L’uso di cercapersone e walkie-talkie in esplosioni coordinate consecutive in Libano ha attirato l’attenzione sulla sicurezza delle catene di approvvigionamento globali e sulla loro vulnerabilità alle manomissioni da parte di governi o altri attori.
L’utilizzo di migliaia di dispositivi elettronici negli attacchi, che si ritiene siano stati orchestrati da Israele come parte di un’operazione contro il gruppo armato libanese Hezbollah, ha fatto sorgere lo spettro che in futuro le apparecchiature di comunicazione di uso quotidiano potrebbero essere trasformate in armi.
Secondo quanto dichiarato ad Oltre La Linea da analisti del settore tecnologico e della supply chain, è probabile che le aziende tecnologiche considerino gli attacchi come un potente promemoria dell’importanza di proteggere le proprie catene di fornitura, mentre potrebbe risentirne anche la fiducia del grande pubblico nella tecnologia.
“Ogni azienda che produce o vende dispositivi fisici si preoccuperà dell’integrità della propria catena di fornitura”, ha affermato James Grimmelmann, professore di diritto digitale e dell’informazione presso la Cornell Tech e la Cornell Law School negli Stati Uniti.
“È probabile che prendano in considerazione l’aggiunta di ulteriori misure di sicurezza e verifiche in modo da poter rilevare e prevenire meglio mosse come questa”.
Sebbene Israele sia già stato implicato in omicidi commessi utilizzando dispositivi di comunicazione manomessi, tra cui l’uccisione nel 1996 dell’artigliere di Hamas Yahya Ayyash tramite un telefono cellulare caricato con esplosivo, la portata degli attacchi, che hanno coinvolto migliaia di detonazioni simultanee, è stata senza precedenti.
Secondo le autorità libanesi, nelle esplosioni di martedì e mercoledì almeno 32 persone sono state uccise e più di 3.100 sono rimaste ferite, tra cui membri di Hezbollah e civili.
Erosione della fiducia pubblica
Brian Patrick Green, direttore dell’etica tecnologica presso il Markkula Center for Applied Ethics della Santa Clara University negli Stati Uniti, ha descritto gli attacchi come un potenziale spartiacque per la fiducia del pubblico nei propri dispositivi elettronici.
“In qualche modo migliaia di dispositivi sono stati trasformati in armi senza che nessuno se ne accorgesse. Quanto sono diffusi questi dispositivi esplosivi? Come sono finiti gli esplosivi nei dispositivi o nelle catene di fornitura dei dispositivi? Questo attacco solleva domande terrificanti che non erano mai state prese in considerazione prima”, ha affermato Green.
Mariarosaria Taddeo, professoressa di etica digitale e tecnologie di difesa all’Università di Oxford, ha affermato che gli attacchi hanno creato un precedente preoccupante in quanto hanno comportato l’interferenza con la catena di fornitura “non per un atto specifico di sabotaggio, ma per un attacco distribuito e di grande impatto”.
“Questo scenario è stato preso in considerazione dagli esperti, ma meno dagli attori statali. Se ne uscirà qualcosa di buono, questo porterà a un dibattito pubblico sul controllo della supply chain, sull’autonomia strategica sulle risorse digitali e sulla sovranità digitale”, ha affermato Taddeo.
Sebbene non sia chiaro esattamente come i cercapersone e i walkie-talkie siano stati trasformati in ordigni esplosivi, funzionari libanesi e statunitensi hanno dichiarato a diversi organi di informazione che l’intelligence israeliana ha piazzato trappole esplosive nei dispositivi con materiali esplosivi.
Israele non ha rilasciato dichiarazioni né per confermare né per negare la propria responsabilità.
L’azienda taiwanese Gold Apollo, il cui marchio di cercapersone è stato utilizzato negli attacchi, ha negato mercoledì di aver prodotto i dispositivi mortali, affermando che erano stati realizzati su licenza da un’azienda chiamata BAC.
Il CEO di Gold Apollo, Hsu Ching-kuang, ha dichiarato alla radio statunitense NPR che BAC aveva pagato la sua azienda tramite un conto bancario mediorientale che era stato bloccato almeno una volta dalla banca taiwanese della sua azienda.
BAC, con sede a Budapest, la capitale ungherese, non ha risposto alle richieste di commento.
Giovedì, il New York Times, citando tre funzionari dell’intelligence rimasti anonimi, ha riferito che la BAC era una società di facciata israeliana creata per fabbricare i cercapersone esplosivi.
Icom, un produttore di apparecchiature radio con sede in Giappone, ha dichiarato di aver smesso di produrre il modello di radio presumibilmente utilizzato negli attacchi circa 10 anni fa.
“È stato interrotto circa 10 anni fa e da allora non è stato più spedito dalla nostra azienda”, ha affermato Icom in una nota.
“Anche la produzione delle batterie necessarie al funzionamento dell’unità principale è stata interrotta e non è stato apposto alcun sigillo olografico per distinguere i prodotti contraffatti, quindi non è possibile confermare se il prodotto è stato spedito dalla nostra azienda”.
Patrick Lin, direttore dell’Ethics + Emerging Sciences Group presso la California Polytechnic State University (Cal Poly), ha affermato che ci sono importanti interrogativi su quale sia il punto della filiera in cui i dispositivi sono stati compromessi.
“È avvenuto durante il processo di produzione, o durante il trasporto, o a livello dell’operatore del sistema, subito prima che i dispositivi venissero assegnati ai singoli individui?” ha affermato Lin.
“Se fosse stato fatto durante il processo di produzione, allora altri produttori di tecnologia dovrebbero essere più preoccupati, poiché gli altri modi sono fuori dal loro controllo. Se il produttore del cercapersone non fosse stato un complice volontario in uno scenario del genere, allora la sua sicurezza operativa sarebbe stata seriamente compromessa”.
Come risponderanno le aziende tecnologiche?
Indipendentemente da come i dispositivi siano stati manomessi, gli attacchi potrebbero accelerare ulteriormente i passaggi verso una tecnologia “sviluppata internamente ai confini di una nazione per un controllo più rigoroso della sicurezza della supply chain, che si tratti di smartphone, droni, app di social media o altro”, ha affermato Lin.
Milad Haghani, esperto di supply chain presso la School of Civil and Environmental Engineering dell’Università del New South Wales in Australia, ha affermato di aspettarsi di assistere a una “resa dei conti diffusa” che porterà le aziende a rafforzare i protocolli di sicurezza della supply chain.
“Per le aziende tecnologiche in generale, questa situazione non ha precedenti nella sua portata e molte probabilmente non hanno mai preso sul serio la sicurezza dei loro processi di produzione prima”, ha affermato Haghani.
“Molte aziende potrebbero non essere state completamente attrezzate per gestire tali minacce”, ha affermato, aggiungendo che le esplosioni in Libano porteranno a un significativo incremento degli sforzi di sicurezza all’interno delle organizzazioni.
I giganti degli smartphone come Apple, Samsung, Huawei, Xiomi e LG sono considerati meno vulnerabili alle compromissioni rispetto alle aziende più piccole, affermano gli analisti, citando tra le ragioni la loro maggiore attenzione alla sicurezza, la natura relativamente mirata dell’operazione contro Hezbollah e lo spazio più limitato nei loro dispositivi in cui collocare sostanze come gli esplosivi.
“Ci sarà curiosità, ma le loro catene di produzione e distribuzione sono completamente diverse da quelle delle piccole aziende, compresi i venditori di transceiver contraffatti. Quindi almeno ora non c’è motivo di pensare che possano essere colpiti”, ha affermato Lukasz Olejnik, ricercatore senior in visita del Department of War Studies del King’s College di Londra.
“Tuttavia, le grandi aziende potrebbero essere inclini a evidenziare le differenze nei loro modi di fare le cose.”
Altri hanno espresso minore fiducia nel fatto che le Big Tech siano immuni da tali preoccupazioni, sottolineando il fatto che le aziende si affidano a fornitori più piccoli che potrebbero rappresentare bersagli più facili o che hanno collaborato con i governi per prendere di mira gli individui in modi meno letali, in particolare per spiare le loro comunicazioni.
“Il governo israeliano è già stato accusato di aver utilizzato essenzialmente lo spyware del gruppo NSO come un servizio di intelligence privatizzato e, in effetti, proprio questa settimana Apple ha ritirato la causa contro NSO per paura che i suoi segreti di sicurezza potessero trapelare”, ha affermato Grimmelmann.
“Ciò è profondamente inquietante e i cittadini non dovrebbero permettere ai loro governi di trasformare letteralmente la tecnologia di consumo in un’arma in questo modo”.
Apple, Samsung, Huawei, Xiomi e LG non hanno risposto immediatamente alle richieste di commento.
Andrew Maynard, professore presso la School for the Future of Innovation in Society presso l’Arizona State University (ASU), ha affermato che gli attacchi sono destinati a modificare la percezione dell’elettronica personale “da dispositivi assolutamente sicuri a dispositivi che potrebbero essere cooptati e utilizzati per causare gravi danni”.
“Non mi sorprenderebbe vedere questo portare a un crescente sospetto e ansia sulla sicurezza dei dispositivi che le persone usano quotidianamente, e a seri sforzi da parte delle grandi aziende per assicurare ai propri clienti che lo sono”, ha affermato Maynard.
“Ci sono anche una serie di ramificazioni più ampie negli attacchi. Prima del 17 settembre, l’idea di usare dispositivi personali per eliminare un gruppo ben definito di persone non faceva parte dello zeitgeist globale. Ora lo è.”
Mentre sostenitori e critici di Israele si sono scontrati sulla questione se gli attacchi dovessero essere visti come un colpo discriminatorio contro obiettivi militari o un atto sconsiderato che ha messo in pericolo i civili, le esplosioni hanno anche sollevato la possibilità che altri attori abbiano preso ispirazione da tali tattiche.
Haghani ha affermato che, sebbene per la maggior parte degli attori sarebbe difficile portare a termine simili attacchi, hanno sollevato la necessità di garantire che “gli attori non statali, che potrebbero avere meno limiti morali, non sfruttino le catene di approvvigionamento in questo modo”.
Maynard, professore all’ASU, ha affermato che i gruppi armati non statali potrebbero vedere tali tattiche come un “modo plausibile per creare paura e promuovere i propri programmi”.
“Di fatto, si è aperta la porta a una nuova forma di campagna terroristica, in cui gli individui rischiano che il dispositivo che hanno in tasca, o nella mano del loro bambino, diventi un agente di distruzione”, ha affermato.
“La controargomentazione a questo è che è probabile che sia ancora eccezionalmente costoso e difficile prendere un telefono commerciale e trasformarlo in un’arma, ad esempio. Ma ora che l’idea è là fuori, la possibilità che ciò accada è probabilmente aumentata”.