domenica 11 maggio 2008


Negli ultimi mesi sono state pubblicate diverse notizie provenienti dai luoghi più disparati in merito a presunti attacchi di hacker cinesi verso siti governativi di altri paesi o di altro genere.

L'ultima delle tante notizie simili è stata pubblicata dal Times of India il 5 Maggio, in cui si afferma che

" The core of the assault is that the Chinese are constantly scanning and mapping India’s official networks. This gives them a very good idea of not only the content but also of how to disable the networks or distract them during a conflict.
This, officials say, is China’s way of gaining "an asymmetrical advantage" over a potential adversary."

Solo un giorno prima, il 4 Maggio, notizie simili erano giunte dal Belgio:

"Over the last few weeks, hackers have repeatedly attempted to break inside the computer network of the Belgium Federal Government as well as other organizations located in Belgium.
On Friday, May 2, Jo Vandeurzen, the Belgian minister of justice, announced that his government believes the attacks were conducted from China, most likely at the request of Beijing.

"The context of this affair and all the clues lead to China," Vandeurzen said. The Belgian Minister added that it was not known whether the hackers had succeeded in their attempt to hack the Belgian government network.
Although it is also unclear why Beijing would target the Belgium network, Vandeurzen suggested that China's interest likely results from the presence in the country of most of the European Union institutions as well as the Headquarters of the North Atlantic Treaty Organization (NATO).
Vandeurzen also suggested that the role played by Belgium in Central Africa might be relevant to this affair."

Nel settembre 2007 c'era stata un'altra ondata di notizie simili: intrusioni informatiche attribuite ad hacker cinesi erano state segnalate in Germania, Francia e Inghilterra. Sempre a Settembre L'Economist ed il Financial Times avevano riportato di un attacco informatico ai danni del Segretario alla Difesa U.S.A. ed ex Direttore della C.I.A. Robert Gates.

Il FT scrive:

"The PLA regularly probes US military networks – and the Pentagon is widely assumed to scan Chinese networks – but US officials said the penetration in June raised concerns to a new level because of fears that China had shown it could disrupt systems at critical times."

L'Economist aggiunge:

"A recent Pentagon report said Chinese military exercises include launching a “first strike” attack on enemy computers, presumably to cripple America's highly networked military operations or, worse, disrupt civilian life there. Achieving “electromagnetic dominance” early in a conflict, says the report, is seen by the PLA as an important means by which the weaker Chinese forces could defeat the stronger American ones. Other “asymmetric” means would include trying to cripple America's military and communications satellites, as demonstrated last January with a missile test that blasted an old Chinese weather satellite."

Un articolo che riassume bene gli eventi è quello del Christian Science Monitor del 14 Settembre 2007:

"When suspected Chinese hackers penetrated the Pentagon this summer, reports downplayed the cyberattack. The hackers hit a secure Pentagon system known as NIPRNet – but it only carries unclassified information and general e-mail, Department of Defense officials said.

Yet a central aim of the Chinese hackers may not have been top secrets, but a probe of the Pentagon network structure itself, some analysts argue. The NIPRNet (Non-classified Internet Protocol Router Network) is crucial in the quick deployment of US forces should China attack Taiwan. By crippling a Pentagon Net used to call US forces, China gains crucial hours and minutes in a lightning attack designed to force a Taiwan surrender, experts say."

L'articolo fornisce un background sullo stato globale e in Cina della Cyber-warfare:

"Today, of an estimated 120 countries working on cyberwarfare, China, seeking great power status, has emerged as a leader.[...] China is hardly the only state conducting cyberespionage. "Everybody is hacking everybody," says Johannes Ullrich, an expert with the SANS Technology Institute, pointing to Israeli hacks against the US, and French hacks against European Union partners. But aspects of the Chinese approach worry him. "The part I am most afraid of is … staging probes inside key industries. It's almost like sleeper cells, having ways to [disrupt] systems when you need to if it ever came to war."

"Probes of the Pentagon system that would bring US intervention should China attack Taiwan are part of a program dating to the 1990s that links cyberwarfare to real-world military action by China's People's Liberation Army. The very probe shows success in China's long-term program, experts say."

Viene anche proposta un'analisi del mondo degli hacker cinesi:

"Much of the hacking prowess in China is attributed to "gray hat" hackers – techie mercenaries, often younger males, geeks proud of the title – who can be mobilized to attack systems if needed, experts say.

In cyberparlance, black hats are hackers whose professional life is spent trying to attack other systems. White hats are those who defend against attacks. But China is regarded as having a substantial number of hackers in the gray middle – cutting-edge technopatriots loosely affiliated with the Chinese government, but who are not formal agents of the state.

This allows many Chinese hackers to exist in a zone of deniability. To be sure, provability and deniability are central in cyberwarfare. The most difficult problem is how to prove who hacks a system."

Si tocca qui un punto cruciale di tutta la vicenda. Gli attacchi informatici, per loro natura, sono virtualmente e praticamente impossibili da rintracciare con certezza. La Cina ha peraltro ufficialmente e sistemicamente negato tutte le accuse che gli sono state avanzate in proposito.

A proposito l'articolo del CSM scrive:

"Analysts say China constantly probes US military networks. But attributing this conclusively to the People's Liberation Army, fingered by German officials in Der Speigel, is almost impossible. To trace attacks to their source requires the help of those who control each link, or router.

Proving cyberattacks involves what Mulvenon calls the "Tarzana, California, problem." How does one know an attack "isn't coming from a kid in Tarzana who is bouncing off a Chinese server?" Mulvenon asks. "You don't. You can't predicate a response based on perfect knowledge of the attacker. But we think that correlation is causation. That is, 'Who benefits?' The best-case analysis is to correlate attacks with what Chinese have always said and written their goals are, which makes them by far the most likely suspect."

Quindi la tecnologia informatica rende possibile compiere attacchi in qualsiasi sistema ma non è in grado di rintracciare con certezza l'esecutore dell'attacco. Per fare ciò è necessario tornare ai tradizionali metodi investigativi e chiedersi chi ha interesse a compiere l'attacco? Chi è interessato all'utilizzo di tali tecnologie?

In effetti è risaputo che l'Esercito cinese ha sempre dato importanza alle tecniche di guerriglia informatica, particolarmente nell'ambito di una concezione di guerra asimmetrica permanente.
Già dagli anni '90 venivano studiate strategie che tenevano in grande conto le tecnologie informatiche, le cui possibilità erano analizzate con particolare riferimento ai potenziali danni che tali tecnologie avrebbero potuto rappresentare in mano a gruppi o individui criminali o applicate a possibili scenari futuri di guerra.
Sono disponibili anche documenti in italiano a riguardo. Nell'introduzione a Guerra Senza Limiti (超限战, Unrestricted Warfare, 1999) di Qiao Liang e Wang Xiangsui, Colonnelli superiori appartenenti all'Aeronautica Militare dell'esercito cinese , il Generale dell'Esercito Italiano Fabio Mini riporta un articolo del 1995 di Hong Shan dell'Università della Difesa che scrive:

"Hu Xiuzhi, direttore della fabbrica militare 7425 di Nanjing, metteva in evidenza che la seconda rivoluzione dell'informazione, che sta ora avvenendo in tutto il mondo (la "superstrada dell'informazione"), è destinata ad influenzare lo sviluppo della difesa nazionale e cambiare le caratteristiche delle operazioni e l'organizzazione delle forze armate. [...] Questa rivoluzione ha la propria punta di lancia nella tecnologia dell'informazione"

Il libro dei due colonnelli presenta la loro teoria di guerra asimmetrica, per cui

"Guerra senza limiti significa superare i confini, le restrizioni e perfino i tabù che separano il militare dal non-militare, le armi dalle non-armi, e il personale militare dai civili."

Tale visione ha la caratteristica di racchiudere in un sistema globale tutti i centri di potere in competizione tra loro, siano essi organizzazioni di tipo governativo, non-governativo, militare, criminale, finanziario, economico, politico, regionali, nazionali, sovra-nazionali o quant'altro, e studiarne le metodologie da essi utilizzate, per avere la possibilità di prevederne le minacce, accertarne i rischi e sviluppare eventuali opportunità.
In questo sistema la tecnologia informatica e la cyber-warfare acquistano una importanza non secondaria, in special modo in un contesto di guerra asimmetrica in cui si è parte "debole" in caso di conflitto convenzionale.

Nella traduzione della C.I.A. di Unrestricted Warfare si legge:

"in past wars, the smallest combat element was the combination of a man
and a machine, and its usefulness would normally not go beyond the scale of battles.

In beyond-limits war, by contrast, the man-machine combination performs multiple offensive functions which span the levels from battles to war policy. One hacker + one modem causes an enemy damage and losses almost equal to those of a war. Because it has the breadth and secrecy of trans-level combat, this method of individual combat very easily achieves results on the strategic and even war policy levels."

D'altra parte, dal punto di vista cinese, la crisi finanziaria asiatica del '97 e il bombardamento dell'ambasciata cinese a Belgrado nel '99, fino alle interferenze di Paula Dobriansky e Nancy Pelosi in Tibet, e alle trasmissioni in tibetano di The Voice of America e The Voice of Tibet, non sono altro che ulteriori tecniche di guerriglia in un contesto asimmetrico, che si affiancano alle strategie confrontazionali poste in atto in un contesto più convenzionale, come quello della NATO o dello Scudo di Difesa Missilistica Globale.

Inoltre, come abbiamo visto nel mondo almeno 120 paesi sono autori di attacchi informatici, e gli stessi Stati Uniti D'America sono all'avanguardia in tal senso. L'aviazione dell'Esercito Americano comprende la 67th Network Warfare Wing, che

"Organizes, trains, and equips cyberspace forces to conduct network defense, attack, and exploitation. Executes full spectrum AF network operations, training, tactics, and management for AFNetOps/CC and combatant CCs."
Questo articolo del Gennaio 2008 pubblicato sulla rivista dell'Air Force U.S.A. dimostra che il Dipartimento della Difesa americano tiene in seria considerazione le notizie di cyber-attacchi alle infrastrutture informatiche U.S.A. e più in generale le potenzialità della "guerra informatica".
Recentemente, a Marzo 2008, è stato pubblicato lo Strategic Vision dell' Air Force Cyber Command, da cui si legge:
"Warfighters rely upon cyberspace to command and control forces in the 21st century.[...] As the nation’s premier global, multi-dimensional maneuver force, the United States Air Force is
charged with safeguarding America by dominating air, space, and cyberspace.[...] Mastery of cyberspace is essential to America’s national security. Controlling cyberspace is the
prerequisite to effective operations across all strategic and operational domains—securing
freedom from attack and freedom to attack. We will develop and implement plans for maturing
and expanding cyberspace operations as an Air Force core competency. We will provide decisionmakers flexible options to deter, deny, disrupt, deceive, dissuade, and defeat adversaries through a variety of destructive and non-destructive, and lethal and non-lethal means."

"Cyberspace is the foundation for a growing portion of our commerce, critical infrastructure,
and national security. Securing our nation’s critical infrastructure will increasingly depend upon effective cyberspace operations and exploitation of cyber technology

"Cyberspace favors offensive operations. These operations will deny, degrade, disrupt, destroy, or deceive an adversary. Cyberspace offensive operations ensure friendly freedom of action in cyberspace while denying that same freedom to our adversaries. We will enhance our capabilities to conduct electronic systems attack, electromagnetic systems interdiction and attack, network attack, and infrastructure attack operations. Targets include the adversary’s terrestrial, airborne, and space networks, electronic attack and network attack systems, and the adversary itself. As an adversary becomes more dependent on cyberspace, cyberspace offensive operations have the potential to produce greater effects."

Sembra quindi chiaro che, tornando alla ricerca di chi potrebbe avere interesse ad utilizzare tali sistemi di infiltrazione informatica, la lista potrebbe essere molto lunga.
Francia e Israele sono state implicate in un attacco informatico ai danni di network militari dell'Air Force americana.
E' sempre del ricorrente Settembre 2007 la notizia che in Germania, come negli U.S.A., la polizia potrà usare police-ware per le proprie indagini:

"A scandal is brewing in Germany and elsewhere as revelations spread that the German government plans to use trojans and other forms of malware (so-called "policeware") to spy on and track persons of interest. The plan would entail using official, legitimate e-mail channels (messages from legitimate business or government entities) in order to install specialized malware on the computers of suspected terrorists."

La notizia (update 13/05: il 27 Febbraio la Corte di Giustizia tedesca ha dichiarato l'uso di "policeware" una violazione della privacy e quindi della Costituzione) è ripresa dal Blog di New Scientist nell'interessante commento alla notizia dell'attacco informatico al Pentagono riportato dal Financial Times, in cui si fa notare la coincidenza del fatto che tali notizie, se pur riguardanti fatti risaputi da anni, escono, senza che venga fornito un contesto, in concomitanza di particolari eventi, ad esempio l'incontro di Hu Jintao con Bush e la Merkel, sempre a Settembre 2007, o più recentemente gli scontri in Tibet. In pratica per l'ennesima volta i media utilizzano informazioni slegate dal loro contesto per secondi fini. A questo proposito il Blog Mutant Palm ha pubblicato un paio di post a riguardo delle solite manipolazioni ed esagerazioni dei giornali.

A questo proposito, oltre ai già citati articoli sulle intrusioni in India e Belgio, recentemente (il 10 Aprile) Business Week ha pubblicato un lungo articolo intitolato "The New E-spionage Threat" a riguardo di supposti attacchi compiuti da hacker cinesi, la maggior parte dei quali partiti da un sito di domini web basato a Changzhou chiamato "". L'articolo riporta anche di una "operazione classificata" del Governo degli U.S.A. chiamata "Byzantine Foothold" creata

"to detect, track, and disarm intrusions on the government's most critical networks".

Altri attacchi (che, perlomeno quelli realmente avvenuti, sembrano essere stati fatti utilizzando tecniche semi-professionali tipo Distributed Denial of Service, sul tipo di quelli utilizzati in scala molto maggiore giusto un anno fa in Estonia) recentemente hanno avuto come obiettivo siti dedicati al Tibet, ad esempio hanno riportato di aver subito attacchi informatici, il sito del Governo Tibetano in Esilio (questo caso particolare è stato da me discusso in un precedente post), e Students For a Free Tibet.

E' chiaro per quanto visto finora che gli indizi presentati dall'articolo di Business Week e dagli altri non possono provare un coinvolgimento reale di hacker cinesi. La tecnologia non aiuta nel rintracciare il vero colpevole dietro il labirinto di server.
E' quindi quantomai necessario non fare di tutta l'erba un fascio, ma piuttosto analizzare i casi ad uno ad uno, per considerare di volta in volta se sia più probabile si tratti di: attacchi che coinvolgono direttamente organi militari o privati atti a prendere il controllo di network strategici o per operazioni di spionaggio; attacchi DDoS o semplici defacement organizzati da gruppi individuali o organizzati che possono essere più o meno allineati alle politiche del proprio governo; accuse fasulle, tentativi propagandisti atti a disinformare per danneggiare l'avversario.

Con la consapevolezza che, per quanto plausibile possa essere a seconda dei casi ciascuna delle varie ipotesi, lo stato attuale della tecnologia informatica, e la struttura stessa di tale disciplina, rendono impossibile accertare chi sia la vittima e chi il carnefice, e di conseguenza un' adeguata e definitiva analisi del livello effettivamente raggiunto dalla Cyber-warfare.

UPDATE 14/05: Punto Informatico ha pubblicato oggi un post relativo a questo articolo (via Threat Level) del Col. Williamson III dell'U.S. Air Force sul Cyberspazio.

2 commenti:

Anonimo ha detto...

Complimenti, bell'articolo

matteo ha detto...
Questo commento è stato eliminato dall'autore.