Sblocca gratuitamente il Digest dell'editore
Gli esplosivi che il Mossad ha inserito in migliaia di batterie di cercapersone Hezbollah e fatto esplodere il mese scorso in Libano dovrebbero inviare una scossa di paura nel mondo altrimenti tranquillo della gestione della catena di approvvigionamento globale. Sicuramente gli avversari dell’Occidente avranno le proprie tattiche per compromettere il nostro hardware elettronico. La maggior parte delle aziende pensa solo alle vulnerabilità informatiche e software. È ora che prendano più sul serio la sicurezza hardware.
I russi sono già così nervosi che l'elettronica complessa possa essere manipolata dagli avversari che hanno creato uno speciale istituto per testare la veridicità dei chip occidentali introdotti di contrabbando per essere utilizzati nella produzione di missili e droni. La storia dimostra che probabilmente hanno ragione a preoccuparsi. Sebbene molti giochi di spionaggio dell'era della guerra fredda siano ancora nascosti dalla classificazione, Politico ha recentemente scoperto uno schema dell’FBI degli anni ’80 progettato per manomettere gli strumenti per la produzione di chip che i sovietici importavano illegalmente.
Tuttavia, le agenzie di sicurezza occidentali potrebbero non avere più l’opportunità di ripetere tali pratiche, anche se oggi sono altrettanto abili quanto lo erano durante la guerra fredda. L’epicentro della produzione elettronica si è spostato dagli Stati Uniti all’Asia, in particolare alla Cina e, nel caso della produzione di chip, a Taiwan. Più prodotti un paese assembla, maggiori sono le opportunità di illeciti.
La maggior parte di noi non deve preoccuparsi dell'esplosione dei componenti elettronici. Ma che dire dei dispositivi modificati per consentire lo spionaggio? Nel 2018, Bloomberg ha riferito che le spie cinesi avevano aggiunto un chip grande quanto un riso ai circuiti stampati dei server utilizzati da Amazon, Apple e dal Pentagono. Secondo quanto riferito, il chip aggiuntivo ha consentito a un attore esterno di alterare il funzionamento del server e di rubare dati.
Tutte le aziende coinvolte hanno smentito la storia e respinto con veemenza l'implicazione che la loro sicurezza dei dati fosse stata compromessa mentre i capi dell'intelligence statunitense negato che vi fossero prove di manipolazione dei prodotti. Ma non è sempre saggio prendere per oro colato le dichiarazioni pubbliche delle spie.
Rispetto all'impianto e alla successiva detonazione di esplosivi nelle batterie dei cercapersone, posizionare un chip di ascolto su un circuito è più semplice.
Né lo spionaggio è l’unica forma che potrebbe assumere un attacco hardware. Chip contraffatti – soprattutto i semiconduttori semplici, economici e prodotti in serie, come quelli che modulano l’elettricità su un circuito stampato – rappresentano già una sfida. Alle aziende produttrici di chip non piace quando i loro prodotti vengono copiati e le vendite vengono perse, ma ci sono anche problemi di sicurezza più ampi da considerare.
Supponiamo che un chip contraffatto sia stato prodotto con standard di qualità deliberatamente bassi, con l'obiettivo di ridurne la vita utile. I risultati potrebbero variare da irritanti a debilitanti. Se gli spazzolini elettrici del mondo cominciassero a guastarsi, potremmo ancora spazzolarli a mano. Ma se i sottomarini americani iniziassero a trascorrere più tempo in porto per riparare componenti elettronici malfunzionanti, l’esercito americano potrebbe ritrovarsi sparpagliato nell’Indo-Pacifico.
Scenari come questo spiegano perché le società di difesa statunitensi non dovrebbero procurarsi componenti dagli avversari. Tuttavia, è un segreto di Pulcinella a Washington che alcuni grandi appaltatori della difesa non rispettano questa regola, sostenendo che è impossibile da seguire. Alcuni tipi di componenti oggi sono realizzati solo in Asia. Uno studio recente ha scoperto che le nuove portaerei statunitensi hanno al loro interno 6.500 semiconduttori di fabbricazione cinese.
Se l’esercito utilizza fornitori inaffidabili, lo stesso potrebbero fare le società di telecomunicazioni e altri fornitori di infrastrutture essenziali.
Le aziende occidentali hanno trascorso gli ultimi due decenni a costruire difese contro gli attacchi informatici, spendendo miliardi nel processo. Eppure, anche i più sofisticati dedicano poche risorse alla verifica dei chip o all'ispezione dei circuiti stampati all'interno dei loro sistemi. Alcuni produttori ancora non riescono a monitorare l’origine dei componenti all’interno delle loro catene di fornitura, nonostante la creazione di potenti software per facilitare questo compito.
L'analisi dell'hardware è costosa e spesso tecnicamente complessa. L’esercito americano sta creando una “enclave sicura” per la produzione segreta di chip, ma anche le più grandi aziende di elettronica non possono permettersi di portare internamente tutta la loro produzione.
Possono, tuttavia, utilizzare strumenti software sempre più potenti per comprendere meglio i rischi nelle loro catene di approvvigionamento.
Questo è il lavoro che Hezbollah non ha fatto, anche se dopo le esplosioni dei cercapersone i giornalisti hanno potuto rapidamente constatare che il Compagnia ungherese a vendere i dispositivi era una copertura israeliana.
Hezbollah non è l'unico a fare affidamento su complesse reti di produzione elettronica con visibilità limitata: lo facciamo tutti. Senza dubbio avrebbe voluto dedicare più risorse alla sicurezza della catena di fornitura e alla verifica dell’hardware. Le aziende e i governi occidentali devono assicurarsi di fare lo stesso.