Credito:Maksim Shmeljov/Shutterstock
Le segnalazioni di attacchi informatici dannosi e mirati stanno diventando sempre più comuni in tutto il mondo. All'inizio di febbraio, Per esempio, Le agenzie di sicurezza australiane hanno rivelato che stavano indagando su un tentativo di hacking del parlamento del paese, e non aveva escluso che dietro ci fosse un altro paese.
Man mano che vengono scoperti attacchi più complessi e potenzialmente dannosi ai sistemi critici di infrastrutture nazionali, si fanno sempre più forti le richieste di regole internazionali per governare questo fronte di battaglia emergente.
Gli sforzi per il controllo delle armi informatiche si sono prevalentemente incentrati su un modello in cui le "armi" si riferiscono a codici armati:strumenti di hacking specifici o vulnerabilità del software che li abilitano. Sono stati fatti tentativi per ridurre la proliferazione e la diffusione di quelli che vengono chiamati "exploit zero-day", i difetti nel codice di un programma che consentono a malintenzionati di interferire con i sistemi che li eseguono.
Un recente resoconto di Reuters sulle operazioni di un'ala clandestina dell'Autorità per la sicurezza elettronica nazionale (NESA) degli Emirati Arabi Uniti (UAE) ha rivelato un'altra componente degli attacchi informatici offensivi:la competenza. Questo problema ha suscitato ulteriore attenzione internazionale quando l'FBI ha annunciato le accuse a metà febbraio contro Monica Witt, un ex analista dell'aeronautica americana, accusato di spionaggio e di diserzione in Iran.
Cyber mercenari
L'indagine della Reuters ha dettagliato come alcuni ex dipendenti della National Security Agency (NSA) degli Stati Uniti, operatori con esperienza nelle tecniche di penetrazione digitale, raccolta di informazioni online e operazioni cibernetiche offensive, sono stati assunti tramite una società con sede nel Maryland per lavorare per gli Emirati Arabi Uniti.
L'indagine fa menzione specifica di uno degli strumenti – Karma – che questi appaltatori hanno impiegato per conto degli Emirati Arabi Uniti contro obiettivi specifici. Questo strumento di hacking ha permesso ai suoi operatori di ottenere l'accesso remoto e non invitato al telefono Apple di un bersaglio attraverso un difetto non specificato che ora si ritiene sia stato risolto da Apple. Reuters ha riferito che gli obiettivi di questi attacchi erano attivisti per i diritti umani, ai giornalisti americani.
L'articolo ha sollevato dubbi sul fatto che questi appaltatori potessero aver fornito ai loro dipendenti NESA capacità informatiche avanzate sviluppate dal loro ex datore di lavoro, l'NSA. Ma il sottotesto dell'indagine della Reuters è che l'esperienza di questi ex ufficiali dell'intelligence è altrettanto attraente per i loro nuovi datori di lavoro quanto qualsiasi strumento che potrebbero portare con sé.
In un articolo separato, esaminando specificamente il Karma, Reuters sostiene che sia stato acquistato dal governo degli Emirati da un venditore al di fuori del paese. In effetti, gli Emirati Arabi Uniti avevano assunto un team di ingegneri specializzati disoccupati che non potevano portare con sé gli strumenti che avevano usato negli Stati Uniti, quindi ha acquistato loro gli strumenti di cui avevano bisogno per portare a termine il lavoro. Ciò suggerisce che ci sono due componenti necessari per equipaggiare qualsiasi stato o gruppo con capacità informatiche avanzate:gli strumenti e l'esperienza.
Strumenti e competenze
Sono in corso sforzi globali per governare gli strumenti utilizzati negli attacchi informatici, come la Commissione globale sulla stabilità del ciberspazio, che ha introdotto una serie di norme internazionali sull'uso del cyberspazio per promuovere la stabilità di Internet e le buone pratiche di tutti i soggetti coinvolti. Altri sforzi sono stati a livello legislativo, come aggiunte specifiche all'accordo di Wassenaar, un accordo di controllo delle esportazioni che cerca di limitare la diffusione di tecnologie civili che possono essere utilizzate in modo militarizzato. Ma l'esperienza degli operatori informatici ha finora ricevuto un'attenzione limitata.
Nello scenario descritto da Reuters, NESA e il suo progetto Raven non avrebbero potuto operare senza gli strumenti o l'esperienza. Lo strumento stesso – Karma – e la competenza e l'esperienza necessarie per usarlo e addestrare altri a farlo, entrambi richiedono investimenti significativi.
I pericoli degli investimenti statali nella raccolta di difetti del software e nella creazione di potenti strumenti che poi sfruttano queste debolezze precedentemente sconosciute sono stati dolorosamente dimostrati attraverso la fuga della vulnerabilità accumulata dalla NSA, EternalBlue. Questa è stata la spina dorsale dell'attacco WannaCry che ha fatto notizia a livello internazionale nel 2018 grazie al suo impatto sul servizio sanitario nazionale britannico e su altri affari internazionali e servizi governativi.
Ma dovrebbero crescere le preoccupazioni sulla capacità che gli stati investono nelle competenze delle persone che scoprono e poi armano i difetti del software che alimentano le nostre vite sempre più interconnesse e dipendenti da Internet. I governi di tutto il mondo si stanno preparando per quello che vedono come il prossimo dominio della guerra cercando di reclutare talenti esistenti per progetti governativi o attraverso la formazione della prossima generazione di esperti di sicurezza informatica che sperano dia loro un vantaggio.
C'è il rischio che negli sforzi globali che si concentrano sull'uso da parte degli stati di strumenti informatici e sullo sfruttamento delle vulnerabilità nel codice di programmazione, si sta sviluppando una lacuna legislativa e di governance. Questo potrebbe vedere gli stati investire nell'addestramento delle spie informatiche, sabotatori o soldati del futuro solo per scoprire che quelle abilità critiche e la capacità che forniscono vengono rubate dal miglior offerente.
Questo articolo è stato ripubblicato da The Conversation con una licenza Creative Commons. Leggi l'articolo originale.