Manlio Cammarata - Il colonnello Rey, suppongo - Tabulas

 

 Attualità

Chi difende la Rete dai terroristi?
di Sergio Baccaglini - 15.11.01

IW, Information Warfare: due lettere che dopo l'11 settembre tolgono il sonno a molti responsabili della sicurezza dei sistemi informativi. Gli allarmi sulla stabilità globale delle Rete - e non solo di singoli nodi o di determinate reti interconnesse - non sono una novità. A livello di organizzazioni internazionali, la risoluzione adottata dall'Assemblea Generale delle Nazioni Unite, Developments in the field of information and telecommunications in the context of international security (A/RES/53/70), bene evidenzia il legame dell'infrastruttura dell'informazione e delle telecomunicazioni con il rischio per la sicurezza internazionale (ricordiamo che ancor prima, nell'ormai lontano 1995, il Forum multimediale "La società dell'informazione" esordì con un dibattito on line e un convegno che si intitolavano Comportamenti e norme nella società vulnerabile).

Per la sua crescente e ormai vitale importanza nel funzionamento del mondo globalizzato e interconnesso, la struttura centrale della rete appare come un bersaglio tutt'altro che improbabile di attentati terroristici, che potrebbero avere ricadute ancora più sconvolgenti di un attacco "fisico" come quelli alle Torri di New York e al Pentagono. La caduta dei server che gestiscono il sistema dei nomi a dominio comporterebbe infatti un black out totale di diversi giorni, con la conseguente paralisi di tutta la struttura di telecomunicazioni che fa capo al sistema stesso.

La preoccupante ipotesi coinvolge direttamente l'Internet Corporation for Assigned Names and Numbers (ICANN), la società no profit che ha il compito di gestire il sistema globale del domain name e dell'allocazione di alcuni parametri tecnici necessari per il funzionamento della rete.
L'argomento è dunque all'ordine del giorno della riunione dell'ICANN che si tiene a Marina del Rey dal 12 al 15 novembre, per esaminare effetti, conseguenze e salvaguardia della stabilità della rete in relazione ai drammatici eventi del 11 settembre e all'attuale situazione di "generale allerta". (ICANN Community Meeting on Security and Stability of the Internet Naming and Address Allocation Systems, 13 e 14 novembre).

La materia in esame sarà la sicurezza della rete. Sebbene tra i compiti di ICANN tale attribuzione sia solo "periferica" rispetto ai compiti fondamentali relativi ai nomi di dominio, il ruolo di "garante della stabilità" dell'internet richiede che si discuta e si affrontino i possibili rischi inerenti il funzionamento della rete.
Dunque, l'argomento rilevante è il seguente: chi ha, formalmente, la competenza tecnica in relazione alla sicurezza della rete globale Internet?
Presumibilmente la società ICANN. Ma la posizione governativa in quest'ambito non pare possa essere di secondo piano.

Il sistema dei nomi a dominio gestito da ICANN, il DNS, è la struttura gerarchica che consente di navigare agevolmente in rete impiegando delle stringhe di caratteri in funzione di "indirizzi" (ad esempio, www.interlex.it). Tale sistema, che in termini tecnici attua una mappatura da un numero complesso IP alla stringa di caratteri corrispondente, si basa su una struttura gerarchica il cui nodo centrale e finale è rappresentato da 13 elaboratori (i cosiddetti root server) funzionalmente necessari alla stabilità della rete e quindi delle attività che in essa si svolgono (commerciali, amministrative, sociali ecc.).
Tralasciando la leggenda metropolitana della nascita della rete quale strumento di comunicazione in grado di sopravvivere ad attacchi nucleari, la situazione concreta è data da questi 13 elaboratori che rappresentano il nodo finale dell'infrastruttura, per così dire "critica", della navigazione in internet.

Sugli effetti di un eventuale attacco a tali server, si sono espressi alcuni esperti. Interessante la considerazione del direttore At Large della società ICANN, Karl Auerbach, eletto in rappresentanza degli Stati Uniti e del Canada, il quale afferma che "i tredici elaboratori rappresentano indubbiamente un chiaro obiettivo per un eventuale attacco", e prosegue confermando che, eventualmente, "the Internet could be disabled over a period of time - possibly a week - if all the servers were to fail simultaneously"(Washington Post).

La società ICANN ha il compito non solo di assicurare che tali server siano correttamente configurati e operativi ma anche, e soprattutto, che siano sicuri e stabili. Tale compito deriva da un accordo facente parte dei fasci di contratti stipulati dalla società no profit con il governo americano nel 1999, contratto definito CRADA (Accordo di Cooperazione per la Ricerca e lo Sviluppo nella Gestione del Sistema dei Server Root):
The parties will collaborate on a study and process for making the management of the Internet (DNS) root server system more robust and secure. The collaboration will address [...] Examination of the security aspects of the root name server system [...].
Le parti, nella fattispecie in esame, sono il "laboratorio" del Dipartimento del commercio americano, il National Institute of Standard and Technology (NIST), e, appunto, la società ICANN, in particolare il comitato interno consultivo DNS Root Server System Advisory Committee.

Ora, se volessimo osservare il sistema dei tredici root server e gli aspetti inerenti le comunicazioni in un'ottica più ampia, potremmo ben comprendere come la rete Internet possa effettivamente essere considerata un'infrastruttura critica. Le infrastrutture critiche americane sono precisamente individuate da alcuni atti governativi tra cui la direttiva presidenziale del 1998 PDD-63: Critical infrastructures are those physical and cyber-based systems essential to the minimum operations of the economy and government. Esse ricomprendono sia gli apparati materiali e fisici, i cosiddetti physical systems, quali, ad esempio, le infrastrutture dei trasporti e per la distribuzione di energia o acqua; sia i sistemi cosiddetti cyber-based, quali l'erogazione di servizi finanziari e bancari attuati mediante impianti di reti telematiche, i servizi di emergenza interconnessi e gli apparati per le telecomunicazioni.

Vi sono due aspetti interessanti relativi all'infrastruttura critica. In primo luogo (direttiva presidenziale del 16 ottobre 01), si è di recente  posto il problema della sicurezza soprattutto in relazione al fatto che, sempre più spesso, parte dei servizi fisici fa affidamento sulle strutture di rete e di telecomunicazione, e quale naturale conseguenza di tale convergenza vi è un'interdipendenza tra tutti i settori "critici", siano essi fisici o logici (la cosiddetta Interlinked Infrastructure). In tal senso è quindi particolarmente complesso riuscire ad individuare le effettive competenze tra differenti organi governativi in relazione a tali infrastrutture. Tanto complesso da richiedere una indagine congressuale, svoltasi il 4 ottobre presso il Senato, Committee on Governmental Affairs, dal titolo "Critical Infrastructure Protection: Who's In Charge?".

Da questa indagine emergono, infatti, numerose agenzie amministrative e società private che si occupano della gestione di tali infrastrutture.
In secondo luogo, come detto, vi è una costante collaborazione tra gli apparati governativi e il settore privato. Negli USA, infatti, la quasi totalità delle attività rientranti nel contesto della Critical Infrastructure (acqua, luce, comunicazioni.) sono gestite esclusivamente da società private, si pensi ad ICANN ed il sistema dei 13 root server, o più semplicemente alle compagnie telefoniche.

Al fine di creare una linea diretta di collaborazione tra pubblico e privato, necessaria visto il ruolo di primo piano assunto dal settore privato, è stata "sollecitata", mediante la citata direttiva presidenziale del 1998, la creazione della Partnership for Critical Infrastructure Security. Uno "sforzo collaborativo" guidato dal settore privato, composto da 13 agenzie del governo federale e da 70 società private e associazioni (Microsoft, Cisco System, BellSouth.). Essa rappresenta, massimamente, la necessità di collaborazione cooperazione e partecipazione dei differenti settori privati, operanti nel contesto delle infrastrutture, con il settore pubblico governativo, competente per le singole funzioni critiche. Un ruolo di primo piano, all'interno della Partnership for Critical Infrastructure Security, è svolto dal Critical Infrastructure Assurance Office (CIAO), organo amministrativo anch'esso costituito con la direttiva del 1998.

E' quindi di estremo rilievo la presenza del direttore responsabile di quest'ultimo ente nella seduta del 14 novembre durante il meeting della società ICANN, Security and Stability of the Internet Naming and Address Allocation Systems. Ciò anche in relazione al recente testo di legge denominato Patriot Act .

L'USA Patriot Act, acronimo di Uniting and Strengthening America by Providing Appropriate Tools Required to Intercept and Obstruct Terrorism, contiene, infatti, come disposizione conclusiva una sezione titolata Critical Infrastructures Protection Act 2001 (sec.1016)

It is the policy of the United States - (1) that any physical or virtual disruption of the operation of the critical infrastructures of the United States be rare, brief, geographically limited in effect, manageable, and minimally detrimental to the economy, human and government services, and national security of the United States; (2) that actions necessary to achieve the policy stated in paragraph (1) be carried out in a public-private partnership involving corporate and non-governmental organizations; and (3) to have in place a comprehensive and effective program to ensure the continuity of essential Federal Government functions under all circumstances.

Tale disposto normativo prevede che le strutture critiche, tra le quali, a logica, anche il sistema dei 13 root server di competenza di ICANN, siano gestite, nel caso di "emergenza", in modo da subire il minimo impatto "distruttivo" per l'economia, i servizi del Governo e la sicurezza nazionale degli Stati Uniti. Tale obiettivo è da realizzare, (vedi punto 2), mediante la collaborazione tra pubblico e privato. Infatti, a sottolineare ulteriormente l'interdipendenza tra settore pubblico e privato è prevista per il giorno 15 novembre un'udienza congressuale, dal titolo Cyber Security: Private-Sector Efforts Addressing Cyber Threats.


Si tratta ora di valutare e verificare, nel concreto, la rilevanza che il potere legislativo americano potrà eventualmente avere nei confronti della struttura ICANN: struttura ancora in divenire e volta a finalizzare un percorso che formalizzi la propria capacità internazionale e la propria indipendenza.

Quindi, il meeting di ICANN attualmente in corso e contemporaneo all'udienza congressuale citata, è di particolare importanza per due ordini di ragioni: in primo luogo rappresenta un importante, nuovo, banco di prova per la gestione del sistema dell'internet ad opera del settore privato rappresentato da ICANN; in secondo luogo, e correlato al primo aspetto, sarà interessante capire il livello di efficienza e credibilità sviluppato dalla società privata no profit ICANN, la fiducia in essa riposta dal Dipartimento del Commercio e, quindi, la conseguente maturata indipendenza dal governo americano.