La “guerra digitale” del Califfato è stata finora una guerra di propaganda. Attraverso i social network come Twitter i simpatizzanti del sedicente Stato islamico hanno a lungo proposto la propria visione del mondo e fornito riferimenti pseudo religiosi ai simpatizzanti di una malintesa jihad islamica. I messaggi nei social network e nei forum pubblici sono serviti a creare consenso intorno alle azioni dell’Isis e a scambiare informazioni su come contribuire alla guerra santa. È stato attraverso twitter che sono circolati, in chiaro, manuali su come sfruttare i social per la propaganda online e ottenere aiuto dagli esperti del cybercaliffato in caso di rimozione dei propri account.Solo in pochi e sporadici casi è stato possibile attribuire agli hacker dell’Isis attacchi ai siti web di alcune scuole ed ospedali francesi con attacchi DDOS, ma finora i jihadisti non sembrano avere la capacità di attaccare le infrastrutture critiche e l’Internet of Things.
Isis, foreign fighters e jihad
Oggi che il Califfato batte in ritirata dai territori che prima controllava, anche l’azione delle sue legioni cibernetiche si è fatta meno intensa.Il maggior pericolo finora era venuto dal reclutamento di foreign fighters per la jihad sul terreno. Il reclutamento, che iniziava sui forum e finiva in chat private e protette, si completava secondo modalità segrete e riti di affiliazione dove i membri effettivi del Califfato garantiscono per i nuovi jihadisti e poi se ne fanno mentori, preparandoli alla guerriglia cibernetica e all’uso delle armi. Fino a un anno fa l’addestramento militare vero e proprio veniva effettuato nei territori sotto controllo dell’ISIS e in alcune roccaforti come Raqqa dove si veniva preparati alla guerra cibernetica.
Gli attentati dei lupi solitari, jihadisti dell’ultima ora, psicotici con vocazione suicida, lasciano pensare invece a un cambio di strategia e in alcuni casi a una radicalizzazione e a un indottrinamento a distanza condotto attraverso gli strumenti che Internet offre. Le prove del fenomeno starebbero nei computer e dei telefoni di aspiranti foreign fighters dove gli investigatori hanno trovato materiale propagandistico jihadista e perfino i messaggi di Telegram dove si invitano i propri contatti ad uccidere i “crociati”.
Cosa è stato fatto
Considerata l’importanza per l’Isis della comunicazione online sia come mezzo di propaganda che come strumento organizzativo, chi ha combattuto il CyberCaliphate si è sempre concentrato sulla interruzione delle comunicazioni digitali degli estremisti oscurando siti, forum, account personali, e sottraendo dati, informazioni e documenti dai loro database per farli analizzare dalle autorità.
Diversi gruppi, vicini o affiliati ad Anonymous, sono anche riusciti a violare le Virtual private networks del Califfato digitale e a individuare e denunciare gli admin dei siti estremisti, qualche volta pubblicandone email e dati anagrafici sulle lavagne bianche della rete come Pastebin.
Tuttavia la strategia dei servizi di intelligence che secondo alcuni osservatori supportano questi gruppi in funzione antiterrorismo, è stata più spesso finalizzata a monitorare i flussi dei dati tra gli snodi pubblici o nascosti della galassia jihadista per carpire informazioni utili a decidere se, come e quando intervenire sia sulle infrastrutture di supporto alla jihad, eventualmente interrompendole, sia rintracciando i “basisti” per metterli in condizione di non nuocere.
Cosa si potrebbe fare
Alcuni studi hanno analizzato che la capacità della propaganda digitale su Twitter si è ridotta dell’80% dalla proclamazione dell’IS. Chiudere i loro canali di comunicazione è ancora la strada maestra e tuttavia gli esperti di cybersecurity ritengono che una strategia di infiltrazione digitale tra supporter e fiancheggiatori possa ottenere le informazioni necessarie a bloccare i soldati del califfato con attacchi di phishing e strategie di social engineering per risalire all’identità dei jihadisti e neutralizzarli, ma anche ricorrendo a tecniche mirate che facciano uso di strumenti di cyberwarfare come DDOS, Trojan e malware per annientare il Cybercaliphate,
Per chi segue la strada dell’eliminazione della propaganda jihadista dalla rete uno dei nodi difficili da sciogliere rimane la facilità con cui è possibile riaprire siti e account jihadisti una volta chiusi. Hacker anti-jihad usano strumenti automatizzati e in qualche caso hanno scritto software appositi per riuscirci. E tuttavia, la relativamente facile reperibilità di video, foto e documenti su cui i simpatizzanti fondano la loro radicalizzazione sopratutto nei paesi dove sono tutelate privacy e libertà d’espressione è uno dei problemi con cui devono confrontarsi le iniziative antiterrorismo. Ad esempio, ha fatto notizia il ritrovamento all’interno di Internet archive (la biblioteca di Internet che conserva copia anche dei siti chiusi) di molti numeri della rivista del Daesh (nome arabo dell’Is) e c’è stata una lunga discussione tra quelli che volevano cancellarla e quelli che volevano lasciarla consultabile per monitorarne i lettori.
La resilienza di Internet
Ma i tutorial per realizzare una bomba sporca, procurarsi delle armi e pianificare un attentato si trovano dovunque nei siti nascosti del deep web quasi impossibili da classificare perché allocati su server che vengono “accesi” e “spenti” a intervalli in relazione agli scopi perseguiti. Di questi siti viene fatto un continuo backup per riversarli nel giro di poche ore su altri server con un diverso indirizzo Internet rendendo difficile anche ai provider di monitorarli. La collaborazione degli Isp e dei registrar e degli Over the top dei diversi paesi con le autorità è forse qualcosa che si può immaginare di fare per contenere la marea jihadista sul web. E tuttavia questo può non bastare quando siti, forum e chat segrete sono protette dall’anonimato di servizi accedibili solo con software specifici nel dark web (che non è il deep web) che ospita sia servizi legali che illegali, ad esempio usando Tor. Da un’analisi di Intelliag e Darksum, la rete nascosta disegnata dai nodi Tor farebbe capo a circa 30 mila siti con suffisso .onion, non tutti attivi. E non tutti nella disponibilità dei jihadisti.
Black market e dark web, oltre la paranoia
Però nel dark web è possibile accedere ai black market, veri e propri negozi online protetti da diversi livelli di sicurezza dove è possibile acquistare anche armi con cryptovalute come i bitcoin e non solo con essi. Nel network Tor analizzato dagli esperti solo lo 0.3% offriva armi in vendita. Una cifra irrisoria che già dimostra come tale tipo di attività sia reputata poco conveniente in base ai principi della domanda e dell’offerta che ispirano anche questi mercati illegali.
Per individuare i criminali e i potenziali terroristi che accedono ai black market per fare i loro acquisti ci sono diverse soluzioni
Eppure non si può evitare di monitorarli. Per individuare i criminali e i potenziali terroristi che accedono ai black market per fare i loro acquisti ci sono diverse soluzioni. Intanto i proprietari di questi negozi nascosti nel dark web devono far sapere dove si trovano e che mercanzia offrono. Quindi si fanno pubblicità su canali pubblici o comunque posizionati in alcuni luoghi nel deep web dove si arriva col passaparola che viaggia attraverso i forum. Poi questi negozi devono rimanere attivi per il periodo necessario alla visita dei clienti e infine devono stabilire con essi metodi di pagamento e di consegna. Monitorare quindi i siti e i forum pubblici anche se non sono indicizzati dai motori di ricerca, è la via giusta per intercettare, pedinare e bloccare i potenziali criminali. Il deep web non è invisibile, è solo difficile da trovare.
Anche in questo caso c’è un però: in alcuni paesi è ancora più facile acquistare armi al mercato nero della criminalità organizzata con denaro contante che attraverso il dark web. Inoltre i fatti recenti hanno dimostrato che per fare una strage al grido di Allah Akbar, non è necessario disporre di armi da fuoco.
Per individuare e fermare i potenziali foreign fighters e i lupi solitari sarebbe importante avere accesso a tutte le informazioni relative a posizione territoriale, transazioni finanziarie e condizione di salute, dei sospetti, visto che secondo Europol il 20% di essi soffre di disturbi mentali. Ma questo si può fare dopo una adeguata raccolta di informazioni sul campo (Human intelligence) e poi con uno screening mirato dei soggetti a rischio radicalizzazione, individuando i potenziali jihadisti a partire da caratteristiche specifiche: provenienza nazionale, etnia, grado di istruzione, servizio militare, psicologia, storia personale.
Intanto possiamo liberarci di due errori frequenti:a) non è necessario usare strumenti complessi per comunicare: gli attentatori del Bataclan vivevano insieme, per coordinarsi durante gli attentati hanno usato semplici telefoni e gli smsb) non è facile acquistare armi nel darkweb, chi ci ha provato, alcuni giornalisti tedeschi, non ci sono riusciti. Anche il dark web è pieno di imbroglioni.
Nel caso del cyberterrorismo non esistono pallottole d’argento. I vecchi metodi di intelligence vanno associati a tutti gli strumenti che la tecnologia digitale ci offre.
ARTURO DI CORINTORoma, 31 Luglio 2016