E ci risiamo.

Gli esperti minimizzano, e per certi versi hanno ragione, ma quello che e' successo ieri con l'attacco di Ransomware non e' stato qualcosa di cui andare fieri. Sono state colpite, in pratica, soltanto infrastrutture minori, diverse migliaia in tutto il mondo, e nessuna infrastruttura definita come "critica". Bene.
Del resto siamo in guerra con la Russia, che ci piaccia o meno, e siccome questi hacker (come ormai quasi tutti) sono sotto l'ombrello di Putin , che offre loro passaporto e liberta' di attacco , bisogna fare una certa propaganda. Vero.
Ma adesso bisogna aprire la scatola e capire cosa sia successo. Non mi riferisco al fatto che questo attacco abbia riguardato una vulnerabilita' per la quale VMware aveva gia' dato la patch. Che molti se ne freghino delle best practices e' noto.
Ma il problema sta nell'assetto generale della Rete.
Casomai qualcuno non se ne fosse accorto, il mondo sta cambiando. Dal mondo globalizzato ove persone e merci giravano senza problemi, e tutti si fidavano di tutti, e l' Europa non vedeva problemi a dipendere dalla Russia per il gas, siamo finiti in un'epoca differente nella quale la Russia e' nemica, la Cina lo sta diventando, gli indiani si stanno ripiegando su un nazionalismo feroce, e i giganti che hanno fatto la storia della Rete si stanno indebolendo.
Ma se la situazione esterna cambia, e la mappa dei commerci e dei flussi e' stravolta dalla fine della globalizzazione, com'e' la situazione su internet?
Apparentemente immutata. Internet continua a funzionare, e a venire gestita, come se nulla fosse: il RIPE , ad Amsterdam, continua a garantire il funzionamento della rete russa, come se Amsterdam non fosse un possibile bersaglio delle prime bombe che , ipoteticamente, partirebbero da Kaliningrad.
Pensate un po' a questa cosa: la Russia e' esclusa dai circuiti internazionali di carte di credito. E' esclusa dai circuiti bancari come lo swift. Ha limitazioni nell'export.
Internet funziona come sempre.
Il RIPE continua a propagare allegramente le rotte per gli AS russi, e continua a connettere tranquillamente i loro exchangers.
E questo nonostante noi sappiamo bene che i russi hanno un'intera infrastruttura governativa maliziosa preposta ad attaccare infrastrutture.
Vi sembra normale?
Che cosa fa di preciso il RIPE di Amsterdam? Diciamo che , di fatto, inserisce pezzi della rete russa nella "mappa delle mappe" di Internet, cioe' il broadcast BGP, in modo che quando mandate dei dati verso un computer russo, o un russo manda dati a noi (buoni o cattivi) , la rete conosca la rotta da usare, sia per l'andata che per il ritorno.
Se il RIPE togliesse gli AS russi dalla "mappa delle mappe", la russia risulterebbe irraggiungibile, almeno da un AS europeo, oppure probabilmente i dati passerebbero per degli AS che ancora ricordano vecchie rotte e non dipendono dal RIPE.
Inoltre, si cura anche della parte di infrastruttura, "certificando" (in un certo senso) gli exchangers, cioe' i grossi nodi di traffico. Se questo venisse meno, mappa o non mappa, per i russi sarebbe piu' complicato comunicare con l'esterno.
Qualcuno potrebbe dire che se il RIPE togliesse la Russia dalla "mappa delle mappe" , o dalla "radio delle mappe" che e' il multicast del BGP, i russi potrebbero ancora usare rotte verso altri AS , tipo asiatici , sudamericani, ed altro, e da li' potrebbero raggiungere i server occidentali.
Questo e' vero, ma vedo MOLTO piu' problematico fare un DDOS, per esempio.
Ma il problema non e' pratico: volendo segmentare internet, ci sono moltissime cose che potremmo fare.
Il punto e', che la gestione di internet procede come se fossimo ancora nel mondo super-globalizzato di prima, dove la spezia deve fluire e sia le merci che le persone vanno dove vogliono quando vogliono.
Cosa andrebbe fatto a mio avviso? Per prima cosa, bisogna parlare con quelli del RIPE, che quando si parla di internet la pensano cosi':
Secondo me il RIPE dovrebbe cominciare a capire che non siamo piu' negli anni '90, che che potrebbe succedere che la spezia non fluisce piu', oppure che vada incanalata adeguatamente.
Fatto questo, immaginate che ci siano quattro "defence conditions", o DEFCON, associate al grado di pericolo. Esse sono stabilite su scala nazionale, e si mappano cosi':
Stato di approntamento | Significato | Paesi (dis)connessi |
DEFCON 4 | Business as usual, nessun particolare rischio. | Tutti i paesi del mondo sono raggiungibili. |
DEFCON 3 | Ci sono attacchi informatici molesti, ma i danni sono contenibili con buone pratiche. I rapporti con altri paesi non sono migliori o peggiori di sempre. | Tutti i paesi tranne i rogue state (Nord Korea, Russia, Iran, Afghanistan, etc) e tranne i paesi in apposite liste nere (es: Comacchio) sono raggiungibili |
DEFCON 2 | Attacchi informatici DDOS e/o capaci di colpire strutture strategiche, ci sono segnali di attacco da organizzazioni legate a governi. Ci sono governi dichiaratamente ostili e capaci. | Sono connessi solo paesi classificati come amici, (Nato, UE) nei quali il livello di cooperazione con le forze dell'ordine garantisce che un attaccante "in loco" venga arrestato. |
DEFCON 1 | Il paese e' sotto attacco, non e' chiaro da dove venga l'attacco, i danni sono ingenti o difficili da misurare, i disservizi sono diffusi. | Disconnessi dal resto di internet, tranne per connessioni strategiche di tipo governativo e militare. |
Che vantaggi darebbe una struttura di questo tipo? I critici diranno che esistono le vpn, e che sarebbe come chiudere la porta dopo che i buoi sono scappati.
Questo perche' non avete capito che la disinformazione a mezzo internet e' un attacco informatico vero e proprio. Giornali come Russia Today , gia' chiusi in Francia e Germania, outlet di ogni tipo, eccetera.
Prendiamo la condizione attuale, di guerra Russia-Ukraina, sponsorizzata anche da molti paesi NATO e UE. Saremmo quindi in una situazione, sapendo che la Russia ha Fancy Bear&co, di DEFCON 2 da ormai un anno.
Difficilmente questo sarebbe un ponte insormontabile per chi vuole diffondere un malware, ma parliamo di disinformazione. Nella DEFCON 2 che io immagino, andiamo a colpire delle debolezze: per fare un "Russia Today", avete due scelte: la prima e' di essere in Russia, ma visti dall'estero, e la seconda e' creare delle aziende in loco, per accorciare le distanze.
Il guaio e' che nella DEFCON 2 che io immagino, il pubblico non riesce piu' a leggere giornali russi , e se la russia vuole disinformare deve aprire il suo outlet dentro una rete sotto il controllo di EU o USA/NATO.
Se avessimo organizzato le reti nazionali per agire come descrivo, saremmo in DEFCON 2 da un anno. In quest'anno, polizia e servizi segreti avrebbero spazzato via gli outlet russi della disinformazione: per funzionare, essi dovrebbero trovarsi sul territorio nazionale, o su un territorio politicamente molto amico, ove le istituzioni collaborano.
Il sistema attuale di difesa, cioe', e' organizzato attorno all'idea che gli attacchi informatici siano di tipo DOS/penetrazione , volti a sabotare infrastrutture e servizi, ma non capiscono che la natura ibrida del warfare di rete include anche la disinformazione.
Il DEFCON 1 avrebbe il vantaggio di bloccare i DDOS, visto che alla fine in Italia ci sono troppi pochi dispositivi per fare un vero DDOS. Se applicato da tutti i paesi NATO, questo genere di framework ovviamente avrebbe effetti molto piu' grandi.
In una situazione come quella di domenica scorsa, tutta la NATO e la UE sarebbero andate in DEFCON 1 dopo l'allarme francese, rallentando la diffusione del malware (o almeno lo avrebbero fatto se ci fossero i relativi canali di allarme).
Perche' nessuno lo propone?
Perche' quando si parla di cybersicurezza si pensa ad hacker che penetrano i sistemi, ai DOS e al DDOS, magari al phishing, e altri attacchi per penetrare il computer in un modo o nell'altro, ma la propaganda, che pure Gerasimov descrive nel suo libro come sstrumento di attacco ibrido, non viene considerata nel panorama della difesa.
Il sistema di cui parlo, infatti, e' efficace principalmente contro attacchi di tipo disinformazione, puo' mitigare i DDOS e rendere leggermente piu' difficoltoso fare scansioni su vasta scala o preparare un certo attacco , ma nel design della lotta agli attacchi infornatici o ibridi non viene quasi mai menzionata la disinformazione cone pericolo.
Mi viene da chiedermi quante lezioni bisognera' imparare prima di capire che si, la spezia deve fluire, ma sarebbe meglio se i flussi fossero sotto controllo.