Il 27 agosto scorso il Banco de España ha provato il brivido di un ko telematico, vedendosi costretto a comunicare alla Bce i problemi dei propri sistemi paralizzati da un Distributed Denial of Service.
Un attacco Ddos, come lo chiamano gli addetti ai lavori, ha mandato fuori servizio la connessione ad internet dell’istituto bancario centrale spagnolo, i cui collegamenti hanno ceduto al peso di una infinità di richieste di accesso piovute da un quantitativo indefinito di computer che si sono concentrati simultaneamente sulle risorse online del banco.
A voler capire in termini atecnici cosa è successo, si immagini una lunga coda di autobus da cui scendono migliaia di pensionati che vanno tutti a chiedere informazioni nel medesimo negozio di scarpe (magari mandati dal concorrente venditore che opera a breve distanza) mandando in tilt i commessi e ogni possibilità di servire la clientela.
Una circostanza non nuova e una metodologia fin troppo conosciuta, ma ciononostante chi ha organizzato l’aggressione digitale è andato a segno dribblando protezioni e misure di sicurezza probabilmente non calibrate ai rischi correnti o non adeguate a fronteggiare una minaccia che continua a rivelarsi di grande efficacia.
La dinamica è ormai consolidata: i pullman virtuali di visitatori ingombranti sono realizzati con la disseminazione di software che contaminano in maniera silente milioni di computer, tramutandoli invisibilmente in “zombie” così da attivarne certe azioni all’insaputa del rispettivo legittimo utente quando scatta la chiamata alle armi. Questi apparati – al verificarsi di uno specifico evento informatico o a seguito di una sollecitazione precisa – tentano tutti contemporaneamente di accedere al sito preso di mira determinandone il naturale collasso.
Dietro le quinte ci sono organizzazioni criminali che vengono assoldate dai più diversi committenti che sanno di poter trarre profitto da una simile operazione oppure che hanno interesse a destabilizzare specifici contesti. Esistono persino “ditte” specializzate che sono pronte a demolire il bersaglio della propria clientela, a dimostrazione di quanto possa essere remunerativo offrire certi servigi al balordo di turno. Ma c’è anche chi si presta “on demand” a realizzare attacchi Ddos a soli 50 dollari al giorno come ha recentemente appurato una ricerca dei Kaspersky Labs.
Difendersi non è agevole ma è comunque possibile. Abituati alle barriere infuocate dei “firewall”, c’è chi ha confezionato qualcosa che somiglia ai respingenti in gomma delle vetturette degli autoscontri. Il traffico di utenti malevoli (inconsciamente ingaggiati e involontari complici dei malfattori) può essere “rimbalzato”, così come non mancano le possibilità di “drenare” il sovraccarico di richieste di accesso o connessione.
La protezione comincia con la maturata consapevolezza del poter incappare in un simile rischio e con la nitida percezione che la minaccia riguarda istituzioni ed aziende di qualsiasi dimensione e con qualunque dislocazione.
Le centinaia di migliaia di attacchi di questo genere che funestano ogni anno il versante hi-tech del nostro pianeta rendono necessaria una azione di monitoraggio e “schedatura” dei numeri Ip potenzialmente forieri di insidie. Esistono modelli di piattaforma di condivisione delle informazioni relativi alle minacce e di classificazione dei livelli di pericolosità di chi cerca di raggiungere un sito (tra le soluzioni più efficaci c’è quella della londinese OneFirewall Alliance), ma si fa sempre più forte la necessità di un cambio di passo istituzionale.
Solo una strategia nazionale – con la puntuale definizione di ruoli e responsabilità – può tracciare l’uniforme linea di reazione al rischio cibernetico qualunque ne sia la manifestazione.
La partita coinvolge numerosi attori: da una parte l’intelligence (nella ricognizione fenomenologica e nell’indirizzo della maggior attenzione da prestare) e la Difesa (con l’eventuale creazione di una nuova Forza Armata cyber pronta ad intervenire per contrastare qualsivoglia aggressione), e dall’altra la Protezione Civile per fronteggiare le inevitabili emergenze conseguenti il blackout delle infrastrutture critiche (energia, telecomunicazioni, trasporti, sanità, finanza), e l’industria che deve predisporre le tecnologie indispensabili per attuare ogni proposito.
La drammatica vicenda del Ponte Morandi ci sta insegnando che l’inestricabile intreccio di competenze è il peggior nemico che si può parare dinanzi. L’attribuzione mirata del “chi-deve-fare-cosa” è il miglior antidoto a commissioni interministeriali o a comitati supremi che rallentano ogni iniziativa e ne garantiscono l’insuccesso. L’universo cibernetico è troppo rapido per ammettere la lentezza dei burosauri e già si è in eccessivo ritardo.