Cyberwars: provenienza degli attacchi e Stati più colpiti

di Francesco Galofaro, Università di Torino

Qual è lo Stato più colpito dagli attacchi informatici? Il senso comune risponderebbe “Stati uniti” alla domanda. Può sorprendere, dunque, che – in occasione dei colloqui con Joe Biden del giugno scorso – Vladimir Putin abbia dichiarato che il Paese più attaccato al mondo è la Russia. Ma è proprio vero?

Le statistiche sui cyberattacchi cambiano molto a seconda di un insieme di variabili. Si può ad esempio considerare il numero di attacchi in genere o concentrarsi su un “tipo” di attacco; si può considerare la classifica dei danni riportati in termini di denaro, o una media degli ultimi mesi, oppure il totale degli attacchi nell’ultimo decennio. Molte aziende antivirus propongono inoltre una classifica basata sui dati che ottengono, in tempo reale, dai propri utenti. 

Ad esempio, secondo Check Point (https://threatmap.checkpoint.com/), i Paesi più attaccati nella giornata di ieri (13 luglio 2021) sono Nepal, Angola, Indonesia, Bolivia, Taiwan. La maggior parte degli attacchi riguarda il settore dell’educazione, seguito dal settore governativo e dalle comunicazioni. Il tipo di attacco principale è quello eseguito da una botnet di computer “zombie”, infettati e comandati da remoto; seguono il sempreverde phishing, ovvero il tentativo di truffare o di estorcere dati via mail, e l’attacco backdoor (porta di servizio), che sfrutta una vulnerabilità del software installato dall’utente, il quale magari non aggiorna da un po’ il sistema operativo o il programma di videoscrittura. Gli attacchi provengono quasi esclusivamente dagli USA. Se stiamo a questi dati, esiste quindi un colonialismo di rapina, esercitato dai criminali degli Stati uniti ai danni di Paesi meno sviluppati. Tuttavia, bisogno considerare che si tratta di dati forniti da aziende di sicurezza; la diffusione dei loro utenti è cruciale: se consultiamo la mappa di Fortinet (https://threatmap.fortiguard.com/) si direbbe, al contrario, che tutto il mondo sia coalizzato per attaccare gli USA, i quali, a loro volta, rispondono agli attacchi.

Una fotografia più ampia della situazione viene dai dati di Kaspersky (https://cybermap.kaspersky.com/stats) azienda russa al settimo posto nel mercato globale, i cui antivirus sono diffusi in tutto il mondo. Kaspersy dà ragione a Putin: abbiamo monitorato la classifica giornaliera, e la Russia è stabilmente il Paese più attaccato, seguita da Brasile e Cina. Gli USA sono solo al quarto posto, seguiti dalla Germania. L’Italia si trova al decimo posto, dopo Paesi come la Francia (7) e la Spagna (9). 

Si trovano anche classifiche che danno gli USA al primo posto, come quella di Akamai (https://www.akamai.com/it/it/resources/our-thinking/state-of-the-internet-report/web-attack-visualization.jsp); esse vedono comunque Russia e Cina occupare stabilmente secondo e terzo posto dei Paesi più attaccati. Quest’ultima classifica è focalizzata soprattutto sulle vulnerabilità dei servizi web, ad esempio sugli attacchi ai siti web che l’attaccante può condurre attraverso la barra di navigazione – sì, avete letto bene: si può attaccare un sito attraverso la barra di navigazione.

Da quali Paesi provengono gli attacchi? FireEye (https://www.fireeye.com/cyber-map/threat-map.html) non riporta una classifica, ma segnala per gli ultimi 30 giorni USA, Russia, Cina, Thailandia, Algeria, Egitto e Corea del Sud (e non del Nord, si noti bene). Si trovano tuttavia altre classifiche redatte secondo criteri più chiari, ad esempio quella stilata per il 2020 da Symantec, altra azienda americana leader nel settore della sicurezza (https://www.enigmasoftware.com/top-20-countries-the-most-cybercrime/): si tratta di considerare il codice software che interferisce con le normali funzioni di un computer, i sistemi zombie e il numero di siti Web che ospitano siti di phishing, progettati per indurre gli utenti di computer a divulgare dati personali o informazioni sui conti bancari. Symantec ha tenuto anche conto del numero di sistemi infetti da bot controllati dai criminali informatici e dei Paesi in cui sono iniziati gli attacchi informatici. In questa classifica, gli USA sono al primo posto, con il 23% di attacchi, quasi un quarto del totale. Seguono Cina (9%) e Germania (6%). L’Italia è al settimo posto (3%), mentre la Russia si piazza soltanto al dodicesimo posto (2%). Un altro dato sorprendente è l’assenza totale della Corea del Nord dalle prime venti posizioni.

Dove vogliamo arrivare? La nostra percezione delle cyber-minacce è chiaramente influenzata dal modo in cui ci vengono raccontate dai media, i quali riportano, per così dire, solo i caduti di una parte, ovvero quelli degli USA e di qualche altro Paese europeo, e i tentativi di addossare la colpa al nemico ideologico di turno, in primis Russia, Cina e, naturalmente, Corea del Nord. Questo punto di vista non considera né il fatto che questi Paesi sono a propria volta vittime di attacchi, né che il principale Paese attaccante sono gli USA. Gli attacchi dei criminali yankee a Cuba non fanno notizia. Una volta di più i media occidentali si rivelano per ciò che sono: passive casse di risonanza del potere. Come hanno dimostrato l’attacco Solarwinds (https://www.marx21.it/comunicazione/comunicazione-comunicazione/lattacco-solarwinds-e-la-violazione-della-sovranita-algoritmica/) e l’attacco Colonial pipeline (https://www.marx21.it/internazionale/cyberattacco-contro-loleodotto-gli-usa-pagano-il-riscatto/) gli USA stanno perdendo questa guerra asimmetrica, in cui anche i Paesi più poveri hanno le risorse per rovesciare i rapporti di forza. Vengono violati ministeri economici, agenzie di sicurezza, aziende hi-tech, e grandi compagnie energetiche sono costrette a pagare riscatti miliardari. Un approccio serio al problema degli attacchi informatici dovrebbe invece insistere sulla cooperazione internazionale. L’accordo tra Xi-Jinping e Obama del 2014 è esemplare, perché ha dimostrato che gli Stati possono esercitare una “sovranità algoritmica” sui territori virtuali del cyberspazio: negli anni successivi, i furti di proprietà via internet sono stati abbattuti del 90%.