington_2000/648429.stm


Riguardo ai recenti eventi, i gruppi che probabilmente hanno effettuato il maggior numero

di attacchi, dimostrativi e non, sia negli Stati Uniti che nel resto del mondo sono

certamente quelli di matrice islamica e cinese. Nonostante cio‟, la conoscenza delle loro

organizzazioni risulta ancora incompleta. Sebbene sia complicato dimostrare che

Al_Qaeda sia direttamente coinvolta in CNA o che stia sviluppando significative capacita‟

di Information Warfare, vi sono alcune forti indicazioni di un loro coinvolgimento in molti

degli episodi di cyber crime degli ultimi anni. E‟ il caso, ad esempio, degli attacchi

informatici del gennaio 2002: l‟FBI ricevette infatti molti rapporti che indicavano il

coinvolgimento di agenti Al Qaeda nel tentativo di ricavare informazioni sugli impianti

nucleari e le infrastrutture critiche presenti nei siti governativi.

Appare inoltre certo che tali organizzazioni terroristiche usino le nuove tecnologie anche

per le comunicazioni: durante le battaglie con le truppe e le coalizioni americane nel Marzo

2002 i combattenti di Al_Qaeda si tenevano in contatto attraverso il Web negli spostamenti

da una grotta all‟altra78.

Hacktivism

“Hacktivism” e‟ un termine che deriva dall‟unione dei termini “hacking”ed “activism”, ad

indicare che le forme dell‟azione diretta tradizionale dei gruppi attivisti sono rimpiazzate

dalle loro equivalenti elettroniche/informatiche. Le attivita‟ degli “hacktivisti” consistono in

attacchi con motivazioni politiche a pagine accessibili pubblicamente o server di posta

elettronica per la diffusione di messaggi politici. Sebbene la maggior parte di questi

attacchi non arrechi danno ai sistemi operativi o alle reti di computer, attraverso

l‟interruzione dei servizi viene comunque compromessa la liberta‟ di comunicazione.

Uno di questi gruppi, soprannominato “Electronic Disturbance Theater”, promuove

iniziative di disordine civile per supportare l‟agenda politica del movimento zapatista in

Messico. Nel 1999, sostenitori di Kevin Mitnick, famoso hacker condannato per numerosi

reati informatici, riuscirono a penetrare nella pagine del Senato ed alterarne i contenuti;

durante il World Economic Forum del 2002, diversi membri del movimento anti-capitalismo

ed anti-globalizzazione lanciarono attacchi DoS.

78

Brian Williams, Afghan Foes Used Web, Had Money to Burn, Feds Say, 19 marzo 2000.


Il rischio reale e‟ che le crescenti divisioni in molti degli stati mondiali portino ad una

polarizzazione delle masse, generando cosi‟ due diverse fazioni ed una rete di attivismo

capace di impiegare le CNO per attaccare qualsiasi nazione.

“Recreational” Hackers

I “crackers”, anche detti “recreational” hackers, sono nati come una particolare tipologia di

hackers che penetrano le reti di computer semplicemente per il brivido emotivo nel riuscirci

o per vantarsene sulle comunita‟ online. Mentre diversi anni fa le attivita‟ di cracking

richiedevano notevoli capacita‟ e conoscenze informatiche, oggi vi sono a disposizione

svariati script e protocolli informatici nel Web che possono essere utilizzati anche da non

esperti.

Sebbene gli attacchi di cracking possano apparire innocui all‟inizio, essi possono

comportare conseguenze molto serie. Un esempio noto risale già al 1997, quando un

giovane uso‟ il suo personal computer per penetrare nella rete telefonica dell‟area di

Worcester, in Massachussets. L‟attacco causo‟ l‟interruzione del servizio telefonico a 600

utenti, dei servizi di emergenza del 911 e del controllo dell‟illuminazione dell‟aeroporto di

Worcester per circa sei ore79. Le successive indagini dei servizi segreti americani

portarono alla luce l‟esistenza di una vulnerabilita‟, sfruttabile attraverso la semplice

pressione di quattro tasti, in circa 22.000 apparecchiature telefoniche in tutta la nazione.

Sebbene l‟attacco sia stato portato da un giovane senza alcuna organizzazione alle spalle,

cio‟ dimostra come l‟attacco ai fulcri della comunicazione possa avere degli effetti a

cascata devastanti su diverse infrastrutture (trasporto, servizi di emergenza e

telecomunicazioni) e possa essere ottenuto da un singolo individuo che usa

semplicemente il suo personal computer. Si comprende perico‟ che oggi i crackers

rappresentano la minaccia piu‟ significativa per le infrastrutture critiche.

79

Dorothy E. Denning, Information Warfare and Security, Ethics and information Technology Vol. 1 numero 3, 1999.


5.2 Tipologie di “attacks”

Un cyber attack e‟ un attacco da computer a computer al fine di rubare, cancellare o

alterare le informazioni o distruggere o impedire le funzionalita‟ di un computer o una rete

di computer obiettivo.

Esistono tre differenti tipologie principali di attacco:

1. Intrusione non autorizzata, che consiste nell‟intrusione illegale all‟interno di un

computer per mezzo di diverse tecniche di hacking, oppure nell‟utilizzo dall‟interno

della rete di funzionalita‟ per le quali non si possiede legittima autorizzazione.

2. Virus distruttivi o worm, capaci di diffondersi nelle reti informatiche attraverso la posta

elettronica, i programmi p2p (peer to peer), i social network o altri software di

scambio di dati; essi possono causare la perdita di funzionalita‟ di alcune parti di una

rete di computer.

3. Attacchi di tipo Denial of Service (DoS), che attraverso un‟ampia gamma di tecniche

sono finalizzati a bombardare il computer obiettivo di richieste al fine di

sovraccaricarlo e compromettere le sue capacita‟ di gestione del servizio.

Nel seguito verranno descritti sinteticamente le tipologie di Computer Network Attack piu‟

utilizzate a scopi politici o militari.

Web defacement e attacchi semantici

Una delle forme piu‟ comuni di attacco con motivazione politica e‟ il web defacement, che

consiste nell‟alterazione dei contenuti di un sito web con inserimento di nuovi contenuti

con messaggi di carattere politico. Tra gli attacchi di web defacement, quelli che

provocano le conseguenze piu‟ serie sono gli attacchi semantici, che cambiano i contenuti

di una pagina web in maniera subdola, così che l‟alterazione non sia immediatamente

percepibile; la conseguenza piu‟ seria e‟ la diffusione di informazioni false o

controinformazione.


Attacchi Domain Name Server (DNS)

I computer connessi alla rete internet comunicano tra loro attraverso indirizzo IP (Internet

Protocol), consultando i DNS per ottenere la corrispondenza tra indirizzi numerici e nome

di dominio. Qualora il DNS fornisca un indirizzo numerico errato, l‟utente verra‟ collegato

ad un nome di dominio diverso da quello richiesto; spesso cio‟ puo‟ avvenire senza che

l‟utente se ne accorga, magari riproducendo fedelmente la grafica del sito cui si voleva

accedere. Un attacco DNS puo‟ quindi essere usato per diffondere false notizie, bloccare

l‟accesso ad un sito web o per ottenere informazioni riservate (codici privati, codici

bancari, governativi, ecc).

Attacchi DDoS (Distributed Denial of Service)

Gli attacchi DDoS costringono server web e di posta elettronica ad un numero incredibile

di comunicazioni con altri computer; l‟altissimo numero di connessioni puo‟ causare il

rallentamento o il crash di questi sistemi. La componente piu‟ pericolosa di questi attacchi

si riferisce al termine “distribuito”, nel senso che quasi sempre l‟attacco, e di conseguenze

le richieste di connessione, provengono da svariate parti del pianeta; non tutti i "propietari"

di computer che prendono parte a questi attacchi sono "consapevoli" della loro

partecipazione. Infatti, attraverso l‟introduzione di codice malizioso all‟interno dei computer

degli utenti, vengono attivati dei trojan (programmi dannosi che si mascherano da

applicazioni innocue) che rendono quel computer completamente controllabile da remoto.

Le reti formate da computer di cui si e‟ ottenuto il controllo completo vengono dette botnet,

ovvero robot net, reti di robot.

Codice malizioso

Worm, virus e trojan horse sono classici esempi di codice malizioso, malware. Sebbene le

vulnerabilita‟ sfruttate da virus e worm siano spesso note agli amministratori di sistema,

esse non vengono eliminate in tutti i sistemi, in tal modo causando problemi seri all‟interno

dell‟infrastruttura informativa.


Sfruttamento delle vulnerabilita’ nel Routing

I routers sono i dispositivi adibiti al “controllo del traffico” nelle reti informatiche e nella rete

Internet; tra i loro principali compiti vi e‟ quello di garantire che le informazioni, che

viaggiano sottoforma di pacchetti, transitino correttamente dalla sorgente alla

destinazione. L‟interruzione delle funzionalita‟ di routing tramite codice malizioso sono

piuttosto rare, ma la carenza di varieta‟ di sistemi operativi per i router lascia aperta la

possibilita‟ di un attacco di massa sul routing; persino la riprogrammazione maliziosa di un

solo router potrebbe causare errori nell‟intera rete internet.

Attacchi composti

La composizione di differenti tipologie di attacchi puo‟ accrescerne enormemente la

potenza distruttiva; e‟ inoltre possibile che ad un attacco cinetico classico venga affiancato

un attacco cibernetico coordinato: ad esempio, potrebbe essere piazzata una bomba in un

edificio e, contemporaneamente, compromessa la funzionalità‟ dei servizi di emergenza

telefonici per chiamare gli aiuti.

5.3 Principali tecniche di CNA

Avendo discusso nei paragrafi precedenti delle tiplogie di “attackers” e di “attacks”, e‟ qui

utile fornire alcune indicazioni sulle vere e proprie tecniche di attacco piu‟ comuni, come

gia‟ indicato nel Rapporto di Ricerca “Cyberwarfare e Cyberspace: Aspetti Concettuali,

Fasi ed Applicazione allo Scenario Nazionale ed all’ambito Militare”80 del 2008.

In particolare, e‟ utile richiamare anche alcune considerazioni fatte sulla terminologia e

l‟evoluzione dell‟hacking come strumento di cyberwarfare.

80

Rapporto di Ricerca Ce.Mi.S.S. " Cyberwarfare e Cyberspace: aspetti concettuali, fasi ed applicazione allo scenario

nazionale ed all’ambito militare - Gerardo Iovane


01/Pagine/Cyberwarfare_e_Cyberspace_aspet_9342militare.aspx (ultima visita 2012 Nov 06)






Il nuovo millennio è salito sul palcoscenico della storia con i due termini “millenium bug” e

“hacking”: il primo voleva rappresentare l‟insieme delle emergenze informatiche che

sarebbero derivate dal cambio delle quattro cifre nel conteggio degli anni; di fatto già i

primi giorni del 2000 hanno visto la piena risoluzione della questione, che era stata

pianificata e risolta ancor prima che creasse problemi. Addirittura forse le misure adottate

superarono le reali necessità del problema. Viceversa i termini “hacking” ed “hacker” sono

diventati di dominio pubblico, volendo individuare quell‟insieme di minacce che minano la

privacy, la salvaguardia delle informazioni e del loro uso.

Il termine hacking è diventato uno dei più inflazionati vocaboli legati all'informatica; avendo

accompagnato, fin dall'inizio, lo sviluppo dell‟ICT (Information & Communication

Technology).

Se è vero che l‟Informatica rappresenta l‟ultima avanguardia della Scienza e dell‟Arte

allora stiamo davvero assistendo ad una produzione d‟opere d‟arte senza eguali nella

storia del genere umano ed il cyberspazio rappresenta la casa di Leonardo da Vinci in

persona. In realtà, oltre all‟accezione negativa dell‟hacking che abbiamo sperimentato in

questi ultimi anni, ve ne è anche una estremamente positiva: infatti, in generale l'hacking si

riferisce ad ogni situazione in cui si faccia uso di creatività e immaginazione nella ricerca

della conoscenza. In altre parole, così come Leonardo da Vinci può essere considerato un

hacker del XV secolo (in ingegneria, scienza e architettura), così gli attuali hacker possono

intendersi come Ingegneri della Conoscenza.

Se consideriamo la radice del termine hacker, la forma sostantiva del verbo inglese "to

hack" significa "tagliare", "sfrondare", "sminuzzare", "ridurre", "aprirsi un varco", appunto

fra le righe di codice che istruiscono i programmi software. Un hacker è quindi prima di

tutto chi riduce la complessità e la lunghezza del codice sorgente, con un "hack", appunto,

una procedura "dura" ma efficace, che potrebbe essere tradotta in italiano come "zappata"

o "accettata" (tagliata con l'accetta) o altrimenti con una "furbata".

In questa accezione positiva tra i Leonardo da Vinci dell‟Informatica vanno sicuramente

annoverati Richard Stallman81 - autore, tra gli altri, di Emacs 82 e GCC83, ideatore del

81

http://it.wikipedia.org/wiki/Richard_Stallman 82

http://it.wikipedia.org/wiki/Emacs 83

http://it.wikipedia.org/wiki/GNU_Compiler_Collection

http://it.wikipedia.org/wiki/Informatica

http://it.wikipedia.org/wiki/Creativit%C3%A0

http://it.wikipedia.org/wiki/Immaginazione

http://it.wikipedia.org/wiki/Conoscenza

http://it.wikipedia.org/wiki/Leonardo_da_Vinci

http://it.wikipedia.org/wiki/Hacker

http://it.wikipedia.org/wiki/XV_secolo

http://it.wikipedia.org/wiki/Richard_Stallman

http://it.wikipedia.org/wiki/Emacs


http://it.wikipedia.org/wiki/Richard_Stallman

http://it.wikipedia.org/wiki/Emacs



concetto di Software libero e di copyleft 84, Eric S. Raymond85 - fondatore del movimento

open source, scrittore di libri e saggi sulla cultura hacker, Johan Helsingius – che

mantenne il più famoso anonymous remailer del mondo, finché non lo chiuse nel 1996,

Tsutomu Shimomura86 – che aiutò l'FBI ad arrestare il famoso Kevin Mitnick 87che

aveva eseguito alcune tra le più ardite incursioni nei computer del governo USA.

Purtroppo, invece, negli ultimi anni i diversi Governi hanno dovuto sperimentare

un‟accezione semantica diversa del termine hacker: esso ha assunto un‟accezione

negativa, poiche‟ uscendo dall‟ambito accademico il termine è diventato sinonimo di

criminale informatico. Accanto al termine hacker si sono aggiunti i termini Cracker e

Phreaking. Il termine cracker descrive colui che entra abusivamente in sistemi altrui e li

manipola allo scopo di danneggiarli (cracking), lasciare un segno del proprio passaggio,

utilizzarli come teste di ponte per altri attacchi oppure per sfruttare la loro capacità di

calcolo o l'ampiezza di banda di rete. I cracker possono essere spinti da varie motivazioni,

dal guadagno economico (tipicamente coinvolti in operazioni di spionaggio o in frodi)

all'approvazione all'interno di un gruppo di cracker. Il termine phreaking, invece, è il

risultato dell'unione tra le parole phone (telefono) e freak (persona bizzarra) per descrivere

piraterie telefoniche e quindi attività illecite di persone che sperimentano e sfruttano i

telefoni, le compagnie telefoniche, e sistemi che compongono o sono connessi alla Public

Switched Telephone Network (PSTN88) .

L'hacking può essere visto come un puro strumento operativo e come tale, a seconda di

chi lo usa e del motivo per cui lo usa, può assumere valenze positive o negative.

La pratica di accedere illegalmente a sistemi altrui (per qualsivoglia motivo) usa mezzi e

tecniche proprie dell'hacking, ma se ne differenzia profondamente: mentre l'hacker cerca

la conoscenza, il cracker mira alla devastazione e al furto. Chi pratica l'intrusione

informatica semplicemente copiando le tecniche trovate e sviluppate da altre persone

sfruttando exploit89 già pronti, viene chiamato lamer o script kiddie.

84

http://it.wikipedia.org/wiki/Copyleft 85

http://it.wikipedia.org/wiki/Eric_S._Raymond 86

http://it.wikipedia.org/wiki/Tsutomu_Shimomura 87

http://it.wikipedia.org/wiki/Kevin_Mitnick 88

http://it.wikipedia.org/wiki/PSTN 89

http://it.wikipedia.org/wiki/Exploit

http://it.wikipedia.org/wiki/Software_libero

http://it.wikipedia.org/wiki/Copyleft

http://it.wikipedia.org/wiki/Eric_S._Raymond

http://it.wikipedia.org/wiki/Open_source

http://it.wikipedia.org/wiki/Anonymous_remailer

http://it.wikipedia.org/wiki/1996

http://it.wikipedia.org/wiki/Tsutomu_Shimomura

http://it.wikipedia.org/wiki/FBI

http://it.wikipedia.org/wiki/Kevin_Mitnick

http://it.wikipedia.org/wiki/Frodi

http://it.wikipedia.org/wiki/Telefono

http://it.wikipedia.org/w/index.php?title=Compagnie_telefoniche&action=edit

http://it.wikipedia.org/wiki/PSTN

http://it.wikipedia.org/wiki/Cracker

http://it.wikipedia.org/wiki/Furto


http://it.wikipedia.org/wiki/Lamer

http://it.wikipedia.org/wiki/Script_kiddie

http://it.wikipedia.org/wiki/Copyleft

http://it.wikipedia.org/wiki/Eric_S._Raymond

http://it.wikipedia.org/wiki/Tsutomu_Shimomura

http://it.wikipedia.org/wiki/Kevin_Mitnick

http://it.wikipedia.org/wiki/PSTN



Con il termine exploit90 si vuole identificare un metodo che, sfruttando un bug o una

vulnerabilità del sistema, porta all'acquisizione di privilegi o al Denial of Service (DoS)91

di un computer. Ci sono diversi modi per classificare gli exploit. Il più comune è una

classificazione a seconda del modo in cui l'exploit contatta l'applicazione vulnerabile.

Un exploit remoto è compiuto attraverso la rete e sfrutta la vulnerabilità senza precedenti

accessi al sistema. Un exploit locale richiede un preventivo accesso al sistema e

solitamente fa aumentare i privilegi dell'utente oltre a quelli impostati dall'amministratore.

Gli exploit possono anche essere classificati a seconda del tipo di vulnerabilità che

sfruttano. Un tipico esempio di vulverabilità usata è il buffer overflow92 (nel seguito

introdurremo le vulnerabilità usate piu‟ di frequente).

Lo scopo di molti exploit è quello di acquisire i privilegi di root su un sistema. È comunque

possibile usare exploit che dapprima acquisiscono un accesso con i minimi privilegi e che

poi li alzano fino ad arrivare a root.

Normalmente un exploit può sfruttare solo una specifica falla e quando è pubblicato

questa falla è riparata e l'exploit diventa obsoleto per le nuove versioni del programma.

Per questo motivo alcuni blackhat hacker non divulgano gli exploit trovati ma li tengono

riservati per loro o per la loro comunità. Questi exploit sono chiamati zero day exploit93, e

scoprire il loro contenuto è il più grande desiderio per gli attacker senza conoscenze,

altrimenti detti script kiddie94.

90

http://it.wikipedia.org/wiki/Exploit 91

http://it.wikipedia.org/wiki/Denial_of_service 92

http://it.wikipedia.org/wiki/Buffer_overflow 93

http://it.wikipedia.org/wiki/0-day 94



http://it.wikipedia.org/wiki/Bug_%28informatica%29

http://it.wikipedia.org/wiki/Denial_of_service

http://it.wikipedia.org/wiki/Buffer_overflow

http://it.wikipedia.org/wiki/Black_hat


http://it.wikipedia.org/wiki/0-day



http://it.wikipedia.org/wiki/Denial_of_service

http://it.wikipedia.org/wiki/Buffer_overflow

http://it.wikipedia.org/wiki/0-day



Qui di seguito elenchiamo ed analizziamo le principali vulnerabilità e tecniche utilizzate

nell‟ambito delle Cyber Network Operations per attaccare sistemi informativi:

1. Buffer overflow

2. Shellcode

3. Cracking

4. Backdoor

5. Port scanning

6. Sniffing

7. Keylogging

8. Spoofing

9. Trojan

10. Virus informatici

11. DoS (Denial of Service)

12. DDoS (Distributed Denial of Service)

13. Ingegneria sociale

1. Il buffer overflow è una vulnerabilità di sicurezza che consiste nel fatto che il

sistema/software non controlla in anticipo la lunghezza dei dati in arrivo, ma si limita a

scrivere il loro valore in un buffer di lunghezza prestabilita, confidando che l'utente (o il

mittente) non immetta più dati di quanti esso ne possa contenere: questo può accadere se

il programma è stato scritto usando funzioni di libreria di input/output che non fanno

controlli sulle dimensioni dei dati trasferiti.

Quando quindi vengono inviati più dati della capienza del buffer destinato a contenerli, i

dati extra vanno a sovrascrivere le variabili interne del programma, o il suo stesso stack;

come conseguenza di ciò, a seconda di cosa è stato sovrascritto e con quali valori, il

programma può dare risultati errati o imprevedibili, bloccarsi, o (se è un driver di sistema o

lo stesso sistema operativo) bloccare il sistema di elaborazione.

http://it.wikipedia.org/wiki/Buffer

http://it.wikipedia.org/wiki/Stack


Conoscendo molto bene il programma in questione, il sistema operativo e il tipo di

computer su cui gira, si può precalcolare una serie di dati malevoli (malware)95 che inviata

per provocare un buffer overflow consenta ad un malintenzionato di prendere il controllo

del programma (e a volte, tramite questo, dell'intero sistema di elaborazione).

Questo tipo di debolezza dei programmi è noto da molto tempo, ma solo di recente la sua

conoscenza si è diffusa tanto da permettere anche a dei cracker dilettanti di sfruttarla per

bloccare o prendere il controllo di altri computer collegati in rete.

Non tutti i programmi sono vulnerabili a questo tipo di inconveniente: perché un dato

programma sia a rischio è necessario che:

1. il programma preveda l'input di dati di lunghezza variabile e non nota a priori;

2. li immagazzini entro buffer allocati nel suo spazio di memoria dati vicini ad altre

strutture dati vitali per il programma stesso;

3. il programmatore non abbia implementato alcun mezzo di controllo della correttezza

dell'input in corso.

4. l'area di memoria dello stack sia eseguibile, se si tenta di scrivere dello shellcode

sullo stack; questo non è vero sui computer più recenti dotati di NX bit96

2. Uno shellcode è un programma in linguaggio assembly che tradizionalmente esegue

una shell, come la shell Unix '/bin/sh' oppure la shell command.com sui sistemi operativi

DOS e Microsoft Windows. Uno shellcode può essere utilizzato per sfruttare un exploit,

consentendo ad un hacker o un cracker di acquisire l'accesso alla riga di comando di un

computer.

Gli shellcode sono tipicamente inseriti nella memoria del computer sfruttando buffer

overflow nello stack97 e nell'heap98, o tramite un format string attack99.

95 Si definisce malware un qualsiasi software creato con il solo scopo di causare danni più o meno gravi al computer su

cui viene eseguito. Il termine deriva dalla contrazione delle parole inglesi malicious e software e ha dunque il

significato letterale di "programma malvagio"; in italiano è detto anche codice maligno. 96

http://it.wikipedia.org/wiki/NX_bit 97

http://it.wikipedia.org/wiki/Stack 98

http://it.wikipedia.org/wiki/Heap 99

http://it.wikipedia.org/wiki/Format_string_attack


http://it.wikipedia.org/wiki/Buffer

http://it.wikipedia.org/wiki/NX_bit

http://it.wikipedia.org/wiki/Assembly

http://it.wikipedia.org/wiki/Shell_%28informatica%29

http://it.wikipedia.org/w/index.php?title=Shell_Unix&action=edit

http://it.wikipedia.org/w/index.php?title=Command.com&action=edit

http://it.wikipedia.org/wiki/Sistema_operativo

http://it.wikipedia.org/wiki/MS-DOS

http://it.wikipedia.org/wiki/Riga_di_comando


http://it.wikipedia.org/wiki/Heap


http://it.wikipedia.org/wiki/NX_bit


http://it.wikipedia.org/wiki/Heap



L'esecuzione dello shellcode può essere ottenuta sovrascrivendo l'indirizzo di ritorno dello

stack con l'indirizzo dello shellcode. In questo modo quando la subroutine prova a

ritornare al chiamante, ritorna invece al codice dello shellcode che apre una riga di

comando che può essere usata dal cracker.

I cracker che scrivono gli shellcode utilizzano spesso tecniche per nascondere il loro

attacco. Essi provano generalmente ad aggirare il modo in cui gli Intrusion Detection

Systems (IDS) riconoscono un attacco in arrivo. Un tipico IDS di solito cerca in tutti i

pacchetti in arrivo gli spezzoni di codice tipici degli shellcode (spesso un grande array di

istruzioni NOP); se vengono trovati il pacchetto viene scartato prima di arrivare

all'applicazione cui è destinato. Il punto debole degli IDS è che non possono fare delle

ricerche effettivamente buone poiché richiederebbe troppo tempo, rallentando così la

connessione ad Internet.

Gli shellcode contengono spesso una stringa con il nome di una shell. Tutti i pacchetti in

arrivo che contengono una stringa del genere sono considerati abbastanza sospetti dal

punto di vista dell'IDS. Inoltre, alcune applicazioni non accettano input non-alfanumerici

(ossia, non accettano nient'altro che i caratteri a-z, A-Z, 0-9, e pochi altri).

Per aggirare questo tipo di misure anti-intrusione, i cracker fanno a volte uso di crittazione,

codice auto-modificante, codice polimorfico e codice alfanumerico.

3. In aggiunta a quanto gia‟ anticipato, si ricorda che con cracking si intende la modifica di

un software per rimuovere la protezione dalla copia, oppure per ottenere accesso ad

un'area altrimenti riservata. La distribuzione di software così sprotetto (detto warez) è

generalmente un'azione illegale se non criminale, per violazione di un copyright. Il crack

viene spesso ottenuto tramite la reingegnerizzazione, tecnica che permette di capire la

logica del software analizzando il suo funzionamento e le risposte a determinati input.

La pratica del cracking esiste da quando esiste il software, ma la modifica del software si è

evoluta soprattutto nei primi anni ottanta con la diffusione degli home computer. Con

l'evolversi dei computer e dei software, i creatori di crack (detti cracker) hanno cominciato

a raggrupparsi in squadre, conosciute col nome di "cracking crews".

http://it.wikipedia.org/wiki/Intrusion_Detection_System

http://it.wikipedia.org/wiki/Intrusion_Detection_System

http://it.wikipedia.org/wiki/NOP_%28informatica%29

http://it.wikipedia.org/wiki/Internet

http://it.wikipedia.org/wiki/Shell_%28informatica%29

http://it.wikipedia.org/wiki/Crittazione

http://it.wikipedia.org/w/index.php?title=Codice_auto-modificante&action=edit

http://it.wikipedia.org/w/index.php?title=Codice_polimorfico&action=edit

http://it.wikipedia.org/w/index.php?title=Codice_alfanumerico&action=edit

http://it.wikipedia.org/wiki/Input

http://it.wikipedia.org/wiki/Home_computer

http://it.wikipedia.org/wiki/Computer


Con la nascita delle crew è aumentata notevolmente la competizione già presente tra i

crackers, inducendo negli anni una lunga serie di attacchi ai sistemi e lo sviluppo di

software come virus e spyware utilizzati per il crack di grandi sistemi informatici.

Uno spyware è un tipo di software che raccoglie informazioni riguardanti

l'attività online di un utente (siti visitati, acquisti eseguiti in rete etc) senza il suo

consenso, trasmettendole tramite Internet ad un'organizzazione che le

utilizzerà per trarne profitto, solitamente attraverso l'invio di pubblicità mirata. I

programmi per la raccolta di dati che vengono installati con il consenso

dell'utente (anche se spesso negando il consenso non viene installato il

programma) non sono propriamente spyware, sempre che sia ben chiaro

all'utente quali dati siano oggetto della raccolta ed a quali condizioni questa

avvenga (purtroppo ciò avviene molto raramente).

In un senso più ampio, il termine spyware è spesso usato per definire un'ampia

gamma di malware (software maligni) dalle funzioni più diverse, quali l'invio di

pubblicità non richiesta (spam), la modifica della pagina iniziale o della lista dei

Preferiti del browser, oppure attività illegali quali la redirezione su falsi siti di e-

commerce (phishing) o l'installazione di dialer per numeri a tariffazione

speciale.

Per crack si intende anche la violazione di sistemi informatici collegati ad

Internet o ad un'altra rete, allo scopo di danneggiarli o di rubare informazioni.

Il termine si contrappone in realtà ad hacking, ma nell'uso comune il termine

hacking viene spesso erroneamente utilizzato con il significato di cracking.

http://it.wikipedia.org/wiki/Virus_%28informatica%29

http://it.wikipedia.org/wiki/Sistema



http://it.wikipedia.org/wiki/Rete_informatica

http://it.wikipedia.org/wiki/Informazione

http://it.wikipedia.org/wiki/Hacking


4. Le backdoor in informatica sono paragonabili a porte di servizio che consentono di

superare le procedure di sicurezza attivate in un sistema informatico.

Queste "porte" possono essere intenzionalmente create dai gestori del sistema informatico

per permettere una più agevole opera di manutenzione dell'infrastruttura informatica, e più

spesso da cracker intenzionati a manomettere il sistema. Possono anche essere installate

autonomamente da alcuni malware (come virus, worm o trojan), in modo da consentire ad

un utente esterno di prendere il controllo remoto della macchina senza l'autorizzazione del

proprietario.

Un esempio celebre è il programma Back orifice100, che attiva una backdoor sul sistema

in cui viene installato, dando la possibilità a chiunque ne conosca l'indirizzo di controllare

la macchina.

Oltre ad essere molto pericolosi per l'integrità delle informazioni presenti sul sistema, le

backdoor installate dai virus possono essere utilizzate per condurre degli attacchi di tipo

DDoS (Distribued Denial of Service).

100

http://it.wikipedia.org/wiki/Back_orifice


http://it.wikipedia.org/wiki/Sicurezza_informatica




5. Il Port Scanning è una tecnica informatica utilizzata per raccogliere informazioni su un

computer connesso ad una rete stabilendo quali porte siano in ascolto su una macchina.

Letteralmente significa "scansione delle porte" e consiste nell'inviare richieste di

connessione al computer bersaglio (soprattutto pacchetti TCP101, UDP102 e ICMP103 creati

ad arte): elaborando le risposte è possibile stabilire (anche con precisione) quali servizi di

rete siano attivi su quel computer.

Il risultato della scansione di una porta rientra solitamente in una delle seguenti categorie:

aperta (accepted): l'host ha inviato una risposta indicando che un servizio è in

ascolto su quella porta;

chiusa (denied): l'host ha inviato una risposta indicando che le connessioni alla porta

saranno rifiutate

bloccata (dropped): non c'è stata alcuna risposta dall'host

filtrata (filtered): rileva la presenza di un firewall o di un ostacolo di rete in grado di

bloccare l‟accesso alla porta impedendo di individuarne lo stato.

Di per sé il port scanning non è pericoloso per i sistemi informatici, e viene comunemente

usato dagli amministratori di sistema per effettuare controlli e manutenzione. Rivela però

informazioni dettagliate che potrebbero essere usate da un eventuale attaccante per

preparare facilmente una tecnica mirata a minare la sicurezza del sistema; pertanto, viene

posta molta attenzione dagli amministratori a come e quando vengono effettuati port scan

verso i computer della loro rete.

101

http://it.wikipedia.org/wiki/Transmission_Control_Protocol 102

http://it.wikipedia.org/wiki/User_Datagram_Protocol 103

Internet Control Message Protocol http://it.wikipedia.org/wiki/ICMP


http://it.wikipedia.org/wiki/Reti_di_calcolatori

http://it.wikipedia.org/wiki/Porta_%28reti%29

http://it.wikipedia.org/wiki/Transmission_Control_Protocol

http://it.wikipedia.org/wiki/User_Datagram_Protocol

http://it.wikipedia.org/wiki/ICMP



http://it.wikipedia.org/wiki/User_Datagram_Protocol



Un buon amministratore di sistema sa che un firewall ben configurato permette alle

macchine di svolgere tutti i loro compiti, ma rende difficile (se non impossibile) la

scansione delle porte, ad esempio implementando meccanismi di accesso selettivo basati

sul port knocking104.

Alcuni dei programmi che permettono di effettuare diversi tipi di port scan sono Nmap105 e

hping106.

104

http://it.wikipedia.org/wiki/Port_knocking 105

http://it.wikipedia.org/wiki/Nmap 106

http://it.wikipedia.org/wiki/Hping

Nell'ambito delle reti di computer, un firewall (termine inglese dal significato

originario di parete refrattaria, muro tagliafuoco; in italiano anche parafuoco o

parafiamma) è un componente passivo di difesa perimetrale che può anche

svolgere funzioni di collegamento tra due o più tronconi di rete.

Usualmente la rete viene divisa in due sottoreti: una, detta esterna, comprende

l'intera Internet mentre l'altra interna, detta LAN (Local Area Network),

comprende una sezione più o meno grande di un insieme di computer locali. In

alcuni casi è possibile che si crei l'esigenza di creare una terza sottorete detta

DMZ (o zona demilitarizzata) atta a contenere quei sistemi che devono essere

isolati dalla rete interna ma devono comunque essere protetti dal firewall.

Grazie alla sua posizione strategica, il firewall risulta il posto migliore ove

imporre delle logiche di traffico per i pacchetti in transito e/o eseguire un

monitoraggio di tali pacchetti. La sua funzionalità principale è quella di creare

un filtro sulle connessioni entranti ed uscenti, in questo modo il dispositivo

innalza il livello di sicurezza della rete e permette sia agli utenti interni che a

quelli esterni di operare nel massimo della sicurezza.

http://it.wikipedia.org/wiki/Port_knocking

http://it.wikipedia.org/wiki/Nmap


http://it.wikipedia.org/wiki/Port_knocking

http://it.wikipedia.org/wiki/Nmap



6. Si definisce sniffing l'attività di intercettazione passiva dei dati che transitano in una rete

telematica. Tale attività può essere svolta sia per scopi legittimi (ad esempio

l'individuazione di problemi di comunicazione o di tentativi di intrusione) sia per scopi illeciti

(intercettazione fraudolenta di password o altre informazioni sensibili).

I prodotti software utilizzati per eseguire queste attività vengono detti sniffer ed oltre ad

intercettare e memorizzare il traffico offrono funzionalità di analisi del traffico stesso.

Gli sniffer intercettano i singoli pacchetti, decodificando le varie intestazioni di livello

datalink, rete, trasporto, applicativo. Inoltre possono offrire strumenti di analisi che

analizzano ad esempio tutti i pacchetti di una connessione TCP per valutare il

comportamento del protocollo o per ricostruire lo scambio di dati tra le applicazioni.

Il traffico può essere intercettato da uno degli host coinvolti nella comunicazione,

indipendentemente dal tipo di interfaccia di rete su cui viene inviato. Per intercettare i dati

in una rete locale è necessario possedere od ottenere l'accesso fisico al mezzo

trasmissivo, ciò diventa piu‟ semplice se vi sono punti di accesso wireless, Bluetooth, WiFi

non opportunamente protetti .

Nelle reti ethernet il mezzo trasmissivo (cavo coassiale o, attualmente, cavo UTP o STP

connesso ad un hub) è condiviso, quindi tutte le schede di rete dei computer nella rete

locale ricevono tutti i pacchetti, anche quelli destinati ad altri, selezionando i propri a

seconda dell'indirizzo MAC (indirizzo hardware univoco della scheda di rete).

L'indirizzo MAC (MAC address in inglese) viene detto anche indirizzo fisico o

indirizzo ethernet o indirizzo LAN, ed è un codice di 48 bit (6 byte) assegnato

in modo univoco ad ogni scheda di rete ethernet prodotta al mondo.

Rappresenta in sostanza un nome per un particolare dispositivo di rete: ad

esempio due schede di rete in due diversi calcolatori avranno due diversi nomi

(e quindi diversi indirizzi MAC), così come avranno nomi diversi una scheda

Ethernet ed una scheda wireless posizionate nel medesimo computer.

MAC è un acronimo che significa Media Access Control e viene utilizzato per

l'accesso al mezzo fisico dal livello datalink secondo lo standard ISO/OSI.

http://it.wikipedia.org/wiki/Reti_di_calcolatori

http://it.wikipedia.org/wiki/Telematica

http://it.wikipedia.org/wiki/Password

http://it.wikipedia.org/wiki/Software

http://it.wikipedia.org/wiki/Pacchetto_%28reti%29

http://it.wikipedia.org/wiki/Livello_datalink

http://it.wikipedia.org/wiki/Livello_di_rete

http://it.wikipedia.org/wiki/Livello_di_trasporto

http://it.wikipedia.org/wiki/Livello_applicazioni

http://it.wikipedia.org/wiki/Rete_locale

http://it.wikipedia.org/wiki/Ethernet

http://it.wikipedia.org/wiki/Cavo_coassiale

http://it.wikipedia.org/wiki/UTP

http://it.wikipedia.org/wiki/STP

http://it.wikipedia.org/wiki/Hub


Lo sniffing in questo caso consiste nell'impostare sull'interfaccia di rete la cosiddetta

modalità promiscua, che disattivando questo "filtro hardware" permette al sistema l'ascolto

di tutto il traffico passante sulla rete inteso sia come traffico su cavo che via wireless

network.

In questo caso l'apparato centrale della rete, definito switch107, si occupa di inoltrare su

ciascuna porta solo il traffico destinato al dispositivo collegato a quella porta: ciascuna

interfaccia di rete riceve, quindi solo i pacchetti destinati al proprio indirizzo ed i pacchetti

di broadcast.

L'impostazione della modalità promiscua è quindi insufficiente per poter intercettare il

traffico in una rete gestita da switch. In questo caso ci si può collegare ad una porta

chiamata "SPAN" nella terminologica di Cisco, "Roving Analysis" per 3Com e "port

mirroring" per gli altri produttori che riceve il traffico circolante su tutte le porte dello switch.

107 Nella tecnologia delle reti informatiche, uno switch, in inglese letteralmente commutatore, è un dispositivo di rete

che inoltra selettivamente i frame ricevuti verso una porta di uscita.

Una rete broadcast è caratterizzata da processi di comunicazione punto-

multipunto in cui i singoli nodi sono connessi tramite lo stesso supporto

trasmissivo.

Se sono presenti supporti trasmissivi di tipo diverso occorre che alcuni nodi

svolgano la funzione di gateway (repeater o bridge) rigenerando l'informazione

in modo da essere propagata sul nuovo supporto. In alcuni casi è possibile che

si voglia impedire tale funzionalità e quindi il gateway sarà sostituito da un

router configurato per filtrare il traffico (firewall).

Se gli elementi della rete utilizzano supporti trasmissivi condivisi, il principale

problema che è necessario affrontare è la gestione dei conflitti nell'uso della

rete.

http://it.wikipedia.org/wiki/Switch

http://it.wikipedia.org/wiki/Cisco_Systems

http://it.wikipedia.org/wiki/3Com


Un metodo per poter ricevere tutto il traffico dallo switch da una porta qualunque è il

MAC_flooding.

Per intercettare i dati che transitano su reti geografiche si utilizzano tecniche Man in the

middle analoghe a quelle accennate in precedenza, operanti però a livello più alto:

possono intervenire a livello di instradamento del traffico IP (routing108) oppure inviare alle

vittime informazioni fasulle per quanto riguarda la corrispondenza tra nomi a dominio e

indirizzi IP109 sfruttando l'assenza di autenticazione110 del sistema DNS.

108

http://it.wikipedia.org/wiki/Routing 109

http://it.wikipedia.org/wiki/Indirizzo_IP 110

http://it.wikipedia.org/wiki/Autenticazione

Il MAC flooding (detto anche Switch flooding e impropriamente ARP flooding)

è una tecnica che consiste nell'inviare ad uno switch pacchetti appositamente

costruiti per riempire la CAM table dello switch, che associa un indirizzo MAC

alla porta a cui questo è collegato, di indirizzi MAC fittizi.

Questo attacco costringe lo switch ad entrare in una condizione detta di fail

open che lo fa comportare come un hub, inviando così gli stessi dati a tutti gli

apparati ad esso collegati.

Un'interfaccia di rete in modalità promiscua, cioè impostata in modo da leggere

anche il traffico che dovrebbe ignorare perché non diretta a lei, diventa così in

grado di intercettare tutte le comunicazioni che attraversano lo switch, avendo

accesso al traffico che non dovrebbe nemmeno transitare sul suo segmento di

rete.

Causare una condizione di fail open in uno switch è in genere il primo passo

da parte di un attaccante per altri fini, tipicamente effettuare sniffing o un man

in the middle. Tool che causano un MAC flooding sono macof della suite dsniff,

taranis e Ettercap.

Una contromisura efficace al MAC flooding è l'utilizzo della caratteristica di

"port security" sugli switch Cisco, "packet filtering" sugli switch 3Com o di

servizi equivalenti negli switch di altri produttori.

http://it.wikipedia.org/wiki/Reti_geografiche

http://it.wikipedia.org/wiki/Internet_Protocol

http://it.wikipedia.org/wiki/Routing

http://it.wikipedia.org/wiki/Indirizzo_IP


http://it.wikipedia.org/wiki/Routing




7. Un keylogger è uno strumento in grado di intercettare tutto ciò che un utente digita sulla

tastiera del proprio computer.

Esistono vari tipi di keylogger:

hardware: vengono collegati al cavo di comunicazione tra la tastiera ed il computer o

all'interno della tastiera

software: programmi che controllano e salvano la sequenza di tasti che viene digitata

da un utente.

I keylogger hardware sono molto efficaci in quanto la loro installazione è molto semplice e

il sistema non è in grado di accorgersi della loro presenza, quando sono servizi di sistema

trasparenti a Windows, non visibili nell'elenco dei programmi aperti quando si digita Ctrl +

Alt + Canc.

I keylogger software sono invece semplici programmi che rimangono in esecuzione

captando ogni tasto che viene digitato e poi, in alcuni casi, trasmettono tali informazioni ad

un computer remoto. Spesso i keylogger software sono trasportati ed installati nel

computer da worm o trojan ricevuti tramite Internet ed hanno in genere lo scopo di

intercettare password e numeri di carte di credito ed inviarle tramite posta elettronica al

creatore degli stessi.

Sempre a livello software, un programma di Keylogging può sovrapporsi fra il browser e il

mondo internet. In questo caso intercetta le password, comunque vengano inserite nel

proprio PC. La password viene catturata indipendentemente dalla periferica di input

(tastiera, mouse, microfono): sia che l'utente la digiti da tastiera, sia che l'abbia salvata in

un file di testo prima di collegarsi a Internet, e poi si limiti a fare copia/incolla, in modo da

evitarne la digitazione, sia questa venga inserita da un programma di dettatura vocale.

La connessione è più sicura se il browser mostra il "lucchetto", simbolo di una

connessione SSL, o comunque di un protocollo che adotta la crittografia, e se la maschera

per l'iserimento dei dati non è un applicativo (tipo Java) salvato ed eseguito in locale sul

computer: la sicurezza è maggiore se si tratta di un applicativo eseguito da remoto sul

server, che ritorna la videata finale all'utente.

http://it.wikipedia.org/wiki/Tastiera_%28informatica%29


http://it.wikipedia.org/wiki/Hardware


http://it.wikipedia.org/w/index.php?title=Servizio_di_sistema&action=edit

http://it.wikipedia.org/wiki/Windows

http://it.wikipedia.org/wiki/Trojan


http://it.wikipedia.org/wiki/Password

http://it.wikipedia.org/wiki/Carta_di_credito

http://it.wikipedia.org/wiki/Browser

http://it.wikipedia.org/wiki/Periferica

http://it.wikipedia.org/wiki/Riconoscimento_vocale

http://it.wikipedia.org/wiki/SSL

http://it.wikipedia.org/wiki/Crittografia

http://it.wikipedia.org/wiki/Java


Un livello massimo di protezione si otterrebbe con una tecnologia Digital Rights

Management111, che associa alla password un identificativo hardware con il computer. La

sicurezza informatica è però nei due sensi: lato utente, dall'invio di dati presenti nel suo

PC o che digita nel browser; lato Internet, dal download e installazione di contenuti

(programmi e musica) protetti dal diritto d'autore. In pratica, difficlmente esiste un modo di

orientare questa tecnologia alla massima sicurezza durante la navigazione Internet, che

non introduca poi le limitazioni del DRM e della difesa del copyright112, togliendo all'utente

la padronanza del mezzo.

In alternativa, si possono utiulizzare chiavi univoche di sessione, stringhe numeriche "usa

e getta" univoche per ogni tripla (utente, sito acceduto, data con ora). La chiave utente

può funzionare in maniera sincrona o asincrona.

In modo sincrono, tramite un token o altra coppia di due dispositivi, uno in possesso

dell'utente, l'altro integrato alivello hardware o software col server del sito, che generano la

stessa chiave in un dato istante e per una certa ID utente.

In maniera asincrona, il sito genera una chiave numerica che invia ad un destinario,

collegato univocamente all'utente, e che può avvenire: in modo automatico o semi-

automatico (con un intervento di operatore umano), con la stessa connessione Internet o

con un mezzo differente. Il sito può, quindi, inviare la chiave tramite connessione Internet

a un indirizzo e-mail, comunicarla con un messaggio vocale via Skype o farla comprarire

in una chat room riservata aperta in MSN o altro programma. Può anche inviarla con

mezzo differente, un SMS al cellulare, una chiamata con voce guida automatica al

cellulare o telefono fisso, via fax.

111

http://it.wikipedia.org/wiki/Digital_Rights_Management 112

http://it.wikipedia.org/wiki/Copyright

http://it.wikipedia.org/wiki/Digital_Rights_Management



http://it.wikipedia.org/wiki/Token_%28informatica%29

http://it.wikipedia.org/wiki/E-mail

http://it.wikipedia.org/wiki/Chat

http://it.wikipedia.org/wiki/SMS

http://it.wikipedia.org/wiki/Cellulare

http://it.wikipedia.org/wiki/Cellulare

http://it.wikipedia.org/wiki/Fax




8. Lo spoofing si può identificare in due modi: i) atto di introdursi in un sistema informativo

senza averne l'autorizzazione. l'intruso cambia il proprio numero IP113 non valido per

l'accesso al sistema, in uno autorizzato; ii) tecnica che permette di rendere le linee di

comunicazione sgombre, tramite router114, da pacchetti inviati per il controllo della

connessione.

Esistono diversi tipi di attacchi spoofing, ma in ogni caso si tratta di far credere alla vittima

che si è qualcosa di diverso, un hostname, un indirizzo ethernet115 o altro ancora.

Si distingue solitamente tra WEB spoofing, MAIL spoofing, SMS spoofing a seconda del

servizio che viene attacato

Nel caso del web spoofing accade che l‟utente visita la pagina del web attaccante e

sceglie di visitare un server fidato, invece di vedere direttamente la pagina del server

fidato, il server web attaccante si connette al sito fidato e preleva la pagina richiesta dal

browser client. Con javascript l'host nemico reindirizza la connessione, modifica lo status

del browser e disabilita alcune funzioni dei menù del browser. La soluzione più corretta è

disabilitare javascript dal nostro browser, anche se drastica questa è la soluzione migliore.

Nel caso di mail spoofing si fa apparire un allegato di una e-mail come se fosse di un tipo

diverso da quello che è realmente. Questo attacco si basa su una vulnerabilità dei mime

type usati per inviare e-mail. Si tratta di una tecnica semplice, i cui effetti possono essere

disastrosi: basta modificare in maniera opportuna il nome dell'allegato da inviare, ad

esempio trasformare pippo.exe (che è ad esempio un virus) in pippo.jpg (che

apparentemente sembra un‟immagine) e quando l'e-mail arriva il client interpreterà il nome

dell'allegato solo come pippo.jpg. L‟utente cercherà di visualizzare il file, ma in realtà

113 L'Internet Protocol (IP) è un protocollo di rete a pacchetto. 114

Nella tecnologia delle reti informatiche un router, in inglese letteralmente instradatore, è un dispositivo di rete che si

occupa di instradare pacchetti 115

Ethernet è il nome di un protocollo per reti locali.

E’ utile osservare che quando si parla dei protocolli Internet bisogna distinguere tra:

i) Livello Applicazioni (HTTP, HTTPS , SMTP, POP3, IMAP, FTP, SFTP, DNS, SSH, IRC, SNMP, SIP, RTSP,

Rsync, Telnet, DHCP, HSRP, BitTorrent, RTP, SysLog...);

ii) Livello di Trasporto (TCP, UDP, SCTP, DCCP ...); iii) Livello di Internetworking (IPv4, IPv6, ICMP, BGP, OSPF, RIP, IGRP, IGMP,IPsec...) ; iv) Livello di Collegamento (Ethernet, WiFi, PPP, Token ring, ARP, ATM, FDDI, LLC, SLIP, WiMAX ...); v) Livello Fisico (Doppino, Fibra ottica, Cavo coassiale, Codifica Manchester, Codifica 4B/5B, Cavi elettrici, ...).

http://it.wikipedia.org/wiki/Sistema_informativo

http://it.wikipedia.org/wiki/IP

http://it.wikipedia.org/wiki/Router

http://it.wikipedia.org/wiki/Ethernet

http://it.wikipedia.org/wiki/Server

http://it.wikipedia.org/wiki/Client


http://it.wikipedia.org/wiki/Mime


http://it.wikipedia.org/wiki/Codifica_Manchester


involontariamente eseguirà pippo.exe. L'esecuzione di un programma creato ad hoc può

portare alla perdita di dati oppure all'apertura di back door sulla macchina vittima.

Naturalmente nei client di posta elettronica aggiornati non dovrebbe essere presente

questa vulnerabilità. L'unica soluzione di difesa a questo tipo di attacco consiste nel non

aprire mai gli allegati provenienti da indirizzi di cui non ci fidiamo.

Il caso dell‟SMS spoofing è analogo a quello delle MAIL Spoofing: in questo caso le

informazioni modificate (ovvero non in chiaro) saranno Destinatario, Numero sorgente del

messaggio, Codice di autentificazione del mittente, Tipo di SMS inviato.

Fortunatamente i gateway che provvedono allo smistamento e all'instradamento degli

SMS sono ormai immuni a questo tipo di attacco.

Lo scopo principale di un gateway è quello di veicolare i pacchetti di rete

all'esterno della rete locale (LAN). Da notare che gateway è un termine

generico che indica il servizio di inoltro dei pacchetti verso l'esterno; il

dispositivo hardware che porterà a termine questo compito è tipicamente un

router.

Nelle reti più semplici è presente un solo gateway che inoltra tutto il traffico

diretto all'esterno verso la rete internet. In reti più complesse in cui sono

presenti parecchie subnet, ognuna di queste fa riferimento ad un gateway che

si occuperà di instradare il traffico dati verso le altre sottoreti o a rimbalzarlo ad

altri gateway.

Spesso i gateway non si limitano a fornire la funzionalità di base di routing ma

integrano altri servizi come proxy DNS, firewall, NAT, etc

http://it.wikipedia.org/wiki/Back_door




9. Un trojan o trojan horse (dall'inglese per Cavallo di Troia116), è un tipo di malware.

Deve il suo nome al fatto che le sue funzionalità sono nascoste all'interno di un

programma apparentemente utile; è dunque l'utente stesso che installando ed eseguendo

un certo programma, inconsapevolmente, installa ed esegue anche il codice trojan

nascosto.

L'attribuzione del termine "Cavallo di Troia" ad un programma o, comunque, ad un file

eseguibile, è dovuta al fatto che esso nasconde il suo vero fine. È proprio il celare le sue

reali "intenzioni" che lo rende un trojan.

In genere col termine Trojan ci si riferisce ai trojan ad accesso remoto (detti anche RAT

dall'inglese Remote Administration Tool), composti generalmente da 2 file: il file server,

che viene installato nella macchina vittima, ed un file client, usato dal pirata per inviare

istruzioni che il server esegue. In questo modo, come con il mitico stratagemma adottato

da Ulisse, la vittima è indotta a far entrare il programma nella città, ossia, fuor di metafora,

ad eseguire il programma. Esistono anche alcuni software legali, come GoToMyPC o

PCAnywhere, con funzionalità simili ai trojan, ma che non sono dei cavalli di Troia poiché

l'utente è consapevole della situazione. I trojan non si diffondono autonomamente come i

virus (questa tecnica di attacco e' approfondita nel paragrafo successivo) o i worm,

quindi richiedono un intervento diretto dell'aggressore per far giungere l'eseguibile alla

vittima.

116

http://it.wikipedia.org/wiki/Cavallo_di_Troia

Un worm (letteralmente "verme") è una particolare categoria di malware in

grado di autoreplicarsi. È simile ad un virus, ma a differenza di questo non

necessita di legarsi ad altri eseguibili per diffondersi.

Il termine deriva da un romanzo di fantascienza degli anni 1970 di John

Brunner: i ricercatori che stavano scrivendo uno dei primi studi sul calcolo

distribuito notarono le somiglianze tra il proprio programma e quello descritto

nel libro e ne adottarono il nome. Uno dei primi worm diffusi sulla rete fu

Internet Worm, creato da Robert Morris, figlio di un alto dirigente della NSA il 2

novembre 1988, quando internet era ancora agli albori. Tale virus riuscì a

colpire tra le 4000 e le 6000 macchine,si stima il 4-6% dei computers collegati

a quel tempo in rete.

http://it.wikipedia.org/wiki/Lingua_inglese


http://it.wikipedia.org/wiki/Malware

http://it.wikipedia.org/wiki/Programma_%28informatica%29

http://it.wikipedia.org/wiki/Ulisse_%28Odissea%29



Spesso è la vittima stessa a ricercare e scaricare un trojan sul proprio computer, dato che

i cracker amano inserire queste "trappole" ad esempio nei videogiochi piratati, che in

genere sono molto richiesti. Vengono in genere riconosciuti da un antivirus aggiornato,

come tutti i malware. Se il trojan in questione non è ancora stato scoperto dalle software

house degli antivirus, è possibile che esso venga rilevato, con la scansione euristica,

come probabile malware.

Un trojan può contenere qualsiasi tipo di istruzione; spesso essi sono usati come veicolo

per installare delle backdoor o dei keylogger sui sistemi bersaglio.

All'incirca negli anni successivi al 2001 o 2002 i trojan incomiciarono ad essere utilizzati

sistematicamente per operazioni criminose; in particolare per inviare messaggi di spam117

e per rubare informazioni personali quali numeri di carte di credito e di altri documenti o

anche solo indirizzi email.

I Trojan di nuova generazione hanno molteplici funzionalità, quali connessioni tramite

IRC118 bot, formando appunto Botnet, e opzioni per nascondersi meglio nel sistema

operativo.

117 Lo spamming (detto anche fare spam) è l'invio di grandi quantità di messaggi indesiderati (generalmente

commerciali). Può essere messo in atto attraverso qualunque media, ma il più usato è Internet, attraverso l'e-mail. 118

Internet Relay Chat (IRC) è stata la prima forma di comunicazione istantanea (chat) su Internet. Consente sia la

comunicazione diretta fra due utenti che il dialogo contemporeaneo di interi gruppi in "stanze" di discussione chiamate

"canali".

Una botnet è una rete di computer collegati ad internet che, a causa di falle

nella sicurezza o mancanza di attenzione da parte dell'utente e

dell'amministratore di sistema, vengono infettati da virus informatici o trojan i

quali consentono ai loro creatori di controllare il sistema da remoto.

Questi ultimi possono in questo modo sfruttare i sistemi compromessi per

scagliare attacchi distribuiti del tipo denial-of-service (DDoS) contro qualsiasi

altro sistema in rete oppure compiere altre operazioni illecite, in taluni casi

agendo persino su commissione di organizzazioni criminali.



http://it.wikipedia.org/wiki/Videogioco

http://it.wikipedia.org/wiki/Spam


Tra le tecniche utilizzabili per l'occultamento ricordiamo i Rootkit.

Un rootkit, (lett. attrezzatura da root, nel senso di amministratore) è una

tecnologia software in grado di occultare la propria presenza all'interno del

sistema operativo. Se è vero che questa tecnologia è fondamentale per il buon

funzionamento del sistema operativo, purtroppo negli anni sono stati creati

trojan e altri programmi maligni in grado di ottenere il controllo di un computer

da locale o da remoto in maniera nascosta, ossia non rilevabile dai più comuni

strumenti di amministrazione e controllo.

I rootkit vengono tipicamente usati per nascondere delle backdoor.

Negli ultimi anni, tuttavia, s'è molto diffusa la pratica tra i creatori di malware di

utilizzare rootkit per rendere più difficile la rilevazione di particolari trojan e

spyware, indipendentemente dalla presenza in essi di funzioni di backdoor,

proprio grazie alla possibilità di occultarne i processi principali.


10. Un virus (informatico) è un frammento di software, appartenente alla categoria dei

malware, che è in grado, una volta eseguito, di infettare dei file in modo da riprodursi

facendo copie di sé stesso, generalmente senza farsi rilevare dall'utente. I virus possono

essere o non essere direttamente dannosi per il sistema operativo che li ospita, ma anche

nel caso migliore comportano un certo spreco di risorse in termini di RAM, CPU e spazio

sul disco fisso. Come regola generale si assume che un virus possa danneggiare

direttamente solo il software della macchina che lo ospita, anche se esso può

indirettamente provocare danni anche all'hardware, ad esempio causando il

surriscaldamento della CPU mediante overclocking, oppure fermando la ventola di

raffreddamento.

L’overclocking è l'operazione atta a spingere un componente elettronico (in

genere una CPU) ad una frequenza maggiore rispetto a quella dichiarata dal

costruttore, marchiata sul package della CPU, al fine di massimizzarne le

prestazioni. Questo procedimento è analogo all'elaborazione ("truccare" in

gergo) delle automobili e delle moto. In italiano viene anche utilizzato il

neologismo overcloccare (italianizzato dal termine inglese overclocking).

Nel caso delle CPU, di cui si parla in generale ai soli fini esemplificativi, ciò che

viene alterato è l'orologio interno del sistema, che determina quanti cicli di

operazioni la CPU del computer debba eseguire nell'unità di tempo.

Cambiando la frequenza alla quale questi cicli vengono eseguiti, in alcuni casi,

è possibile aumentare o diminuire il numero delle operazioni nell'unità di tempo

eseguite dal componente coinvolto.

A livello pratico si tratta di una operazione perfettamente legale ma che

invalida istantaneamente la garanzia del prodotto oggetto della manipolazione,

anche se, in caso di guasto di un componente, è sovente difficile scoprirne la

causa reale.


http://it.wikipedia.org/wiki/Malware

http://it.wikipedia.org/wiki/File



Nell'uso comune il termine virus viene frequentemente usato come sinonimo di malware,

indicando quindi di volta in volta anche categorie di "infestanti" diverse, come ad esempio

worm, trojan o dialer.

Un virus è composto da un insieme di istruzioni, come qualsiasi altro programma per

computer. È solitamente composto da un numero molto ridotto di istruzioni, (da pochi byte

ad alcuni kilobyte), ed è specializzato per eseguire soltanto poche e semplici operazioni e

ottimizzato per impiegare il minor numero di risorse, in modo da rendersi il più possibile

"invisibile". Caratteristica principale di un virus è quella di riprodursi e quindi diffondersi nel

computer ogni volta che viene aperto il file infetto.

Tuttavia, un virus di per sé non è un programma eseguibile, così come un virus biologico

non è di per sé una forma di vita. Un virus, per essere attivato, deve infettare un

programma ospite, o una sequenza di codice che viene lanciata automaticamente, come

ad esempio nel caso dei boot sector virus. La tecnica solitamente usata dai virus è quella

di infettare i file eseguibili: il virus inserisce una copia di sé stesso nel file eseguibile che

deve infettare, pone tra le prime istruzioni di tale eseguibile un'istruzione di salto alla prima

linea della sua copia ed alla fine di essa mette un altro salto all'inizio dell'esecuzione del

programma. In questo modo quando un utente lancia un programma infettato viene

dapprima impercettibilmente eseguito il virus, e poi il programma. L'utente vede

l'esecuzione del programma e non si accorge che il virus è ora in esecuzione in memoria e

sta compiendo le varie operazioni contenute nel suo codice.

Un dialer è un programma per computer di pochi kilobyte che crea una

connessione ad Internet, a un'altra rete di calcolatori o semplicemente a un

altro computer tramite la comune linea telefonica o un collegamento ISDN.

In inglese to dial significa comporre, ma per quanto le diverse accezioni del

termine esistano anche nella lingua originale, comunemente si intendono

programmi associati a elevate tariffazioni, spesso nascondendo frodi e truffe.

Nel senso più tecnico del termine, esistono comunque dialer legittimi.

http://it.wikipedia.org/wiki/Byte

http://it.wikipedia.org/wiki/Kilobyte

http://it.wikipedia.org/wiki/Boot_sector


Si possono distinguere due fasi di un virus:

quando è solo presente su un supporto di massa (disco fisso, CD, DVD, etc) il virus è

inerte, anche se copiato sul proprio PC non è in grado di fare nulla fino a quando non

viene eseguito il programma che lo ospita;

quando è stato caricato in memoria RAM il virus diventa attivo ed inizia ad agire.

Principalmente un virus esegue copie di sé stesso spargendo l'epidemia, ma può avere

anche altri compiti molto più dannosi (cancellare o rovinare dei file, formattare l'hard disk,

aprire delle back door, far apparire messaggi, disegni o modificare l'aspetto del video, ...)

Il termine "virus" venne usato la prima volta da Fred Cohen (1984) nel suo

scritto Experiments with Computer Viruses (Esperimenti con i virus per

computer), dove egli indicò Len Adleman come colui che aveva coniato tale

termine. Nel 1972 David Gerrold scrisse un romanzo di fantascienza La

macchina di D.I.O. (When H.A.R.L.I.E. was One), dove è presente una

descrizione di un programma per computer chiamato "VIRUS" che fa

esattamente le stesse cose di un virus. Nel 1975 John Brunner scrisse il

romanzo Codice 4GH (The Shockwave Rider) in cui sono descritti programmi

chiamati "tapeworms" che si infiltrano nella rete con lo scopo di cancellare tutti

i dati. Nel 1973 la frase "virus del computer" era stata usata nel film Il mondo

dei robot (Westworld). Il termine "virus del computer" con il significato corrente

è inoltre presente anche nell'albo a fumetti "Uncanny X-Men" n. 158,

pubblicato nel 1982. Si può dunque affermare che Cohen fece per primo uso

della parola virus solo in campo accademico, dato che questa era già presente

nella lingua parlata.

Un programma chiamato "Elk Cloner" è accreditato come il primo virus per

computer apparso al mondo. Fu creato nel 1982 da Rich Skrenta sul DOS 3.3

della Apple e l'infezione era propagata con lo scambio di floppy disk. Nel corso

degli anni ottanta e nei primi anni novanta fu lo scambio dei floppy la modalità

prevalente del contagio da virus informatici. Dalla metà degli anni novanta,

invece, con la diffusione di internet, i virus e i malware in generale iniziarono a

diffondersi assai più velocemente, usando la rete e lo scambio di e-mail come

fonte per nuove infezioni.

http://it.wikipedia.org/wiki/Disco_fisso

http://it.wikipedia.org/wiki/Compact_disc

http://it.wikipedia.org/wiki/Hard_disk

http://it.wikipedia.org/wiki/Back_door


Ogni sistema operativo che permette l'esecuzione di programmi scritti da terzi è un

potenziale sistema attaccabile da virus119, però bisogna anche riconoscere che ci sono

sistemi operativi meno sicuri di altri. I sistemi operativi della Microsoft sono i più colpiti dai

virus (anche a causa della loro diffusione tra un pubblico di 'non addetti ai lavori'), ma

esistono virus sperimentali anche per altre piattaforme. Sui sistemi basati sul progetto

GNU (GNU/Linux, GNU/Hurd, BSD, ...) e su Mac OS X la diffusione di un virus è molto

improbabile se il sistema è gestito correttamente dal proprietario; inoltre, su questi sistemi

un virus molto difficilmente può riuscire a causare danni al sistema operativo.

I virus informatici più semplici sono composti da due parti essenziali, sufficienti ad

assicurarne la replicazione:

una routine di ricerca, che si occupa di ricercare dei file adatti ad essere infettati dal

virus e controlla che gli stessi non ne contengano già una copia, in modo da evitare

l'infezione ripetuta di uno stesso file;

una routine di infezione, con il compito di copiare il codice del virus all'interno di ogni

file selezionato dalla routine di ricerca in modo che venga eseguito ogni volta che il

file infetto viene aperto, in maniera trasparente rispetto all'utente.

Molti virus sono progettati per eseguire del codice estraneo alle finalità di replicazione del

virus stesso e contengono dunque altri due elementi:

la routine di attivazione, che contiene i criteri in base ai quali il virus decide se

effettuare o meno l'attacco (es. una data, o il raggiungimento di un certo numero di

file infetti);

il payload, una sequenza di istruzioni in genere dannosa per il sistema ospite, come

ad esempio la cancellazione di alcuni file o la visualizzazione di messaggi sullo

schermo.

119 In coincidenza con la diffusione della rete, alla metà degli anni novanta, i virus, che precedentemente infettavano

direttamente i sistemi operativi, le applicazioni o i dischi, furono surclassati in quanto a diffusione dai macro-virus,

macro scritte nel linguaggi di scripting di programmi di Microsoft come MS-Word ed Outlook. Anche questi virus (tra

cui merita una citazione particolare "I love you", ideato dallo studente filippino Onel De Guzman) infettano soprattutto

le varie versioni dei programmi Microsoft attraverso lo scambio di documenti.

http://it.wikipedia.org/wiki/GNU

http://it.wikipedia.org/wiki/GNU/Linux

http://it.wikipedia.org/wiki/Hurd

http://it.wikipedia.org/wiki/File


I virus possono essere criptati e magari cambiare algoritmo e/o chiave ogni volta che

vengono eseguiti, quindi possono contenere altri tre elementi:

una routine di decifratura, contenente le istruzioni per decifrare il codice del virus;

una routine di cifratura, di solito criptata essa stessa, che contiene il procedimento

per criptare ogni copia del virus;

una routine di mutazione, che si occupa di modificare le routine di cifratura e

decifratura per ogni nuova copia del virus.

Alcuni virus vengono denominati in maniera particolare a seconda che possiedano a meno

determinate caratteristiche. In particolare possiamo distinguere le seguenti tipologie di

virus informatico:

Virus polimorfico: un virus, di solito, viene criptato lasciando in chiaro solo la routine

di decriptazione. Un virus polimorfico modifica il codice della routine di decriptazione

ad ogni nuova infezione (lasciando ovviamente invariato l'algoritmo) mediante

tecniche di inserimento di codice spazzatura, permutazione del codice, etc...

Virus metamorfico: simile al virus polimorfico, è però in grado di mutare

completamente il proprio codice, è più potente del virus polimorfico in quanto alcuni

software antivirus possono riconoscere un virus dal codice anche durante

l'esecuzione. Inoltre a volte impiega tecniche di mascheramento avanzate basate

sulla divisione del proprio codice e successivo inserimento delle parti all'interno di

diversi punti del file infetto (i virus convenzionali inseriscono il codice integralmente in

fondo al file cambiando l'entry point per far eseguire per primo il codice maligno),

lasciando inoltre invariato l'entry point per rendere ancora più difficile la vita agli

antivirus. C'è da dire anche che la criptazione dei virus metamorfici non è necessaria.

Exe virus: virus che infettano i file eseguibili.EXE.

Com virus: virus che infettano i file di comando.COM (ormai rari).

Companion virus: virus che sfruttano la caratteristica dei sistemi ms-dos che consiste

nell'eseguire prima un file di comando.COM e poi un eseguibile.EXE in caso abbiano

lo stesso nome di file (es. tra PROGRAM.EXE e PROGRAM.COM se si avvia

http://it.wikipedia.org/wiki/Algoritmo

http://it.wikipedia.org/wiki/Chiave_crittografica

http://it.wikipedia.org/wiki/Software_antivirus


PROGRAM senza specificarne l'estensione verrà prima lanciato PROGRAM.COM),

in questo modo i virus creano dei "gemelli" (companion) che sono copie del virus

stesso che, dopo essere stati eseguiti, lanciano il relativo.EXE mascherandosi (tale

tipologia è ormai rara).

Virus di boot: un tipo di virus ormai poco diffuso, che infetta il boot sector dei dischi

(floppy disk o hard disk) invece che i singoli file.

Macrovirus: può essere contenuto generalmente in un documento di Microsoft Word,

Microsoft Excel o Microsoft PowerPoint e consiste in una macro120; può diffondersi a

tutti i documenti che vengono aperti con quella particolare applicazione. Questo tipo

di virus può essere trasmesso da una piattaforma all'altra, limitatamente a quelle su

cui gira MS Office, a causa dello scambio di file.

Retrovirus: virus che si annida nei programmi antivirus e li mette fuori uso. Il nome

deriva dai retrovirus biologici, in grado di attaccare il sistema immunitario (come, ad

esempio, l'HIV).

Virus multipiattaforma: ci sono stati vari tentativi per creare virus che infettassero più

sistemi operativi funzionanti sotto la stessa architettura hardware e lo stesso

processore, ma si sono rilevati degli insuccessi o hanno avuto un successo molto

limitato. Un esempio è il virus winux che in teoria può infettare sia i sistemi operativi

della Microsoft che quelli unix-like (es: GNU/Linux) giranti sotto CPU x86. In generale

questi tipi di virus multipiattaforma si possono difficilmente inserire su un sistema

unix-like: di solito la diffusione avviene solo se l'utente esegue un allegato di una

mail, ipotesi già di per se abbastanza remota, e perché un allegato, appena salvato,

non può essere eseguito se non gli vengono assegnati i permessi di esecuzione,

quindi si può scartare il caso che l'esecuzione sia accidentale; in altri casi addirittura

deve essere l'utente root ad eseguire l'allegato, cosa ancora più improponibile per chi

sa gestire un sistema di tale tipo. Il successo di questo tipo di virus è circoscritto al

novero dei sistemi operativi della Microsoft, dove invece è possibile quasi sempre

eseguire un allegato, anche solo per errore.

120 Il termine macro sta ad indicare una procedura ricorrente durante l'esecuzione di un programma. Una macro è concettualmente molto simile ad una funzione, può essere richiamata da eventi ed essere parametrizzata.

http://it.wikipedia.org/wiki/Boot_sector

http://it.wikipedia.org/wiki/Microsoft_Word

http://it.wikipedia.org/wiki/Microsoft_Excel

http://it.wikipedia.org/wiki/Microsoft_PowerPoint

http://it.wikipedia.org/wiki/Macro

http://it.wikipedia.org/wiki/Retrovirus

http://it.wikipedia.org/wiki/Sistema_immunitario

http://it.wikipedia.org/wiki/HIV

http://it.wikipedia.org/wiki/Microsoft

http://it.wikipedia.org/wiki/Unix

http://it.wikipedia.org/wiki/Linux

http://it.wikipedia.org/wiki/Procedura

http://it.wikipedia.org/wiki/Funzione_%28informatica%29


Ciò che distingue i virus propriamente detti dai worm è la modalità di replicazione e di

diffusione: un virus è un frammento di codice che non può essere eseguito separatamente

da un programma ospite, mentre un worm è un applicativo a sé stante. Inoltre, alcuni

worm per diffondersi sfruttano delle vulnerabilità di sicurezza, e non dipendono quindi dal

fatto di ingannare l'utente per farsi eseguire.

Prima della diffusione su larga scala delle connessioni ad Internet, il mezzo prevalente di

diffusione dei virus da una macchina ad un'altra era lo scambio di floppy disk contenenti

file infetti o un virus di boot. Il veicolo preferenziale di infezione è invece oggi

rappresentato dalle comunicazioni e-mail e dalle reti di tipo peer to peer.

Nei sistemi informatici Windows è di consuetudine usare il registro di sistema121 per

inserire in chiavi opportune dei nuovi programmi creati ad hoc dal programmatore di virus

che partono automaticamente all'avvio. Uno dei punti deboli del sistema Windows è

proprio il suo registro di configurazione.

121 Per registro di sistema si intende la base di dati in cui sono custodite le opzioni e impostazioni del sistema

operativo. Il concetto di registro di sistema è legato soprattutto ai sistemi operativi Microsoft Windows.

Generalmente per peer-to-peer (o P2P) si intende una rete di computer o

qualsiasi rete informatica che non possiede client o server fissi, ma un numero

di nodi equivalenti (peer, appunto) che fungono sia da client che da server

verso altri nodi della rete.

Questo modello di rete è l'antitesi dell'architettura client-server. Mediante

questa configurazione qualsiasi nodo è in grado di avviare o completare una

transazione. I nodi equivalenti possono differire nella configurazione locale,

nella velocità di elaborazione, nella ampiezza di banda e nella quantità di dati

memorizzati. L'esempio classico di P2P è la rete per la condivisione di file (File

sharing).

In Microsoft tendono a definire con il termine peer–to–peer una rete di due o

più computer in cui tutti gli elaboratori occupano la stessa posizione

gerarchica. Tale modalità è normalmente conosciuta con il termine Gruppo di

Lavoro, in antitesi alle reti in cui è presente un dominio centralizzato.

http://it.wikipedia.org/wiki/Vulnerabilit%C3%A0


http://it.wikipedia.org/wiki/Registro_di_sistema


Esistono vari programmi per tenere d'occhio le chiavi pericolose del registro di Windows,

uno di questi è Absolute Startup, che ad intervalli di tempo regolari esegue una scansione

delle zone a rischio del registro per vedere se un nuovo virus o programma anomalo è

stato aggiunto in quelle chiavi.

La scarsa conoscenza dei meccanismi di propagazione dei virus e il modo con cui spesso

l'argomento viene trattato dai mass media favoriscono la diffusione tanto dei virus

informatici quanto dei virus burla, detti anche hoax: essi sono messaggi che avvisano della

diffusione di un fantomatico nuovo terribile virus con toni catastrofici e invitano il ricevente

ad inoltrarlo a quante più persone possibile. È chiaro come questi falsi allarmi siano

dannosi in quanto aumentano la mole di posta indesiderata e diffondono informazioni

false, se non addirittura dannose.

Oggi sono ben pochi i codici malevoli ai quali si può attribuire, propriamente, il nome di

virus. Quando un tempo lo scambio dei file avveniva tramite supporti fisici, generalmente i

floppy, erano questi ad essere veicolo delle infezioni e pertanto era importante, volendo

creare un virus che si diffondesse, che questo fosse il più silenzioso possibile.

Venivano scritti in assembly e questo li rendeva piccoli, performanti ed insidiosi seguendo

la regola: se non sai cosa cercare figurati se sai come farlo. Parlando oggi di virus,

entrando nel particolare, si commette però un errore. Si intende quindi, con il termine

virus, tutto il codice malevolo in grado di arrecare danno ad un utente. Lo scambio di file

tramite dispositivi fisici quali il floppy, il quasi totale abbandono degli stessi per effettuare

una procedura di boot e di ripristino, ha reso obsoleto il vecchio concetto di virus, un

piccolo codice malevolo difficile da individuare. Nondimeno le macchine sono sempre più

performanti, gli utenti sempre di più e (in media) sempre meno preparati, la banda larga e'

dispoibile per tutti.

Le informazioni viaggiano da un capo all'altro del pianeta senza vincoli fisici ormai, e così

anche il codice malevolo. Il vecchio concetto di virus è stato sostituito con quello più

moderno di worm. I worm non sono più scritti in assembly ma in linguaggi di

programmazione di livello sempre più alto, in stretta connivenza con il sistema operativo,

nella quasi totalità dei casi Windows, e le sue vulnerabilità. Tutto questo rende la stesura

di un codice malevolo molto più semplice che in passato ed il gran numero e la diversità di

worm con rispettive varianti ne è un esempio lampante. Questi nuovi tipi di infezioni

http://it.wikipedia.org/wiki/Startup_%28Windows%29

http://it.wikipedia.org/w/index.php?title=Virus_burla&action=edit

http://it.wikipedia.org/wiki/Hoax

http://it.wikipedia.org/wiki/Assembly

http://it.wikipedia.org/wiki/Worm

http://it.wikipedia.org/wiki/Linguaggi_di_programmazione

http://it.wikipedia.org/wiki/Linguaggi_di_programmazione


penetrano nel sistema quasi sempre "da soli" sfruttando le vulnerabilità, non fanno molto

per nascondersi, si replicano come vermi anziché infettare i file, che è un'operazione più

complessa ed ormai in disuso. Ultimamente vanno molto di moda payload altamente

distruttivi o che espongono la vittima ad altri tipi di attacchi.

La vita dei worm è generalmente più breve di quella di un virus perché identificarlo, grazie

ad internet, è diventato un business (ora più grande che in tempi passati) ed è

probabilmente questo che porta sempre più spesso gli ideatori a voler un ciclo di vita più

breve anche per la macchina che lo ospita e qualche capello in meno all'utente. I worm

agiscono sempre più spesso come retrovirus e, volendo correre più veloce delle patch che

correggono le vulnerabilità che ne hanno permesso la diffusione, spesso ci si trova ad

aggiornare l'antivirus quando il codice ha già preso piede nel sistema.

Moltri programmatori di virus ai nostri giorni, ma soprattutto nel passato, si sono scambiati

sorgenti di virus per capire nuove tecniche di programmazione (come sistemi di infezione

o di proliferazione). Molti scambi di virus sono avvenuti tramite siti web chiamati VX.

VX significa Virus eXchange. Al giorno d'oggi i siti (almeno quelli pubblici) dedicati al VX

sono rimasti pochi. Viceversa esistono dei siti underground che contengano dei database

di virus recenti accessibili solo a crew di virus writer.

Un payload è una runtime presente in un virus informatico che ne estende le

funzioni oltre l'infezione del sistema. Si intende con payload quindi qualsiasi

operazione a tempo determinato, casuale o attivata da un trigger che un virus

o worm manda in esecuzione. Questa può essere di distruzione parziale o

totale di informazioni, la loro diffusione non autorizzata, l'invio di email a tutti gli

utenti della rubrica ed automazioni simili.


11. DoS è la sigla di Denial of Service, letteralmente negazione del servizio. In questo tipo

di attacco si cerca di portare il funzionamento di un sistema informatico che fornisce un

servizio, ad esempio un sito web, al limite delle prestazioni, lavorando su uno dei

parametri d'ingresso, fino a renderlo non più in grado di erogare il servizio.

Gli attacchi vengono abitualmente attuati inviando molti pacchetti di richieste, di solito ad

un server Web, FTP122 o di posta elettronica saturandone le risorse e rendendo tale

sistema "instabile", quindi qualsiasi sistema collegato ad Internet e che fornisca servizi di

rete basati sul TCP123 è soggetto al rischio di attacchi DoS.

Inizialmente questo tipo di attacco veniva attuata dai "cracker", come gesto di dissenso

etico nei confronti dei siti web commerciali e delle istituzioni. Oggi gli attacchi DoS hanno

la connotazione decisamente più "criminale" di impedire l'accesso ai siti web dai computer,

di utenti inconsapevoli, violati da un cracker, per produrre il flusso incontenibile di dati che

travolgeranno come una valanga anche i link più capienti del sito bersaglio.

La probabilità sempre minore di incontrare sistemi veramente vulnerabili ha fatto sì che

siano diminuiti gli attacchi DoS più eclatanti, però si è scoperta un'estrema vulnerabilità

della rete per l'aumento costante della potenza operativa degli attuali personal computer e

dell'accesso ad Internet tramite i sistemi DNS.

122

http://it.wikipedia.org/wiki/File_Transfer_Protocol 123


Domain Name Service (spesso indicato con DNS) è un servizio utilizzato per

la risoluzione di nomi di host in indirizzi IP e viceversa. Il servizio è realizzato

tramite un database distribuito, costituito dai server DNS.

Il nome DNS denota anche il protocollo che regola il funzionamento del

servizio, i programmi che lo implementano, i server su cui questi girano,

l'insieme di questi server che cooperano per fornire il servizio.

I nomi DNS, o "nomi di domino", sono una delle caratteristiche più visibili di

Internet. C'è confusione in merito alla definizione dell'acronimo: la S spesso

viene interpretata come service, ma la definizione corretta è system.

L'operazione di convertire un nome in un indirizzo è detta risoluzione DNS,

convertire un indirizzo IP in nome è detto risoluzione inversa.

http://it.wikipedia.org/wiki/Sito_web

http://it.wikipedia.org/wiki/File_Transfer_Protocol



http://it.wikipedia.org/wiki/File_Transfer_Protocol



L'implementazione del protocollo TCP/IP124, che non garantisce particolare sicurezza

sull'identificazione dei mittenti di pacchetti ma anzi ne protegge l'anonimato, può venir

sfruttato per mascherarne la vera provenienza.

Trattandosi di connessioni apparentemente legittime, è impossibile bloccarle senza

interrompere anche il flusso realmente inoffensivo. Però limitando drasticamente il numero

di sessioni aperte simultaneamente l'impatto dell'attacco si riduce considerevolmente

senza bloccare il flusso dei pacchetti regolari.

Anche limitando il discorso al blocco di un sito web, esistono, e sono stati utilizzati,

parecchi modi di ottenere questo risultato.

Gli attacchi portati avanti da un singolo host125 sono potenzialmente rintracciabili.

Il più banale, e storicamente il primo, si chiama Syn-Flood o Syn-Flooding, letteralmente

"inondazione di pacchetti di tipo Syn". Tutte le volte che un utente fa click su di un link di

una pagina web richiede l'apertura di una connessione (di tipo TCP) verso quel sito;

questo avviene seguendo una serie di passi, il primo dei quali consiste nell'invio di un

pacchetto TCP che richiede l'apertura di una connessione.

Le regole di funzionamento del protocollo TCP esigono che il sistema risponda allocando

alcune risorse (in pratica memoria) per la connessione. Se si programma opportunamente

un semplice PC, è possibile richiedere l'apertura di diverse migliaia di connessioni al

secondo, che "inondando" il server, ne consumano rapidamente tutta la memoria,

bloccandolo o mandandolo in crash.

Il problema di questo tipo di attacco è che il computer attaccante deve poter mandare il

flusso di pacchetti attraverso la connessione ad Internet fino al server attaccato.

124 La suite di protocolli Internet è un insieme di protocolli di rete che implementa la pila di protocolli su cui funziona

Internet. A volte, per sineddoche, è chiamata suite di protocolli TCP/IP, in funzione dei due più importanti protocolli in

essa definiti: il Transmission Control Protocol (TCP) e l'Internet Protocol (IP). 125

Si definisce host o end system (terminali) ogni terminale collegato ad Internet. Gli host possono essere di diverso

tipo, ad esempio computer, palmari, dispositivi mobili e così via, fino a includere web TV, dispositivi domestici e thin

client.

L'host è definito in questo modo perché ospita programmi di livello applicativo che sono sia client (ad esempio browser

web, reader di posta elettronica), sia server (ad esempio, web server).

Uno stesso host può agire contemporaneamente da client e da server, in particolare con le applicazioni peer to peer.

http://it.wikipedia.org/wiki/TCP/IP

http://it.wikipedia.org/wiki/Collegamento_ipertestuale


http://it.wikipedia.org/wiki/Personal_computer


http://it.wikipedia.org/wiki/Crash_%28informatica%29



http://it.wikipedia.org/wiki/Peer_to_peer


L'utente malintenzionato deve poter fornire delle "credenziali" di accesso valide per

usufruire della vulnerabilità insorta nel sistema operativo e portare a termine,

efficacemente, l'attacco al sito bersaglio.

I pacchetti dannosi predisposti con un Indirizzo IP, falsificato rispetto all'originale,

procureranno al computer "vulnerabile" una situazione, temporanea, di Denial of Service'

poiché le connessioni che sono normalmente disponibili, sia per i buoni che per i cattivi,

sono lente, questo diventa impossibile.

L'attacco Syn-Flood usa strumenti che rientrano nella categoria Tribe Flood Network (TFN)

ed agisce creando delle connessioni che si rivelano aperte a metà.

Il protocollo classico usato nei DoS è il Ping126, inviandone a milioni si riuscirà a bloccare

l'operatività di qualunque sito Internet, ma trattandosi di un modello di attacco "uno a uno",

ad un pacchetto in uscita corrisponderà la ricezione di un solo pacchetto al sistema

attaccato. Occorrerà quindi che i cracker possano disporre di un gran numero di PC client,

"controllati", ma non è così facile "inoculare" il codice maligno in un numero tanto elevato

di macchine grazie all'azione specifica di antivirus, patch di sicurezza e tecnici informatici.

Una modalità di attacco più sofisticata, detta Smurf attack, utilizza un flusso di pacchetti

modesto, in grado di passare attraverso una normale connessione via modem, ed una rete

esterna, che sia stata mal configurata, che agisce da moltiplicatore di pacchetti, i quali si

dirigono infine verso il bersaglio finale lungo linee di comunicazione ad alta velocità.

Tecnicamente, viene mandato uno o più pacchetti di broadcast verso una rete esterna

composta da un numero maggiore possibile di host e con l'indirizzo mittente che punta al

bersaglio (broadcast storm). Ad esempio può venir usata una richiesta echo ICMP

(Internet Control Message Protocol) precedentemente falsificata da chi attua

materialmente l'attacco informatico. Si noti che questo tipo di attacco è possibile solo in

presenza di reti che abbiano grossolani errori di configurazione dei sistemi (detti router)

che le collegano tra loro e con Internet.

126 Ping è un programma disponibile sui principali sistemi operativi che misura il tempo, espresso in millisecondi,

impiegato da uno o più pacchetti ICMP a raggiungere un altro computer o server in rete (sia essa Internet o LAN) ed a

ritornare indietro all'origine. È prettamente utilizzato per conoscere la presenza e la raggiungibilità di un altro computer

connesso in rete.



http://it.wikipedia.org/w/index.php?title=Tribe_Flood_Network&action=edit

http://it.wikipedia.org/wiki/Ping

http://it.wikipedia.org/wiki/Antivirus

http://it.wikipedia.org/wiki/Smurf_attack

http://it.wikipedia.org/wiki/Modem

http://it.wikipedia.org/wiki/Host

http://it.wikipedia.org/wiki/Broadcast_storm



12. Una variante dell‟approccio precedente d‟attacco è il DDoS (Distributed Denial of

Service) dal funzionamento identico ma realizzato utilizzando numerose macchine

attaccanti che insieme costituiscono una botnet.

Gli attaccanti tendono a non esporsi direttamente, dato che per le forze dell'ordine

sarebbe relativamente semplice risalire ai computer utilizzati per l'attacco. Gli attaccanti,

per evitare di essere individuati e per avere a disposizione un numero sufficiente di

computer per l'attacco, inizialmente infettano un numero elevato di computer con dei virus

o worm che lasciano aperte delle backdoor a loro riservate. I computer che sono

controllati dall'attaccante vengono chiamati zombie. Quando il numero di zombie è ritenuto

adeguato, o quando scatta una specifica data, i computer infetti si attivano e sommergono

il server bersaglio di false richieste.

Con l'avvento della banda larga il fenomeno dei DDOS sta assumendo proporzioni

preoccupanti, dato che attualmente esistono milioni di persone dotate di una connessione

ad Internet molto veloce e permanente ma con scarse o nulle conoscenze e contromisure

riguardanti la sicurezza informatica.

Il danno maggiore dell'attacco di tipo DDoS è dovuto principalmente alla "asimmetria" che

si viene a creare tra la richiesta e le risposte correlate in una sessione DNS (Domain

Name System). Il flusso enorme di risposte generato provochera' nel sistema una tale

"inondazione" di traffico rendendo il server inadeguato alla gestione delle abituali funzioni

on-line.

Inoltrando, al Sito preso di mira, una risposta di alcuni Kilobyte, per ogni richiesta

contenente solo pochi bytes, si ottiene un'amplificazione tale da saturare i canali dati più

capienti, raggiungendo con il DDoS livelli finora inattuabili con gli altri tipi di attacco DoS.

Le configurazioni predefinite, standard e quelle "consigliate" di firewall si rivelano utili a

contrastare solo gli "attacchi" sferrati dall'esterno, ad esempio di un ente, ma poiché il

traffico in Rete gestito tramite sistema DNS è vitale, per fronteggiare questo tipo di attacco

non si potranno attuare le stesse strategie impiegate nei confronti degli attacchi Ping.


http://it.wikipedia.org/wiki/Virus_%28informatica%29

http://it.wikipedia.org/wiki/Backdoor


http://it.wikipedia.org/wiki/Banda_larga


http://it.wikipedia.org/wiki/Sicurezza_informatica


http://it.wikipedia.org/w/index.php?title=Bytes&action=edit

http://it.wikipedia.org/wiki/Rete_informatica

http://it.wikipedia.org/wiki/Ping


Quindi il Network manager dovrà tenere scrupolosamente sotto controllo e monitoraggio i

canali di flusso dati e, per escludere l'intervento o contrastare l'azione di un cracker,

riconfigurerà il DNS responsabile del sito.

Una particolare categoria di DDoS è il cosiddetto Distributed Reflection Denial of Service

(DRDoS). In questa particolare tipologia di attacco, il computer attaccante produce delle

richieste di connessione verso server con connessioni di rete molto veloci utilizzando

come indirizzo di provenienza non il proprio bensí quello del bersaglio dell'attacco. In

questo modo i server risponderanno affermativamente alla richiesta di connessione non

all'attaccante ma al bersaglio dell'attacco.

Grazie all'effetto moltiplicatore dato dalle ritrasmissioni dei server contattati, che a fronte

della mancanza di risposta da parte del bersaglio dell'attacco (apparentemente l'iniziatore

della connessione) provvederanno a ritrasmettere (fino a 3 volte solitamente) il pacchetto

immaginandolo disperso, rapidamente esaurendo le risorse del bersaglio.

Quest'ultimo tipo di attacco è particolarmente subdolo perché, a causa della natura delle

risposte, è difficilmente schermabile dall'utente comune: infatti se si filtrassero le risposte

dei server verrebbe compromessa la funzionalità stessa della connessione di rete

impedendo, di fatto, la ricezione anche delle informazioni desiderate.

Le risposte dei server, sollecitate dall'attaccante, sono infatti indistinguibili da quelle

generate da una richiesta legittima della vittima. Il problema si sta presentando con

maggiore incidenza da quando Microsoft ha deciso di rendere le "Raw Sockets",

interfaccia di accesso al TCP/IP, facilmente disponibili. Le RAW sockets permettono

appunto di cambiare l'indirizzo di provenienza del pacchetto per sostituirlo con quello della

vittima, fatto che è strumentale per questo tipo di attacco.

http://it.wikipedia.org/wiki/Microsoft

http://it.wikipedia.org/wiki/TCP/IP


13. Nel campo della sicurezza delle informazioni per Ingegneria Sociale (dall'inglese social

engineering) si intende lo studio del comportamento individuale di una persona al fine di

carpire informazioni. Questa tecnica è anche un metodo (improprio) di crittanalisi quando è

usata su una persona che conosce la chiave crittografica di un sistema. Similmente al

metodo del tubo di gomma127 può essere un modo sorprendentemente efficiente per

ottenere la chiave, soprattutto se comparato ad altri metodi crittanalitici.

Con l'evoluzione del software, l'uomo ha migliorato i programmi a tal punto che essi

presentano pochi bug (errori che i programmatori generalmente commettono quando

creano un software). Per un cracker sarebbe impossibile attaccare un sistema informatico

in cui non riesce a trovare bug. Quando ciò accade l'unico modo che il cracker ha per

procurarsi le informazioni di cui necessita è quello di attuare un attacco di ingegneria

sociale.

Un ingegnere sociale (social engineer) per definirsi tale deve saper fingere, sapere

ingannare gli altri, in una parola saper mentire.

Un social engineer è molto bravo a nascondere la propria identità, fingendosi un'altra

persona: in tal modo egli riesce a ricavare informazioni che non potrebbe mai ottenere con

la sua identità reale. Nel caso sia un cracker, può ricavare informazioni attinenti ad un

sistema informatico. Il social engineering è quindi una tecnica per ricavare informazioni

molto usata dagli hacker esperti e dalle spie, e dato che comporta (nell'ultima fase

dell'attacco) il rapporto più diretto con la vittima, questa tecnica è una delle più importanti

per carpire informazioni. In molti casi il cosiddetto ingegnere potrà riuscire a ricavare tutto

ciò che gli serve dalla vittima ignara.

127

http://it.wikipedia.org/wiki/Metodo_del_tubo_di_gomma


http://it.wikipedia.org/wiki/Bug




5.4 Analisi degli impatti di un CNA

La caratterizzazione degli effetti desiderati di un Cyber Network Attack va differenziata

sulla base della tipologia dei computer network che e‟ obiettivo dell‟attacco. In particolare,

possiamo distinguere essenzialmente tra due principali tipi di reti di computer: da un lato ci

sono i sistemi informativi, che includono basi di dati, documenti, pagine web, posta

elettronica, mentre dall‟altro lato abbiamo i sistemi di controllo di infrastrutture, ad esempio

le infrastrutture energetiche, chimiche, nucleari, idriche o i sistemi di difesa aerea integrata

ad esempio. Mentre gli effetti desiderati di un attacco ad un sistema informativo sono

tipicamente connessi ad un potere decisionale umano, quelli relativi ad attacchi ad

infrastrutture di controllo sono spesso finalizzati alla disattivazione o distruzione di un

obiettivo fisico. Tuttavia tali effetti non sono affatto disgiunti, in quanto se anche l‟obiettivo

previsto di un CNA e‟ un sistema informativo, l‟effetto derivante e‟ diretto alle persone128.

A tal proposito, e‟ utile citare il Dr. Dan Kuehl, docente alla National Defense University

negli Stati Uniti:

“l‟obiettivo finale deve essere mirato agli uomini. Esso puo‟

consistere in un decision maker, ma puo‟ anche consistere in 5

milioni di abitanti di un paese…Si stanno effettuando azioni su reti di

hardware e software come mezzo per influenzare gli uomini “129.

Un‟altra prospettiva per l‟analisi degli effetti desiderati di un CNA consiste nei livelli di

guerra; la teoria militare contemporanea, infatti, identifica tre differenti livelli di guerra:

tattico, operazionale e strategico. Un CNA puo‟ supportare operazioni tattiche di

combattimento, inclusa la soppressione della difesa aerea nemica (SEAD, Suppression of

Enemy Air Defense), operazioni di inganno psicologico o militare; queste ultime possono

essere utilizzate molto proficuamente anche a livello operazionale di battaglia. La capacita‟

di interrompere le operazioni sul web di un obiettivo puo‟, ad esempio, limitare o annullare

le sue capacita‟ di recruiting o minare la sua immagine.

128

Timothy D. Presby, Computer Network Attack and Its Effectiveness against Non-State Actors, Naval War College,

Department of Joint Military Operations, 2006. 129

Dan Kubel, Information Operations Interview with Professor Dan Kuehl, Infocom Magazine, 2003


I CNA possono essere impiegati anche a livello strategico, ma a livello operazionale hanno

maggiori possibilita‟ di successo quando vengono impiegati come parte di una campagna

integrata di Information Operations grazie alla loro forte capacita‟ di influenza e

persuasione sui decision maker dei sistemi informativi.

Infine, un CNA puo‟ essere utilizzato con scopi difensivi: la difesa attiva, infatti, consiste

nell‟attaccare preventivamente i sistemi informativi o informatici nemici che potrebbero

attaccare le reti informatiche alleate. Possiamo quindi affermare che, mentre gli obiettivi di

un CNA sono chiaramente i sistemi informativi avversari, gli effetti desiderati coinvolgono i

decision makers umani a tutti i livelli.

5.3.1 Misura degli effetti di un CNA

E‟ possibile misurare l‟efficacia di un Computer Network Attack sulla base di una serie di

parametri al fine di valutare se le attivita‟ condotte abbiano ottenuto o meno gli effetti

desiderati, in relazione alla missione complessiva ed agli obiettivi individuati.

Alcuni criteri generali sono certamente gli effetti in relazione agli obiettivi individuati, i

risultati misurabili e la tempestivita’ di un attacco130; e‟ tuttavia utile effettuare anche

un‟analisi qualitativa degli effetti di un CNA anche in termini di sinergia, equilibrio,

influenza, simultaneita’ e profondita’.

Obiettivo

Cosi‟ come qualsiasi forma di attacco, prima di effettuare un CNA e‟ necessario aver

stabilito in maniera chiara l‟obiettivo ed i risultati raggiungibili. Bisogna quindi valutare se il

CNA e‟ stato definito in maniera chiara; ad esempio, e‟ un attacco mirato ad una capacita‟

di comando e controllo, come le email, oppure e‟ mirato a strumenti di propaganda e

reclutamento, come i siti web? L‟attacco puo‟ risultare decisivo? O ancora, il CNA e‟ una

opzione realistica e raggingibile per un comandante operativo? Quest‟ultimo fattore e‟

particolarmente difficile da inquadrare nel caso di attori non governativi o gruppi terroristici.

Questi ultimi, talvolta, non possiedono una infrastruttura fissata e facilmente identificabile,

per cui e‟ piu‟ difficile identificare chiaramente i computer ed i sistemi informativi in uso

presso questi gruppi.

130

Joint Chiefs of Staff, Information Operations, Washington D.C., 5 Luglio 2005.


Risultati misurabili

Un CNA generico, sia esso mirato a sistemi informatici o decision-maker umani, dovrebbe

avere risultati misurabili sia dal punto di vista quantitativo che qualitativo. Di solito la

valutazione quantitativa e‟ piu‟ immediata: ad esempio, e‟ piu‟ semplice capire quante

intrusioni sono avvenute in un sistema, piuttosto che analizzare qualitativamente gli effetti

di un CNA su una struttura operativa, una popolazione o su un individuo. Per un‟analisi

piu‟ accurata degli effetti misurabili di un CNA, e‟ molto utile ottenere l‟accesso al sistema

informativo interno dell‟avversario, sia per determinare i risultati raggiunti che per

conoscere le contromisure pianificate. In particolare, i meccanismi di risposta molto

frequentemente consistono in operazioni di difesa attiva per limitare l‟attacco. Forme piu‟

tradizionali di intelligence possono fornire indicazioni importanti sulle conseguenze di un

CNA in termini di sistemi finanziari o logistici in uso presso il nemico.

Tempestivita’

Uno dei fattori chiave del successo di un CNA e‟ la tempestivita‟, ovvero la capacita‟ di

ottenere in maniera tempestiva una misura degli effetti di un attacco e le conseguenze che

esso ha su un sistema informativo o un sistema di controllo di un‟infrastruttura, in termini di

cambiamento delle modalita‟ di conduzione delle operazioni rispetto al modo in cui

venivano condotte prima dell‟attacco. Ad esempio, se un gruppo terroristico ha fondati

sospetti sulla compromissione dei propri sistemi informatici, e‟ molto probabile che essi li

modifichino o cambino le modalita‟ di conduzione delle operazioni; tali modifiche

necessiteranno di un significativo reinvestimento di risorse di intelligence e, per questo,

potranno essere identificati piu‟ agevolmente.

Sinergia

Al fine di ottenere i risultati attesi piu‟ velocemente possibile, ogni operazione deve essere

sincronizzata ed integrata nello spazio e nel tempo. I CNAs possono fornire vantaggi

asimmetrici grazie alla dipendenza dei gruppi terroristici o, piu‟ in generale, delle

organizzazioni criminali internazionali, dalle reti informatiche distribuite. Ad esempio, una

rete terroristica distribuita geograficamente su un‟ampia area potrebbe far uso di un sito

web per la pubblicazione di informazioni critiche sulle loro operazioni future. Impiegando

appropriate risorse di intelligence ed accertandosi della autenticita‟ e dell‟uso del sito web


o in generale della fonte informativa (chat on line, forum, blog, chat roulette, ecc), un CNA

potrebbe essere usato per negare temporaneamente l‟accesso a quel sito, ottenendo allo

stesso tempo il rallentamento delle operazioni terroristiche e permettendo l‟impiego di altre

forme di Information Operations.

Equilibrio

L‟equilibrio consiste nel mantenimento della forza, delle capacita‟ e delle operazioni in

maniera tale da contribuire alla liberta‟ delle azioni ed alla reattivita‟131. Mentre le forze

alleate mirano al mantenimento dell‟equilibrio delle loro capacita‟ su tutti i livelli di guerra,

le IOs (Information Operations), ed in particolare i CNAs, sono strumenti ideali per minare

l‟equilibrio nemico attraverso l‟attacco inaspettato delle sue vulnerabilita‟. Inoltre, i

Computer Network Attacks possono contribuire ad identificare le fonti di finanziamento di

un gruppo terroristico e causarne l‟interruzione.

Influenza

L‟influenza e‟ caratterizzata dalla capacita‟ di raggiungere, preservare e sfruttare vantaggi

militari su tutti i livelli di guerra132. L‟incertezza indotta da un CNA nell‟avvicinamento

all‟obiettivo avversario puo‟ fortemente condizionare il suo processo decisionale, portando

ad esempio a scelte poco razionali che possono essere sfruttate per un attacco piu‟

profittevole. In tal modo un CNA puo‟ anche fungere da deterrente in un tempo precedente

ad un attacco vero e proprio, inducendo l‟attaccante a ritardare o modificare le sue azioni

a vantaggio di chi si prepara al contro-attacco.

Simultaneita’ e Profondita’

La continua sincronizzazione delle operazioni nel tempo e nello spazio puo‟ produrre

risultati devastanti contro un avversario, minando di fatto le capacita‟ di prendere decisioni

razionali e generando confusione ed incertezza. Inoltre, i CNAs possono essere condotti a

tutti i livelli di guerra, incrementando in tal modo anche la profondita‟ dell‟attacco, ovvero il

fattore di scala dell‟area, fisica o virtuale, che e‟ oggetto dell‟attacco.

131

Joint Chiefs of Staff, Doctrine for Joint Operations, III-13, Washington D.C., 2001 132

Joint Chiefs of Staff, Doctrine for Joint Operations, III-14, Washington D.C., 2001.


5.5 Considerazioni conclusive sui CNA

Come proposto nel documento “Computer Network Attack and Its Effectiveness against

Non-State Actors”133, la massima efficacia e la piena realizzazione del potenziale dei CNA

possono essere ottenute da fronti diversi: il miglioramento delle capacita‟ di intelligence,

un miglior addestramento e consapevolezza, appropriati test di sicurezza ed

inquadramento dei CNAs all‟interno di un definito framework legale ed etico.

Miglioramento delle capacità di intelligence

A partire dalle fase iniziali, in cui viene identificato l‟obiettivo e pianificato l‟attacco, fino ad

arrivare alle fasi finali di valutazione dei danni causati, e‟ indispensabile predisporre

adeguate risorse di intelligence per svolgere al meglio i compiti precedenti; tali risorse

sono variabili in base alle specifiche operazioni e possono riguardare ad esempio

l‟intelligence umana, quella dei segnali o quella elettronica. In particolare, e‟ necessario

che esse siano aggiornate rispetto all‟avvento della cyber warfare, come nel caso dei

CNAs. Inoltre, il processo di intelligence va accelerato per massimizzare la sinergia e le

capacita‟ di influenza correlate ai CNAs: e‟ necessario avere un feedback tempestivo circa

il raggiungimento effettivo degli obiettivi pianificati. In tal senso un processo molto utile e‟

in atto presso lo STRATCOM (STRATegic COMmunication) nello sviluppo delle capacita‟

di analisi e pianificazione integrate (JIAPC, Joint Integrative Analysis and Planning

Capability) per fornire identificazione, pianificazione ed analisi in maniera tempestiva a

supporto dei requisiti di un comando di Information Operations; purtroppo, le continue

difficolta‟ nel reperire fondi e la complessita‟ del coordinamento interforze non

contribuiscono al raggiungimento dell‟obiettivo134.

133

Timothy D. Presby, Computer Network Attack and Its Effectiveness against Non-State Actors, Naval War College,

Department of Joint Military Operations, 2006. 134

Christopher Lamb, Information Operations as a Core Competency, Joint Force Quarterly n. 36, Dicembre 2004.


Addestramento e Consapevolezza

Addestramento e consapevolezza sono due fattori strettamente connessi tra loro. I CNAs

come strategia di IOs sono soltanto nella loro fase iniziale e non hanno ancora raggiunto

una maturita‟ sufficiente, per questo una corretta identificazione dell‟insieme di

conoscenze richieste e‟ difficile ed abbraccia un ampio spettro di branche scientifiche.

Nonostante gli sforzi tesi ad assicurare elevate capacita‟ e professionalità nella

conduzione di CNOs, i continui aggiornamenti, che includono nuovi sistemi operativi,

nuove piattaforme hardware e nuovi protocolli di rete, richiedono attenzione e sforzi

maggiori.

Va inoltre considerata la mancanza di consapevolezza in materia di CNOs, che puo‟

essere attribuita alla scarsa conoscenza dei responsabili piu‟ anziani/senior in ambito

cyber warfare. Per questo le capacita‟ di IOs vanno non solo insegnate, ma anche

enfatizzate a tutti i livelli formativi. Soltanto quando i manager anziani/senior

raggiungeranno un livello appropriato di conoscenza del cyberspace, le Computer Network

Operations potranno essere sfruttate al meglio.

Test di sicurezza

Per minimizzare le probabilita‟ di danni collaterali, e‟ assolutamente indispensabile

effettuare dei test di sicurezza, cioe‟ una misura di controllo qualitativa per identificare il

risultato atteso di una serie di sforzi cercando di minimizzare allo stesso tempo le

conseguenze non espressamente pianificate. La probabilita‟ di effetti indesiderati per un

CNA e‟ fortemente incrementata dagli aggiornamenti software ed hardware nelle reti

informatiche. Test di sicurezza sistematici e metodici vanno condotti per assicurare il

raggiungimento degli obiettivi attesi e la conduzione dei CNAs in maniera affidabile e

tempestiva.


Inquadramento legale ed etico

Una delle sfide principali nell‟impiego delle CNOs consiste nel rimanere entro confini di

legalita‟ e di etica. Come ampiamente documentato nel capitolo precedente, l‟incerta

applicabilita‟ della Legge Umanitaria Internazionale alle Computer Network Operations

rendono tale compito ancor piu‟ arduo: mentre l‟uso di CNAs dovrebbe osservare le norme

di discriminazione e proporzionalita‟, gli effetti di un CNA potrebbero causare conseguenze

inattese, facilmente considerabili non corrispondenti ai criteri legalita‟ universalmente

riconosciuti. Dal punto di vista etico, inoltre, la situazione non e‟ certamente piu‟ chiara:

sebbene un CNA debba essere considerato un atto di forza, esso non puo‟ essere

considerato tout-court "sbagliato" da un punto di vista etico, ma deve essere analizzato

sula base delle circostanze che ne hanno determinato l‟utilizzo e le modalita‟ con cui

l‟attacco e‟ stato condotto. E‟ per questo auspicabile la partecipazione attiva di esperti

legali nella pianificazione dell‟esecuzione di CNOs per fornire sufficienti garanzie di

legalita‟.


Come ampiamente documentato dalle considerazioni finora espresse, i progressi e

l‟evoluzione del mondo cibernetico hanno fortificato ed, allo stesso tempo, esposto ad un

maggiore pericolo coloro che ne fanno uso. L‟incremento delle potenzialita‟ e‟

essenzialmente costituito dalla facilitazione nelle comunicazioni e nei flussi informativi,

mentre l‟esposizione a maggiori fattori di rischio e‟ da imputarsi all‟introduzione di nuove

vulnerabilita‟ ed all‟aumento della complessita‟ e dei costi delle nuove tipologie di attacco.

In questo capitolo sara‟ analizzato l‟aspetto difensivo della strategia di cyberwarfare

applicata ad i computer ed alle reti di computer. Queste ultime, infatti, sono state oggetto,

negli ultimi anni, di un numero di attacchi sempre crescente da parte di hackers, criminali,

spie ed altri soggetti che avevano interesse o profitto nell‟attaccare ed eventualmente

danneggiare tali reti informatiche. L‟attacco classico e‟ consistito nell‟intrusione nelle reti di

computer al fine di rubare, degradare o distruggere le informazioni ed i sistemi informativi.

Come gia‟ indicato precedentemente, tale scopo puo‟ essere raggiunto attraverso

l‟impiego di differenti tecniche di attacco, dall‟introduzione di virus informatici alla

conduzione di veri e propri attacchi distribuiti (DDoS), con effetti devastanti anche in

termini economici: interruzione di servizi commerciali fino a causare il fallimento di

aziende, disattivazione di sistemi militari, sospensione di servizi bancari o di emergenza,

ritardi nei servizi di trasporto, compromissione di segreti militari o aziendali, furti di identita‟

e frodi con carte di credito. Le conseguenze derivanti da CNAs sono diretta conseguenza

della nostra dipendenza dalle reti informatiche ed il cyberspace, e per questo esse

diverranno sempre piu‟ serie all‟aumentare di tale dipendenza.

Alcuni ufficiali governativi ed esperti di sicurezza ritengono che la fonte principale di CNAs

siano i governi stranieri, seguiti a ruota dai gruppi terroristici. In particolare, la minaccia

principale e‟ identificata dalla possibilita‟ di subire un attacco che rappresenti una

Cyber Network Defense: Strategie Difensive

contro la minaccia cibernetica

6


“Pearl_Harbor elettronica”, cioe‟ un CNA che interessi infrastrutture critiche come le reti

energetiche o bancarie, con conseguenti danni economici, sociali o alla sicurezza

nazionale. Un attacco contro le reti militari potrebbe seriamente compromettere le

capacita‟ militari di uno Stato, specie durante un periodo di conflitto; inoltre anche attacchi

verso le infrastrutture civili, come i sistemi energetici e di telecomunicazione, potrebbero

seriamente intaccare le capacita‟ militari di una nazione, che dipendono fortemente da

queste.

Nonostante le nazioni straniere rappresentino la principale fonte di "paura da CNA", ad

oggi soltanto un limitato numero di attacchi cibernetici e‟ stato attribuito ad esse, e spesso

con conseguenze non devastanti. La maggior parte di tali attacchi ha assunto caratteri di

spionaggio\CNE, mentre i CNAs posti in essere da gruppi terroristici o loro simpatizzanti

possono essere principalmente definiti come episodi criminali di vandalismo piu‟ che di

terrorismo (web defacement, attacchi DoS, frodi informatiche, ecc.).

Il numero esiguo di pubblicazioni su cosa i gruppi terroristi ed i governi mondiali sono

capaci di fare nel cyberspace e la sensazione che la maggior parte delle minacce da

CNOs appaiano “gestibili” ha indotto molti a credere che il fenomeno sia stato

sovrastimato. Eppure, pur senza conoscere i dettagli della minaccia cibernetica, anche

solo considerando gli accadimenti storici degli ultimi anni, appare chiaro che credere di

poter gestire facilmente le cyber threats e‟ tanto sbagliato quanto fondare l‟intera strategia

militare o governativa di uno stato sulla speculazione e sulla paura infondata.

Il modo migliore per approcciare correttamente al fenomeno delle CNOs e‟ certamente

l‟attenta valutazione delle vulnerabilita‟ delle proprie infrastrutture critiche e lo sviluppo di

capacita‟ di difesa e recupero da CNAs. E‟ necessario proteggere le reti di computer

indipendentemente dalla sorgente dell‟attacco, un singolo hacker, un truffatore alla ricerca

di un espediente estorsivo, un ex impiegato scontento, una nazione o un gruppo

terroristico.

E‟ inoltre utile non solo studiare tecniche di protezione delle proprie reti informatiche, ma

anche approfondire la conoscenza delle categorie di attackers al fine di comprenderne le

motivazioni e le capacita‟ e per poterle fronteggiare al meglio: in caso di attacco, e‟ utile

poter identificare le fonti probabili, essere a conoscenza di cosa il nostro avversario puo‟ e

non puo‟ fare per arrecare danni alle nostre infrastrutture critiche.


6.1 Il ruolo della Decision Analysis nell’impiego di CNOs

Una delle necessita‟ principali, motivata dal proliferare delle CNOs, e‟ lo studio di

metodologie capaci di incrementare le capacita‟ di gestione, utilizzo e reazione a CNOs da

parte dei gruppi di comando di un governo. In particolare, e‟ utile chiedersi se esista un

modo per facilitare le comunicazioni o definire una interpretazione comune del problema

dal punto di vista operativo tale da ridurre i rischi e l‟incertezza nei processi di acquisizione

e valutazione135.

La Decision Analysis e‟ la disciplina che comprende le pratiche filosofiche, teoriche,

metodologiche e professionali per affrontare complessi processi decisionali in maniera

formale. Essa include diverse procedure, metodologie e strumenti per identificare,

rappresentare in maniera chiara e definire formalmente gli aspetti di una decisione, per

identificare la corretta linea di azione applicando criteri di massima utilita‟ alla

rappresentazione formale della decisione ed, infine, per tradurre questa rappresentazione

formale in un linguaggio piu‟ vicino al decision maker.

In questa ricerca si propone l‟impiego della Decision Analysis per fornire una struttura ed

una rappresentazione grafica in supporto ai gruppi di comando nell‟acquisizione, il testing

e l‟utilizzo di strumenti e tattiche in ambito CNOs. Grazie alla definizione di una struttura

dal punto di vista operativo, i decision makers coinvolti beneficeranno da almeno tre

differenti prospettive:

maggiore conoscenza dei rischi e delle incertezze connesse ai processi decisionali;

definizione di una interpretazione comune della problematica;

migliore flusso comunicativo tra i vari attori.

Occorre ora definire alcuni termini chiave, ampiamente utilizzati nella decision analysis.

Una decisione puo‟ essere definita come una irrevocabile allocazione di risorse; un rischio

e‟ la probabilita‟ di perdite connesse ai pericoli, mentre con eventi incerti indichiamo eventi

di cui non conosciamo gli esiti.

135

Rudolph Reb Butler, Dick Deckro and Jeff Weir, Using Decision Analysis to Increase Commanders’ Confidence for

Employment of Computer Network Operations, IOSphere Joint Information Operations Center, 2005.


Un influence diagram e‟ una rappresentazione grafica degli elementi di un problema

decisionale e la relazione fra essi; all‟interno di tale rappresentazione grafica, i differenti

elementi decisionali vengono indicati con forme differenti. Ciascun decision node del

diagramma rappresenta l‟opportunita‟ di scelta tra stati alternativi, mentre gli chance node

rappresentano eventi con due o piu‟ esiti incerti, ed identificano l‟insieme delle informazioni

in possesso del gruppo di decision makers circa un particolare evento.

All‟interno di un influence diagram le relazioni tra i diversi nodi sono identificate tramite

archi o frecce; oltre a relazioni di rilevanza e sequenza, spesso e‟ utile introdurre relazioni

di probabilita‟ tra i nodi. Nel caso di probabilita‟ condizionata si intende la probabilita‟ di

verificarsi di un evento a partire dalla conoscenza che uno o piu‟ altri eventi si sono gia‟

verificati.

L‟impiego di influence diagrams, nell‟ambito della Decision Analysis, risulta uno strumento

particolarmente utile e descrittivo per problemi decisionali complessi, come quello relativo

all‟impiego di CNOs.

Nella figura che segue e‟ riportato il diagramma di influenza per l‟impiego di Computer

Network Operations proposto nell‟articolo “Using Decision Analysis to Increase

Commanders‟ Confidence for Employment of Computer Network Operations”, ottenuto

grazie ad intense consultazioni e collaborazioni con diversi organismi, militari e

governativi.


Figura 2. Diagramma di influenza per l'impiego di CNO136.

Tale diagramma modella il processo decisionale nelle strategie difensive ed offensive di

impiego delle Computer Network Operations. Il termine “target” indica “un‟area, un

complesso, un‟installazione, una forza, un equipaggiamento, una capacita‟, una funzione o

un comportamento identificati per supportare gli obiettivi, le istruzioni operative e i propositi

di un gruppo di comando137.

Le minacce diventano target nel momento in cui e‟ in corso un‟azione che le interessa,

come nel caso di una minaccia a sistemi informatici che diventa l‟obiettivo di operazioni

difensive.

136

Rudolph Reb Butler, Dick Deckro and Jeff Weir, Using Decision Analysis to Increase Commanders’ Confidence for

Employment of Computer Network Operations, IOSphere Joint Information Operations Center, 2005. 137

Joint Publication 1-02, Department of Defense Dictionary of Military and Associated Terms, 2003.

_

_

_

_

__

_

_

_

_

_

_

_

_

_ _

_ _

_ _

_

_

_ _

_

_

_


Nel seguito viene fornita una descrizione di ciascuno dei nodi presenti nel diagramma di

influenza.

Determinazione della Fase Operativa

Questo nodo decisionale rappresenta la decisione per determinare in che fase operativa ci

si trovi, sulla base della definizione di quattro differenti fasi operative [72]:

Fase 1: dissuadere/attirare;

Fase 2: prendere l‟iniziativa;

Fase 3: operazioni decisive;

Fase 4: transizione.

Le modalita‟ di l‟impiego di CNOs variano da fase a fase, nel senso che in alcune fasi esse

rappresentano l‟opzione primaria, mentre in altri casi il loro utilizzo e‟ alternativo ad altre

risorse. Mentre nelle fasi 1 e 4 le CNO hanno una maggiore utilita‟ a causa delle limitate

possibilita‟ di operazioni militari “canoniche”, nella fase 3 esse sono complementari alle

altre capacita‟ militari. In tutte le fasi operative le strategie di CND sono impiegate a

protezione delle informazioni e dei sistemi informativi.

Revisione del Personale (Legale / Politico-Militare)

In questo chance node viene rappresentata l‟incertezza circa la presenza di corrette

procedure di revisione del personale nel processo decisionale di impiego di CNO; in

particolare, tale processo di revisione deve coinvolgere personale legale e politico-militare

del gruppo di comando per valutare l‟opportunita‟ e la legittimita‟ delle misure che si

intende adottare.

Capacita’ di Valutazione

Tale chance node identifica l‟incertezza sulla capacita‟ di identificare correttamente il

successo o il fallimento associate alle CNO in termini di misura dei risultati raggiunti.

Torna al Diagramma di Influenza




Effetti Cumulativi Previsti

Questo chance node rappresenta l‟incertezza associata alla previsione degli effetti

cumulativi prodotti da CNO. Gli effetti cumulativi sono “effetti che risultano

dall‟aggregazione di effetti diretti ed indiretti” [73]. E‟ possibile distinguere effetti di diverso

ordine, effetti collaterali ed effetti a cascata. Gli effetti collaterali identificano risultati

inattesi direttamente connessi alle azioni poste in essere; gli effetti a cascata

rappresentano invece una serie di effetti, ciascuno dei quali è diretta conseguenza del/dei

precedente/i.

Valore Percepito dei Dati Ottenuti

Questo chance node identifica l‟incertezza sul valore atteso dei dati ottenuti a seguito di

CNE o altre operazioni di intelligence. Il valore delle informazioni ottenute e‟ fortemente

dipendente dalla sorgente da cui esse si sono ottenute, e puo‟ variare nel tempo.

Comprensione Percepita di Strumenti/Tattiche di CNO

La comprensione percepita da un gruppo di comando e dal suo personale circa gli

strumenti e le strategie nell‟ambito delle CNO influenzano significativamente le

considerazioni sull‟impiego delle stesse. Per una completa valutazione di tali capacita‟,

occorre prendere in considerazione diversi parametri: i costi, il tipo di strumenti, il tipo di

tattiche, il livello di testing formale raggiunto, le performance, ecc. I costi di impiego delle

CNO dipendono da fattori economici, risorse impiegate, tecnologia adoperata e vite

umane salvate o perse. Se i costi connessi all‟impiego di una CNO non sono affrontabili,

occorre identificare altre opzioni meno costose e capaci di ottenere gli stessi risultati o

risultati simili ad un costo minore.





E’ Possibile Usare Strumenti/Tattiche di CNO?

Questo nodo decisionale rappresenta le capacita‟ di decidere se l‟impiego di CNO e‟

possibile, in termini di revisione del personale, capacita‟ di valutazione, effetti cumulativi

previsti, valore percepito dei dati ottenuti e comprensione percepita di strumenti/tattiche di

CNO.

Informazioni Dettagliate sul Target

E‟ assolutamente indispensabile raccogliere il maggior numero di informazioni

sull‟obiettivo o l‟insieme di obiettivi identificati. Specie in ambito CNO, anche nel caso si

effettui un‟accurata fase di acquisizione delle informazioni sul target, resteranno sempre

delle incertezze e dei rischi associati.

Comprensione Effettiva di Strumenti/Tattiche di CNO

E‟ utile definire il livello di incertezza sulla effettiva comprensione delle capacita‟ e delle

potenzialita‟ connesse all‟impiego di CNO. Il risultato di tale nodo viene determinato

immediatamente dopo aver assunto la decisione di impiegare le CNO. Mentre nel passato

vi erano forti rischi nell‟impiego di CNO, causati dalla scarsa conoscenza e la mancanza di

testing, negli anni recenti l‟aumento delle conoscenze in materia ha ridotto fortemente i

rischi connessi alla comprensione delle proprie capacita‟ di CNO.

Valore Reale dei Dati Ottenuti

Tale chance node rappresenta il compromesso tra il valore di intelligence dei dati ottenuti

ed il valore decisionale sull‟impiego o meno delle CNO. Il risultato di tale nodo viene

determinato immediatamente dopo aver assunto la decisione di impiegare le CNO.






Reali Effetti Cumulativi

Questo nodo identifica l‟incertezza associata agli effetti reali conseguenti all‟impiego di

strumenti o tecniche di CNO verso un determinato target. Gli effetti indesiderati

rappresentano esiti inattesi anche nel caso in cui il contributo ad operazioni alleate e‟

positivo.

Risposta (Avversario/Terzi)

Tale chance node rappresenta l‟incertezza relativa alla reazione dell‟avversario o di terzi a

seguito della decisione di impiegare CNO. Alcune risposte tipiche sono: nessuna risposta,

probabilita‟ di individuazione, probabilita‟ di attribuzione, controffensiva e risposte di terzi.

Nodi Peso 1-6

I nodi peso rappresentano la percezione dell‟importanza delle variabili necessarie a

calcolare la funzione risultato. Essi forniscono maggiore flessibilita‟ al modello, grazie alle

variazioni dei pesi in termini di nuova leadership, nuova tecnologia, differenti condizioni

operative, differenti condizioni del target, ecc. Ciascun nodo peso restituisce come

risultato un singolo valore numerico, che rappresenta il peso come percentuale dell‟intera

risposta. La somma dei risultati di tutti nodi peso deve essere esattamente uguale a 100

(ovvero 100%).

Effetti Pianificati Prodotti sul Campo di Battaglia

Tale nodo identifica la funzione risultato complessiva del modello, tramite un‟equazione

che misura la risposta complessiva alla decisione sulla base di tutti i fattori presenti nel

modello.






6.2 Testing e riduzione dell’incertezza

Come documentato nel precedente paragrafo, il modello rappresentato nel diagramma di

influenza per determinare la corretta strategia decisionale nell‟impiego di CNOs si basa

necessariamente anche su stime, previsioni ed incertezza sui parametri in gioco.

Per questo motivo, affinche‟ il modello risulti realistico ed il suo impiego proficuo occorre

che le misure dell‟incertezza e le stime effettuate siano aggiornate e tengano conto delle

variazioni delle variabili del sistema.

Osservando l’immagine del diagramma di influenza possiamo notare la presenza di

quattro nodi con funzione previsionale: “Effetti Cumulativi Previsti”, “Comprensione

Percepita di Strumenti/Tattiche CNO”, “Valore Percepito dei Dati Ottenuti” e

“Capacita’ di Valutazione”. Un primo passo indispensabile per aumentare il grado di

consapevolezza e conoscenza dei decision makers e‟ assicurare la presenza di strumenti

e processi atti a fornire previsioni accurate: assodata la presenza di tali componenti, e‟

necessario porre in essere procedure per la raccolta storica dei dati, sottoforma di

operazioni reali, utile al perfezionamento dei suddetti componenti. I sistemi previsionali

fanno largo uso dei dati storici e, affinche‟ essi possano risultare efficaci, occorre che gli

output prodotti siano perseguibili e le previsioni realistiche.

Anche le procedure di Test e Valutazione contribuiscono ad incrementare il livello di

fiducia dei gruppi di comando in materia CNO. Tradizionalmente i test di sviluppo sono

stati incentrati sulle operazioni del sistema, mentre i test e le valutazione operativi sono

stati incentrati sulle performance del sistema durante un conflitto, ovvero in esercizio.

Dal momento che, negli ultimi anni, si assiste sempre piu‟ ad una transizione da una

prospettiva basata sulla piattaforma ad un punto di vista basato sulle capacita‟ di CNOs, le

procedure di test e valutazione devono tenere conto di tale transizione ed adattarsi.

Come testimoniano, ad esempio, le nuove istruzioni sulle Forze Aeree statunitensi (Air

Force Instruction, AFI)138, tale transizione e‟ stata recepita: in questo documento, infatti, si

afferma che le procedure di test e valutazione hanno lo scopo di “migliorare la

progettazione del sistema, gestire i rischi, identificare e contribuire alla risoluzione delle

138

Department of the Air Force, Air Force Instruction 99-103, Capabilities-based test and evaluation, 2009.


carenze nel minor tempo possibile ed assicurare che i sistemi siano operativamente

efficaci ed idonei”.

All‟interno del modello presentato, le procedure di test e valutazione contribuiscono in

maniera diretta ai nodi “Comprensione Percepita di strumenti/tattiche CNO” e

“Comprensione Reale di strumenti/tattiche CNO” e possono facilitare la riduzione

dell‟incertezza nei nodi “Dettagliate Informazioni sul target”, “Capacita’ di Valutazione”,

“Previsione degli Effetti Cumulativi” e “Reali Effetti Cumulativi”.

Il modello descritto puo‟ rappresentare un primo utilizzo di sistemi di analisi e supporto alle

decisioni ovvero DSS (Decision Support System) in ambito CNO. Per analisi, pero‟, piu‟

pratiche e meno teoriche si suggerisce di analizzare il supporto alle decisioni

contemporaneamente sui tre livelli: governance, management ed operational. Inoltre, tale

analisi, riguardando ambiti complessi, deve utilizzare metodologie matematiche e

tecnologie informatiche proprie della teoria della complessità e della logica sfumata (soft

computing) cosi‟ come ampiamente descritto nella ricerca CeMiSS 2011 “Sistemi di

supporto alle decisioni basati su metodologie avanzare di pianificazione, (modelli

matematici della complessita’, soft-computing) per usi di Stato Maggiore”139, dove e‟

ampiamente affrontato il tema dei sistemi di analisi e di supporto avanzato alle decisioni.

139

Rapporto di Ricerca Ce.Mi.S.S. "Sistemi di Supporto alle Decisioni basati su metodologie avanzate di

pianificazione, (modelli matematici della complessita’, soft-computing) per usi di Stato Maggiore." - Gerardo Iovane







CONCLUSIONI

In questo studio, dopo aver presentato il quadro di riferimento attuale sulle metodologie

principali inerenti le Computer Network Operations, vengono presentate le principali

categorie di attori nel contesto internazionale dei Computer Network Attacks. Nella parte

introduttiva viene delineato lo scenario storico di riferimento in cui le CNO si inseriscono

e viene fornita una lista delle procedure necessarie per la gestione ottimale della sicurezza

delle reti di computer.

Nel capitolo successivo, dopo una breve dissertazione storica sugli eventi che hanno

condotto alla nuova era del cyber crime, viene fornita una classificazione delle CNOs.

Vengono quindi analizzate le soluzioni dottrinali ed organizzative adottate dai principali

paesi europei nel contrasto alla minaccia cibernetica.

Il capitolo 4 affronta invece gli aspetti giuridico-legali connessi alle CNOs, facendo

specifico riferimento alla divergenza terminologica del termine “atttacco cibernetico” nei

differenti corpi legislativi.

Nella parte specialistica vengono descritti piu‟ nel dettaglio i Computer Network Attacks,

identificando le principali categorie di “attackers” e descrivendo singolarmente ciascuna

delle tipologie di attacco piu‟ comuni.

L‟ultimo capitolo inquadra uno schema generale di analisi e supporto alle decisioni per le

CNO, rimandando per utili approfondimenti sul tema alla ricerca CeMiSS 2011 “Sistemi di

supporto alle decisioni basati su metodologie avanzare di pianificazione, (modelli

matematici della complessita’, soft-computing) per usi di Stato Maggiore”140.

140

Rapporto di Ricerca Ce.Mi.S.S. "Sistemi di Supporto alle Decisioni basati su metodologie avanzate di

pianificazione, (modelli matematici della complessita’, soft-computing) per usi di Stato Maggiore." - Gerardo Iovane










Si conclude che, sulla base di quanto esposto nell‟intero studio di ricerca, la natura

evolutiva dello scenario di interesse obbliga ciascun governo a dotarsi di strumenti

avanzati e di competenze specifiche, affinche‟ ci si possa tenere al passo con un mondo

che si evolve molto piu‟ velocemente di quanto gli strumenti legislativi possano mai

sostenere.

Il buon senso dei decisori seppure necessario non e‟ sufficiente: c‟e‟ bisogno di soggetti

che si assumano la responsabilita‟ di scelte attente, ma soprattutto che abbiano la

capacita‟ di individuare per le posizioni apicali delle strutture cyber le persone e le

professionalità giuste per attivita‟ e azioni strategiche da porre in essere. In altre parole,

usando il gergo americano “c‟e‟ bisogno di teste che siano allo stesso tempo sia pensanti

che operative”, in grado di

disegnare strutture versatili e plastiche rispetto alle evoluzioni temporali del contesto

e dello scenario cyber;

reclutare personale e professionalità idonee alle continue variazioni di scenario

tecnologico e concettuale;

saper gestire correttamente il mix pubblico-privato, istituzionale-non istituzionale,

governativo-non governativo, proprio alla luce di una normativa perfettibile, ma di

fatto imperfetta circa la condivisione e la trans nazionalità del cyberspazio, ma

soprattutto a seguito delle continue e rapide evoluzioni;

individuare policy di governance, management, operations per il personale

dell‟intelligence e della difesa in tema di cyberthreat, cyberwarfare e cyberwar;

produrre analisi dei requisiti di sistemi, soluzioni e servizi per attività di cyber

intelligence;

definire ed attuare azioni di difesa/attacco cibernetico, con alta tecnologia e

metodologie avanzate e proprietarie, grazie a competenze e capacità proprie del

sistema o della struttura di intelligence e difesa italiana.

Ad oggi bisogna riconoscere che in alcuni paesi come l‟Italia, seppure ci siano stati degli

sforzi, si sta ancora lavorando per essere realmente pronti ad una efficace azione di

risposta o reazione ad attacchi di tipo CNA.


In altre parole, per la cyber security l‟Italia ha bisogno di trovare il coraggio di fare

“Sistema Paese” tra pubblico e privato, tra militare e non militare, ma soprattutto ha

bisogno di continuare a crescere in capacità personali e sistemi valoriali all‟interno delle

strutture critiche e di intelligence deputate alla salvaguardia di quella dimensione cyber

che sempre di piu‟ e‟ in grado di rappresentare una minaccia per lo spazio fisico reale.

La strada da percorrere sembra ancora lunga, ma soprattutto ci deve preoccupare il fatto

che piu‟ si va avanti piu‟ sembra essere lontani dall‟obiettivo, essendo quest‟ultimo il chiaro

sintomo del fatto che ci si muove con una velocita‟ che e‟ troppo bassa rispetto

all‟evoluzione dello scenario internazionale.


BIBLIOGRAFIA

(per tutti i links ipertestuali sotto riportati si intende: ultima visita 2012 Nov 06)

- G. Iovane, Cyberwarfare e Cyberspace: Aspetti Concettiuali, Fasi ed Applicazione allo Scenario Nazionale ed all‟ambito Militare, CeMiSS – Centro Militare Studi Strategici, Ministero della Difesa, 2008. Consultabile all‟indirizzo http://www.difesa.it/SMD/CASD/Istituti_militari/CeMISS/Pubblicazioni/News206/2008-01/Pagine/Cyberwarfare_e_Cyberspace_aspet_9342militare.aspx

- G.Iovane, I rischi per l'infrastruttura informatica della Difesa. Individuazione delle risorse organizzative necessarie al contrasto dell'attacco informatico per l'attivazione di strutture dedicate all'anti-hacker intelligence CeMiSS – Centro Militare Studi Strategici, Ministero della Difesa, 2010. Consultabile all‟indirizzo http://www.difesa.it/SMD/CASD/Istituti_militari/CeMISS/Pubblicazioni/News206/2011-02/Pagine/I_rischi_per_linfrastruttur_12446intelligence.aspx

- G.Iovane, Sistemi di supporto alle decisioni basati su metodologie avanzate di pianificazione, (modelli matematici della complessità, soft-computing) per usi di Stato Maggiore, CeMiSS – Centro Militare Studi Strategici, Ministero della Difesa, 2011. Consultabile all‟indirizzo http://www.difesa.it/SMD/CASD/Istituti_militari/CeMISS/Pubblicazioni/News206/2012-04/Pagine/iovane.aspx

- R. Setola, La strategia globale di protezione delle infrastrutture e risorse critiche contro gli attacchi terroristici CeMiSS – Centro Militare Studi Strategici, Ministero della Difesa, 2011. Consultabile all‟indirizzo - http://www.difesa.it/SMD/CASD/Istituti_militari/CeMISS/Pubblicazioni/News206/2012-02/Pagine/Lastrategiaglobal.aspx

- A. Antinori, Sviluppo nell'ambito nazionale del concetto di ''Information Assurance'' relativo alla protezione delle informazioni nella loro globalita'.- CeMiSS – Centro Militare Studi Strategici, Ministero della Difesa, 2010. Consultabile all‟indirizzo - http://www.difesa.it/SMD/CASD/Istituti_militari/CeMISS/Pubblicazioni/News206/2011-01/Pagine/Sviluppo_nellambito_nazionale__12341globalita.aspx

- S. Mele, Cyber Security & Cyber Intelligence. La Sicurezza dei Contingenti Militari contro le nuove minacce .- CeMiSS – Centro Militare Studi Strategici, Ministero della Difesa, 2011. Consultabile all‟indirizzo - http://www.difesa.it/SMD/CASD/Istituti_militari/CeMISS/Pubblicazioni/News206/2012-01/Pagine/CyberSecurityCyberIntelligence.aspx











http://www.difesa.it/SMD/CASD/Istituti_militari/CeMISS/Pubblicazioni/News206/2012-01/Pagine/CyberSecurityCyberIntelligence.aspx

http://www.difesa.it/SMD/CASD/Istituti_militari/CeMISS/Pubblicazioni/News206/2012-01/Pagine/CyberSecurityCyberIntelligence.aspx


- Richard A. Lipsey, Network Warfare Operations: Unleashing the Potential, CeCenter for Strategy and Technology, Air War College, Air University, November 2005.

- John Bumgarner, Computers as Weapons of War, IO Journal, Maggio 2010. - G. Grasso, Cyber Warfare & Cyber Intelligence NATO-EU: una sfida da affrontare

insieme, IWC 2011. - Program Evaluation Division, Managing local government computer systems: a best

practices review, Office of the Legislative Auditor, State of Minnesota, 2002. - Gartner Research, Desktop PC Life: Four Years For The Mainstream, TechRepublic,

19 Dicembre 2001. - Richard Mackey and Jonathan Gossels, Mastering Fundamentals: Part 3, Information

Security Magazine, 2000.

- Gartner Research, Distributed Security Staffing Levels, Research Note TG-06-4474, 17 Novembre 1998.

- Justice Management Division, The Department of Justice Systems Development Life

Cycle Guidance Document Chapter 11: Operations and Maintenance Phase, U.S. Department of Justice, Marzo 2000.

- Gary C. Kessler, Gary Kessler‟s Musings About Network Security, Vermont Telecom News, Luglio 2001.

- Peter Mell, Intrusion Detection: A Guide To The Options, TechRepublic, 6 Novembre 2001.

- Computer Science and Telecommunications Board, Cybersecurity Today and Tomorrow: Pay Now or Pay Later, National Academy Press, 2002.

- Joint Chiefs of Staff, Joint Vision 2010, Washington D.C., Luglio 1996.

- Juan Carlos Vega, Computer Network Operations Methodology, Naval Postgraduate School of Monterey, California.

- B. Lockridge, Reggie Barnett, Cyber Defense, 11th Annual Freshman Conference, University of Pittsburgh

- William J. Bayles, The Ethics of Computer Network Attack, Settembre 2003.

- Russia, Developments in the field of information and telecommunications in the context of information security, bozza di risoluzione 53/70, Assemblea Generale delle Nazioni Unite.

- LTC Garry J. Beavers and LTC Stephen W. Shanahan, Operationalizing IO in Bosnia – Herzegovina, Military Review, Vol. LXXVII n. 6 dicembre 1997.


- Dipartimento della DIfesa, Joint Doctrine for Information Operations, Stato Maggiore degli Stati Uniti, Washington D.C., 9 Ottobre 1998.

- Dr. Andrew Rathmell, Strategic and Organisational Implications for Euro-Atlantic Security of Information Operations, Final Reporto of NATO Individual Fellowship, 2001.

- Ministero della Difesa, Strategic Defense Review, The Stationary Office, 1998.

- Ministero della Difesa, Kosovo, Lessons from the Crisis, The Stationary Office, 2000. Disponibile per il download all‟indirizzo: http://www.publications.parliament.uk/pa/cm199900/cmselect/cmdfence/347/34718.htm#a53

- Susanne Jantsch, Comparative Approaches to Critical Infrastructure Protection – German Approach, 22nd National Information Systems Security Conference, Ottobre 1999, Washington D.C.

- USAID launches the Albanian cyber-security program, United States Agency for International Development, 13 Giugno 2011.

- Benjamin S. Buckland, Fred Schreier e Theodor H. Winkler, Democratic Governance and the Challenges of Cyber Security, DCAF Horizon 2151 Working Paper 1, Geneva Centre for the Democratic Control of Armed Forces. Disponibile per il download all‟indirizzo http://genevasecurityforum.org/files/DCAF-GSF-cyber-Paper.pdf

- Denmark Country Report, European Network and Information Security Agency, 2011.

Disponibile per il download all‟indirizzo www.enisa.europa.eu/act/sr/files/country-reports/Denmark.pdf

- Estonia Country Report, European Network and Information Security Agency, 2011. Disponibile per il download all‟indirizzo www.enisa.europa.eu/act/sr/files/country-reports/Estonia.pdf

- Défense et sécurité des systèmes d‟informations: Stratégie de la France, National Network and Information Security Agency, 2011.

- Cyber Security Strategy for Germany, Ministero Federale Tedesco degli Interni, 2011.

- John Goetz, Marcel Rosenbach e Alexander Szandar, National defense in cyberspace, Der Spiegel, 11 Febbraio 2009.

- Chapter Four: Europe, The Military Balance, vol. 111 2011.



http://genevasecurityforum.org/files/DCAF-GSF-cyber-Paper.pdf

http://www.enisa.europa.eu/act/sr/files/country-reports/Denmark.pdf

http://www.enisa.europa.eu/act/sr/files/country-reports/Estonia.pdf


- Italy Country Report, European Network and Information Security Agency, 2011.

Disponibile per il download all‟indirizzo www.enisa.europa.eu/act/sr/files/country-reports/Italy.pdf

- Cyber Security Strategy of the United Kingdom, UK Office of Cyber Security, 2009.

- A Strong Britain in an Age of Uncertainty: The National Security Strategy, UK Prime

Minister‟s Office, 2010.

- UK House of Lords, vol. 714, part n. 134, 11 Novembre 2009. Disponibile per il download all‟indirizzo www.publications.parliament.uk/pa/ld200809/ldhansrd/text/91111w0004.htm

- Eleanor Keymer, UK recruits cyber experts to protect key networks, Jane‟s Defence

Weekly, 6 Febbraio 2011.

- Dictionary of Military and Associated Terms, Dipartimento della Difesa degli Stati Uniti, 8 Novembre 2010. Disponibile per il download all‟indirizzo http://www.dtic.mil/doctrine/new_pubs/jp1_02.pdf

- NATO Glossary of Terms and Definitions, NATO Standardization Agency, 2010.

- Michael N. Schmitt, “Attack” as a Term of Art in International Law: The Cyber Operations Context, 4th International Conference on Cyber Conflict, NATO CCD COE Publications, 2012.

- U.N. Charter, articoli 2(4), 42 & 51.

- Military and Paramilitary Activities in and against Nicaragua, 1986, Legality of the Threat or Use of Nuclear Weapons, 1996.

- United Nations Charter, art. 39 e 42.

- Relating to the Protection of Victims of International Armed Conflicts, 8 Giugno 1977.

- 1925 Geneva Protocol for the Prohibition of the Use in War of Asphyxiating, Poisonous or Other Gases, and of Bacteriological Methods of Warfare, 7 Giugno 1925.

- Commentary on the Additional Protocols of 8 June 1977 to the Geneva Conventions of 12 August 1949.

- International Committee of the Red Cross, International Law and the Challenges of

Contemporary Armed Conflicts, Ottobre 2011.

- International Committee of the Red Cross, International Law and the Challenges of Contemporary Armed Conflicts, at 37, Ottobre 2011.

http://www.enisa.europa.eu/act/sr/files/country-reports/Italy.pdf




- Michael Vatis, Cyber Attacks: Protecting America‟s Security Against Digital Threats, ESDP 2002-04.

- Laura DiDio, U.S. Coast Guard Beefs Up Security After Hack, 22 Luglio 1998.

- Richard W. Walker, Feds Say Virus Threats Keep Them Awake at Night, Government Computer News, 20 Agosto 2001.

- Number of known computer viruses exceeds 1 million, PRLOG Press Release Distribution. Consultabile all‟indirizzo http://www.prlog.org/10814398-number-of-known-computer-viruses-exceeds-1-million.html

- Clifford Stoll, The Cuckoo‟s Egg, New York: Pocket Books, 1989.

- Kevin Anderson, Cyber-Terrorists Wield Weapons of Mass Destruction, BBC News,

22 Febbraio 2000. Consultabile all‟indirizzo http://news.bbc.co.uk/hi/english/sci/tech/specials/washington_2000/newsid_648000/648429.stm

- Institute for Security Technology Stuidies, Cyber Attacks During the War on Terrorism: A Predictive Analysis, 22 Settembre 2001.

- Dorothy E. Denning, Information Warfare and Security, Ethics and information Technology Vol. 1 numero 3, 1999.

- Brian Williams, Afghan Foes Used Web, Had Money to Burn, Feds Say, 19 marzo 2000.

- Timothy D. Presby, Computer Network Attack and Its Effectiveness against Non-

State Actors, Naval War College, Department of Joint Military Operations, 2006.

- Dan Kubel, Information Operations Interview with Professor Dan Kuehl, Infocom Magazine, 2003.

- Joint Chiefs of Staff, Information Operations, Washington D.C., 5 Luglio 2005.

- Joint Chiefs of Staff, Doctrine for Joint Operations, III-13, Washington D.C., 2001.

- Christopher Lamb, Information Operations as a Core Competency, Joint Force Quarterly n. 36, Dicembre 2004.

- Dorothy E. Denning, Assessing the Computer Network Operations Threat of Foreign Countries, Information Strategy and Warfare: A Guide to Theory and Practice, 2007.



http://news.bbc.co.uk/hi/english/sci/tech/specials/washington_2000/newsid_648000/648429.stm

http://news.bbc.co.uk/hi/english/sci/tech/specials/washington_2000/newsid_648000/648429.stm


- Rudolph Reb Butler, Dick Deckro and Jeff Weir, Using Decision Analysis to Increase Commanders‟ Confidence for Employment of Computer Network Operations, IOSphere Joint Information Operations Center, 2005.

- Joint Publication 1-02, Department of Defense Dictionary of Military and Associated Terms, 2003.

- Joint Publication 3-0, Doctrine for Joint Operations, 11 Agosto 2011. Disponibile per il download all‟indirizzo http://www.dtic.mil/doctrine/new_pubs/jp3_0.pdf

- Edward C. Mall, Gary Endersby, Thomas Serle, Thinking Effects: Effects-Based

Methodology for Joint Operations, CADRE Paper 15, AL: Air University, 2002.

- Department of the Air Force, Air Force Instruction 99-103, Capabilities-based test and evaluation, 2009.



Ce.Mi.S.S.141

Il Centro Militare di Studi Strategici (Ce.Mi.S.S.) e' l'Organismo che gestisce, nell'ambito e per

conto del Ministero della Difesa, la ricerca su temi di carattere strategico.

Costituito nel 1987 con Decreto del Ministro della Difesa, il Ce.Mi.S.S. svolge la propria opera

valendosi si esperti civili e militari, italiani ed esteri, in piena liberta' di espressione di pensiero.

Quanto contenuto negli studi pubblicati riflette quindi esclusivamente l'opinione del Ricercatore e

non quella del Ministero della Difesa.

Gerardo IOVANE

Gerardo IOVANE è docente di Analisi Matematica alla Facoltà di

Ingegneria dell‟Università di Salerno e di Tecnologie Avanzate per la

Sicurezza, Biometria ed identificazione al Corso di Laurea in Informatica

dell‟Università di Messina, è coordinatore del Corso di Laurea in

Ingegneria dell‟Informazione per la Sicurezza e l‟Innovazione alla Link

Campus University di Roma.

Diplomatosi con il massimo dei voti alla Scuola Militare Nunziatella, si è laureato con lode in Fisica

Nucleare e Subnucleare. Dopo un master al CERN di Ginevra , ha conseguito poi il Dottorato di

Ricerca in Fisica, il Dottorato di Ricerca in Matematica, il dottorato di Ricerca in Ingegneria ed

Economia dell‟Innovazione. E‟ titolato IASD (Istituto Alti Studi per la Difesa); inoltre, dal 2006

collabora con il CeMiSS (Centro Militare Studi Strategici) dirigendo specifiche ricerche su temi

strategici di interesse nazionale. E‟ valutatore di progetti ai Ministeri Italiani MIUR, MiSE ed al

MiPAF. E‟ autore di oltre 200 lavori scientifici tra libri, saggi, articoli e contributi a conferenze

nazionali ed internazionali. E‟ editore di diverse riviste internazionali. Ha vinto diversi premi tra cui:

Best Applications of Measurement and Automation for 2002-2003 e 2003-2004 in Europe, il

Premio Speciale Leonardo per la Ricerca Scientifica nel 2010; è Segretario Nazionale per l‟Italia

dei Corrispondenti Diplomatici per le Relazioni Internazionali – Malta dello IODR (International

Organization for Diplomatic Relations), dal 2011; è stato insignito di diverse onorificenze tra cui

quella di Cavaliere dell‟Ordine al Merito della Repubblica Italiana. E‟ il Presidente Internazionale

dello IIASCEPP (Istituto Italiano Alti Studi sulla Crescita e l‟Evoluzione Personale e Professionale).

Gli sono state conferite le Lauree Honoris Causa in: Medicina Nucleare, Scienze Turistiche, Affari

Internazionali e Relazioni Diplomatiche; inoltre, gli è stata conferita la full professorship honoris

causa in Computer Science dalla Costantinian University (State of Rhode Island, USA).

141

http://www.difesa.it/SMD/CASD/Istituti+militari/CeMISS/

http://www.difesa.it/smd/casd/istituti_militari/CeMISS/Pagine/default.aspx

http://www.difesa.it/SMD/CASD/Istituti+militari/CeMISS/

Computer Network Operations

Documents

Transcript of Computer Network Operations