Come in ogni conflitto che si rispetti, anche nel recente tra Israele e Gaza (Hamas) la propaganda sta prendendo il sopravvento. I conflitti più recenti ci hanno insegnato che ora la propaganda sfreccia anche lato cyber ed proprio quello che sta succedendo nelle ultime ore con gli “attacchi informatici catastrofici” che leggiamo nei giornali. Vediamo perché è importante saper dare la priorità e il giusto rischio agli eventi ed evitare di cascare dentro la propaganda di guerra.
Questo articolo è strutturato con paragrafi quasi indipendenti, se sei interessato ad un argomento specifico, puoi anche usare l’indice per capire dove leggere.
L’Italia nel mirino degli hacker anti-Israele
Quando si leggono titoli come questo, oppure “GLI HACKER ENTRANO IN GIOCO NELLA GUERRA ISRAELE – HAMAS” o ancora “Attacco hacker anti-Israele a siti aeroporti italiani”, bisogna cercare di capire cosa si nasconde nel contenuto subito dietro questi titoli.
Spesso è difficoltoso e dal corpo dell’articolo stesso non viene dettagliato cosa stia realmente accadendo. Viene solo naturale pensare che ci sia una guerra cibernetica in corso, esattamente parallela a quella cinetica, che mette a rischio qualsiasi Paese esponga la propria idea sul conflitto.
Ok, non è proprio così. Soprattutto se parliamo di titoli italiani, quello a cui avete assistito nelle scorse ore, corrisponde più o meno agli elementi di disturbo instillati da “Nuova Generazione” quando quattro ragazzi si siedono in mezzo ad una strada per bloccare una fila di macchine, a supporto delle proprie idee sul cambiamento climatico. Avete presente quelle manifestazioni? Non sono proprio degli atti di guerra e quelle persone difficilmente possiamo riconoscerle come terroristi. Ecco, la situazione al momento è la medesima, direi che per definirla “Guerra Cibernetica” – “CyberWar” ecc, debba ancora fare un po’ di strada. Per il momento ciò che si vede è puro attivismo e niente di più. Per definizione l’attivismo, durante un conflitto, è il vettore principale di propaganda, sia da una parte che dall’altra.
Quando l’attivista è contento delle sue azioni? Quando qualcuno lo considera. Più i media parlano di lui e più può reputarsi soddisfatto.
Da tempo infatti, tutto ciò che fa breccia sui titoli di giornale, a tutti i livelli di informazione in Italia, è proprio quella parte superficiale del rischio, appartenente all’attivismo che difficilmente potrà creare veramente uno scompiglio di guerra.
Si è verificata la medesima situazione durante lo scontro tra Ucraina e Russia (che non è per nulla terminato) e si sta ripetendo adesso con Israele e Palestina.
Ma cosa sono quindi questi attacchi?
Finora viene difficile anche definirli attacchi, ma tecnicamente questo sono, anche se “dimostrazioni attivistiche” rende molto meglio l’idea. L’idea di attrarre l’attenzione dei media, per far strada alla propaganda, non ha quindi bisogno di grande complessità nelle operazioni. Basta creare il minimo scompiglio e il nemico verrà subito distratto. Infatti i gruppi attenzionati dai media, sono dediti ad attacchi DDoS, cioè organizzare un gruppo medio di persone spinte tutte dallo stesso ideale, per saturare le capacità di fruizione simultanea di un certo sito Web. Come se un grande numero di utenti navigassero tutti insieme contemporaneamente su uno stesso sito Web. Questo per quel lasso di tempo non risponderebbe più perché troppo oberato di lavoro. Il tempo per tenere un sito Web in questo stato è molto costoso, infatti queste dimostrazioni durano pochi minuti e poi terminano e si passa ad un altro sito, per attrarre l’attenzione di altre popolazioni.
Quando vediamo queste notizie quindi, dobbiamo pensare che quei 3 aeroporti italiani (peraltro abbastanza secondari rispetto al traffico aereo ordinario), hanno avuto il proprio sito Web non disponibile, per pochi minuti, a volte non si arriva nemmeno a dieci!
Questa è la guerra? Ve lo dico io, No.
- Non è questa la guerra e peggio che mai la guerra cibernetica.
- Non sono questi gli attacchi che bloccano la nostra sanità, le nostre banche o qualsiasi altro punto strategico di un Paese.
- Non sono nemmeno importanti come veicolo per altri attacchi maggiori, perché i gruppi che li sviluppano (letteralmente) non sanno fare altro che questo.
- Non sono collegati a gruppi di criminali decisamente più pericolosi che invece, se agiranno, lo faranno magari direttamente pagati da uno Stato, producendo danni veramente importanti e paragonabili ad azioni di guerra, scarsamente saranno accompagnati da propaganda e ovviamente, non saranno annunciati.
Cosa si può fare per rimediare?
Come prima azione reputo che durante un conflitto, aizzare la propaganda è un problema. Non andrebbe alimentata perché si produce solo informazione malevola. In ambito cyber questo si traduce, filtrando ciò che succede tutti i giorni e dando la giusta priorità agli eventi, prima che diventino una notizia. Attacchi di questo genere non dovrebbero diventare una notizia, perché così facendo stiamo solamente dando importanza a chi la sta cercando, facendogli quindi raggiungere l’obiettivo. È infatti importante far sapere che questi gruppi di criminali, appena rivendicano attacchi come quelli dei giorni scorsi contro gli aeroporti italiani, aspettano proprio che i media parlino di loro per ritagliare la foto del giornale di turno e mostrarla sul proprio canale di comunicazione (spesso Telegram), come un trofeo raggiunto.
Non parlare di loro, aiuta sicuramente. Non sono importanti, ma gli stiamo dando una importanza gratuita enorme.
E per risolvere i DDoS anche se non sono pericolosi?
Analizzando le strutture informatiche in possesso di questi gruppi, abbiamo ben chiara la dimensione fisica su cui lavorano questi cosiddetti hacktivisti. Sappiamo per esempio che non dispongono di grande larghezza di banda e anche i punti di sfruttamento sono pochi. Non dispongono di botnet (così si chiamano le reti quando una organizzazione ha sotto il proprio controllo un grande numero di postazioni), ma solamente di volontari che mettono i propri PC al servizio della causa.
Detto questo, per evitare di avere “danni” da questi attacchi, e quindi non incorrere nemmeno in quei pochi minuti di disservizio, è sufficiente installare una minima protezione di base nel proprio sito Web. Questo nel 2023 già dovrebbe essere un requisito minimo per qualsiasi sito Web che offra un servizio qualsiasi, quindi ovviamente anche tutti quelli statali dovrebbero già averla, a prescindere dalla presenza o meno di conflitti. Gli attacchi DDoS sono tecnologie degli anni ’90, è roba che ha almeno 30 anni. I metodi di protezione sono noti da oltre quindici anni e ormai largamente utilizzati. In alcuni casi sono anche free, ma pure gli investimenti, per queste protezioni, sono veramente irrisori.
Ho potuto verificare in prima persona che per gli attacchi DDoS di KILLNET durante la guerra Russia-Ucraina, era sufficiente avere sul proprio server un servizio di CDN (esempio Cloudflare), per essere protetti, deviando le richieste in arrivo sul proprio sito in differenti endpoint e vanificando così l’esigua attività di attacco dei criminali. Cloudflare ha pacchetti di abbonamento che si può permettere chiunque, figuriamoci un sito Web di un aeroporto o statale.
Un consiglio: volete stare protetti da attacchi DDoS? Installate Cloudflare sul vostro sito Web, o chiunque altro faccia la stessa cosa, è già un buon inizio. Gli attacchi in questa maniera non funzioneranno più, i gruppi dovranno potenziarsi notevolmente (spoiler: non sono in grado di farlo), e non ci sarà niente su cui fare notizia/propaganda.
Quindi i conflitti non generano conseguenze Cyber?
Non voglio dire questo. Anzi, è bellissimo e utilissimo studiare e divulgare cosa succede lato cyber durante un conflitto, tuttavia lo scenario andrebbe filtrato e ad ogni evento andrebbe attribuita la giusta importanza.
Ci sono molte cose più importanti che stanno succedendo da quando è scoppiato quest’ultimo conflitto tra Israele e Hamas.
Esempio 1: il ransomware
Il ransomware è uno di questi pericoli, decisamente maggiore rispetto agli attacchi DDoS di pochi minuti. Gli attacchi ransomware, che iniziano quasi sempre con una semplice email di phishing, intaccano realmente l’infrastruttura presa di mira, cifrando tutto il contenuto dei dati che si riesce a raggiungere, inoltre questi ultimi vengono rubati e rivenduti o divulgati online, pure se sensibili, strategici o importanti per qualsiasi altro motivo. Un attacco ransomware può creare morti veri (in carne e ossa) se mirato contro un ospedale, può paralizzare realmente la macchina dello Stato se mirato a strutture strategiche. Questo è sicuramente un tema da divulgare.
Esempio 2: phishing e frodi
Se invece vogliamo stare in tema con gli eventi di Israele, quello che sta succedendo che ha un potenziale di rischio elevato, per impatto e conseguenze, è l’inizio di uno sfruttamento del phishing, per frodare ignari cittadini. Con il phishing infatti i criminali hanno già iniziato a sfruttare il conflitto in Israele con diversi account su piattaforme social tra cui X, Telegram e Instagram stanno invogliando le persone a fare donazioni umanitarie per sostenere le vittime dell’attuale crisi in Medio Oriente.
Tuttavia, questi account, che elencano principalmente gli indirizzi dei portafogli crittografici, hanno origini dubbie, non sono approvati da un ente di beneficenza ufficiale ed è molto probabile che siano truffe
Le immagini (come questa sopra) sono molto realistiche e difficilmente riconoscibili come truffe. Le donazioni vengono richieste in criptovalute e sono delle truffe. Il phishing che prende piede in questa maniera, può si portare a perdite economiche, ma in attacchi più complessi può essere il vettore per malware estremamente pericoloso soprattutto per l’organizzazione dove lavoriamo pensando per esempio ai dipendenti statali o di strutture sanitarie.
Questi sono solo due esempi di attacchi rilevanti per proteggere una popolazione durante un conflitto e per tenere alta l’allerta. Ma sicuramente filtrando bene ciò che succede quotidianamente nel mondo digitale, si troveranno scenari altamente rischiosi per il nostro Paese, spinti proprio dal conflitto in corso. Si possono indagare e monitorare gruppi di minacce persistenti (APT) già noti, per cercare di anticiparne le mosse, soprattutto in ambito di perimetro cibernetico industriale e degli approvvigionamenti: sono i primi settori a saltare durante una guerra. C’è molto se vogliamo divulgare rischi cibernetici spinti da Israele o da Hamas, anche senza dare voce a gruppi di innocui attivisti in cerca di visibilità per la propria propaganda.