Information Security durante la II Guerra Mondiale: Richard Sorge e il cifrario

Una leggendaria spia sovietica, famosa per aver passato informazioni all’Unione Sovietica sulla data esatta dell’invasione tedesca e per aver comunicato al comando che il Giappone non aveva piani di attacco nei confronti dell’URSS, usava il cifrario.

Il “cifrario” (o più comunemente in letteratura “codice cifrato”) viene spesso utilizzato nei racconti polizieschi o nei romanzi gialli per rendere convincente e reale la propria storia, senza però spiegare ai lettori che cosa si intenda con questo termine. È una scelta facile quella di usare il termine “codice” o “codice libro” (sebbene bisognerebbe distinguere tra “codice” e “cifrario”) dato che in crittografia è il metodo più semplice, quello che i lettori possono capire meglio. Tuttavia, non si tratta di un sistema di cifratura fittizio, come nel caso di quelli più elementari dove si sostituiscono lettere con numeri.

Permettetemi dunque di ricordarvi che un libro cifrario si basa sul fatto che entrambi gli interlocutori abbiano lo stesso libro. Il meccanismo di cifratura si fonda su di un meccanismo semplice: una lettera viene sostituita da un numero di una pagina/linea/carattere. Un altro metodo, più sofisticato, si serve di una parte di un testo o di una sequenza di caratteri usati per codificare il messaggio.

Ad ogni modo, qualsiasi libro cifrario permette di ottenere un testo criptato che non può essere “craccato”. Inoltre, cosa ancora più importante, il cifrario permette il trasferimento della chiave alla controparte, risolvendo un problema spinoso: le due parti prima devono essere d’accordo sull’uso di un determinato libro.

Uno dei più rinomati agenti segreti che usava un codice libro era Richard Sorge, leggendaria spia tedesca per conto dell’Unione Sovietica attivo in Giappone. Fu famoso per due grandi risultati: per aver fornito all’Unione Sovietica la data esatta dell’invasione tedesca e per aver comunicato al comando che il Giappone non aveva piani di attacco nei confronti dell’allora URSS.

Nonostante il primo messaggio sia stato ignorato (sottolineiamo che i servizi segreti tedeschi stavano portato a termine una massiva campagna di disinformazione inviando costantemente messaggi contrastanti circa l’invasione tedesca con diverse date e informazioni controverse), il secondo messaggio andò invece a segno. Fu solo grazie agli sforzi di Sorge che il comando sovietico decise di concentrare le truppe sui confini Ovest escludendo la possibilità di una guerra nel Pacifico.

Sorge usò l’Almanacco Statistico tedesco, perfetto per il suo scopo: diversi numeri nelle colonne delle tavole venivano uniti attraverso catene che, invece, servivano come “gamma” per decifrare il messaggio. I messaggi riuscirono ad avadere il contro-spionaggio giapponese e a non essere intercettati, ma solo fino a quando l’operatore radio di Sorge, Max Clausen, non venne interrogato.

Information Security durante la II Guerra Mondiale: Richard Sorge e il cifrario

Fu un errore di Sorge, dato che dovette usare solo una persona come operatore radio e codificatore, scelta obbligata per via dei volumi di dati trasmessi e della difficoltà di ingaggiare più persone nelle operazioni di Intelligente in Giappone.

Gli storiografi hanno annotato che i servizi segreti sovietici riuscirono a creare e usare un “cifrario manuale” che non richiedeva nessun macchinario.

Cifrari simili venivano usati dagli agenti segreti sovietici, e da altri agenti, che operavano ne Die Rote Kapelle in Europa, sia durante la Seconda Guerra Mondiale che nel periodo successivo. È curioso come il codice della sofisticata macchina Enigma sia stata craccata dagli Alleati grazie agli analytics ed altre macchine mentre i messaggi di Sorge codificati con carta e penna siano stati letti solo grazie alla ricerca e al fattore umano.

Questa storia mostra la grande flessibilità e capacità dei codici, così come la prontezza degli Alleati e del comando giapponese di impiegare le risorse, sia a livello di intelligence che materialmente, per raggiungere gli obiettivi stabiliti.

La lezione che abbiamo imparato da questa storia è che non bisogna mai sottovalutare il fattore umano. Infatti, possiamo affermare che il metodo di cyber-spionaggio più efficace usato negli attacchi APT è lo spear-phishing, soprattutto quando colpisce impiegati di determinate aziende ben selezionate.

Consigli