Riporto qui un pezzo dall'ultima uscita di Guerre di rete la newsletter di Carola Frediani da meditare... GUERRA (SENZA CYBER) Israele bombarda gli hacker di Hamas. E ora? Con un tweet più agghiacciante ancora del video che mostra l'incursione aerea (VIDEO), Israele ha annunciato di aver bombardato un edificio nella striscia di Gaza che ospitava hacker di Hamas, i quali sarebbero stati sul punto di lanciare un cyberattacco contro Israele. "Abbiamo sventato il tentativo di una cyberoffensiva da parte di Hamas", ha twittato l'Israel Defence Force (IDF), l'esercito israeliano. "Dopo il successo della nostra operazione cyber difensiva, abbiamo colpito un edificio dove lavorano i cyber operativi di Hamas. HamasCyberHW.exe è stato rimosso", conclude ironizzando il tweet, in quello che Foreign Policy definisce “un macabro tentativo di scherzo”. Perché non è un virus (.exe) quello che è stato rimosso, ma un edificio con della gente dentro (ci sono dei morti? quanti? erano stati avvisati prima del raid per evacuare l'edificio? c'erano civili nei paraggi o nello stesso edificio? e chi erano questi cyber operativi di Hamas e come erano inquadrati in Hamas? e qual era il cyberattacco che stavano per fare? Non ho trovato risposte a queste domande ma quel che è peggio nemmeno le domande). "Siamo stati davanti a loro tutto il tempo. Appena hanno provato a fare qualcosa hanno fallito", ha dichiarato il capo della divisione cyber difensiva dell'IDF. In pratica, gli israeliani (nell'operazione è coinvolta anche l'intelligence interna, lo Shin Bet, e l’unità 8200, una sorta di Nsa israeliana) dicono di aver prima fermato l'offensiva online, e poi di essere passati all'incursione aerea. Siamo di fronte a un passaggio epocale, notano molti osservatori. La risposta fisica e apparentemente immediata di Israele a un cyberattacco di Hamas è un punto di svolta della cyberwarfare. Ancora in certi circoli si sta a discutere dell'opportunità di fare hack-back (“hackerare” di rimando qualcuno che ti “hackera”) e del rischio di escalation, e qui siamo già di fronte a un bomb-back (Zdnet). Sembra essere la prima volta che i militari di uno Stato hanno risposto in tempo reale a un cyberattacco con la forza fisica, scrive Foreign Policy. Certo, c'è chi puntualizza: in questo caso c'era già un conflitto fisico in atto (vedi Stefano Mele su Formiche e anche la stessa Foreign Policy o Wired Usa e ancora Lawfare blog). Non solo: gli hacker di Hamas sembrano essere equiparati a terroristi, e il loro bombardamento sembra essere parte di una serie di bombardamenti su target “collegati ai gruppi terroristi”, per un totale di 14 morti palestinesi, “quasi tutti membri delle cellule che lanciavano razzi”, scrive Times of Israel. Gli hacker di Hamas rientrano in questi 14? In quel “quasi”? (sarebbero 23 i morti per AlAraby tra cui anche civili). C'è chi ricorda un precedente: quello di Junaid Hussain, l'hacker britannico arruolato nell'Isis in Siria che gestiva le operazioni cyber del Califfato e che è stato ucciso con un drone in un'operazione angloamericana nell'agosto 2015 nei pressi di Raqqah (e anche un secondo caso, come mi ha ricordato Gianluca Varisco, quello di un altro hacker britannico del Califfato, Siful Haque Sujan, ucciso in modo analogo sempre a Raqqah nel dicembre 2015). Hussain è il primo hacker a essere considerato una tale minaccia da essere ucciso da uno Stato occidentale (con un drone), nota il Combating Terrorism Center. E tuttavia in quei casi, pur molto controversi, la motivazione principale addotta dietro all'uccisione via drone era legata al loro ruolo di reclutatori dell'Isis - e in particolare Hussain era stato accusato di dirigere e orchestrare attentati (e non solo cyberincursioni) su suolo americano e britannico (vedi comunicato del dipartimento della Difesa Usa e per una analisi di questo aspetto e delle attività di Hussain vedi il report del Combating Terrorism Centre del 2017) E infatti, quando il governo inglese ha dovuto giustificarsi per questa esecuzione extragiudiziale, ha invocato il diritto all'autodifesa dell'UK a fronte di una minaccia imminente interna di attacchi terroristici (The interpreter). Pure, all'epoca non sono mancate critiche e azioni legali contro questa interpretazione a maglie larghe del diritto di autodifesa, così come contro le kill lists segrete con cui da tempo sono fatti fuori terroristi o presunti tali (vedi archivio Guardian). Tutto questo per dire che l'azione israeliana contro gli hacker di Hamas ha molti elementi di novità, soprattutto per come è stata presentata. E potrebbe aprire la strada a escalation fisiche di attacchi cyber. "A sentire l'annuncio sembra che il potenziale cyberattacco sia stato sventato usando mezzi tecnici", ha commentato su Zdnet il ricercatore Lukasz Olejnik. "Questo farà interrogare gli analisti su quale sarebbe stato il punto e la giustificazione dell'uso della forza. (...). Certo, stiamo parlando di un conflitto che era già in corso. (...) Nessuno stratega sano di mente considererebbe una risposta armata a una attività cyber di basso impatto se non sei già coinvolto in un conflitto". Che tipo di cyberattacco faceva o stava per fare Hamas? Non lo sappiamo, non è stato detto. Tuttavia secondo alcuni analisti, le capacità hacker del gruppo non sarebbero così avanzate. Nulla di alto livello fino ad oggi: attacchi a cellulari di soldati con malware Android (qui lo studio), violazione di siti, mail di phishing, profili finti sui social per spillare info da soldati israeliani (Cyberscoop). E poi qualche drone intercettato (Catalin Cimpanu). Per capire qualcosa di più degli hacker di Hamas ho chiesto chiarimenti a Eyal Sela, a capo della divisione di threat intelligence della società ClearSky Cyber Security, che li ha studiati, scrivendo alcuni dei report citati in queste righe. “Non sappiamo con certezza la loro affiliazione”, spiega Sela a Guerre di Rete. “Negli anni l’esercito israeliano (IDF) ha sostenuto che fossero parte di Hamas, per cui tenderei ad assumere che non siano solo contractor. Inoltre non abbiamo prove di loro capacità molto avanzate. Tuttavia non hai bisogno di capacità speciali per interrompere il funzionamento di sistemi critici connessi a internet”. L’unica traccia di attacco più consistente di cui sono sospettati gli hacker di Gaza – in particolare un gruppo, i Gaza Hacker Team o Molerats – è quando nel 2017 avrebbero provato a violare il più grande fornitore di elettricità in Israele, l’Israel Electric Company (senza riuscirci, mostrando comunque un basso livello di sofisticazione, e anche l’attribuzione per altro non era di ferro, vedi primo e secondo report). Questi tentativi sembravano essere ancora attivi nell’ottobre 2018 (tweet). Potrebbe essere un tentativo come questo ad aver fatto dire all’IDF che il cyberattacco provato o progettato da Hamas aveva l’obiettivo di “danneggiare la qualità della vita dei cittadini israeliani”? Tornando però alle implicazioni della vicenda, segnalo l’analisi della ricercatrice dell’istituto ASPI Elise Thomas, che non solo ha le stesse riserve sopra espresse sulla veridicità e coerenza della narrativa legata all’episodio (l’edificio bombardato era stato forse già individuato da tempo dagli israeliani in una lista di bersagli di Hamas? in pratica l’operazione apparente di reazione immediata a un cyberattacco non sarà più un’azione propagandistica?), ma ritiene comunque la stessa narrativa deleteria. Perché “ha creato almeno in apparenza un precedente per un uso immediato della forza su un target almeno parzialmente civile in risposta a un cyberattacco già sventato - in altre parole, una risposta violenta in una situazione in cui non c’era nemmeno una cyber minaccia corrente. E quale che sia la verità, se tale narrativa permane, questo apparente precedente potrebbe avere conseguenze durature per futuri utilizzi della forza nella cyberguerriglia”. Per approfondire su Junaid Hussain (Counterextremism e CTC).