La matematica degli attacchi hacker

Il tempismo è cruciale nella guerra: assaltare il nemico di sorpresa garantisce, il più delle volte, la vittoria. Lo sapevano i greci che assediarono Troia e lo sanno altrettanto bene i pirati informatici di oggi. È per questo che i ricercatori della University of Michigan hanno studiato a fondo la tempistica delle azioni offensive informatiche, usando un modello matematico per svelare quali sono le variabili che innescano, in un dato momento, un cyber-attacco. Ci sono valide ragioni che motivano una ricerca del genere: James Clapper, direttore della Us National Security, ha parlato esplicitamente della sicurezza informatica come “uno tra campi di difesa più importanti per una potenza mondiale odierna”. Gli attacchi informatici possono essere addirittura più pericolosi di quelli convenzionali, perché possono avere luogo anche in assenza di un conflitto aperto e dichiarato.

Nel loro lavoro, pubblicato su Pnas, Robert Axelrod e Rumen Iliev spiegano che “la questione della tempistica in campo informatico è analoga a quella in campo militare. Per esempio: per una spia qual è il momento migliore di passare all’azione? Se da una parte può valere la pena aspettare che ci sia un evento importante, dall’altra un’attesa troppo lunga potrebbe far saltare la copertura”. Per gli attacchi informatici funziona allo stesso modo. Una volta individuata una vulnerabilità in un computer, gli attaccanti non possono aspettare troppo tempo, perché la falla potrebbe essere riparata.

I due scienziati hanno individuato quattro variabili che regolano la tempistica degli attacchi hacker: la vulnerabilità dei sistemi, la silenziosità (“stealth”, cioè capacità di agire inosservato) e la persistenza (cioè la probabilità che si possa sfruttare in futuro la stessa vulnerabilità) delle armi e la soglia, che definisce il tempo in cui l’obiettivo dell’attacco rimane abbastanza importante da valere l’uso dell’arma. Oltre la soglia, in altre parole, il “guadagno” è maggiore del rischio. I ricercatori hanno messo a punto una serie di equazioni che permettono, dopo aver stimato il valore di ciascuna delle quattro variabili, di valutare quantitativamente il rischio di un attacco informatico nel breve e medio termine.

Il modello sembra funzionare, almeno sugli episodi avvenuti in passato: le equazioni di Axelrod e Iliev si sono adattate perfettamente, per esempio, al caso Stuxnet (il virus usato nel 2010 per mettere fuori uso gli impianti nucleari dell’Iran) e alla controffensiva di Baghdad. Gli autori sostengono che, con pochi cambiamenti, potrà essere applicato anche in altri ambiti, come azioni militari o sanzioni economiche.

Riferimenti: Pnas doi:10.1073/pnas.1322638111

Credits immagine: Kay Gaensler/Flickr