Di pari passo con gli sviluppi degli aerei civili, i velivoli militari stanno sempre più abbracciando le tecnologie digitali e si affidano a una pletora di connessioni con i sistemi a terra. Se da un lato questa iperconnettività fornisce una soluzione a requisiti operativi vitali, dall'altro può essere fonte di nuove vulnerabilità informatiche. Ma quali sono queste minacce? E quali le difese disponibili? In questo articolo sulla cyberscurity diamo una panoramica sugli scenari da tenere in considerazione.
Agosto 2018. Il segretario dell'aeronautica statunitense, Will Roper, dichiara senza mezzi termini alla stampa nazionale: "Uno dei nostri aerei potrebbe essere abbattuto con pochi colpi di tastiera". Questa scioccante ammissione arriva sulla scia di un esperimento condotto dal Pentagono, in cui gruppi di hacker denominati "White Hat" sono stati incaricati di violare i sistemi di bordo dell'F-15 dell'US Air Force. E il loro obiettivo è stato raggiunto: la (teorica) possibilità di abbattere un aereo da guerra a mezz'aria. "Questo hack è frutto di decenni di negligenza da parte dell'aeronautica militare statunitense nei confronti della sicurezza informatica", ammette Will Roper.
Iperconnettività: sinonimo di efficienza... ma anche di vulnerabilità
Naturalmente, i dettagli tecnici di questo hacking non sono stati resi noti e rimangono altamente riservati. Tuttavia, il motivo per cui questi "White Hat" sono riusciti a violare un aereo da combattimento così importante è che - come molti altri aerei - l'F-15 è ormai altamente digitale e connesso. "Il software dei moderni aerei da combattimento si basa su milioni di linee di codice. Se questo codice venisse stampato su carta, si creerebbe una pila alta più di 10 metri", spiega in un'intervista Matthias Bertram, vice responsabile del sottoprogetto di ingegneria del progetto "New Fighter Aircraft" in Svizzera.
La questione della protezione informatica degli aerei da combattimento è una preoccupazione reale per la Svizzera, che intende acquistare i nuovi F-35 americani nel prossimo futuro. Questi aerei da guerra sono presentati come ultramoderni, ma sono altresì stati criticati per la loro ampia superficie esposta agli attacchi digitali. Sono, dunque, un esempio da manuale delle minacce informatiche a cui può essere esposto oggi un velivolo di tale importanza strategica. In un rapporto dell'Istituto francese per le relazioni internazionali (IFRI) sugli sforzi dell'esercito francese per affrontare i rischi informatici, tre dei principali sottosistemi dell'F-35 sono stati identificati come critici: il software per il riconoscimento dei bersagli, il software per la manutenzione predittiva dell'aereo, i simulatori di volo. Il primo sottosistema, il Joint Reprogramming Enterprise, elabora un elevato numero di firme note degli aerei da combattimento esistenti e consente di rilevare e identificare automaticamente le minacce prossime al velivolo (carri armati, droni, ecc.). Ciò fornisce ai piloti informazioni cruciali, aiutandoli a prendere decisioni tattiche in tempo reale. La falla consiste nel fatto che "una manomissione dei suoi aggiornamenti, permetterebbe agli hacker di iniettare dati falsi all’interno del sistema rendendo certi bersagli non rilevabili o ingannando il sistema di tiro". Il secondo sottosistema considerato critico è l'Autonomic Logistics Information System, un altro programma di bordo. Il suo scopo è migliorare le capacità di manutenzione predittiva del velivolo effettuando una autovalutazione dello stato di usura di alcuni dei suoi componenti. Trasmettendo questo flusso di informazioni alla sede centrale di Lockheed Martin (dove risiede il costruttore del velivolo), è possibile approvvigionarsi delle parti di ricambio prima ancora del verificarsi di potenziali guasti, ottimizzando così la disponibilità operativa del velivolo - un vantaggio significativo durante una situazione di conflitto. Tuttavia, se questo flusso di dati venisse intercettato, gli esperti temono che "i potenziali nemici acquisirebbero informazioni sulla struttura dell'aereo e sul contenuto delle sue missioni". Infine, la terza criticità attenzionata. Prima di lasciare il suolo, i piloti dell'F-35 vengono addestrati utilizzando i simulatori di volo. Tali simulatori sono estremamente avanzati e programmati per offrire un'esperienza di pilotaggio ultra-realistica. Anch’essi, però, sono altamente connessi (soprattutto per scopi manutentivi) e, se violati, potrebbero consentire ai nemici cyber di "dedurre informazioni chiave sul funzionamento dei caccia".
Tutte queste diverse vulnerabilità evidenziano i rischi informatici che accompagnano lo scambio di dati tra aerei e infrastrutture di terra. Per questo motivo, "in ambito militare, cerchiamo di ridurre al minimo tali connessioni, che forniscono anche vettori di minaccia per il velivolo", spiega Alain Mingam, architetto della sicurezza di Airbus. Ma le circostanze operative attuali richiedono che le comunicazioni con i sistemi di terra siano comunque disponibili, senza rinunciare a misure di sicurezza adeguate. "Negli ultimi 15 anni, l'industria dell'aviazione militare si è resa conto di questa debolezza. Per diversi decenni, la sicurezza operativa è stata fortemente integrata nel processo di sviluppo dei velivoli", afferma Christopher Cachelou, ingegnere pre-vendita specialista nel settore difesa presso Stormshield. "Si basa su un'analisi del rischio funzionale per garantire il corretto funzionamento del dispositivo, sia in termini hardware sia in termini software. La cybersecurity a livello di prodotto è molto più recente e meno integrata nel processo di sviluppo. Si basa anch'essa su un'analisi del rischio, ma in questo caso del rischio informatico, come ad esempio nel caso del metodo EBIOS". Mingam conferma questo stato di fatto, sia nell'aviazione militare sia in quella civile. "Con l'ACARS (per la gestione delle operazioni di volo, il controllo del traffico aereo e la manutenzione), il FOMAX (per la manutenzione predittiva) e i sistemi di intrattenimento in volo (IFE), il numero di strumenti digitali che comunicano con la terra è molto maggiore nell'aviazione civile e sono in circolazione da molto più tempo". Contrariamente a quanto si potrebbe pensare, l'industria civile spesso apre la strada a quella militare in termini di sicurezza informatica. Ad esempio, è risaputo che l'A400M (aereo da trasporto militare) progettato da Airbus e proposto all'Organizzazione europea per la cooperazione in materia di armamenti (OCCAR) abbia tratto grande beneficio dagli studi sulla protezione informatica condotti per l'A380.
Rischiamo di assistere a una guerra cibernetica nei cieli?
La natura segreta e poco documentata della guerra cibernetica fa sì che il numero di studi sulla minaccia cibernetica in ambito militare sia inevitabilmente limitato. Ad ogni modo, è interessante porre l’attenzione sul numero di attacchi informatici sferrati contro aerei e infrastrutture civili. Secondo l'Agenzia europea per la sicurezza aerea (EASA), questa cifra ha superato i 1.000 attacchi al mese in media dal 2016.
E, sebbene le informazioni relative all'F-15 siano state ottenute grazie al pentesting, sono già state riportate notizie di azioni di hacking (più o meno riuscite) contro aerei militari di diversi Paesi. Nel 2009, i computer della base aerea 107 di Villacoublay sono stati infettati dal virus Conficker, il quale si pensa si sia diffuso attraverso postazioni Windows non aggiornate. Secondo una lettera confidenziale inviata al sito web Intelligence Online, in quell’occasione diversi velivoli Rafales sono rimasti bloccati a terra per due giorni. Alcuni documenti classificati rivelati da Edward Snowden hanno anche mostrato che i servizi di intelligence statunitensi e britannici sono stati in grado di intercettare e decriptare i feed video dei droni aerei israeliani e dei caccia F-16, fornendo loro importanti informazioni tattiche ai margini delle tensioni geopolitiche in Iran. Allo stesso tempo, il rapporto dell'IFRI riporta la testimonianza dell'ex capo della difesa cyber francese, il contrammiraglio Arnaud Coustillière, che spiega che un drone francese Harfang è stato vittima di un tentativo di dirottamento in Afghanistan. L'attacco alla fine fallì, ma si dice che abbia comunque portato all’interruzione della missione del velivolo.
Infine, anche i dati sensibili conservati all'interno dell'infrastruttura di terra sono un obiettivo privilegiato. Nel 2017, infatti, quasi 30 GB di dati commerciali (non classificati) relativi a programmi di difesa australiani sono stati esfiltrati durante un attacco informatico ai danni di un fornitore governativo. Un altro episodio simile si è verificato nel 2020, quando Leonardo (uno dei principali gruppi industriali aerospaziali europei e di origine italiana) ha notato un flusso anomalo di dati in uscita dai suoi sistemi e ha prontamente allertato le autorità italiane. L'indagine ha stabilito che uno dei computer violati conteneva informazioni classificate sul progetto sperimentale "nEUROn". Sotto il controllo francese dal 2012, l’obiettivo di "nEUROn" è progettare un nuovo aereo da difesa militare europeo. Più recentemente, un gruppo di criminali informatici ha pubblicato sul dark web i dettagli tecnici del Globaleye svedese-canadese (un aereo militare di sorveglianza e intelligence). Le informazioni sembrano essere state raccolte dai sistemi informatici di Bombardier, il costruttore canadese coinvolto nella produzione dell'aereo.
Anche se rara, la minaccia di dirottamento digitale delle apparecchiature militari è presa molto sul serio da tutte le nazioni che utilizzano tali dispositivi. In Francia, l'esercito ha già istituito un contingente di 1.100 cyber-combattenti, che sarà rafforzato da 5.000 unità aggiuntive nel 2025, suddivise tra le forze armate, la Direzione generale degli armamenti (DGA) e i servizi segreti francesi (DGSE). Si tratta, forse, di un'iniziativa in previsione di una guerra cibernetica? No, secondo il generale di brigata dell'aeronautica Didier Tisseyre, vicedirettore del centro di comando Comcyber, come riportato da IFRI: "Abbiamo già condotto attacchi informatici nei teatri operativi in cui è impegnato l'esercito francese, come nelle regioni del Levante e del Sahel. Ciò può comportare l'intercettazione di informazioni prima di un'operazione, l'inganno dei radar antiaerei o l'immobilizzazione delle difese nemiche".
Azione preventiva: quali sono allora le opzioni disponibili?
La protezione informatica degli aerei da combattimento è quindi una questione molto delicata. In teoria, proteggere un aereo da combattimento dalle minacce informatiche è simile alla protezione di qualsiasi terminale connesso a una rete civile, come sottolinea Bertram. Per una maggiore protezione in ambito militare, viene eseguita una suddivisione delle funzionalità a livello di aeromobile congiuntamente a un'analisi dell'impatto sulla sicurezza e in modo particolare attraverso un documento chiamato "Functional Hazard Assessments" (FHAs). "Questo ci permette di mappare con precisione le varie funzionalità dell'apparecchiatura e le eventuali conseguenze in caso di malfunzionamento", spiega Mingam. "Possiamo quindi esaminare i vettori di attacco digitale che potrebbero potenzialmente comprometterle, identificarne il rischio associato e dedurre i componenti di sicurezza che devono essere installati sul percorso del possibile attaccante per far sì che il rischio sia accettabile".
Ma quali sono i requisiti in questo settore? In Francia, gli operatori civili e privati di importanza vitale devono rispettare i requisiti di cybersecurity stabiliti dall'articolo 22 della legge francese sulla pianificazione militare. Tali requisiti riguardano sia i processi organizzativi sia le soluzioni tecnologiche da implementare per proteggere le infrastrutture fisiche e digitali. A livello europeo, la direttiva NIS include alcuni operatori del settore del trasporto aereo nell'elenco degli operatori di servizi essenziali.
Da un punto di vista organizzativo, la sicurezza generale di un aereo da combattimento si basa sulla combinazione di tre sistemi complementari:
- sicurezza delle infrastrutture di terra: è di competenza del responsabile del sito e consiste nella messa in sicurezza di basi, aeroporti, centri di comando e altre strutture militari (e civili) essenziali per il funzionamento quotidiano dei mezzi militari;
- sicurezza dei sistemi informativi e delle infrastrutture di rete (ISS): è di competenza dell'OSSI ed è tradizionalmente coperta da una carta di sicurezza informatica che regola i processi operativi, i diritti dei dipendenti e del personale militare e civile di accedere e visualizzare le risorse digitali, ecc;
- sicurezza del prodotto: è la responsabilità del Product Security Officer (PSO), che coinvolge tutte le soluzioni hardware e software direttamente installate sul prodotto in questione (in questo caso, l'aereo da combattimento) per portarlo agli standard di sicurezza richiesti.
In termini di prodotti, Bertram cita, a titolo di esempio, l'uso di firewall che forniscano "firme, crittografia, accesso basato sui ruoli, scanner antivirus e analisi in tempo reale dei sistemi in esecuzione". Queste soluzioni devono anche essere progettate per resistere a condizioni fisiche estreme (temperatura, pressione, urti, ecc.) per consentire il monitoraggio delle apparecchiature nei vari ambienti.
Quali sono le sfide di domani?
Gli aerei militari devono essere creati come "cybersecure by design". Ma se questo è il quadro futuro, sorge un'altra domanda: come assicurare una protezione sufficiente per tutto il ciclo di vita dell'apparecchiatura? Un aereo da combattimento medio ha una durata di vita di 30 anni. Con la straordinaria velocità con cui si evolve il mondo digitale, le minacce informatiche di domani saranno drasticamente diverse da quelle di oggi. In risposta a questo problema, i produttori stanno aggiungendo un servizio di manutenzione di sicurezza (o MCS) ai loro servizi di manutenzione operativa (MCO). "L'MCO assicura che l'aeromobile sia mantenuto in condizioni operative per tutto il suo ciclo di vita", spiega Cachelou. "Allo stesso tempo, l'MCS assicura che l'aeromobile sia mantenuto in condizioni di sicurezza per tutto il suo ciclo di vita. Garantisce che il velivolo sia costantemente aggiornato ai livelli di sicurezza appropriati a fronte di rischi e minacce informatiche in costante evoluzione". Si ritiene, ad esempio, che sia stata l'aggiunta di nuove funzionalità digitali, unitamente alla mancanza di aggiornamenti di sicurezza informatica, a rendere vulnerabile l'F-15 statunitense.
Alain Mingam ci porta ancora un passo avanti nel futuro. Mentre attualmente si pensa alla sicurezza informatica come a una serie di barriere volte a prevenire o rallentare qualsiasi tentativo di attacco informatico, i produttori e gli editori stanno preparando le risposte future. "Stiamo implementando sistemi di protezione; ma nessuna protezione è impenetrabile, quindi dobbiamo inventarci qualcosa di diverso". E se queste protezioni fossero in grado di reagire ed evolversi per rispondere meglio a un'offensiva, o se potessero addirittura consentire al difensore di contrattaccare? "La nostra divisione di difesa informatica è dedicata a questo tema e stiamo elaborando architetture composte da dispositivi di monitoraggio e capacità di reazione. Ci stiamo muovendo verso processi di difesa elettronica in tempo reale". In una guerra di questo tipo, proprio come in una guerra "reale", la sicurezza informatica non sarebbe più solo una sfida a sopportare i colpi, ma anche a saper contrattaccare.
