Analisi tecnica del terrorismo on line: i siti web e le strategie internetiche utilizzate dalle organizzazioni terroristiche
***
Update!
Chi è interessato a una breve sintesi, può guardare questa intervista, andata in onda su SkyTG24, durante la trasmissione "Scatola nera", condotta da Salvo Sottile - ospiti Enrico Mentana e Giuliano Ferrara (.mpg, 37.95MB)
***
Capire il terrorismo oggi, significa comprendere come i principali movimenti terroristici utilizzano Internet, da questi eletto - sempre più - a media primario.
Le notizie che leggiamo giornalmente riportano sempre l’ultimo step della filiera terroristica.
Un video su un sito; una rivendicazione su un forum, un sito terroristico che invia minacce.
Non si entra però mai nel merito di:
- Come un video/comunicato arriva materialmente su internet
- Quali tipologie di siti internet sono impiegate
- Come la presenza di un video/comunicato viene promossa on line
- Come e se è possibile individuare chi usa la rete
- Quali tecnologie più in generale sono richieste per effettuare terrorismo on line
L’analisi che segue, di carattere divulgativo, vuole offrire un contributo tecnico (esulando da ogni valutazione di natura politica) ed offrire spunti di riflessione utili, per la corretta comprensione di questo delicato fenomeno.
Sarà seguito un ordine procedurale, simulando l’iter delle organizzazioni terroristiche, diviso per semplicità in 3 momenti principali:
- produzione del materiale (video, comunicati, ecc.)
- distribuzione on line (tramite siti creati ad hoc, tramite siti partner)
- promozione (far sapere che, ad esempio, un certo video è presente sul web)
1) PRODUZIONE DI VIDEO E TESTI
La produzione del materiale è il primo punto.
Video
Prendiamo anzitutto il caso di un Video.
Per produrlo, come sappiamo, è sufficiente una videocamera digitale, il cui costo è ormai bassissimo ed è utilizzabile da chiunque.
Quindi la prima considerazione è che oggi non serve una troupe specializzata, non servono tecnici professionisti e chiunque può registrare un video.
Questa ovvia considerazione in realtà porta con sé alcune importanti conseguenze.
Anzitutto che in questa prima fase i terroristi non hanno bisogno di nessun aiuto esterno (= non devono acquisire know how da altri).
In secondo luogo i tempi possono essere rapidissimi e il numero di persone necessario assai ridotto.
E'intuitivo il fatto che se per girare un video ho bisogno di una troupe, almeno composta da un operatore e da un fonico, dotati di una (ingombrante) telecamera professionale, ci sarà bisogno di un tempo di preparazione più lungo prima di poter iniziare a registrare.
Al contrario una (tascabile) telecamera digitale può essere velocemente montata su un cavalletto, attivata e smontata in tempo reale (e potenzialmente una sola persona è in grado di fare tutto).
Montaggio
Realizzato il video questo, prima di essere distribuito, deve essere trasferito su un PC (fisso o portatile) per essere “preparato”.
Sottolineo il fatto che questo passaggio (trasferimento del file da videocamera a PC) è ad oggi necessario perché tra poco potrebbe non esserlo più; il video infatti potrebbe essere girato con un videofonino ed essere pubblicato in Internet (ad esempio su un Blog, Videoblogging) o inviato via email, direttamente dal cellulare.
L’attuale situazione invece implica che i terroristi dispongano di computer portatili o fissi con cui collegarsi in Rete.
E’ importante sottolineare che un Video prima di essere trasmesso necessita di alcuni passaggi aggiuntivi (che richiedono anche un tempo tecnico per essere effettuati).
Anzitutto si può decidere di montarlo (un esempio è stato il video di Baldoni, oppure quello dell’ostaggio inglese Ken Bigley, montati per aggiungere sigla, grafica e per dare una sequenza precisa).
Il montaggio implica l’utilizzo di software per il montaggio (come Premiere, Avid o Final Cut) con cui acquisire il video, elaborarlo ed esportarlo in un formato opportuno per il web.
Per quanto i software di montaggio siano diventati facili da usare, è da escludere che un profano di informatica sia in grado di montare un filmato.
Questo è quindi il primo punto in cui è chiaramente richiesto l’intervento di un professionista, con competenze informatiche (specifiche).
Per ovviare al problema del montaggio, il video può essere inviato così come è stato ripreso, ma resta il fatto che il file deve essere prima ottimizzato e, in linea di massima, trasformato in un formato per il web (.wmv, .mov, .rm, .mpg).
Sul web è infatti necessario un file di dimensione leggere e deve essere esportato/encodato in modo tale che sia visualizzabile dai più comuni players (ad es. Windows Media player, Real, Quick Time); il video dell’ostaggio inglese Ken Bigley, ad esempio, è uno streaming di oltre 10 minuti in formato wmv (l’ipotesi che la videocamera utilizzata salvi in formato .wmv nativo, direi che da escludersi; quindi il file è stato necessariamente “lavorato” su un PC).
A questo punto la produzione del video è completa e il file può essere trasmesso.
Ulteriori osservazioni sulla produzione di un Video
Ricordiamo che da un video, oltre alle informazioni ricavabili dal video stesso e da come è stato realizzato, si possono ricavare altri dati che possono essere utili alle indagini.
Un esempio è l’interessante tecnologia di lettura delle immagini dall’occhio; in pratica un sistema che permette di ricavare, da una fotografia o da un video, l’immagine presente (e riflessa) negli occhi.
In fondo l'occhio è come uno specchio e riflette un'immagine che è per l'appunto catturabile.
Nel caso dei video terroristici, potrà essere uno strumento utile per sapere che cosa c’è dietro alla telecamera e, possibilmente, offrire indizi sul luogo in cui è stato girato il filmato..
Produrre testi per il web
Veniamo invece al caso di un testo.
Per realizzare le pagine web, o si usa semplicemente il “blocco note” (il programma di scrittura più essenziale in circolazione) oppure si usa un software dedicato alla realizzazione di pagine web (Dreamweaver, FrontPage, ecc.).
Aprendo il codice Html delle pagine web di uno dei siti più utilizzati dai terroristi islamici (www.hostinganime.com/iraqnews3), si apprende (guardando il tag meta name="GENERATOR"), ad esempio, che è stato utilizzato Microsoft FrontPage 5.0.
Questo può essere un magro indizio per un investigatore, però già ci dice che chi ha fatto quella pagina usa un pc con installato, quasi sicuramente, Windows (casi di FrontPage utilizzato su Linux non ne conosco).
Dalla versione si può capire, in base alla contabilità del software, il tipo di pc utilizzato (usa windows 98 o Xp Professional con SP2?), che aiuta a indovinare se è un pc vecchio o nuovo, quali eventuali problemi si porta dietro quel sistema operativo, quali falle di sicurezza, e via dicendo.
E poi ancora.
In base alla tecnologia usata si può desumere che, qualora esistano dei server “centrali” che racchiudano i principali dati dell’organizzazione, allora per problemi di compatibilità dovranno osservare specifiche precise (= se ad esempio, è usata tecnologia Microsoft è improbabile che eventuali server centrali siano basati su piattaforma open source); e se così fosse significa che una volta localizzati gli ipotetici server si sa in anticipo con quali strumenti possono essere attaccati.
Informazioni nascoste
Per concludere la fase produttiva, merita un accenno la creazione di documenti di testo che a volte i siti in questione rendono disponibili per il download.
Sui siti ospitati dal provider Hosting Anime, ho più volte trovato file in formato .doc.
Si tratta di un formato che oltre ad indicare che è stato creato con Word (quindi rientriamo nel discorso appena fatto sulla tecnologia impiegata…in questo caso Microsoft), non è senz’altro consigliato per la diffusione di documenti on line.
Il motivo sono i noti metadata nascosti che Word, in automatico, include e che possono rivelare informazioni nascoste molto preziose (già solo un software gratuito come Docscrubber, svela molte informazioni utili).
2) DISTRIBUZIONE
Una volta che il file (video, audio, testo) è pronto, questo deve essere fisicamente uploadato su un sito Internet.
Come i terroristi caricano un file su Internet ?
In sostanza si tratta di trasferire un file da un PC “in locale”, su un server pubblicamente visibile da qualunque PC connesso in rete.
Si tratta di un operazione rapida e banale (ma comunque non effettuabile da un neofita) che si effettua o tramite protocollo FTP (usando un apposito software come, SmartFtp o CuteFtp), oppure anche solo via Browser (tramite sistemi di CMS, Content Management System).
In questo secondo caso però vorrebbe dire che i gestori dei siti terroristici hanno un pannello di controllo on line, da cui gestiscono la pubblicazione dei contenuti dei siti.
E allora significherebbe che on line esistono migliaia di pagine web di amministrazione (../admin.php !) a cui i webmaster terroristici accedono per fare login e pubblicazione, che potrebbero ovviamente essere individuate. E’ francamente assai improbabile, ma è comunque un’ipotesi.
Distribuzione tramite file sharing ?
Per altro questo passaggio, utilizzando le reti di file sharing, non è necessario; il file infatti rimane sul proprio PC ma viene condiviso con altri utenti collegati al network.
Questo però implica il fatto di lasciare un PC connesso a una rete (ovviamente impraticabile per un’organizzazione terroristica), oppure di posizionarlo su un PC i cui dati sono condivisi in uno o più circuiti di file sharing.
Lo svantaggio di questa soluzione è che, mentre tutti navigano in rete ed è sufficiente un browser (come Internet Explorer), al contrario per scaricare un file via peer to peer, serve un software apposito (WinMX, Kazaa, BitTorrent, ecc.) che non tutti hanno.
Dove vengono caricati i file dei terroristi?
Su questo punto è fondamentale fare una netta distinzione, sulle diverse tipologie di siti in circolazione, che possiamo raggruppare in 3 tipologie
1. siti (o meglio, indirizzi internet) in cui sono fisicamente allocati i file; necessitano di uno spazio sul server ospitante che fisicamente ospiti il file (“ hosting”)
2. siti che ospitano forum di discussione (su cui sono presenti solamente dei messaggi che linkano ai file)
3. siti di propaganda, reclutamento informazione
E’ importante tenere distinte le tipologie di siti perché spesso vengono confusi dai media.
Si finisce così per definire terrorista un semplice forum di discussione, sul quale magari è semplicemente riportato un link ad un altro sito che contiene il file.
A prescindere dalla legalità e dalle eventuali connessioni che i forum di discussione e i siti di informazione possono avere con le organizzazioni terroristiche, (aspetti questi tutti da valutare e caso per caso), queste 2 tipologie di siti non includono dunque alcun file terroristico e si limitano a richiamare quanto sta su altri siti.
Dove risiedono i file?
Concentriamoci allora sul primo tipo (indirizzi internet su cui risiede il file) che racchiude a sua volta
2 sottocategorie principali:
1) Hosting gratuito su provider consapevoli/inconsapevoli
2) Hosting su siti zombie
Hosting gratuito
La prima soluzione è la più semplice.
Per caricare un file sul web si apre uno spazio gratuito presso uno dei tanti provider che lo offre e si caricano i file.
I provider che offrono spazio free attivabile indicando una semplice email (che a sua volta si può creare gratis e in modo anonimo), sono moltissimi in tutto il mondo (cliccate qui per vedere i risultati di una semplice ricerca su Google)
Dopo aver attivato il proprio spazio, ci si collega al sito e si fa l’upload del file.
Finito.
L’aspetto paradossale è che il paese che sembra ospitare il maggior numero di siti terroristici risulta essere proprio l’America (il 76% dei principali siti terroristici islamici, secondo alcuni).
L’ovvia conseguenza di questa soluzione “free” è che, non appena il provider viene avvertito della presenza sulle proprie macchine di materiale a sfondo terroristico, provvederà a rimuoverlo dalle proprie macchine e chiudere l’account del terrorista di turno.
Quindi molti di questi indirizzi nascono e muoiono in un tempo rapidissimo (anche perché un provider con pochi utenti potrebbe accorgersi subito del tipo di materiale caricato e cancellarlo prima che diventi di dominio pubblico).
Providers fittizi e complici
Proprio per evitare la repentina chiusura del sito (con conseguente indisponibilità dei file), le organizzazioni hanno iniziato a metter in piedi provider fittizi o consenzienti (che pertanto non chiuderanno i siti e lasceranno i file disponibili).
Un esempio di cui si discute da tempo riguarda il provider Everyone's Internet Inc. (con sede a Houston, Texas) titolare del dominio www.hostinganime.com.
E’ su questo indirizzo, infatti, che sono stati inseriti la maggior parte degli ultimi documenti dei terroristi islamici, come si può vedere dall’elenco che segue:
www.hostinganime.com/meshawir
www.hostinganime.com/meshawir/aljhad.html
www.hostinganime.com/e3dad123/film.htm
www.hostinganime.com/meshawir/moga63h.html
www.hostinganime.com/gim/GIMfaroq.htm
www.hostinganime.com/seer/index.htm
www.hostinganime.com/iraqnews1/index.html
www.hostinganime.com/iraqnews2
www.hostinganime.com/iraqnews3
www.hostinganime.com/abu-hafs
www.hostinganime.com/neda5/sout/index.html
www.hostinganime.com/neda4/index.htm
www.hostinganime.com/neda3/sout
www.hostinganime.com/neda3/sout/new.htm
www.hostinganime.com/neda2/sout/index.htm
www.hostinganime.com/neda2/page/new.htm
www.hostinganime.com/sout19/b15doc.zip
www.hostinganime.com/sout19/s20pdf.zip
www.hostinganime.com/qaedoon/index.htm
www.hostinganime.com/qaedoon/sout.htm
www.hostinganime.com/abuhagar/abuhager.htm
www.hostinganime.com/gim/GIMfaroq.htm
www.hostinganime.com/faroq/Osama2usa.htm
www.hostinganime.com/haramin/index.htm
Molte le critiche, le indagini, le accuse on line e le indagini in corso (segnalo tra gli altri http://www.bushcountry.org/news/columnists/jreynalds/c_080504_jreynalds_hosting_anime_terrorist.htm e indirizzo IP) per poter gestire la connessione.
Dal momento in cui un terrorista si collega, per poter navigare in rete, caricare file sul server del provider e per ogni altra azione, deve necessariamente avere un indirizzo IP.
L’indirizzo IP è quello usato, ad esempio dalla Polizia Postale, per rintracciare gli utenti che scaricano file coperti da diritto d'autore; in pratica l’Autorità preposta richiede al Provider che fornisce la connessione di “risolvere” un indirizzo IP (= comunicare chi è associato a un certo indirizzo IP) e l’utente è presto rintracciato.
Nel caso dei terroristi però il problema, si sostiene, si complica perché è possibile, tramite appositi software, mascherare, nascondere o alterare il proprio indirizzo IP (la bibliografia anche in questo caso è sterminata) e crittografare le proprie comunicazioni (con algoritmi forti, come PGP).
Un’altra tecnica di anonimato può semplicemente consistere nel… non caricare direttamente i file.
In sostanza si invia per posta, dall’altra parte del mondo un CD contenente i dati e qualcuno, a conoscenza o meno del contenuto, esegue l’upload del materiale (ad esempio da un Internet Cafè degli Stati Uniti).
Altre tecniche di elusione
In aggiunta un esperto capace – o un abile social engineer - è in grado di manipolare direttamente le centrali telefoniche, così da sviare completamente un’indagine (si pensi solo alle tecniche usate anni fa da Kevin Mitnick).
La Rete, inoltre, ha una struttura estremamente aperta come propria architettura, che non richiede una particolare autenticazione per accederVi o per inviare una email; questo contribuisce a rendere particolarmente complicato un cyber pedinamento.
Infine è indubbio che tutte le principali organizzazioni terroristiche abbiano acquisito negli anni, dalle nazioni più evolute, oltre al know how e alla tecnologia militare anche know how e tecnologia in materia di ICT.
E se servono ulteriori nozioni, spesso sulla rete stessa sono presenti (pensiamo al software di monitoraggio Carnivore, più volte esaminato per scoprirne le lacune).
Dubbi e Interrogativi
Da quanto detto, nascono spontanei alcuni interrogativi , sia su chi fa terrorismo on line sia su chi lo combatte.
Perché i terroristi hanno scelto Internet?
E’ vero il web offre numerosi e innegabili vantaggi alle organizzazioni terroristiche, ma può essere assai insidioso.
Una volta entrati nel mondo digitale si lascia, comunque sia, una traccia.
Le probabilità di essere individuati e localizzati, sono proporzionali alla tecnologia dell'antiterrorismo e inversamente proporzionali alle proprie conoscenze informatiche.
E se si inizia ad usare la tecnologia, non si può più tornare indietro o fermarsi nello sviluppo, a rischio di essere scavalcati dai nuovi sistemi del nemico.
Il che richiede enormi investimenti ad esempio nel settore della crittografia.
E allora perché hanno deciso di utilizzare uno strumento così pericoloso?
E’ una scelta consapevole?
La valutazione costi benefici ha portato a scegliere la rete come media primario?
Perché non continuare ad usare una semplice videocassetta recapitata in una busta (più semplice e sicura)?
Chi combatte il terrorismo è impotente?
Nella lotta al terrorismo sono coinvolte organizzazioni come la NSA, che investono miliardi di dollari in sofisticatissime tecniche di indagine, di cittografia/decrittografia ed ogni altro strumento utile al dominio tecnologico.
In campo, nella lotta al terrorismo, possono essere messi: super computer, i migliori hacker in circolazione, gli scienziati più geniali, impianti satellitari di ultima generazione e fondi (quasi illimitati) per inventare, se necessario, nuove tecnologie anche da zero!
Sistemi di sorveglianza globali come Echelon sono in attività (oltre ad altri progetti similari che si può desumere, dopo l’11 settembre siano in corso, anche se non resi pubblici).
Tutto questo non è in grado di permettere l’individuazione di un utente che carica, ripetutamente, ad esempio un video terroristico sul web?
Dobbiamo concludere che non si riescono ad individuare utenti che si collegano ormai quasi giornalmente alla rete?
Dobbiamo credere che ad esempio i migliori hackers americani, assoldati dal Governo, non siano in grado di ottenere dati ?
Prendiamo l’esempio dei forum di discussione: questi usano per la maggior parte tecnologie americane (Vbulletin, Invision Board, PhpBB).
Ora, quanti minuti pensate che ci possa mettere Matthew Mecham (il programmatore che ha creato il software Invision Board) a craccare le installazioni presenti su tutti i siti in circolazione e scaricare i database con tutti i dati (se gli venisse richiesto)? Più o meno di 10 minuti?
Intendiamoci: è innegabile che la lotta ad organizzazioni terroristiche, ben strutturate ma delocalizzate, dotate a loro volta di competenze e tecnologia, sia assai complessa.
Ma la netta impressione, da un punto di vista tecnico, è che le risorse tecnologiche di paesi dominanti come gli USA. siano di gran lunga superiori e si fatica a comprendere come i terroristi on line possano navigare incontrastati.
Bisogna arrivare a chiedersi se esiste un limite tecnologico invalicabile oppure i terroristi sono semplicemente più abili sul web ?
I terroristi hanno acquisito un know how tale da diventare, a breve, il nuovo fenomeno ICT mondiale?
3) PROMOZIONE
Dopo aver caricato un video o un comunicato sul web, non resta che promuoverlo (la parte tecnicamente più semplice del processo).
Oltre ai classici comunicati indirizzati ai principali media, viene fatto un uso sempre più frequente di “rivelazioni” o anteprime, pubblicate sui principali forum di discussione on line.
Su questo punto mi sembra importante sottolineare diverse possibilità:
- la notizia viene data offline ad uno degli iscritti al forum e questi provvede a inserire un post (l’utente è quindi in contatto con l’organizzazione) con il link all’indirizzo che contiene il file;
- la notizia viene comunicata on line, usando un istant messenger, una email, un forum o qualunque luogo virtuale “convenuto”, e il ricevente provvede a inserire un post (anche in questo caso l’utente è in contatto con l’organizzazione)
- la notizia è caricata direttamente da un membro dell’organizzazione il quale crea un account fittizio sul forum prescelto e pubblica il messaggio (ipotesi che ritengo quanto meno azzardata)
In ogni caso è importante ricordare un concetto che a volte sfugge ai neofiti del web: in Rete una notizia non si propaga in modo autonomo.
Questo significa che dopo aver messo un video su un sito web, in un indirizzo nuovo, nessuno ne può essere a conoscenza (se non per caso o perchè ne viene informato).
Come gli esperti di web marketing ben sanno, per portare utenti su un sito bisogna opportunamente avvisarli.
Ne consegue che chi su un forum per primo dà la notizia dell’esistenza di un nuovo video su un indirizzo web ben preciso (e non usato in precedenza), ne deve avere avuto notizia da qualcuno a conoscenza dei fatti; e poiché molti forum richiedono registrazione, si tratta di un utente che per quanto anonimo, ha un profilo monitorabile e quindi individuabile (a maggior ragione se visita più volte lo stesso forum).
Un'altra soluzione “promozionale” utilizzata, è quella di creare siti ufficiali, con una stabile presenza in rete, che al momento opportuno possano fare da cassa di risonanza per le notizie (qui una lista di alcuni dei più noti).
In linea con questa scelta, è l’impiego del web inteso, non solo come mezzo per terrorizzare l’opinone pubblica ed ottenere attenzione dai media, ma anche come strumento per organizzare i propri supporters e coinvolgerne di nuovi.
Conclusioni
Internet è diventato il Media preferito dalle organizzazioni terroristiche.
La comprensione del fenomeno e dei suoi futuri sviluppi, richiederà una conoscenza approfondita del Web e di tutti gli strumenti tecnologici disponibili.
Anche se l’utilizzo di tecniche di cyber terrorismo ha messo in luce un utilizzo distorto della Rete, però, proprio la digitalizzazione del terrorismo, offre la possibilità – qualora vengano utilizzate correttamente le tecnologie a disposizione - di individuare più facilmente i responsabili.
Altri link di approfondimento:
http://www.cbsnews.com/stories/2004/08/17/eveningnews/main636626.shtml
http://www.usip.org/pubs/specialreports/sr116.pdf
http://www.usatoday.com/tech/news/2001-02-05-binladen.htm
http://www.adl.org/Terror/focus/16_focus_a1.asp
http://www.gadgetopia.com/2003/10/13/WebSitesAndTerroristGroups.html
http://www.usip.org/pubs/specialreports/sr111.html
http://www.freerepublic.com/focus/f-news/1201247/posts
http://www.ict.org.il/articles/articledet.cfm?articleid=31
http://www.uspolicy.be/issues/terrorism/terrorism_nonusgreports.asp
http://www.crime-research.org/library/Golubev_august1.html
http://www.newsfactor.com/perl/story/17079.html
http://www.americandaily.com/article/4670
h9ZZd1 dkv7Rq29nVvzm74lApqSw
Posted by: richard | 10 May 2009 at 12:56