Microchip spia, reti telefoniche compromesse, malware di Stato: da tempo la Casa Bianca cerca di sollevare l’attenzione sullo spionaggio industriale e la sistematica raccolta di dati che alcuni Paesi - Cina in testa - starebbero portando avanti nei confronti di altri attori internazionali. Il 4 ottobre un’inchiesta di Bloomberg svela la presenza nei server di SuperMicro, azienda taiwanese-americana con le fabbriche in Cina, di piccoli dispositivi elettronici («grandi quanto un chicco di riso») in grado di raccogliere informazioni che la Repubblica Popolare potrebbe usare per essere più competitiva sul mercato.
Tra i clienti di SuperMicro nomi come Amazon e Apple, che però smentiscono categoricamente di essere in possesso di dispositivi corrotti, contraddicendo le 17 fonti indipendenti citate da Bloomberg. La notizia ha scatenato una tempesta sui mercati asiatici: il leader cinese dei pc, Lenovo, è in caduta alla Borsa di Hong Kong accusando alle 14:00 locali (8:00 in Italia) un tonfo del 15%, seguito da quello di Zte (-11%). L’effetto domino ha colpito anche i fornitori di Apple, tra cui figurano le nipponiche TDK (in frenata del 4% circa) e Murata Manufacturing (-3%).
Giochi di spie
Ma il timore per lo spionaggio industriale è un tema ricorrente, in particolar modo da quando, all’inizio dell’anno, l’amministrazione statunitense ha puntato il dito contro Huawei e Zte, aziende specializzate nel settore delle telecomunicazioni e considerate potenziali attori di cyberintelligence contro gli interessi nazionali americani. Così il 13 febbraio, durante una seduta della Commissione del Senato sull’intelligence, i direttori delle sei principali sigle dei servizi segreti americane hanno espresso la loro preoccupazione per la diffusione di aziende che hanno le loro radici nella Repubblica Popolare: «Siamo profondamente preoccupati dalla possibilità che compagnie o entità che hanno degli obblighi verso un governo straniero, e che non condividono i nostri valori, possano acquisire una posizione di potere nella nostra rete di telecomunicazioni». Aziende che «approfitterebbero della loro diffusione per esercitare pressioni o prendere il controllo delle comunicazioni del Paese», come ha detto il direttore dell’Fbi, Chris Wray, a febbraio.
Fare industria significa anche portare avanti ricerca e miglioramenti, ed è per questo che le più importanti aziende custodiscono i propri segreti con grande cautela. Tuttavia una linea di comunicazione compromessa o un microchip corrotto installato di nascosto tra i condensatori di un server potrebbero compromettere la riservatezza di un’informazione. «È così che alcuni Paesi possono abbattere i costi di produzione, al di là dei bassi salari - spiega una fonte a conoscenza dei fatti - Facendo spionaggio si impossessano del know-how, della conoscenza che serve loro per raggiungere un risultato industriale». Metodo che per anni avrebbe consentito alle aziende cinesi di contenere i costi in ricerca e sviluppo e che contribuisce alla competitività dei prodotti provenienti da Pechino.
La dura denuncia degli Usa
Per questo gli Stati Uniti, soprattutto con Obama, hanno inaugurato politiche di contingentamento delle tecnologie cinesi: «Concentrarci solo sulla notizia del giorno rischia di farci perdere di vista il ben più importante quadro generale - spiega l’avvocato Stefano Mele, presidente della Commissione Sicurezza Cibernetica del Comitato Atlantico Italiano - Gli Stati Uniti, infatti, sono sempre stati molto sensibili a questo tema. Già nel 2013, ad esempio, introdussero una legge federale che obbligava agenzie come la Nasa, il Dipartimento del Commercio e il Dipartimento di Giustizia a richiedere un’autorizzazione preventiva all’FBI prima dell’acquisto di materiale tecnologico da aziende direttamente o indirettamente collegate alla Cina».
«Se analizziamo attentamente la strategia attualmente utilizzata dal Presidente Trump, troveremo numerose affinità con l’approccio già tracciato da Obama tra il 2013 e la metà del 2016 - prosegue Mele -. In particolare, si può evidenziare una continuità nel tempo nell’utilizzo della tattica denominata “Name and Shame”, che consiste nell’accendere continuamente i riflettori dell’opinione pubblica attribuendo pubblicamente gli attacchi cibernetici al Paese che si ritiene responsabile. Questa strategia ha avuto come effetto, nel 2015, quello di costringere il Presidente cinese Xi Jinping a negoziare un accordo sulle regole e i limiti dello spionaggio cibernetico tra i due Paesi».
La strategia funzionò, e l’accordo fra i due presidenti ridusse sensibilmente le attività di spionaggio cibernetico. Attività che, però, stando alle recenti dichiarazioni pubbliche dei rappresentanti del governo americano, sarebbero riprese copiose dall’elezione di Trump ad oggi. «Ciò, quindi, sembrerebbe evidenziare come il nuovo governo non sia ancora riuscito ad instaurare un dialogo con la Cina sul tema della limitazione delle attività di spionaggio cibernetico che sia realmente efficace. Da qui, quindi, il ricorso sempre più massiccio alla tattica del “Name and Shame”: tattica che, peraltro, al momento è utilizzata non solo nei confronti della Cina, ma anche contro le politiche di Russia e Iran», ha precisato Mele.
E questo quadro è chiaramente esposto nel documento sulla Valutazione delle minacce mondiali pubblicato a febbraio dal direttore della National Intelligence, Daniel R. Coats, che scrive: «La Cina continuerà a utilizzare lo spionaggio informatico e rafforzerà le proprie capacità di cyberintelligence a sostegno delle proprie priorità nazionali». Già allora, come riferito da Coats, i servizi segreti avevano rilevato costanti attività di spionaggio ai danni di società private americane o contractor del settore pubblico, «mitigate comunque significativamente dopo l’accordo bilaterale sulla cybersicurezza del 2015».
Leggi anche - Nel ritiro della Nazionale hacker italiana, dove ci si allena a combattere il cybercrimine (Angius)
Una soluzione di peso nazionale
«L’hardware può essere l’anello debole della catena per possibili attacchi: puoi anche utilizzare algoritmi di cifratura e protezioni a livello software, ma se la parte fisica non è progettata e controllata in modo opportuno, potrebbe diventare una porta aperta o almeno un passaggio facile da trovare», spiega il presidente del Consorzio Interuniversitario Nazionale per l’informatica Paolo Prinetto, tra i fondatori della Nazionale italiana degli hacker. «Un Paese come il nostro deve avere il controllo completo della filiera produzione. Non possiamo pensare di attivare sul nostro territorio delle linee di produzione di circuiti integrati delle ultime generazioni, ma cionondimeno è possibile progettare e realizzare, con tecnologie nazionali, dei sistemi che, pur utilizzando componenti acquistati all’estero, siano in grado di “tollerare” la presenza di vulnerabilità, in quanto ne impedisce lo sfruttamento da parte di attacchi informatici».
E in questo concorda anche Mele, che con il lavoro di ricerca del Comitato Atlantico in seno alla Nato, promuove strategie nazionali che aumentino la sicurezza informatica dei Paesi membri: «Occorre che si crei un mercato quantomeno europeo, se non addirittura nazionale, per il software e l’hardware utilizzato da utilizzare all’interno delle strutture più sensibili, come, ad esempio, le infrastrutture critiche - spiega-. Si tratta solo di un tassello, è vero, ma forse uno dei più importanti, soprattutto all’alba dell’invasione sui mercati dei cosiddetti oggetti intelligenti e dell’Internet delle cose, nonché della rivoluzione che questo settore subirà grazie all’introduzione di soluzioni basate su algoritmi di intelligenza artificiale, quando la manipolazione delle informazioni al’interno della catena decisionale automatizzata diventerà la principale minaccia per la sicurezza di governi, aziende, pubbliche amministrazioni e di tutti i cittadini ultra-connessi».
Una vulnerabilità in un sistema informatico può essere introdotta da errori di progettazione o in modo volontario e con fini precisi. In quest’ultimo caso si parla di backdoor e di hardware trojan: «La fondamentale differenza rispetto al software è che, nel caso dell’hardware non è possibile pensare a delle “pezze” per correggere (“rattoppare”) la falla a livello hardware: nel caso migliore puoi cercare di modificare il software in modo tale da impedire a un attaccante di sfruttare la vulnerabilità».
«Credo ci sia stato un miglioramento nella sensibilità sul tema, ma come Laboratorio stiamo facendo grandi sforzi per sollevare l’attenzione su queste problematiche anche a livello politico», precisa Prinetto. A questo scopo, dal 2015 il Cini ha pubblicato - e aggiornato costantemente - il libro bianco sulla cybersecurity, all’interno del quale sono contenute le linee guide che il Paese dovrebbe adottare per garantirsi un ecosistema informatico, sia in ambito industriale sia militare, più sicuro. «In questo momento non mi risulta esserci un’iniziativa nazionale, né una direttiva specifica applicabile a varie categorie di sistemi: per esempio non c’è in questo momento una certificazione nazionale applicabile all’IoT o all’elettronica di consumo», che potrebbe essere particolarmente vulnerabile all’esfiltrazione di dati intercettati nelle comunicazioni tra il dispositivo e la rete. «Il messaggio è che dobbiamo iniziare a preoccuparci delle vulnerabilità dell’hardware, come sistema Paese, e che non possiamo continuare a non avere a riguardo una chiara strategia nazionale».
I commenti dei lettori