Mondo

Cyber-sicurezza, come funziona il corso di addestramento reclute

  • Abbonati
  • Accedi
elezioni a rischio

Cyber-sicurezza, come funziona il corso di addestramento reclute

In un certo senso, si tratta di un gioco di guerra con qualcosa di diverso. Invece di ufficiali militari, in questo caso comandano i funzionari elettorali. Invece di combattere contro un nemico armato di missili, i sistemi di difesa sono dispiegati contro hacker nascosti dietro computer stranieri. Con l’avvicinarsi a breve delle elezioni di metà mandato negli Stati Uniti, più di 160 funzionari addetti a sovrintendere allo svolgimento delle elezioni hanno a disposizione appena pochi mesi per imparare come vada difesa la democrazia.

Tra tutti, questi funzionari pubblici hanno secoli di esperienza alle spalle, hanno amministrato seggi elettorali e sovrinteso al conteggio dei voti in 38 stati. Sono preparati ad affrontare il cattivo tempo, elettori adirati e risse tra candidati avversari. Nessuno però si sarebbe mai aspettato di dover scendere in prima linea a combattere gli hacker russi. Le responsabilità di oggi prevedono di trovare patch per le “falle” delle apparecchiature elettorali, scongiurare la manomissione dei file elettronici e rallentare la diffusione di informazioni sbagliate attraverso i social media.

Per imparare tutto ciò, i funzionari hanno preso parte a un corso accelerato intensivo di due giorni per reclute in cyber-sicurezza a Cambridge, in Massachusetts, dove hanno partecipato a un’elezione simulata interpretando vari ruoli, tra i quali quello di segretario di stato (il funzionario di stato incaricato delle elezioni), di amministratori IT, direttori della comunicazione, responsabili della campagna e attivisti. Vi ho preso parte anche io: sono incaricata di interpretare un reporter ficcanaso e mi è consentito assistere all’escalation del caos totale a condizione di non riportare i nomi dei responsabili o dei rispettivi stati di appartenenza.

In queste elezioni simulate (le terze del genere, e non le prime alle quali prendono parte alcuni di questi funzionari), la minaccia più grave arriva da un gruppo denominato “Kompromat” – termine politico russo utilizzato per definire il materiale compromettente, utilizzato spesso a scopo di ricatto. Si tratta di un’allusione non proprio velata agli hacker russi che nel 2016 hanno colto di sorpresa gli Stati Uniti lanciando veri e propri attacchi al suo sistema elettorale.

Il governo degli Stati Uniti crede che gli hacker russi abbiano cercato di penetrare furtivamente nei sistemi elettorali di almeno 21 stati e di manipolarli. I russi hanno anche lasciato trapelare il contenuto dei messaggi di posta elettronica trafugati al Comitato nazionale democratico, mentre l'Internet Research Agency, una fabbrica di troll collegata direttamente al Cremlino, diffondeva informazioni errate sui social media.

La storia dei brogli elettorali negli Stati Uniti è assai lunga e può essere fatta risalire alla Tammany Hall di New York City nel XIX secolo, quando i sostenitori del partito democratico usarono alcune persone per inserire molte schede elettorali nelle urne e intimidire gli elettori dell'opposizione, facendo arrivare elettori illegittimi da altre città per aumentare il numero delle presenze nei registri degli elettori regolarmente iscritti. In ogni caso, i flussi di elettori in esubero sono più facili da individuare dei furtivi cambiamenti apportati ai conteggi elettronici di oggi, oppure, come è risaputo, tramite le fake news.

Heather Adkins, direttrice della sicurezza delle informazioni e della privacy da Google, partecipa al corso di addestramento reclute per offrire consulenze ai funzionari: dice che adesso che i russi hanno dimostrato quello di cui sono capaci, altri stati nazione e altri cyber-criminali potrebbero essere tentati di fare altrettanto. «Di solito, tutto quello che accade nel campo della cyber-sicurezza è una sorta di spartiacque, un evento unico ed eccezionale. All’improvviso, infatti, tutti i malintenzionati si rendono conto di poterlo fare anche loro», dice.

Questo corso accelerato intensivo è nato dalla mente di Eric Rosenbach, ex capo del personale di Ash Carter, ministro della Difesa sotto Barack Obama. Rosenbach ha dato vita al Defending Digital Democracy Project presso il Belfer Center for Science and International Affairs dell'Università di Harvard nel 2017, con la missione precipua di migliorare le difese statunitensi nei confronti degli hacker elettorali. La sua affabilità maschera la sua vera tempra: ha sovrinteso alla cyber-sicurezza per il dipartimento della Difesa, gestendo un budget di 30 miliardi di dollari e arrivando ad avere15mila persone sotto di sé.

Hacker russi, media: intelligence Usa ha prove

Rosenbach ha avviato collaborazioni dirette con i manager delle campagne politiche che hanno vissuto in prima persona l'intervento degli hacker: Robby Mook, direttore della campagna elettorale di Hillary Clinton nel 2016, e Matt Rhoades, in carica nel 2012, quando i cinesi si sono intromessi illegalmente nella campagna di Romney. Rosenbach ha coinvolto anche alcune aziende tecnologiche: Facebook e Google versano denaro e mettono a disposizione il know-how dei loro massimi esperti in tema di sicurezza. Tutti insieme quindi si stanno dando un bel daffare per garantire che le elezioni del 2016 non diventino la prova generale di ulteriori attacchi hacker che potrebbero rivelarsi ancora più disastrosi a novembre o in futuro.

Il corso accelerato per reclute è organizzato come una complessa avventura che si potrebbe intitolare “scegli-la-tua-elezione-hacker”. Ogni decisione presa dai funzionari su quali tecnologie comprare e quali politiche adottare e concretizzare influirà direttamente sul modo col quale potrebbero essere attaccati. Nel frattempo, gli organizzatori più portati a pensare in un'ottica militare mi spiegano come calcare la mano e sottoporre al massimo stress i funzionari elettorali quando li intervisterò davanti alle telecamere. Le poste in gioco sono alte, ma alto è anche lo spirito dei partecipanti: sono tutti impazienti di migliorare la loro preparazione.

A Maureen, amministratrice IT minuta con i capelli rossi, affidano il ruolo del segretario di stato responsabile dei 30 funzionari dell’immaginario stato di Porter. Nel suo lavoro di tutti i giorni, Maureen sa che potrebbe guadagnare molto di più nel settore privato, ma dice che garantire la sicurezza nelle elezioni «è una delle cose più impagabili che io possa fare per il mio stato e, in verità, per il mio paese».

Eppure, Maureen è consapevole che la battaglia contro gli hacker in occasione delle elezioni potrebbe non finire mai. «Non voglio che il mio nome compaia nei notiziari. Né quello del nostro segretario di stato. E nemmeno quello del nostro stato. Io mi impegno per raccogliere frutti sul lungo periodo. Che le elezioni di metà mandato vadano bene non mi conforta al punto da farmi esclamare questa volta l'abbiamo scampata» dice, fingendo di detergersi il sudore dalla fronte.

Maureen inizia la simulazione con calma. Ha a disposizione un budget fittizio. È a conoscenza delle tecnologie che vogliono adoperare i funzionari – sistemi con processi di autenticazione in due fasi (un passaggio protettivo in più, così da rendere più difficile la vita agli hacker che hanno rubato le password), e la tecnologia Captcha (usata per determinare se l'utente che si registra per votare online è un essere umano in carne e ossa). Il suo team IT acquisisce subito servizi quali il collaudo delle infiltrazioni, in cui i cosiddetti “white hat” hacker (anche hacker “etici”, che si oppongono agli abusi dei sistemi informatici, NdT) mettono in luce le falle delle strategie di difesa dispiegate cercando di penetrare nel network dall’esterno.

L’orologio digitale proiettato su un grande schermo inizia a segnare il tempo. Due minuti dopo l'inizio dell'esercitazione di un'ora, sullo schermo compare a grandi lettere una scritta: «Gli hacker prendono di mira i sistemi elettorali in 21 stati». Si tratta di un titolo vero che il New York Times ha pubblicato nel settembre 2017, quando il governo federale ha fatto sapere agli stati che gli hacker avevano cercato di penetrare nei sistemi informatici prima delle elezioni del 2016.

«Lei è di uno stato preso di mira dagli hacker?», chiedo a chi interpreta il direttore della comunicazione statale. La sua risposta non è rassicurante: «Non abbiamo ricevuto informazioni in proposito dal Dipartimento per la sicurezza interna o dalle agenzie d'intelligence. Facciamo il possibile per garantire di essere tutelati. Ma non c’è nulla di preciso di cui siamo a conoscenza» spiega. Nel frattempo, un altro ex dipendente fittizio twitta che lo stato non è preparato a garantire elezioni legittime, e colui che interpreta il sindacato per le libertà civili americane si precipita davanti alle telecamere per lamentarsi di non essere riuscito a far comprendere le sue preoccupazioni ai funzionari.

I moderatori cercano all’unisono di bombardare i vari gruppi di aggiornamenti tecnici. Si crede che “Kompromat” abbia fatto uso di “spear-phishing” (letteralmente pesca con l'arpione, NdT) – finte email mirate con allegati o link a software pericolosi – per hackerare i sistemi. Un virus ha sfruttato una falla delle stampanti per penetrare nelle apparecchiature governative. Un dipendente del Dipartimento della motorizzazione ha il vizio del gioco: nel settore della sicurezza questa è riconosciuta come una vulnerabilità, una “minaccia interna”. Infatti, è stato ricattato affinché accedesse ai file di registrazione degli elettori e in due mesi ha caricato i nomi di almeno 300 falsi elettori.

I notiziari lanciano il flash di agenzia secondo cui un altro gruppo denominato “Fuzzy Cub” (allusione agli hacker della vita reale che appartengono al gruppo “Fancy Bear”) intende innescare un malware dormiente, un programma software infetto che si attiva nelle apparecchiature di voto il giorno delle elezioni. Queste apparecchiature sono i residuati di un’epoca molto più ingenua, quando votare al computer sembrava comodo, non catastrofico. Oggi funzionari ed esperti della sicurezza credono fermamente nel sistema che consente di avere un back-up cartaceo per ogni voto espresso. Nella primavera del 2016, Rosenbach era al Pentagono. L’intelligence iniziò a far arrivare sulla sua scrivania comunicati a raffica, secondo i quali i russi stavano cercando di condizionare le elezioni negli Stati Uniti e di minare la fiducia del popolo americano. «La notizia mi sconvolse», dice ai funzionari non appena si apre il corso. «Rimasi con la sensazione di non aver fatto abbastanza. Come amministrazione non avevamo fatto abbastanza. Avevo davvero l'impressione che fossimo ancora molto vulnerabili. Il mio incubo era che tutti i malintenzionati di questo mondo e i russi si potessero rendere conto che non avevamo fatto abbastanza per difendere il nostro paese. Il prossimo avversario ad attaccarci avrebbe potuto essere Kim Jong Un o gli iraniani, se l’accordo sul nucleare fosse venuto meno».

Poco dopo, Rosenbach ha dato vita al Defending Digital Democracy Project allo scopo di creare una sorta di copione da seguire per garantire la cyber-sicurezza, qualcosa che i funzionari e i manager della campagna si auguravano freneticamente di avere nel 2016. Rosenbach spera di riuscire in tempi rapidi a lanciare anche un corpo di volontari del Defending Digital Democracy, incaricati di viaggiare di stato in stato per fornire consulenze in tema di sicurezza.

Le osservazioni del discorso di apertura di Rosenbach alludono a uno dei più grandi ostacoli alla sicurezza durante le elezioni: la politica. Alcuni evitano di parlarne, perché temono che ciò implichi che i russi abbiano fatto vincere le elezioni a Trump. «Questo non ha nulla a che vedere con la politica. Né con l'attuale presidente o con il dubbio se sia stato eletto legittimamente o no. Non ha niente a che vedere con tutto ciò e volevo dichiararlo senza mezzi termini», dice. «Questo progetto è qualcosa di pratico a tutela della fase più preziosa della democrazia americana».

I funzionari hanno avuto un aiuto dal governo. L’Appropriation Bill, approvata a marzo, ha allocato 380 milioni di dollari ai vari stati affinché migliorino la tecnologia usata per le elezioni e la sicurezza. Per caso, durante il corso intensivo, i funzionari hanno scoperto quanto devono spendere i loro stati – una media di 7,6 milioni di dollari. L'ultima volta che ricevettero un bonus del genere fu dopo il caos provocato dalle famigerate “schede mal punzonate” del 2000, nelle elezioni per la presidenza che videro schierati come antagonisti Bush e Gore.

Le minacce di oggi sono di gran lunga più complesse. Prima di svolgere l'esercitazione con le elezioni simulate, Michael Sulmeyer, un vivace professore di Harvard che gestisce un programma di ricerca sui cyber-conflitti, legge un elenco dei nemici della democrazia: Russia, Cina, Iran e Corea del Nord. Subito dopo ci sono i “black hat hacker” da cui difendersi, hacker malintenzionati, mercenari a contratto e cyber-criminali armati di “ransomware”, il perfido software che chiede un riscatto in denaro per decrittare i computer. E infine ci sono i terroristi veri e propri.

Da sempre le elezioni contano sui partiti in lizza affinché i contendenti si comportino onestamente, ma le cose non vanno proprio così quando i veri nemici si nascondono dietro ai computer di oltreoceano. Molte apparecchiature per la sicurezza ormai sono diventate superflue, perché fanno affidamento su protocolli di controllo e verifica che oggi, con l'anonimato del voto, non esistono più. Per questo motivo la carta è così popolare: se tutto dovesse venire meno, sarà sempre possibile effettuare di nuovo il conteggio dei voti.

Adkins ha contribuito a fondare il team per la sicurezza di Google 16 anni fa. Le elezioni moderne fanno affidamento su tutta una molteplicità di tecnologie, compresi gli elenchi degli elettori registrati, le macchine per votare e i sistemi che mantengono aggiornati i media. «Ti assicuro che, con questa infrastruttura, in un giorno qualsiasi sarei in grado di farti scendere a patti», dice.

L’anno scorso, a Def Con, una convention a loro dedicata a Las Vegas, i “white hat” hacker sono riusciti a penetrare nelle prime macchine elettorali in un'ora e mezza, sfruttando una falla di cui si era a conoscenza fin dal 2003 – e alla quale si sarebbe potuto porre rimedio. Al termine della conferenza erano riusciti a entrare in tutte le 25 apparecchiature elettorali presenti.

La questione più importante è la fiducia. Il sistema elettorale degli Stati Uniti ha regole diverse, sistemi diversi e tecnologie diverse nei vari stati. Tutto ciò rende estremamente difficile assicurare una protezione adeguata, ma dovrebbe servire anche a rendere più complesso manipolare il risultato di una consultazione elettorale nazionale. Un eventuale nemico, infatti, dovrebbe avere una comprensione profonda di quali contee incerte prendere di mira e come, e dovrebbe essere perseverante nel cercare le falle e le vulnerabilità di ogni sistema.

È molto più probabile – ma non per questo meno preoccupante – che gli hacker cerchino di seminare dubbi sulla possibilità di fidarsi dei risultati. «In effetti, non mi preoccupa che i russi o gli iraniani o i nordcoreani possano infiltrarsi di soppiatto in così tanti sistemi elettorali da riuscire effettivamente a modificare il risultato di un'elezione», mi ha detto Rosenbach. «Esiste tuttavia un'enorme differenza tra infiltrarsi e attaccare tre o quattro circoscrizioni elettorali e far comprendere chiaramente che il voto non è affidabile, per poi compiere altre operazioni nel resto del paese e far sapere che questo è quanto è accaduto, di conseguenza il vostro voto non è attendibile, proprio come la democrazia».

Alex Stamos, responsabile per la sicurezza di Facebook, l’anno scorso ha dato di continuo la caccia alla disinformazione russa. L’Internet Research Agency ha tormentato Facebook con falsi account, ha seminato un grande caos a proposito di argomenti politici che alimentano dissenso e ha incoraggiato gruppi di Facebook in rivalità tra loro a organizzare manifestazioni nella stessa data. La natura del sistema elettorale statunitense rende meno probabile che un attacco possa alterare davvero un'elezione ma, con ogni probabilità, cercherebbe di farlo e provocherebbe “caos e diffidenza”.

«Se ogni elezione fosse come quella di Bush contro Gore, e se per dirimerla fosse necessario arrivare fino alla Corte Suprema, sarebbe molto negativo per il paese», continua. La priorità, quindi, è far sì che «i nemici esterni non siano in grado di instillare nella popolazione americana la convinzione per il resto della vita di essere stata derubata di un'elezione da qualcuno».

Lori Augino ha lunghi capelli castani e il sorriso sempre pronto. Ha iniziato la sua carriera nel mondo elettorale a vent'anni, come stagista a tempo, facendosi poi strada fino a diventare responsabile delle elezioni per lo stato di Washington. Oggi prende parte alla sua seconda esercitazione elettorale simulata organizzata dal Defending Digital Democracy Project. «Nel 1995 di sicuro non mi sarei preoccupata degli hacker russi. Ma abbiamo sempre avuto problemi di continuità nelle nostre operazioni: se non si ha accesso ai nostri sistemi elettorali nel giorno delle elezioni, non conta chi ci attacca, è indispensabile avere un piano B. E poi un piano C. E anche un piano D».

Augino fa parte di un battaglione di funzionari incaricati di una missione straordinaria: far funzionare la democrazia. Hanno l'abitudine di non farsi notare, tanto che uno di loro scherza e dice che è opinione comune che lavorino soltanto due giorni l'anno. Adesso, però, oltre al loro lavoro normale, devono assumere anche un ruolo pubblico, dato che spetta a loro garantire la tenuta dell'ultima linea difensiva nei confronti delle minacce in patria.

Judd Choate è responsabile delle elezioni statali per il Colorado ed è stato presidente dell'Associazione nazionale dei direttori elettorali statali. Mi racconta che i funzionari incaricati di sovrintendere allo svolgimento delle elezioni hanno migliorato in modo incredibile la loro comprensione della cyber-sicurezza dal 2016 a oggi. «Rispetto a prima, c'è la stessa differenza che corre tra un alunno di prima elementare e un laureato», dice.

Stamos incontra i vari funzionari che prendono parte all'evento per cercare di stabilire linee chiare di comunicazione con Facebook, qualora qualcosa dovesse andare storto, per esempio se saltasse fuori una pagina falsa con istruzioni sbagliate su come votare. È confortato dall'impegno di tutti. «Ci sono moltissimi funzionari pubblici leali che non avrebbero mai pensato che un giorno si sarebbero trovati in prima linea sul fronte della difesa della democrazia. Non è per questo che hanno scelto di diventare amministratori IT per un segretario di stato o un governo locale», dice.

Rosenbach è molto colpito dalla pianificazione in stile militare delle reazioni a possibili imprevisti, ma cerca di sostenerli in qualcosa di più e dice: «Non sono equipaggiati per combattere contro la punta affilata della lancia dell'agenzia d'intelligence russa GRU». Defending Digital Democracy cerca inoltre di preparare i manager della campagna. La natura on-the-fly delle campagne politiche le rende particolarmente vulnerabili. Mook, manager di Hillary Clinton, dice che non avevano un manuale di riferimento per organizzare una reazione, comprendere gli obblighi di legge e seguire le prassi migliori per comunicare con l'opinione pubblica. «Non avevo nemmeno un sistema di riferimento col quale comprendere il problema», mi dice. «Che cosa significa che sono riusciti a penetrare nel tuo sistema? Che cosa è la cyber-sicurezza? Che cosa dovrei cercare? Che cosa dovrei chiedere?».

Mook dimostra comprensione per i manager della campagna che pensano di avere troppe cose da fare, ma dice che tutti devono assumersi le loro responsabilità a tutela delle elezioni: campagne, governo e società tecnologiche. Il governo ha torchiato Facebook, Google e Twitter sull’ingerenza delle false notizie russe nel 2016 e, dopo che Cambridge Analytica ha usato i dati postati su Facebook per mettere insieme dei profili psicologici, Mark Zuckerberg, il presidente e amministratore delegato di Facebook, di recente ha dovuto rispondere alle domande degli inquirenti per dieci ore di fila.

«Il primo passo è far sì che il settore tecnologico si assuma le sue responsabilità. Bisogna che ammettano che siamo in presenza di un problema reale e che esso è parte della soluzione», dice Mook. «Subito dopo, il nostro governo federale deve formare una partnership attiva e sostenere quel settore per tenerne alla larga i malintenzionati». Come Rosenbach, Mook è motivato dalla promessa di non farsi mai più cogliere impreparato. «Dal mio punto di vista, la vera tragedia sarebbe non applicare in futuro tutto quello che abbiamo imparato e rendere le cose migliori e diverse. Un anno fa sembrava che nulla dovesse cambiare. Del resto, lo sappiamo tutti: se mi freghi una volta devi vergognarti tu. Se mi freghi due volte devo vergognarmi io», dice.

Traduzione di Anna Bissanti
© 2018, Copyright The Financial Times Limited, 2018. All rights reserved.

© Riproduzione riservata