Close
INTELLIGENCE / Commenti

Cyber-War: Il caso degli attacchi informatici Palestinesi agli Israeliani del 2000

Benedetto Palombo - 22/12/2020

Come è ben comprensibile dalla data riportata nel sottotitolo, vorremmo “raccontare” una storia di cyber-war che – informaticamente parlando – si riferisce all’età della pietra.

Scopo di questo “racconto” è, da un lato, portare a conoscenza dei pazienti lettori uno dei tanti frammenti quasi ignoti della storia contemporanea, dall’altro mostrare che la sempre più perniciosa realtà dei cyber-attack non è cosa degli ultimi anni.

ANTEFATTO

Muhammad Al-Durra era nato il 18 novembre 1989 nel campo profughi palestinese di Al-Bureij, nel centro della Striscia di Gaza. Apparteneva ad una famiglia di buona condizione economica e aveva frequentato la scuola elementare del campo.

Il 30 settembre del 2000, il padre, Jamal Al-Durra, andò, col figlio Muhammad, a comprare una automobile più grande di quella che possedeva. Si recarono da un concessionario, conosciuto localmente come “Suq al-sayyarat”, nel quartiere di Zeytoun, a sud di Gaza City. Non trovando l’auto che voleva comprare, si avviò, verso casa col figlio. Sulla via del ritorno, Jamal Al-Durra si imbatté in manifestazioni e scontri tra giovani e Forze Armate israeliane. La strada principale per l’abitazione di Al-Durra era completamente chiusa, quindi lui e suo figlio furono costretti a fare un giro più lungo. Una volta raggiunto l’incrocio su Salah El-Din Street, vicino all’insediamento di “Netzarim” (oggi non più esistente), padre e figlio finirono nel mirino dei fucili. Così padre e figlio si misero al riparo dietro un barile di cemento vicino. Visto che il fuoco continuava, Jamal cercò di proteggere il figlio dai proiettili, ma senza riuscirci. All’inizio il padre fu colpito alla mano destra, poi il bambino fu colpito al ginocchio destro, poi allo stomaco. Il bambino e il padre erano morti. Due giorni dopo lo scoppio della seconda “Intifada” (28 settembre 2000).

IL MEZZO USATO PER ATTACCARE SITI ISTITUZIONALI ISRAELIANI

La pillola di storia or ora raccontata ci è utile per comprendere il nome dato al programma, fatto in casa, per compiere attacchi informatici contro le Istituzioni israeliane: “DORAAH”, che altro non è che la traslitterazione – un po’ fantasiosa – in caratteri latini del cognome del bambino di 11 anni: Al-Durra.

Si tratta di un piccolo software pensato per l’ambiente MS DOS di “Windows 3.1” per “distrugge” (questo era il significato del verbo usato nelle descrizioni) i siti web israeliani specificati dai suoi progettisti. Il programmino non aveva alcuna efficacia se il numero degli utenti connessi simultaneamente non superava i 100, e cercavano di “distruggere” lo stesso indirizzo.

Di seguito riportiamo un raro “screenshot” della versione 1.0 beta, per dare un’idea al lettore di come si presentava la GUI (se così possiamo chiamarla oggigiorno) e l’abisso che separa quest’ultima da quelle cui siamo abituati oggi:

In alto a sinistra notiamo lo spazio con l’indirizzo URL, non modificabile, scelto dal progettista del programma con l’obiettivo di “distruggere” tale indirizzo. Bisognava cliccare su “Update” la prima volta che il programma veniva eseguito, per aggiornarlo all’ultimo indirizzo che era stato deciso di distruggere. Poi vediamo due pulsanti, uno chiamato “Attack”, e l’altro “Stop”, ovviamente per avviare o arrestare il processo di attacco. In alto a destra troviamo due numeri, quello superiore che indica il numero di volte in cui il programma è riuscito a inviare il suo attacco, e subito sotto, il numero di tentativi falliti.

Nella sezione sinistra dell’interfaccia, in basso, troviamo una casella denominata “Server proxy”, dove si poteva inserire l’indirizzo del proxy utilizzato per accedere a Internet, e la porta, se disponibile. Nella sezione in basso a destra, troviamo la velocità di invio degli attacchi, che – in modalità predefinita – era di 800 Ms. Tale numero si poteva diminuire a 400 o 200 con lo slider a sinistra del numero.

Sulla casella di posta degli aderenti ai gruppi dediti a tale attività, si riceveva molto spesso un messaggio – che oggi chiameremmo Newsletter – il cui contenuto non variava di molto. Di seguito riportiamo la nostra traduzione di parte di questa Newsletter ante litteram, che rappresenta una rarità anche nel mondo arabo-islamico a distanza di 20 anni, a fortiori per il lettore italiano:

“Sapete tutti che la guerra in corso non è una guerra contro la Palestina o un paese specifico … Piuttosto lasciamo da parte i media maligni e l’ipocrisia di politici e leader astuti, possa Dio guidare loro sulla retta via prima che sia troppo tardi … È la guerra degli Ebrei sionisti contro l’Islam … E quando c’è guerra contro l’Islam … il jihad diventa un dovere individuale per ogni musulmano … non è più soltanto un obbligo “della comunità” (Fard Kifaya) … nel senso che dovete partecipare singolarmente … e potreste pensare a ciò che direte al Signore dei Mondi [Allah] il giorno in cui chiederete di questo giorno … Fratello credente … non hai ancora perso l’occasione, puoi effettivamente partecipare alla guerra, c’è ancora un ruolo per te … Distruggi le informazioni del tuo nemico … Lancia attacchi contro i siti e gli indirizzi email colonialisti israeliani sionisti. La partecipazione è molto semplice e non richiede molto impegno. I principi di base di Internet sono sufficienti per poter contribuire efficacemente, e non credo che tali campagne siano inutili contro i siti web israeliano-sionisti. Molte delle operazioni precedenti sono riuscite nonostante la semplicità dei loro autori e il minimo delle informazioni che avevano. Dobbiamo combattere contro il colonialista sionista con tutti i mezzi a nostra disposizione, fino a quando non li sradicheremo dalla sacra terra.

Coloro che non possono partecipare, pubblichino questo messaggio ovunque, in modo che altri possano avere l’opportunità di aiutare ed essere ricompensati, se Dio vuole … Copialo in tutti i forum e invialo in ogni luogo come HTML finché non appaia così com’è, o mettilo così com’è sulla tua pagina …”.

Il gruppo di attacchi è diviso in due parti:

  • Attacchi per distruggere siti israeliani; 
  • Attacchi per distruggere importanti indirizzi email israeliani.

1- Attacchi per distruggere i siti israeliani, che sono divisi in due parti:

  • Attacchi organizzati utilizzando il “programma di gestione della guerra delle informazioni Al-Durra”, (i siti da attaccare sono determinati dal programma “Al-Durra”, a scelta del supervisore e del suo progetto).
  • Attacchi organizzati utilizzando i programmi: “evilping”, “winsmurf”, “mujahidin del net” e “Httpbomber” per distruggere i siti israeliani (i siti da attaccare vengono individuati da un sito web palestinese e resi noti attraverso la “newsletter” che distribuisce a tutti gli amici e abbonati alla maggior parte dei forum arabi).

Nella E-mail erano contenuti una grande quantità di indirizzi istituzionali importanti. Riportiamo le Istituzioni da attaccare omettendo l’indirizzo, naturalmente:

Ministro delle comunicazioni

Ministro della difesa

Ministero dell’Educazione 

Ministro dell’Ambiente 

Ministro dell’Economia 

Ministro degli Affari Esteri 

Ministro della Salute

Ministro dell’edilizia abitativa 

Ministro dell’immigrazione 

Ministro del commercio e dell’industria 

Ministro degli interni 

Ministro della sicurezza interna 

Ministro della Giustizia 

Ministro del benessere e del lavoro 

Ministro delle infrastrutture 

Ministro della religione ebraica 

Ministro dello sport, della cultura e della scienza 

Ministro del turismo 

Ministro delle comunicazioni.  

Utilizzando programmi di “distruzione” della posta, è possibile inviare un numero enorme di messaggi a qualsiasi degli indirizzi, e non è necessario rispettare un orario specifico per attaccare questi indirizzi, è sufficiente premere uno o due pulsanti, una o due volte, quando si accede a Internet e quindi attendere un po’ fino a quando gli indirizzi di posta non siano effettivamente inondati e resi – almeno temporaneamente – non disponibili.

Pochi mesi dopo, uscì una versione successiva dal nome “Durra War Engine 1.5”. Il “peso” del programma “zippato” era di 332 Kb!

Di seguito riportiamo l’interfaccia della “nuova” versione con l’aggiunta di numeri in rosso per spiegare la funzione di ogni pulsante.

Inutile ricordare che tale “racconto” non ha più alcuna attualità informatica e ciò che vi è descritto non è più applicabile, altrimenti avremmo fornito istruzioni a qualunque terrorista e aiutato il terrorismo, contro cui ci battiamo proprio attraverso la ricerca. Non per ultimo, istruzioni di tal tipo, costituirebbero reato.

Come potete notare, l’interfaccia è molto semplice e in arabo. Ora la spiegheremo in dettaglio con l’aiuto dei numeri in rosso:

(1)  Sito di destinazione: l’utente non è in grado di scegliere la URL da inserire nel programma stesso, ma deve solo premere il pulsante di aggiornamento (13), e l’indirizzo del sito Web verrà ricevuto dal sito del supervisore che aggiornerà la URL, l’attacco sarà unificato su un obiettivo. Questa procedura veniva adottata in modo che il programma non potesse essere utilizzato contro siti islamici e arabi, o anche siti non ostili.
(2) Questo è il pulsante di avvio dell’attacco, che viene premuto dopo l’aggiornamento del sito web.
(3)  Pulsante per arrestare l’attacco.

(4)  Questa opzione è per coloro che desiderino utilizzare un proxy per camuffarsi nell’eseguire l’attacco. Serve ad aumentare la sicurezza, ma se non usata, non c’è problema perché il programma utilizza un metodo di attacco mascherato e non è possibile tracciare i dispositivi.

(5)  Opzione avanzata per utilizzare un socket per accelerare l’attacco, ma non veniva utilizzata.

(6)  Numero di attacchi riusciti contro il sito-bersaglio.

(7)  Numero di attacchi non andati a segno per motivi di scarsa comunicazione, o blocco del programma da parte del dispositivo ricevente.

(8)  Pulsante che si chiama “La fase intelligente”, ottima opzione per chi colpisce in base alla velocità della propria connessione senza consumare la quantità di “Mega” dal contratto.

(9)  Opzione per specificare la velocità di attacco in millisecondi; quindi qui si specifica la differenza di tempo tra ogni attacco, e al diminuire del numero, aumenta la velocità di attacco. Naturalmente la velocità veniva scelta in base al provider Internet e al tipo di connessione: chi aveva l’ADSL poteva aumentare la velocità potendo scegliere l’opzione di 100 ms; per velocità inferiori, si sceglieva, appunto, in base alla velocità della connessione. Maggiore è la velocità dell’attacco, maggiore sarà l’impatto sul sito.

(10)  Finestra che mostra gli attacchi e il loro successo.

(11) Menu delle opzioni, come da figura seguente:

 

(11) -1- Possibilità di utilizzare l’audio per il programma.

(11) -2- Caricamento automatico all’avvio del dispositivo.

(11) -3- Aggiornamento automatico del sito-bersaglio all’apertura del programmino.

(12) Notizie sul programma:

Questa pagina si utilizzava per conoscerne la versione, ma – soprattutto – per ricevere notizie sulla data dell’attacco a un sito specifico, ed essere informati dei danni causati.
La semplicissima idea alla base del programma è quella di inviare rapidissimamente il maggior numero di richieste. Siccome si trattava di E-mail, il server non bloccava la fonte degli attacchi.
Questo piccolo software fu classificato, da molte aziende, come un virus o un programma dannoso per il computer, e i programmi antivirus e spyware iniziarono a bloccarlo, anche perché siti israeliani istituzionali erano soggetti a “distruzione” ogni mese.

Naturalmente l’installazione del software ormai dannoso avveniva disattivando l’antivirus al momento del suo utilizzo. Siccome al download del software ci si trovava un file zippato, allora la disabilitazione dell’antivirus doveva essere eseguita prima dello “spacchettamento”.

L’attacco veniva effettuato contro il sito-bersaglio in un tempo determinato e limitato fino allo stop deciso dal “supervisore”. Si preferiva colpire di notte.

BREVI CONCLUSIONI

Il “racconto” che abbiamo voluto sottoporre al lettore italiano voleva essere un esempio del fatto che anche 20 anni fa, nel caso di specie nei “Territori contesi”, ma un po’ dovunque, erano in uso rudimentali attacchi di natura “immateriale”, ma aventi effetti già molto nocivi, da parte di gruppi e non di Stati; inoltre gli obiettivi venivano scelti attentamente tra quelli più sensibili.

Tra i siti-bersaglio, c’è stato – sempre nello stesso periodo – anche un attacco del tipo descritto contro la Bank of Israel, ovvero la Banca Centrale Israeliana. Come è facile immaginare, dopo una lunga resistenza dei server della Banca, ci fu una capitolazione che portò a vari giorni di paralisi delle attività. Ovviamente il sito e il funzionamento corretto dei server furono ripristinati, ma i danni arrecati risultarono ingenti.

Per quanto restiamo sempre legati al Nihil potest esse per suam essentiam malum, dunque è sempre la scelta di come utilizzare il mezzo il problema, non il mezzo in sé, dobbiamo ricordare, soprattutto oggi che l’informatica e non solo ci mettono a disposizione mezzi molto sofisticati, che di “malintenzionati” pullula il mondo, per cui prendere misure efficienti ed efficaci è ormai un must, non una possibilità.

Anche poche settimane fa c’è stato un attacco cibernetico alla piattaforma “Zoom” che ha causato danni enormi sia all’Azienda produttrice (c.d. danno reputazionale), che alle centinaia di milioni di utenti che si ritrovavano la webcam accesa (senza che si illuminasse alcuna spia), dunque spiati e neanche in maniera anonima in quanto bisogna registrarsi alla piattaforma e concederle alcune autorizzazioni, in particolare sull’uso della webcam e del microfono. Da oltre una settimana la piattaforma è tornata “sicura”.

Bisogna tenere sempre ben presente che esistono, fondamentalmente, due ordini di problemi:

  • Lo sviluppo tecnologico è in continua ascesa, fortunatamente, tuttavia ne può fruire quasi chiunque, a diversi livelli, proporzionali al grado di conoscenza, agli skill
  • Tutto ciò che viene messo in rete, possiede un grado di rischio variabile, ma comunque esistente.

Una politica attenta, mirata e gestita – per una volta – da esperti seri e certificati sulla cybersecurity è un aspetto di cui ogni Stato deve farsi carico seriamente. Non si può più rimandare neanche di un giorno una politica chiara su questo aspetto della sicurezza nazionale, che coinvolge i settori più sensibili dello Stato: la difesa, la sanità, l’industria strategica etc.

Forse i 51 milioni di euro spesi per acquistare il Remdesivir – farmaco antivirale della classe degli analoghi nucleotidici e dichiarato, prima dell’acquisto, inutile dall’OMS – potevano essere spesi meglio.