Zero-Day è il termine tecnico che in sicurezza informatica indica una vulnerabilità in un’applicazione o in un sistema operativo di cui lo sviluppatore non è a conoscenza, e per cui non ha dunque a disposizione alcuna risposta efficace. È anche il titolo della serie in sei puntate uscita a gennaio che racconta di un’America messa in ginocchio da un attacco informatico su larga scala: tutto il paese rimane al buio, i treni della metropolitana finiti sullo stesso binario si scontrano, i centri di controllo degli aeroporti smettono di funzionare mandando il traffico aereo nel caos, i semafori impazziti provocano incidenti a catena, negli ospedali si spengono i macchinari della terapia intensiva… Dopo un minuto di black out si contano oltre quattromila morti. Per scoprire i colpevoli e riportare l’ordine nel paese, entra a questo punto in scena l’ex presidente degli Stati Uniti George Mullen, impersonato da Robert De Niro, ritiratosi a vita privata dopo la morte del figlio.
Le scene dell’attacco informatico e delle sue conseguenze catastrofiche nel mondo reale sono sorprendenti e inaspettate, soprattutto per chi è abituato a pensare a virus e attacchi informatici solo come a fastidiosi problemi col computer di casa, o con il sequestro di dati e identità digitali. In realtà lo sono assai meno per gli esperti di cybersicurezza, che considerano questo genere di minaccia come una delle principali da cui difendersi nelle società moderne. Ne parliamo con Gabriele Costa, professore di informatica alla Scuola IMT Alti Studi Lucca ed esperto di cybersecurity.
Che cosa ha di realistico un evento del genere e delle proporzioni di quello raccontato nella serie Zero Day?
Lo scenario mostrato nella serie TV è piuttosto apocalittico nelle proporzioni perché, durante un unico attacco, vengono colpite molte infrastrutture critiche (ospedali, trasporti, telecomunicazioni…). Un attacco a una sola di queste infrastrutture che la rendesse inutilizzabile per un intervallo di tempo abbastanza lungo avrebbe sicuramente un impatto inferiore, ma tutto sommato paragonabile ad alcune delle scene che abbiamo visto. Questo lo sappiamo per certo perché abbiamo già assistito ad attacchi simili negli ultimi anni e non servono sforzi di immaginazione. I danni causati da attacchi su larga scala si quantificano ormai in centinaia di milioni (di euro o dollari) di danni e qualche volta anche in perdita di vite umane.
E di inverosimile?
Una sequenza di attacchi che colpiscono contemporaneamente tante infrastrutture critiche è estremamente improbabile e richiederebbe non uno, ma numerosi Zero-Day. Il motivo è che, in genere, la diffusione di una tecnologia è inversamente proporzionale alla sua criticità. Ad esempio, i software che garantiscono il funzionamento di una torre di controllo sono specializzati e rari, rispetto a quelli in esecuzione su uno smartphone. Colpire tanti sistemi e colpire sistemi critici sono due obiettivi che tipicamente si escludono a vicenda. WannaCry, il ransomware che in poche ore ha infettato macchine Windows in tutto il mondo, non mirava a interrompere servizi critici, ma lo ha fatto collateralmente. Stuxnet, il malware che ha attaccato la filiera di arricchimento dell’uranio in Iran, a sua volta raccontato nel film documentario Zero Days, del 2016, ha colpito un solo impianto.
Senza spoilerare sui responsabili, nella serie si scopre alla fine che l’obiettivo degli attaccanti era generare caos e paura nell’opinione pubblica. Qual è il tipo di minaccia che oggi dovremmo più temere, e a quali sistemi o apparati?
Per generare caos e paura ci sono strumenti molto meno costosi dei virus informatici, ad esempio le fake news. Un attaccante che dispone di diverse vulnerabilità Zero-Day altamente impattanti le userebbe per riscuotere grandi quantità di denaro, ad esempio chiedendo riscatti a governi e imprese. Questo già avviene oggi ed è il meccanismo alla base del mercato dei ransomware. Molti di questi neppure usano vulnerabilità Zero-Day, ma vulnerabilità note. Un esempio di ransomware che sfruttava Zero-Day è stato il già menzionato WannaCry che ne usava addirittura due (DoublePulsar e EthernalBlue). All’epoca le due vulnerabilità erano letteralmente piovute dal cielo dato che erano diventate di pubblico dominio solo un mese prima in seguito a una violazione della sicurezza della National Security Agency (e quindi non erano neppure delle Zero-Day, a volerla dire tutta). Comprate sul mercato nero, due vulnerabilità del genere sarebbero costate forse centinaia di milioni di dollari. Nella vita quotidiana i ransomware sfruttano le vulnerabilità per chiedere un riscatto a fronte di una minaccia. Ad esempio, pochi anni fa, le ferrovie hanno dovuto gestire in emergenza un attacco ransomware del gruppo Hive e ci sono stati per più giorni effetti su servizi critici come le biglietterie.
La pandemia da Covid ci colse – noi e il resto del mondo – piuttosto impreparati, cinque anni fa, nonostante l’Organizzazione mondiale della sanità ripetesse da anni o da decenni che era solo questione di “quando” non di “se” sarebbe scoppiata una pandemia. In che situazione siamo riguardo a possibili attacchi informatici?
Le nazioni si muovono in ordine sparso e non è facile avere un quadro preciso. I numeri sugli attacchi ci restituiscono un quadro desolante e che definire da “far west” è forse addirittura riduttivo. Ci sono ottimi motivi per ritenere che i servizi di intelligence di varie nazioni conoscano diverse vulnerabilità Zero-Day che conservano gelosamente nell’attesa che arrivi l’ordine di usarle. Il paragone con la pandemia non rende bene lo scenario perché i fenomeni naturali non sono guidati da agenti ostili. Lo scenario peggiore che ci può attendere è quello di una Caporetto digitale.
Come sarebbero organizzate oggi, presumibilmente, le reazioni di difesa a un attacco come quello della serie?
In breve: sarebbe molto impegnativo e molto costoso. Serve soprattutto sviluppare processi e formare le persone. La formazione del personale è frammentata e, solo recentemente, si sta sviluppando la rete dei centri per la risposta agli incidenti cyber (gli CSIRT) sotto la guida dell’Agenzia di Cybersicurezza Nazionale. È un primo passo fondamentale, ma ci sono ancora tantissime lacune, prima tra tutte il fatto che in Italia non esiste un CNA, ovvero uno sportello per segnalare le vulnerabilità scoperte dagli analisti. Per garantirsi che il sistema resista bisogna prenderlo a calci dove fa più male, effettuare penetration testing (attacchi informatici simulati e controllati) e campagne di bug bounty (penetration testing aperto al pubblico, con una ricompensa per chi scopre e segnala vulnerabilità). Tutte attività su cui siamo ancora indietro. Altre attività, come le certificazioni e la cura degli aspetti legali, invece, migliorano la postura ma lasciano un po’ il tempo che trovano. In un certo senso è come se stessimo parlando di pugilato: la corretta alimentazione è importante, ma la differenza tra il brocco e il campione la fa il numero di pugni che si riesce a incassare prima che cedano le gambe.
Chiara Palmerini
