Istruzioni per la cyberguerra (dall’Iran al Brasile)

Mentre il mondo si sta preparando alla terza guerra mondiale i facinorosi brasiliani stano già facendo le valige verso il fronte visto che (alcuni) già festeggiano la possibile entrata in guerra del nostro paese. Gli smanettoni, invece, speculano sulle possibili cyber rappresaglie tra Iran e Stati Uniti. Sappiamo che uno degli attacchi hacker più famosi al mondo, lo STUXNET (un virus di 500 kilobytes dal nome buffo e scoperto nel 2010), ha attaccato sia i sistemi SCADA, i gestori dei sistemi civili di distribuzione elettrica, sia, per uno scherzo del destino, il programma nucleare dell’Iran.

Dopo l’abituale fuga di informazioni, il sospetto che STUXNET fosse stato sviluppato da un governo straniero per sabotare altri paesi è cresciuto. I professionisti coinvolti nella scoperta del virus sono arrivati alle conclusioni che STUXNET fosse stato progettato per compromettere i sistemi, sviluppati da Simens, usati nelle centrifughe del programma iraniano di arricchimento dell’uranio. Quasi mille centrifughe si sono autodistrutte. Si è presto capito che si trattava del primo attacco cyber tra paesi moderni e che, presumibilmente, era stato lanciato da Israele e Stati Uniti verso l’Iran.

Il governo iraniano non ha esplicitamente ammesso l’esistenza di un esercito regolare di hacker e tuttavia, come altri governi del globo, fa la voce grossa quando gli conviene. D’altra parte gli hacker iraniani sono conosciuti nel mondo per essere una delle maggiori minacce alla sicurezza. Nel 2011 sono stati in grado di lanciare un “service denial”, il famoso DDos (Denial of Service), verso quarantasei imprese americane, incluse AT&T e JPMorgan Chase, lasciando i servizi offline per quasi quattro mesi. Gli hacker sono anche riusciti a entrare in alcune delle maggiori banche degli Stati Uniti, causando milioni di dollari in danni e impedendo ai clienti di accedere ai propri conti. Un membro dello stesso gruppo di hacker ha inoltre preso il controllo di uno dei sistemi che permettono il funzionamento di una diga non molto distante dalla città di New York. E non è uno scherzo: un attacco cibernetico può essere più pericoloso di un attacco armato e i paesi devono essere pronti.

L’attacco più pericoloso fino ad oggi è stato presumibilmente eseguito da hacker iraniani: l’attacco ad Aramco, che ha lasciato vari computer offline, compromettendo significativamente le esplorazioni petrolifere dell’impresa.

E il Brasile in tutto ciò? Nel 2008, un decreto firmato dell’ex presidente Luiz Inácio Lula da Silva, ha approvato la Estrategia Nacional de Defesa. Questo decreto stabiliva che la cybersicurezza sarebbe diventata un’area di interesse prioritario per la difesa nazionale, garantendone così dei fondi economici autonomi. Una delle frasi principali del decreto recita:

“l’indipendenza nazionale sarà raggiunta avendo una capacità tecnologica autonoma, inclusi i settori strategici spaziale, cibernetico e nucleare. Non si è indipendenti fin quando non si ha il controllo delle tecnologie sensibili, tanto per la difesa quanto per lo sviluppo (del paese ndt)”.

(Il documento completo).

Da quel momento sono successe alcune cose… ma non ne sono successe altre. Nel 2019, per esempio, è stata creata la Scuola nazionale di difesa cibernetica, diretta da Paulo Sergio Reis Filho, laureato in Scienze Informatiche (fiuuuu, non è un as-tro-lo-go né tantomeno un cocco dei mass media!). Tuttavia i fondi per la difesa cibernetica nazionale sono ridicoli, così come quelli investiti in quest’area di ricerca scientifica, tanto da parte del governo, quanto dalle imprese private. Sono stati stanziati meno di venti milioni di real (circa 4 milioni di euro) nella cybersicurezza brasiliana, quando il minimo consigliato (dal decreto ndt.) era di 60 milioni di real (circa 12 milioni di euro), solamente per iniziare a metterci mano.

Robert Muggah, direttore dell’Istituto di Ricerca Igarapé e specialista ampiamente citato in “Città, sicurezza e nuove tecnologie”, pone l’accento sul crescente rischio che comporta per il Brasile, il sesto paese più popoloso al mondo, una negligenza nell’area della cybersicurezza. In termini di servizi, la distribuzione idrica ed elettrica, la sanità ed i trasporti pubblici sono i più esposti ad attacchi hacker.

Le aziende di sicurezza riportano che il Brasile ha subito quindici miliardi (sic) di attacchi cyber negli ultimi tre mesi. Attacchi che possono distruggere non solamente i servizi pubblici basilari, ma anche quelli di imprese essenziali per la popolazione. Ecco un esempio: a São Paulo i biglietti dei mezzi pubblici saranno sostituiti da sistemi connessi alle carte di credito. Se dovesse verificarsi un attacco come minimo tutti quanti viaggerebbero gratis!

Luca Belli, ricercatore della FGV e direttore del progetto Cyberbrics, ha evidenziato nell’incontro del 2019 del BRICS svoltosi in Brasile (ne ho parlato qui), la necessità per il nostro paese di aggiornare i propri sistemi al fine di proteggere i suoi cittadini e le imprese. Per questo il Brasile dovrà implementare le attività di ricerca nella cybersicurezza e avviare investimenti nell’educazione e nella formazione di esperti informatici. Il Brasile ha già alcune università con nuclei di ricerca in quest’area, dove insegnano professori molto bravi ed internazionalmente riconosciuti, ma mancano risorse, sostiene il professor Diego Aranha in articoli pubblicati come questo.

Con il pasticcio fatto dal MEC (Ministero dell’educazione brasiliano, ndt) nel 2019 con il budget universitario e degli istituti federali, è chiaro che la cybersicurezza non è una delle priorità del governo, così come non è una priorità per le imprese brasiliane. Anche le altre istituzioni private che avrebbero potuto fare accordi con le università per migliorare i propri sistemi di cybersicurezza, non hanno semplicemente avuto incentivi per investire nei laboratori, visto che la legge che avrebbe dovuto multare, o anche solo responsabilizzare queste imprese in caso di fuga di dati, semplicemente non esiste e comunque nessuno applica realmente ciò che è previsto nella Legge Generale sulla Protezione dei Dati; legge, per inciso, proposta nel 2008 ma firmata solamente nel 2018.

Così come nel caso dei cedimenti delle dighe brasiliane (recente serie di incidenti che hanno portato a diverse decine di morti tra lavoratori e popolazione locale oltre che ad un inestimabile danno ambientale, ndt), le imprese sono rimaste impunite, senza dover pagare risarcimenti o multe, sia che queste lucrino sulle estrazioni di ricchezze minerarie sia sulla vendita dei dati personali.

E pensare che il Brasile non è messo male in quanto ad hacker. Bisogna tenere da conto i nostri gioielli! Uno dei documenti più interessanti che ho letto nel 2019 è stato un riassunto di “Recorded Future”, un’analisi sulla sicurezza online delle comunità brasiliane di hacker.

Certo, siccome l’area finanziaria (dalla carta di credito fino al CPF [codice fiscale elettronico, in Brasile necessario ad ogni acquisto di beni o servizi, ndt]) è una delle più amate dagli hacker del mondo, anche i nostri non sono stati da meno e si sono specializzati nelle frodi in questo settore. La relazione dice, ad esempio, che lo spam (via mail, sms o WhatsApp) è ancora uno dei principali metodi di propagazione dei virus nel paese. Chi soffre maggiormente del problema è la parte più debole della popolazione. Nel sistema pensionistico pubblico, ad esempio, si sperimenta una continua di fuga di dati o comunque un trattamento irresponsabile degli stessi. La relazione mostra anche che i cybercriminali brasiliani non si sono scoraggiati di fronte all’autenticazione a due fattori (2FA), visto che i protocolli di sicurezza degli sms in Brasile sono meno rigorosi che all’estero. Ancora una volta gli operatori di servizi non hanno avuto nessun obbligo statale nel migliorare i sistemi di sicurezza e le frodi continuano a esistere senza troppo scomodare le imprese che, invece, continuano a guadagnare.

Il Brasile si classifica male nel National cyber security index, una classifica mondiale per valutare le situazioni digitali dei paesi. La classifica ha un metodo di comparazione interessante (per approfondire) e il Brasile si piazza dietro paesi come India, Russia, Cina e vicino al Pakistan. (Il ranking del 2019 mostra al primo posto la Grecia. L’Italia è quindicesima in conformità con la zona UE, con gli USA tredicesimi e il Regno Unito sedicesimo. Il Brasile si piazza cinquantasettesimo, ndt).

Per la cronaca non abbiamo né un potere militare né tantomeno una visione strategica del futuro del paese. Con l’assenza di investimento nella ricerca e l’assenza degli incentivi alle imprese per migliorare la cybersicurezza, il Brasile è molto vulnerabile. In caso di un attacco dell’Iran verso il Brasile, avrà una doccia calda solamente chi ha il fotovoltaico installato in casa o chi ruba la corrente.

Esiste tuttavia una possibilità che non rattristerebbe molte persone: un attacco bancario che potrebbe cancellare dai conti correnti le tracce dei debiti. Ieri ho sentito delle strane voci mentre chiacchieravo con un amico sulla possibilità di un attacco simile a quello di Mr. Robot. Ovviamente per il mondo sarebbe terribile e tutto ciò causerebbe una tremenda crisi finanziaria, ma, allo stesso tempo, sarebbe un modo per liberare diverse persone dai debiti esorbitanti che sono rimasti dopo la sottoscrizione di mutui a tassi eticamente inaccettabili. Non ci resta che tifare perché gli iraniani siano creativi… e non attacchino il Brasile.