Miscela Strategica – Cerchiamo di comprendere meglio cosa sia davvero successo nel cyber-attack alla Sony, perchĂ© è stata incolpata la Corea del Nord e la rilevanza per la strategia nel cyberspace
COSA E’ SUCCESSO – A cavallo tra novembre e dicembre 2014 è avvenuto quello che ormai è universalmente riconosciuto come “Sony Hack”, ossia ciò che è stato definito come il piĂą grande attacco cibernetico ad una compagnia statunitense, effettuato attraverso l’uso di malicious software (programmi “maligni”), detti malware, altamente distruttivi. Dai dati esaminati gli esperti affermano che gli obiettivi raggiunti dall’attacco cibernetico presuppongono una specifica conoscenza delle infrastrutture informatiche della Sony. E’ stato reso pubblico che sono stati trafugati e distrutti dalla Sony Pictures Entertainment (SPE) circa 100 Terabyte di dati privati, molti di questi resi disponibili on-line. La perdita economica per la società è sicuramente notevole, anche se ad oggi un qualsiasi tipo di stima numerica non sarebbe altro che un’illazione. Il cyber-attack è stato trattato dal Governo degli Stati Uniti come una questione di sicurezza nazionale, a detta del portavoce della Casa Bianca Josh Earnest; anche perchĂ© presto la stampa di tutto il mondo ha sottolineato i possibili legami tra l’attacco e la Corea del Nord. Il pomo della discordia sembra essere il film “The Interview”, di cui la Sony è produttrice. Si tratta di una commedia in cui due agenti della CIA tramano per eliminare l’attuale leader nord coreano Kim Jong-un. Di certo la pellicola non è stata ben accolta a Pyongyang, come emerge dalle continue richieste pubbliche da parte del governo della Nord Corea di vietare il film, definito come un atto per promuovere ed incoraggiare il terrorismo. Da qui ad a provare l’ingerenza di Pyongyang ce ne vuole, ed analizzeremo il perchĂ©, ma prima proviamo a ricapitolare brevemente la successione dei fatti.
Fig.1 – Locandine del film “The Interview”, la cui trama non è stata gradita in Corea del NordÂ
CRONOLOGIA DEGLI EVENTI – Dal 24 Novembre 2014 iniziano a circolare in rete delle informazioni relative ad una possibile violazione delle reti informatiche di Sony Pictures Entertainment, voci confermate il giorno successivo, a cui si sono aggiunte dichiarazioni riguardanti il precedente invio di e-mail di avvertimenti e ricatti degli hacker verso i dirigenti della Sony. Tali minacce non sono state evidentemente ascoltate, dato che il 26 novembre gli hacker, autodefinitesi “Guardians of Peace – GOP”, hanno pubblicato in rete 5 film della SPE ancora inediti. Le fughe di dati, definite “leaks“, sono continuate nei giorni seguenti e gli hacker hanno reso pubbliche informazioni finanziarie e private dell’azienda statunitense, nonchĂ© dati riguardanti i server e le password utilizzate. Il 3 dicembre la stampa mondiale inizia a riferire della probabile mano della Corea del Nord dietro gli attacchi, ma Pyongyang, pur non stigmatizzando il cyber-attack, afferma di essere estranea ai fatti. In realtĂ solo dall’8 dicembre gli hacker menzionano il film “The Interview” nei propri messaggi, arrivando a minacciare un nuovo 11 settembre se il film avesse fatto la sua programmata uscita nelle sale il giorno di Natale. Il 18 dicembre terminano gli attacchi ed i GOP dichiarano ufficialmente la propria vittoria in seguito alla decisione di SPE di sospendere l’uscita del film nei cinema. Il giorno seguente un report dell’FBI annuncia ufficialmente la provata responsabilitĂ della Corea del Nord negli attacchi. Nonostante tali prove non sembrino sufficienti a garantire la certa attribuzione dell’attacco, il presidente Obama tratta la vicenda come un atto ostile da parte di un altro Stato, invita calorosamente la Sony a non sottostare alle richieste di Pyongyang ed a pubblicare il film, che sarĂ effettivamente presente nelle sale dal giorno di Natale. Con l’inizio del 2015 arrivano anche le sanzioni economiche degli Stati Uniti, mirate all’indebolimento dell’economia nord coreana.
Fig.2 – Michael Rogers, direttore della U.S. National Security Agency (NSA), durante un intervento a proposito del caso SONY
PERCHE’ ACCUSARE LA COREA DEL NORD – L’FBI, che ha collaborato con la Sony fin dai primi giorni di attacchi, ha puntato con certezza il dito verso la Corea del Nord, adducendo una serie di specifiche spiegazioni. Una prima motivazione riguarda il tipo di attacco: il malware utilizzato contro i database della SPE non ha solamente trafugato i dati, ma li ha anche eliminati dal sistema informatico. Un malware del genere è stato utilizzato lo scorso anno in attacchi cibernetici contro network televisivi e banche sud coreane, nonchĂ© nel 2012 contro la Saudi Aramco. In entrambe le occasioni si è potuto plausibilmente sostenere il coinvolgimento diretto o indiretto di Pyongyang. Difatti la Corea del Nord ha di certo sviluppato della capacitĂ cibernetiche, grazie anche all’aiuto cinese, necessarie ad effettuare un’azione di questo tipo. A sostegno della propria tesi l’FBI ha aggiunto che in piĂą occasioni gli hacker si siano dimenticati di nascondere il proprio indirizzo IP e sia stato così possibile identificarli con certezza come nord coreani.
PERCHE’ NON ACCUSARE LA COREA DEL NORD – Tutte le prove esibite dall’FBI sono state però definite dagli esperti del settore come ambigue e circostanziali. Colpevolizzare la Corea del Nord per questo attacco solo perchĂ© il malware usato sembra essere lo stesso di altri attacchi in cui Pyongyang è stata verosimilmente considerata colpevole, non sembra poter reggere. Le modalitĂ di attacco, infatti, possono essere condivise da qualsiasi hacker con ottime capacitĂ ed i malware, specie quelli giĂ usati in altre occasioni, sono abbastanza facilmente reperibili sul mercato nero ed underground del web. Le prove di accusa resterebbero comunque fragili, dato che attribuire con certezza la provenienza di un attacco cibernetico è, ad oggi, praticamente impossibile. Presumendo che tutte le prove siano valide, una volta stabilito che l’attacco provenga da computer e server della Corea del Nord e persegua scopi corrispondenti a quelli della politica di Pyongyang, come la soppressione del film “The Interview”, resta impossibile stabilire con sicurezza se ci sia la mano del governo o se sia stato invece portato avanti da hacktivist o da hacker mercenari. Se la motivazione logica che pare poi ricollegare il cyber-attack alla Corea del Nord sia legata a “The Interview”, non si dimentichi che la rimozione del film non è stata mai citata tra le richieste degli hacker, se non in seguito alle illazioni della stampa. Inoltre è necessario ricordare come la Sony sia da tempo sotto attacco, spesso efficace, di alcuni gruppi hacker che criticano le politiche dell’azienda, in particolare riguardo il trattamento dei dati personali degli utenti, a volte estorti a dispetto dei diritti di privacy.
Fig.3 – La storica torre dei Sony Pictures Studios presso Culver City, CaliforniaÂ
IL PERICOLO DELL’ATTRIBUZIONE PLAUSIBILE – La vicenda presenta anche dei punti certi, che vale la pena sottolineare al fine di comprendere le dinamiche dei conflitti nello spazio cibernetico. In questo caso non si può parlare di cyberwar, nĂ© di cyber-vandalism, ma di un attacco altamente specializzato e specifico, di natura distruttiva e coercitiva. Se si potesse con certezza affermare la colpevolezza della Corea del Nord, di certo si tratterebbe di un atto offensivo che superi chiaramente la soglia di un comportamento accettabile da parte di uno Stato. Ciò, come detto, è altamente improbabile, ma gli Stati Uniti si sono comportati come se questo sia in effetti avvenuto. Da qui si può imparare la lezione piĂą importante dell’attacco subito dalla Sony: in un contesto dominato dall’insicurezza come quello dell’attribuzione nel cyber-space, non conta la certezza ma la plausibilitĂ . Se l’attacco può essere logicamente connesso alla Corea del Nord, una potenza come gli Stati Uniti non può accettare un comportamento simile senza rispondere di conseguenza. Basta la plausibilitĂ del collegamento per determinare la probabilitĂ della rappresaglia, da preferire all’assenza di risposta. Questo tipo di approccio alle azioni ostili nello spazio cibernetico potrebbe pericolosamente innescare futuri processi di escalation.
Marco Spada
[box type=”shadow” align=”aligncenter” ]Un chicco in piĂą
Per chi desiderasse approfondire, qui può trovare l’update ufficiale dell’FBI del 19 Dicembre 2014 in cui si afferma di avere abbastanza materiale per concludere che il Governo nord coreano sia responsabile per il cyberattack.
Inoltre la Symantec, azienda statunitense fornitrice di prodotti e soluzioni per la sicurezza informatica, in una sua nota ha analizzato tecnicamente il malware utilizzato dagli hacker nell’attacco contro la Sony.
[/box]
