La NSA creerà una nuova direzione per la sicurezza informatica
La National Security Agency ha annunciato l’intenzione di creare una direzione per la sicurezza informatica nel corso del 2019 come parte di un’iniziativa più ampia per unire le sue operazioni informatiche offensive (LIO) e difensive (LID).
La NSA è da diversi anni oggetto di riorganizzazioni, il cui ambito si è ampliato sotto la direzione del generale Paul Nakasone – attuale capo della Servizio di sicurezza centrale (CSS) – poiché l’agenzia alla fine ha perso la sua attenzione sulla sicurezza informatica. Quest’ultimo ha quindi appena annunciato la creazione di una direzione per la sicurezza informatica e ha nominato Anne Neuberger a dirigerla dopo quasi 10 anni all’interno della NSA.
Anne Neuberger, che attualmente fa parte del Consiglio di amministrazione della NSA, è stata la prima Chief Risk Officer e ha fatto parte del team che ha contribuito a creare Comando informatico americano nel 2009. Più recentemente, ha supervisionato gli sforzi di sicurezza elettorale della NSA prima e durante le elezioni del 2018 che avrebbero visto la NSA e il USCYBERCOM intensificare gli sforzi contro l’ingerenza russa e migliorare la condivisione delle informazioni con agenzie come l’FBI e il DHS, responsabili dell’aspetto giudiziario.
La nuova direzione per la sicurezza informatica sostituirà l’attuale direzione per la garanzia delle informazioni della NSA. Questo annuncio arriva in un contesto in cui sempre più voci si levano per affermare la necessità di una separazione tra NSA e USCYBERCOM. Queste due entità si distinguono per le loro missioni, ma soprattutto per la loro autorità legale.
Creato nel novembre 1952, il Agenzia di sicurezza nazionale/Servizio di sicurezza centrale (NSA/CSS) si occupa – per conto del governo americano – delle materie legate alla crittografia, che comprendono sia l’intelligenza elettronica (SIGINT) che la sicurezza informatica, consentendo lo sfruttamento delle reti informatiche (CNO) fornendo un vantaggio decisionale.
Per molto tempo unico centro di competenza del Paese, la NSA ha potuto sviluppare un grande know-how legato al cyberspazio. Solo nel 2008 gli Stati Uniti hanno fatto il punto sui rischi legati al cyberspazio. Ignoranza nella migliore delle ipotesi, sensazione di invulnerabilità nella peggiore, Operazione Yankee a pallettoni rivelerà quella che molti definiranno la più grande minaccia alla sicurezza nazionale che il Paese abbia mai conosciuto.
Mentre un nuovo malware è apparso sui radar dei ricercatori di sicurezza informatica e delle aziende specializzate, nel giugno 2008 è stata scoperta una versione particolarmente virulenta su alcune macchine del comando militare della NATO. Soprannominata “Agent.btz” dalla società F-Secure, porterà a una profonda messa in discussione delle capacità degli Stati Uniti di garantire la sicurezza delle proprie reti informatiche.
Operazione Buckshot Yankee
Quasi quattro mesi dopo, nell’ottobre del 2008, gli analisti della NSA scoprirono lo stesso malware nei sistemi dei centri più critici Rete segreta di router del protocollo Internet, la rete attraverso la quale vengono archiviate le informazioni più sensibili dei Dipartimenti di Stato e di Difesa, nonché all'interno dell' Giunto Sistema di comunicazione mondiale dell'intelligence, la rete che consente alle autorità americane di trasmettere informazioni sensibili ai loro alleati.
Ciò che sorprende a prima vista è che queste reti sono separate da Internet e non hanno – in linea di principio – alcuna interfaccia con il World Wide Web, formando un “Air Gap”: una separazione fisica, presumibilmente ermetica. Ma il malware “Agent.btz” si trovava già all’interno di queste reti e comunicava all’esterno informazioni estremamente sensibili. Questa tecnica, che dovrebbe proteggere completamente una rete dall'esterno, non è perfetta e, come spesso accade, si trova “tra il computer e la sedia”.
Come Stuxnet, questo malware è stato introdotto, consapevolmente o meno, nella rete protetta tramite una chiave USB precedentemente infetta. Una volta penetrato nel sistema di destinazione, il malware si diffonde per azione capillare, infettando tutti i dispositivi rimovibili che verranno collegati alla macchina.
Ma per poter operare Agent.btz ha dovuto comunicare con il suo sponsor esterno. Questi segnali, prove tangibili di attività dannose, sono stati individuati da un analista del team Operazioni di rete avanzate (ANO) della NSA incaricata della sorveglianza delle telecomunicazioni (SIGNIT) dei nemici degli Stati Uniti all'estero (in teoria solo perché, di fatto, le rivelazioni di Edward Snowden hanno ampiamente supportato casi di sorveglianza di cittadini americani sul territorio nazionale).
Dopo diversi giorni di indagini, gli operatori dell'ANO sono giunti alla conclusione che la violazione della sicurezza era abbastanza grave da poterla riferire al livello più alto dell'apparato di sicurezza americano. Il 24 ottobre 2008, Richard C. Schaeffer Jr., allora capo responsabile della sicurezza della rete informatica della NSA, e il generale Keith Alexander, direttore dell'agenzia, hanno partecipato a un briefing sulla sicurezza durante il quale informano il presidente dell'epoca, George W. Bush – poi in procinto di lasciare l’incarico – il Capo di Stato Maggiore, il Vice Segretario di Stato nonché i leader del Congresso.
Nelle settimane successive furono messi in atto tutti i mezzi dell'Agenzia per la Sicurezza Nazionale per contenere, se non eliminare, Agent.btz senza causare danni alle infrastrutture delle reti sicure del Paese: c'è l'inizio dell'operazione Yankee a pallettoni in senso stretto.
Oltre a “ripulire” i sistemi, gli operatori dei servizi segreti sono arrivati al punto di disconnettere fisicamente dalla rete le macchine infette per sostituirle completamente o cambiare direttamente i dischi rigidi.
Oltre all'ANO, la NSA chiamò un altro dei suoi componenti, che sarebbe poi diventato famoso, l' Operazioni di accesso su misura (TAO). Questa unità segreta, altamente specializzata in azioni offensive, ha sviluppato competenze nello sfruttamento dei dati provenienti dallo spionaggio informatico fin dall'inizio degli anni '1990. Queste competenze contribuiranno in larga misura alla scoperta di varianti di malware e contribuiranno allo sviluppo della nuova dottrina di protezione “attiva” della rete: la cyberdefense.
Secondo alcuni funzionari statunitensi, la natura della risposta ad Agent.btz è stata oggetto di un lungo dibattito all’interno dell’apparato esecutivo e militare statunitense. Il BAT avrebbe proposto azioni per neutralizzare le reti civili identificate come relè dello sponsor e il suo sistema di comando e controllo (C2 o C&C). Si deciderà di qualificare il malware (come l'intera operazione) come un “classico” atto di spionaggio e non come un vero e proprio attacco, che quindi non giustificava una risposta armata e ancor meno cinetica da parte degli Stati Uniti.
Alla fine, l’uso delle chiavi USB e di tutti i dischi rimovibili sarà temporaneamente bandito dai sistemi critici, ma il “paziente zero” – l’origine della violazione della sicurezza – non sarà mai stabilito formalmente, anche se forti sospetti pesano sulla Russia.
Analizzando il codice di tutte le varianti di Agent.btz, ANO e TAO saranno comunque in grado di risalire a sistemi collegati a reti sicure dall'Afghanistan e dall'Iraq. Il malware resterà attivo fino all'inizio del 2009 prima di essere definitivamente dichiarato inattivo e debellato da tutte le reti compromesse.
Una presa di coscienza decisiva
Yankee a pallettoni avrà in ogni caso aumentato la reale consapevolezza della vulnerabilità delle reti militari critiche. Ma da un punto di vista più ampio, è l’approccio alla protezione di quest’ultimo che è stato messo alla prova e che ha dimostrato la sua inefficacia di fronte a una minaccia ricorrente, precisa e tecnicamente sofisticata. La protezione passiva, il “muro”, in altre parole la sicurezza informatica, ha dimostrato la sua incapacità di fronteggiare tutte le minacce. L’ubiquità e la virtualità di questo nuovo spazio di conflitto significa che l’effetto e la sorpresa saranno sempre dalla parte dell’aggressore.
L’operazione effettuata dalla NSA avrà quindi avuto l’effetto di cambiare radicalmente il suo approccio alla sicurezza nel cyberspazio. La protezione ormai non deve più essere solo passiva (cybersecurity) ma anche attiva (cyberdefense) o addirittura proattiva.
Agent.btz, il cui successo resta da dimostrare per il suo ideatore, sarà stato un'eccellente “catalisi” per l'evoluzione delle mentalità dell'apparato di sicurezza statunitense La necessità di protezione attiva delle reti critiche, nonché delle infrastrutture strategiche oltreoceano Atlantico, sarà ora oggetto di particolare attenzione.
Con un budget di 155 milioni di dollari e 750 dipendenti, il 31 ottobre 2010 è stata creata una nuova organizzazione: US Cyber Command o USCYBERCOM. Questo è "responsabile della pianificazione, del coordinamento, dell'integrazione, della sincronizzazione e della conduzione delle attività per dirigere le operazioni e la difesa delle reti informative del Dipartimento della Difesa, preparare la conduzione di operazioni militari a tutto spettro nel cyberspazio per consentire azioni in tutti i settori, garantire la libertà d'azione per gli Stati Uniti e i suoi alleati nel cyberspazio e lo negano ai loro avversari”.
La creazione di Cyber Command, però, non ha fornito tutte le risposte.
Verranno affrontate diverse domande fondamentali in definitiva portare al rimpasto strutturale a cui stiamo assistendo oggi. La governance delle operazioni americane nel cyberspazio è da diversi anni oggetto di dibattito tra autorità civili e militari. Chi è l’autorità responsabile delle operazioni offensive? Condurre un'operazione per neutralizzare la rete di un aggressore fa parte della difesa informatica o della guerra informatica offensiva?
Infatti, la NSA e l’USCYBERCOM erano raggruppate all’interno del CSS (Central Security Service) e guidate da un soldato. Inizialmente, questo “doppio cappello” aveva senso a causa di una somiglianza fondamentale tra gli aspetti tecnici delle operazioni militari nel cyberspazio (dominio Cyber Command) e le operazioni di rete di computer legate all’intelligence (dominio NSA). Il generale Michael Hayden, primo direttore della CSS, ha sottolineato che le operazioni offensive nel cyberspazio e l'intelligence dei segnali sono tecnicamente indistinguibili l'una dall'altra.
È da questa constatazione che è nata l'idea di unificare il comando delle due organizzazioni preposte a ciascuna di queste aree. La necessità imperativa di stabilire una solida capacità per le operazioni militari nel cyberspazio ha infine motivato la decisione di collegare le due entità e di sviluppare tecnologie e tecniche in stretta collaborazione.
"La NSA ha la capacità di condurre tali azioni, USCYBERCOM ha l'autorità" Generale Michael Hayden.
Operazione Gladiatore Fenice
Dall’estate del 2009, il Pentagono ha iniziato a sviluppare una serie di regole di ingaggio e, più in generale, una dottrina per l’uso degli strumenti informatici.
Da questa riflessione è nato un “ordine esecutivo” in base al quale solo USSTRATCOM e USCYBERCOM potevano dirigere le operazioni e la difesa delle reti militari in tutto il mondo. Inizialmente, ciò si applicava ai sistemi informatici privati essenziali negli Stati Uniti.
La direttiva stabilisce un certo numero di condizioni aggiuntive che devono essere soddisfatte per innescare una risposta militarizzata:
- Deve essere un’azione ostile diretta verso gli Stati Uniti, le sue infrastrutture critiche e/o i suoi cittadini;
- Deve comportare la probabile imminente morte, lesioni gravi o danni che potrebbero minacciare la sicurezza nazionale o economica degli Stati Uniti;
- L'intervento deve essere coordinato con gli enti governativi e le unità combattenti interessate;
- L’azione deve essere limitata allo spettro necessario volto a interrompere l’attacco, riducendo al minimo gli impatti collaterali su obiettivi civili.
Ma il continuo sforzo per raggiungere un consenso sulle regole di ingaggio e sull’autorità incaricata di condurre queste operazioni di difesa informatica e di guerra informatica offensiva (LIO) è fallito. Sotto la pressione di numerose agenzie di intelligence – guidate dalla CIA – e dei Dipartimenti di Sicurezza Nazionale e Giustizia, il tentativo di compromesso è stato sacrificato sull’altare delle dispute tra agenzie.
Il dibattito si è impantanato sul ruolo di USCYBERCOM e su quanto lontano dovrebbe essere in grado di spingersi nel perseguire la sua missione. La questione è tanto più critica quando si parla di server dislocati sul territorio nazionale.
Nel febbraio 2011, ilordine esecutivo è firmato. Questa, ampiamente rivista rispetto alla sua prima versione, limita l'esercito alla difesa delle proprie reti e può discostarsi da questa regola solo con l'accordo esplicito del presidente.
Inefficacia del sistema del “doppio cappello”.
Come diretta conseguenza del rapporto tra la NSA e il Cyber Command, i cui comandi sono affidati ad un unico individuo (il direttore del CSS), la motivazione iniziale di questa organizzazione – che si supponeva temporanea – era quella di consentire alla nascente Cyber Il comando potrà beneficiare delle competenze, delle capacità e dell'esperienza della NSA per raggiungere la sua piena capacità operativa.
In pratica, la relazione consente a una singola persona di soppesare gli interessi, spesso contrastanti, di due organizzazioni le cui responsabilità nel dominio del cyberspazio spesso si sovrappongono e addirittura si cannibalizzano a vicenda. Questo comando condiviso è stato continuamente rivisto dalle amministrazioni presidenziali sin dal suo inizio, e gli esperti hanno avanzato argomentazioni contrastanti a favore dello scioglimento e della continuazione dell’accordo.
Sebbene la maggior parte degli argomenti a favore della fine di questo sistema si concentrino sul successo dell’istituzione di USCYBERCOM, o sul rischio per le operazioni e le capacità della NSA, è stata prestata relativamente poca attenzione a come la sovrapposizione organizzativa con la NSA influenzi la continua condotta delle operazioni militari nel cyberspazio.
secondo un officiel di Cyber Command, "l'interdipendenza tra le due organizzazioni le ha permesso di abituarsi a un supporto operativo e logistico praticamente ininterrotto da parte degli uffici della NSA. Questa dipendenza organizzativa profondamente radicata sulle tecniche e sui processi della NSA ha plasmato radicalmente il modo in cui il comando affronta le operazioni nel cyberspazio. Nello specifico, attingendo alle procedure e alla cultura della NSA, USCYBERCOM è diventato sempre più avverso al rischio […] i processi di revisione e approvazione devono cambiare paradigma”.
Se si Servizio di sicurezza centrale riunendo oggi NSA e USCYBERCOM ha potuto sviluppare capacità e competenze tecniche uniche al mondo, questo grazie in gran parte alla stretta collaborazione tra tecnici di altissimo livello. La NSA conta circa 30 dipendenti militari e civili e conta più di 000 studenti di dottorato nei campi della matematica, delle scienze fisiche e dell'ingegneria. Raggruppate nel sito di Fort Meade nel Maryland, la NSA e l'USCYBERCOM si sono evolute in simbiosi per un decennio ed è questa organizzazione che da allora ha decretato il successo degli Stati Uniti nella conduzione delle operazioni militari e di intelligence (Giochi Olimpici, Flame, DuQu e Gauss in particolare).
Ciò ora pesa sulla continuità di questo sviluppo, anche sulla posizione leader degli Stati Uniti nel cyberspazio. Il lavoro iniziato con l’operazione Gladiator Phoenix dovrà riprendere per stabilire chiare regole di governance tra la NSA e USCYBERCOM, mentre l’arbitrato rimarrà in ultima analisi di competenza dell’esecutivo.
Da questo dibattito dovrebbe nascere oltreoceano una nuova dottrina per la condotta delle operazioni nel cyberspazio. Se la Francia ha scelto di separare le attività di difesa informatica (ComCyber), sicurezza informatica (ANSSI) e intelligence (DRM, DGSI e DGSE); la lotta informatica offensiva (LIO) resta di competenza del Primo Ministro, potendo contare sulle capacità militari e sulla direzione tecnica della DGSE (DT-DGSE). La mancanza di informazioni non consente di trarre conclusioni sull'efficacia di questa collaborazione. Resta che la sovrapposizione tra le diverse dimensioni delle operazioni nel cyberspazio rappresenta una vera sfida in termini di cooperazione tra i diversi stakeholder. Adottando un modello vicino a quello degli Stati Uniti, la Francia è riuscita finora a risparmiarsi la miseria, in particolare facendo affidamento sulle persone. Ricordiamo che il primo direttore dell'Agenzia nazionale per la sicurezza dei sistemi informativi (ANSSI) è stato, dal 1 marzo 2014, direttore tecnico della DGSE.
Non resta che sperare che “Titi” abbia imparato a essere discreto.
Jean Lebougre
Specialista in guerra informatica