Carico...

Il virus Stuxnet è stato il punto di non ritorno nel rapporto tra geopolitica e cyberwarfare. Zero Days, l'ultimo documentario di Alex Gibney, ne racconta le origini e le possibili conseguenze.

“Due parole prima di cominciare: non ne so nulla e anche se ne sapessi qualcosa, non ve lo direi”. Michael Hayden, generale in pensione dell’aeronautica statunitense, mette subito le mani avanti: questo è quel che succede quando a un ex direttore della CIA e della NSA, che si è occupato di spionaggio e sorveglianza elettronica sotto George W. Bush e Barack Obama, si fa qualche domanda su Stuxnet. E cioè di quello che molti esperti considerano uno spartiacque nel complesso mondo delle cyberarmi e in quello, altrettanto complesso, dei conflitti geopolitici.

Facciamo un po’ di storia. Nel giugno del 2010, un’azienda di sicurezza informatica bielorussa, la VirusBlokAda, rivelò di aver individuato due campioni di un malware in grado di diffondersi tramite chiavette USB infette, sfruttando una vulnerabilità di Windows 7 di cui all’epoca neanche la Microsoft era consapevole. Queste vulnerabilità sono pericolose, sono le falle per le quali non esistono ancora le toppe adeguate, sono i tunnel che conducono al castello e di cui i costruttori non si sono ancora accorti. Tramite loro, virus, worm e trojan possono infiltrarsi e causare danni. Se ne scoprono sempre di più e sono molto ambite in un mercato ricco come quello del cybercrimine e del cyberspionaggio, ma il numero di attacchi che ne sfruttano una oscilla fra i nove e i quindici all’anno negli ultimi quattro anni.

Queste vulnerabilità hanno un nome: zero days. E il malware scoperto dai bielorussi – ribattezzato Stuxnet, dalla combinazione di due parole chiave scritte nel suo codice, “.stub” e “mrxnet.sys” – non ne conteneva solo una, ma addirittura quattro.

Dal film Zero Days di Alex Gibney, 2016.

Zero Days è anche il titolo del documentario con cui Alex Gibney, regista e produttore americano, ha ricostruito e raccontato queste indagini, dipanando l’intricata matassa della storia di Stuxnet. Che dalla Bielorussia risale all’Iran, e da lì a Israele e Stati Uniti.

Gibney ha vinto un Oscar e diversi Emmy con i suoi documentari. E si vede. Zero Days, uscito negli USA a luglio ma presentato in anteprima in Italia all’ultimo Trieste Science+Fiction Festival, ha il piglio del thriller, un ritmo serrato e una bella schiera di personaggi di rilievo chiamati a rispondere – o a non rispondere, il che comunque dice molto – alle domande del regista: dal Michael Hayden che abbiamo citato all’inizio a David Sanger, giornalista del New York Times che fu fra i primi a indagare a fondo su Stuxnet, da Emad Kiyaei, direttore degli affari esteri del Concilio Americano Iraniano, a Yossi Melman, giornalista israeliano che si occupa di intelligence per il quotidiano Haaretz. Consulenti informatici, analisti politici, giornalisti, ex membri di agenzie di spionaggio, esperti di cybersicurezza, dalle cui parole emerge una trama degna dei migliori film di spionaggio.

La tesi del film è che Stuxnet sarebbe stato creato da una collaborazione fra Stati Uniti e Israele volta a danneggiare il programma nucleare iraniano. Secondo la ricostruzione di Gibney, a sua volta basata sulle indagini di Sanger, Melman e altri, Washington avrebbero accettato di lavorare insieme a Gerusalemme su questo progetto per evitare che gli israeliani prendessero iniziative più radicali, bombardando obiettivi strategici in Iran. La proverbiale miccia nella polveriera, insomma, come se il Medio Oriente non fosse già un territorio abbastanza movimentato.

carico il video...
Il trailer di Zero Days.

Nasce così l’operazione “Giochi Olimpici”, iniziata nel 2006 sotto l’amministrazione Bush e portata avanti da Obama, che aveva come bersaglio il principale complesso di arricchimento dell’uranio di tutto l’Iran a una trentina di chilometri dalla città di Natanz, nell’omonima contea della provincia di Isfahan.

Un obiettivo ambizioso, dal momento che i sistemi industriali di controllo dell’impianto erano isolati dalla rete. Non solo era quindi necessario introdurre un worm nel sistema (ecco dove entra in gioco la chiavetta USB infetta), ma il worm in questione doveva anche essere in grado di agire in maniera autonoma dai suoi sviluppatori. Una volta dentro, doveva cavarsela da solo. Doveva attaccare il sistema di controllo industriale responsabile della rotazione delle centrifughe usate per separare i materiali nucleari. Doveva agire senza che i sistemi elettronici di sicurezza rilevassero attività anomale. Doveva impedire eventuali interventi manuali per risolvere il problema. Doveva colpire senza lasciare traccia.

Ma soprattutto, doveva provocare un danno strutturale, alterando la velocità di rotazione delle centrifughe fino a provocarne la rottura.

Secondo una fonte riservata dell’NSA, Stuxnet faceva parte di una missione più ampia volta a destabilizzare non solo il programma nucleare ma anche i sistemi di comunicazione, le difese aeree e la rete elettrica dell’Iran.

“Stuxnet è stato un punto di svolta. Era la prima volta che si veniva a sapere di un software in grado di danneggiare fisicamente un hardware”, mi racconta Carola Frediani, giornalista esperta di nuove tecnologie e autrice di libri su hacking, cyberattivismo e sicurezza informatica. “Senza contare che quella cyberarma rientrava in un’operazione di sabotaggio condotta da Stati Uniti e Israele. I due governi non lo ammettono, ma ormai si dà per scontato che Stuxnet venga da lì”.

Il sabotaggio ha successo: molte centrifughe si rompono, diversi scienziati e ingegneri iraniani vengono ritenuti incompetenti e quindi licenziati, e la produzione di uranio arricchito dell’allora presidente Ahmadinejad subisce un rallentamento. Il successo galvanizzò i responsabili dell’attacco. Soprattutto Israele, a quanto pare, che volle calcare la mano. Una nuova versione del malware venne introdotta a Natanz, ma qualcosa andò storto. Un errore nel codice, forse dovuto a una modifica introdotta dagli israeliani nel tentativo di rendere il worm più aggressivo. Fatto sta che Stuxnet uscì dal complesso e, una volta libero, fece ciò per cui era stato programmato: diffondersi.

Il che però non trattenne Obama dal proseguire con l’operazione Giochi Olimpici. Secondo una fonte riservata dell’NSA, Stuxnet faceva parte di una missione più ampia, Nitro Zeus, volta a destabilizzare non solo il programma nucleare ma anche i sistemi di comunicazione, le difese aeree e la rete elettrica dell’Iran. “Stati Uniti e Israele si erano infiltrati in maniera massiccia in molte infrastrutture critiche iraniane e si tenevano pronti a ogni evenienza”, continua Frediani. “Si tratta di uno scenario che non è poi così atipico, anzi, è molto probabile che sia tutt’ora in corso una sorta di guerra di posizione fra nazioni, che si intrufolano nei sistemi di altri paesi i quali a loro volta fanno altrettanto, pronti a intervenire”.

Un contesto nel quale Stuxnet ha giocato un ruolo importante; la sua diffusione selvaggia al di fuori di Natanz ha infatti messo in allarme i produttori di antivirus e il worm è diventato di dominio pubblico. Il che da un lato ha consentito le indagini informatiche e giornalistiche che hanno gettato luce su Giochi Olimpici e Nitro Zeus. E dall’altro ha reso disponibile a tutti il codice di Stuxnet, dando nuovi spunti agli sviluppatori di cyberarmi.

Dietro questo lavoro ci possono essere gruppi statali, parastatali o addirittura di mercenari al servizio di qualche nazione, ma tutti sono accomunati da una cosa: si muovono in maniera silenziosa e continua.

“Quando emergono questi grandi casi, noi vediamo solo la punta dell’iceberg”, prosegue Frediani, “ma dietro ogni operazione c’è un lavoro di preparazione molto lungo, pianificato da parecchio tempo”. Dietro questo lavoro ci possono essere gruppi statali, parastatali o addirittura di mercenari al servizio di qualche nazione, ma tutti sono accomunati da una cosa: “si muovono in maniera silenziosa e continua, non a caso le loro azioni vengono chiamate advanced persistent threat. Una volta dentro a un sistema, passare dallo spionaggio classico al vero e proprio cybersabotaggio, come nel caso di Natanz, è ormai una semplice questione di upgrade di un software”.

Una situazione molto complessa, dunque, che porta a un altro grande problema: quello dell’attribuzione. Chi ha portato quell’attacco? Chi ha introdotto quel malware? Non si tratta semplicemente di ottenere nomi e recapiti degli esecutori dell’incursione, ma capire chi li ha mandati. Non una cosa semplice. Anche per questo è forse eccessivo parlare di un atto di guerra, come fa Zero days a proposito dell’operazione Giochi Olimpici. “Si parla spesso di cyberguerra ma è un termine esagerato e fuorviante, non solo quando si tratta di un furto di email ma anche in casi di sabotaggio come quello di Stuxnet”, conclude Frediani. “Gli scenari di guerra sono ben altri e sono ancora lontani, anche se non sono mancati episodi minori ma comunque preoccupanti come l’attacco che circa un anno fa ha disattivato la rete elettrica in una regione dell’Ucraina occidentale”.

Anche secondo Michele Colajanni, professore all’Università di Reggio e Modena, e direttore del Corso di Perfezionamento in Cyber Security, è sbagliato parlare di guerra. “Per quanto possa sembrar strano, la guerra ha le sue regole, si basa su atti e dichiarazioni evidenti. In questo caso si tratta piuttosto di forme di guerriglia o di terrorismo”.

Dal film Zero Days di Alex Gibney, 2016.

Ora che tutte le grandi nazioni hanno accesso a cyberarmi del genere, dobbiamo aspettarci una serie di prove di forza, in cui ogni contendente farà capire agli altri che è pronto a reagire, e che un sabotaggio può portare a ritorsioni. Con buona pace dei problemi di attribuzione. Come abbiamo detto, Stati Uniti e Israele negano la paternità di Stuxnet ma nel frattempo l’Iran ha imparato la lezione e si è dotato di un proprio cyberesercito – ovviamente non riconosciuto come entità governativa – che ha fatto sentire la propria voce con un attacco a una diga non lontana da New York, nel 2013. Ma se mettiamo da parte la geopolitica, che impatto ha avuto Stuxnet sulla nostra sicurezza?

“Stuxnet è stato concepito per colpire un tipo di software e impianto sviluppato per il controllo di processi industriali, realizzato dalla Siemens”, spiega Colajanni. “Ha infettato molti computer, che possono essere paragonati a portatori sani. Contengono il worm in forma latente, poiché è stato programmato per replicarsi e attivarsi solo su ben determinati tipi di macchine come quelle di Natanz”. Questo però non significa che Stuxnet non rappresenti più una minaccia: “la maggior parte dei malware non si scrivono partendo da zero, ma assemblando diverse componenti note e adatte alle funzioni che gli si vuole far svolgere”, chiarisce Colajanni. “Nel momento in cui è diventato di pubblico dominio, chiunque può ancora sfruttare una o più parti del suo codice”.

Viene quindi da chiedersi se sia possibile immaginare un uso di malware del genere da parte non di stati impegnati in una guerra fredda informatica, ma di criminali dediti ai cyberfurti. “Teoricamente sarebbe possibile, ma programmi di questo tipo sono molto dispendiosi da realizzare, in termini di tempo e di denaro. Chi vuole far soldi preferisce vie meno costose e più redditizie”. Per esempio mandando qualche milione di mail di phishing oppure attaccando i sistemi di una banca. Metodi più efficaci ma decisamente meno spettacolari di quelli hollywoodiani. “In effetti, abbiamo visto troppi film di supercattivi con supervirus che minacciano di distruggere nazioni. Ma la realtà per ora è diversa”.

Non dobbiamo quindi temere la SPECTRE ed è forse prematuro parlare di atti guerra come fa Zero days. Ma è innegabile che la storia di Stuxnet rappresenti un punto di non ritorno nell’evoluzione dei conflitti fra stati, che sempre più si dispiegano su cinque dimensioni: terra, acqua, aria, spazio e informazioni. “Qualcuno ha passato il Rubicone”, aveva commentato l’ex generale Michael Hayden a proposito dell’operazione Giochi Olimpici. E, in quest’ottica, la richiesta di una discussione pubblica sulle cyberarmi e su una loro possibile regolamentazione, portata avanti dal documentario di Alex Gibney, è quanto mai rilevante.

Michele Bellone
Michele Bellone si occupa di comunicazione della scienza e giornalismo scientifico. Collabora come freelance con l'agenzia di giornalismo scientifico Zadig e con diverse testate - Pagina 99, Pikaia, Wired.it, Micron, Oggiscienza, Le Scienze.

PRISMO è una rivista online di cultura contemporanea.
PRISMO è stata fondata ad Aprile 2015 all’interno di Alkemy Content.

 

Direttore/Fondatore: Timothy Small

Caporedattori: Cesare Alemanni, Valerio Mattioli, Pietro Minto, Costanzo Colombo Reiser

Coordinamento: Stella Succi

In redazione: Aligi Comandini, Matteo De Giuli, Francesco Farabegoli, Laura Spini

Assistente di redazione: Alessandra Castellazzi

Design Direction: Nicola Gotti

Art: Mattia Rinaudo

Sviluppatore: Gianmarco Simone

Art editor: Ratigher

Gatto: Prismo

 

Scriveteci a prismomag (at) gmail (dot) com

 

© Alkemy 2015