Guerre di Rete - una newsletter di notizie cyber
a cura di Carola Frediani
N.101 - 28 marzo 2021

- Ciao a tutti, la prossima settimana la newsletter non uscirà perché… è Pasqua :)
Buona feste a tutti!

Oggi si parla di:
- Big Tech al Congresso Usa
- Big Tech e lobbying
- Facebook, hacker cinesi e uiguri
- Google e hacker di Stato occidentali
- Amazon e lavoratori
- Slack e i messaggi diretti
- e altro

BIG TECH E POLITICA
Facebook, Twitter e Google davanti al Congresso Usa: come è andata
Come forse sapete, anche se questa volta non ha avuto molta rilevanza mediatica, si è tenuta l’ennesima audizione dei Ceo di Facebook, Twitter e Google davanti ai legislatori del Congresso Usa. Questa volta il titolo dell’incontro era il suggestivo: “Disinformation Nation: il ruolo dei social media nel promuovere estremismo e cattiva informazione (misinformation)”. Cinque ore di incontro, visionabili qua (su YouTube) per i più stoici (sì, ho ascoltato quasi tutto) in cui Mark Zuckerberg (Facebook), Jack Dorsey (Twitter) e Sundar Pichai (Google) sono stati torchiati dai parlamentari americani.

Vorrei dirvi che da questa audizione (la quarta nell’ultimo anno per Zuckerberg, la terza nello stesso periodo per Dorsey e Pichai, ma la prima per tutti dopo l’assalto al Campidoglio del 6 gennaio e il ban di Trump) sia uscito qualcosa di nuovo. O anche solo l’impressione che i legislatori in media sapessero di cosa stavano parlando. O che le risposte dei Ceo siano state interessanti. Ma l’unica cosa che mostrano queste 5 ore di audizione via collegamento video (oltre ad alcuni salotti molto americani, a uffici con bandiere giganti, e soprattutto alla cucina di Dorsey, al suo orologio blockchain, a quanto pare un BlockClock, e a un set di bottiglie vuote che ricordano quelle di chi si appresti a fare la salsa) è che se la pressione su Big Tech sembra essere davvero aumentata, la capacità di ragionare su soluzioni sembra rimasta la stessa. Una capacità molto limitata. La possibilità che da queste audizioni escano progetti legislativi unitari ed efficaci, in grado di bilanciare tutti i conflittuali diritti in gioco quando si parla di regolamentazione di piattaforme, appare come una chimera. E non è solo una mia impressione.

“Ma anche dopo un diretto affronto alla democrazia, i legislatori erano disorganizzati facendo commenti sulla cancel culture, Mr Potato Head, e mescolando assieme competizione, privacy e moderazione in un enorme problema insolubile”, scrive The Verge. “Dopo l’audizione, non sembra che la Camera sia sia avvicinata ad abbozzare reali riforme legislative. In altre parole, il Congresso ha fallito nell’andare oltre le lamentele personali e verso soluzioni reali”.

A livello di sostanza è emerso che:
- il nuovo e principale spauracchio sventolato dai legislatori, specie repubblicani, sono i bambini. A quanto pare, i social media sono diventati il nemico numero uno dei più piccoli e la causa di tutti i problemi di infanzia e adolescenza
- Zuckerberg ha avanzato l’ipotesi di una parziale riforma della Sezione 230, la legge che tutela le piattaforme da alcune responsabilità in merito a quanto pubblicato dai loro utenti, e la sua posizione è: le singole piattaforme devono meritarsela, la protezione della Sezione 230, mostrando di impegnarsi e costruendo un sistema per rimuovere contenuti illegali. Dorsey ha invece suggerito di rendere trasparenti e pubbliche le linee guida applicate nella moderazione, di permettere agli utenti di appellare le decisioni, di dare più libertà agli utenti nello scegliere diversi filtri/algoritmi sui contenuti che vogliono vedere.
- chi, come e anche se si debba trattare quei contenuti che non sono illegali ma possono essere pericolosi resta la grande inevasa incognita, introdotta da Zuckerberg ma prontamente rimossa dai politici
- un lunare Dorsey (molto bersagliato dai repubblicani proprio per le posizioni nette di Twiiter verso Trump, nota The Protocol) ha giocato tutto sul fatto che Twitter stia lavorando a un protocollo aperto e decentralizzato (bluesky) che rimetta la questione moderazione nelle mani degli utenti, discorso che rimbalzava addosso ai legislatori cui si smorzavano subito lo sguardo e la comprensione alle sole parole “open protocol”
- il formato “requisitoria del politico” più “domanda sui massimi sistemi ai tre Ceo”, con obbligo di rispondere solo “yes or no”, ha reso ancora più anodine le risposte di Big Tech, con punte di involontaria comicità da tutte le parti.
Alla fine di questa audizione rimarrà il tweet piratesco di Dorsey postato durante la stessa. Un sondaggio in cui la domanda era solo un punto di domanda e le risposte erano solo Sì o No. Per la cronaca, ha vinto il Sì. 

Big Tech, Big Cash nel lobbying
Più interessante delle audizioni è un report pubblicato dall’organizzazione Public Citizen, che mostra la potenza di fuoco economica e lobbistica di Big Tech (di alcune aziende specifiche), specie nei riguardi della politica americana.

Infatti Facebook e Amazon sono diventate le aziende che spendono di più in lobbying, eclissando Big Oil e Big Tobacco, “con Amazon e Facebook che hanno speso quasi due volte tanto che Exxon e Philip Morris in lobbying nel 2020”, scrive Public Citizen.
Per capirci: nel 2010 in cima a questa lista c’erano PG&E e General Electric. Nel 2017 in prima posizione troviamo Google (Alphabet) e subito dietro AT&T. Nel 2020 Facebook è in testa, seguita da Amazon (Google è scesa oltre l’ottava posizione).

In dettaglio: durante il ciclo elettorale 2020, Big Tech (Apple, Amazon, Google, Facebook) ha speso 124 milioni di dollari in lobbying e in contributi alle campagne, segnando un record rispetto a precedenti cicli (nel 2010, dieci anni fa, spendevano 20 milioni). La spesa di Amazon è cresciuta del 30 per cento, di Facebook del 56 per cento. Facebook, Amazon, Google, e Apple hanno anche aggiunto 40 lobbisti nel 2020, passando da un totale di 293 nel 2018 a 333.
Tra i membri del Congresso con giurisdizione su questioni privacy e antitrust, il 94 per cento ha ricevuto soldi da lobbisti o da PAC Big Tech. 

SLACK
Chat con tutti o abusi da chiunque?
Slack, nota app di messaggistica usata soprattutto in ambito lavorativo, ha lanciato la nuova funzione Connect DM che permette di mandare un invito a qualcuno di esterno alla propria organizzazione e, una volta accettato lo stesso, di chattare. La parte più interessante di questa vicenda è stata la reazione, evidentemente inattesa da parte di Slack, degli utenti. Che invece di festeggiare una nuova possibilità di comunicazione (chattare con la stessa app anche al di fuori della propria organizzazione) si sono preoccupati, al punto che Gizmodo titolava: “Slack sta per diventare un incubo”. Infatti la possibilità di inviare un messaggio insieme all’invito, hanno notato vari commentatori, avrebbe aperto un varco ad abusi e molestie di ogni tipo, e non facilmente controllabili dall’utente (che non può semplicemente bloccare la mail perché arriva da un generico indirizzo Slack che informa degli inviti). Visto il polverone, Slack ha prontamente fatto sapere di aver tolto la possibilità di personalizzare l’invito.
La lezione è semplice, notano alcuni commentatori: prima di lanciare un prodotto o una funzione vanno valutati anche i possibili usi malevoli della stessa. Possibilmente tenendo conto delle esperienze di chi più spesso o facilmente è target di abusi. Che è poi una delle ragioni funzionali e non solo etiche per cui si invoca più diversità dentro le aziende o le comunità tech.

La mia impressione è che più passerà il tempo meno gli utenti saranno disposti a tollerare abusi sotto forma di messaggi molesti e indesiderati veicolati da piattaforme, senza che le stesse diano la possibilità agli utenti di personalizzare e gestire al meglio quello che vogliono o non vogliono ricevere.
Vedi: The Verge - The Protocol

CYBERATTACCHI DI STATO
Facebook blocca campagna di attacchi contro uiguri
Facebook ha annunciato di aver preso delle azioni contro una rete di hacker basati in Cina che sfruttavano il social network per inviare attacchi contro persone della comunità uigura, minoranza cinese turcofona e perlopiù musulmana. Il gruppo, battezzato dai ricercatori come “Earth Empusa,” “Evil Eye” o “Poison Carp”, ha preso di mira circa 500 individui uiguri che vivono all’estero, dagli Stati Uniti all’Australia, dalla Turchia al Canada e alla Siria. Attraverso falsi account Facebook, gli hacker fingevano di essere attivisti o giornalisti e inviavano link a siti compromessi, con cui poi infettavano i dispositivi delle vittime.
Il social engineering è solo una parte della campagna di attacco, ha specificato Facebook, che includeva anche finte app Android a tema uiguro, contenenti malware (TechCrunch)
- Chi sono gli uiguri e come sono perseguitati dal governo cinese - Il Post

Sorveglianza online e repressione
Sul tema spyware e sorveglianza torna anche il manifesto che ha intervistato Claudio Guarnieri, a capo del Security Lab di Amnesty International. Dice Guarnieri: “È importante capire che la sorveglianza online non è un fenomeno a sé, ma fa spesso parte di meccanismi di repressione più complessi. Voglio ricordare attivisti e giornalisti come Ahmed Mansoor negli Emirati, Omar Radi e Maati Monjib in Marocco, tutti vittime di spyware e a oggi imprigionati per il loro dissenso. La loro sorveglianza ha accompagnato persecuzione giudiziaria, campagne di diffamazione su stampa di Stato, così come disinformazione orchestrata tramite reti di troll e bot su social media”.
Di questa connessione tra sorveglianza virtuale e repressione fisica avevo anche scritto in un approfondimento per Valigia Blu proprio sugli attacchi a attivisti e giornalisti.

Nuove regole Ue per l’export dual use
A tal proposito, il Parlamento europeo ha appena approvato nuove regole sull’esportazione di prodotti a uso duale (ovvero sia per usi civili che di sicurezza) che restringono le maglie per l’esportazione di una serie di prodotti, incluse tecnologie di cybersorveglianza laddove ci siano in gioco violazioni dei diritti umani - Europarl

CHAT DI RETE - IL PODCAST
Cybersicurezza e persone: cosa fa il Cyberpeace Institute
Di questi temi, ma anche di attacchi alla sanità, abbiamo parlato nel Chat di rete della settimana, il podcast bimensile condotto da me e Vincenzo Tiani, con ospite Francesca Bosco che lavora al Cyberpeace Institute di Ginevra. ASCOLTA

Google blocca un gruppo di hacker statali “occidentali”
Ma segnalare campagne di cyberattacco presumibilmente gestite da attori statali è questione complessa da molti punti di vista. Lo sanno bene i ricercatori di Google che potrebbero aver esposto una campagna di hacking condotta però in questo caso da governi occidentali. Lo sostiene MIT Technology Review, secondo il quale uno dei recenti report di Google in cui si denuncia una campagna di hacking di nove mesi che sfruttava 11 vulnerabilità zerodays (sconosciute quindi alle aziende) su vari software incluso il browser Chrome riguarderebbe in realtà un’operazione di antiterrorismo condotta da un governo occidentale. Anche se non dà dettagli per inquadrare il tipo di operazione. Secondo MIT Technology Review, normalmente i ricercatori di aziende occidentali in questi casi si limitano a “ripulire” le vulnerabilità trovate senza però pubblicizzare l’intervento. Il che spiegherebbe in parte perché si sente parlare così poco di campagne di cyberspionaggio condotte da Stati occidentali.
Il blog post di Google.

TECH&LAVORO
Come è andato lo sciopero dei lavoratori di Amazon in Italia?
“Il primo sciopero di filiera Amazon al mondo è stato un successo”, scrive il manifesto. “Adesione media del 70-75%, con punte del 90%. Meglio al Nord e fra i driver con la stessa Amazon Italia costretta a riconoscere un’adesione doppia fra i corrieri (nessuno dei quali è dipendente diretto) rispetto ai dipendenti dei magazzini, seppur stimata nel 20% contro il 10%”.
Lo sciopero di 24 ore era stato deciso dopo la rottura della breve trattativa con Assoespressi - prosegue il manifesto -  la sigla che riunisce i tanti corrieri che lavorano in esclusiva per Amazon Italia, che invece si era limitata ad un incontro fugace coi sindacati. La piattaforma unitaria chiedeva la riduzione dei ritmi e l’unificazione delle condizioni di lavoro per tutti i 40 mila lavoratori della filiera. I presidi più partecipati sono stati quelli di Genova, Piacenza, Bologna e Milano”.

Per i sindacati della logistica i driver arrivano anche a consegnare 180 pacchi al giorno. Ogni dipendente diretto a tempo indeterminato ce ne sono altri tre nella filiera, scrive Il Sole 24 ore in un articolo sulle ragioni dello sciopero.

Una crescita irresistibile e la nascita di un movimento di sindacalizzazione
Con la pandemia Amazon ha visto schizzare in alto l’aumento di ordini. Tra gennaio e ottobre 2020 ha assunto 427.300 nuovi dipendenti in tutto il mondo. Nessun’altra azienda nella storia ha assunto tante persone in un anno, scrive un bellissimo reportage del The New York Times Magazine, ripreso da Internazionale di questa settimana. A dicembre aveva 1,3 milioni di dipendenti. Ma proprio questa crescita e le preoccupazioni per la sicurezza dei lavoratori legate alla pandemia, scrive l’articolo, hanno portato a un punto di rottura. Anche chi non si era mai lamentato delle condizioni di lavoro o non si considerava un attivista ha cominciato a parlare. Così “in queste settimane circa seimila lavoratori di Amazon in Alabama stanno votando sulla proposta di formare il primo sindacato interno nei venticinque anni di storia dell’azienda (il vostro si concluderà il 29 marzo)”.

Consenso biometrico per gli autisti negli Usa
Intanto negli Usa, dove sono state introdotte telecamere di videosorveglianza nei suoi furgoni, “l’azienda ha iniziato a chiedere agli autisti d’oltreoceano di firmare un «consenso biometrico» per autorizzare la raccolta di una lunga serie di dati atti a confermarne l’identità, tracciarne i movimenti e rilevare eventuali pratiche scorrette. Pena per chi si rifiuta di sottoscrivere il nuovo documento, inizialmente pubblicato da Vice, non poter più continuare a lavorare”, scrive Corriere.

CYBERCRIME
Raid contro cyber truffatori in Nigeria
Le autorità nigeriane hanno arrestato 18 persone nella provincia di Ogun. Sono sospettate di far parte di un gruppo criminale specializzato in cyber frodi e attacchi di tipo BEC, Business Email Compromise, che prendono di mira le aziende e cercano di deviare i loro pagamenti. Fin dagli anni ‘90 questo genere di cybercriminalità è ben presente in Nigeria ma col tempo è passata dal prendere di mira gli utenti medi a indirizzarsi verso il più redditizio mondo business. Addirittura, secondo lo studio di un’azienda, ben il 50 per cento degli attori individuati dietro a truffe BEC risiederebbe in quel Paese. Così, anche per la pressione della comunità internazionale, stanno aumentando i raid della polizia. The Record.

CINA-OCCIDENTE
Anche le tecnologie per le smart cities sotto osservazione
Dopo il 5G ora le agenzie di intelligence britanniche vogliono limitare l’uso di tecnologie cinesi legate alle smart cities, sostenendo che potrebbero essere usate a fini di spionaggio e sorveglianza. Financial Times.

APP MESSAGGISTICA
Telegram ha annunciato di aver venduto obbligazioni a vari investitori per un miliardo di dollari - Reuters

BITCOIN E TESLA
Negli Usa si può comprare una auto elettrica Tesla in bitcoin, ha annunciato Elon Musk.
The Verge

ITALIA

CLOUD
A che punto è il piano dell'Italia per cloud e data center?
Per il ministro Colao è uno dei punti chiavi del nuovo assetto del pubblico. Manca ancora il polo strategico nazionale. E la razionalizzazione dei troppi data center pubblici va a rilento, scrive Wired Italia

VIDEOCAMERE
Come si finanzia in Italia la videosorveglianza nei Comuni
Il ministero dell'Interno ha assegnato nel 2020 una gara da 17 milioni per rinnovare le telecamere in 287 Comuni. Ecco i criteri con cui ha deciso (e non sono sempre chiari), scrive Wired Italia

APPROFONDIMENTI

ADS
Il futuro della pubblicità online è nei dati in poche mani e nelle piattaforme chiuse - Valigia Blu

(SOTTO)CULTURE DI INTERNET E MEMORIA
C’era una volta la Rete
Internet è casa nostra. Ma al contempo è qualcosa che continua a evolvere e a sparire. Culture e sottoculture della rete si perdono insieme all’inabissarsi di forum, comunità, siti. Come preservarne non solo e tanto i dati, ma quelle specificità culturali, quel senso che deriva dalla partecipazione stessa in tali comunità e che non sempre può essere reso da un archivio? Con dei libri. Una casa editrice ha lanciato una collana intitolata Remember the internet, dove sono raccontate alcune di queste effimere comunità prima che si perdano come lacrime nella pioggia.
Via The Atlantic

GIORNALISMO E SALUTE
Fare giornalismo d’inchiesta su salute e medicina
Una guida (anche in italiano) del Global Investigative Journalism Network a cura di Caterine Riva, Serena Tinari/Recheck.ch

DISINFO
La Russia cambia la strategia di disinformazione politica negli Usa - Agenda Digitale

SOLARWINDS
Il monitoraggio governativo non fermerà la prossima campagna Solarwinds, scrive Kim Zetter, in inglese, su Substack (altra giornalista tech approdata qua).

STUDI

AI E CLIMA
Che ruolo gioca o può giocare l’AI sul cambiamento climatico? Ne parla un paper, intitolato
The AI Gambit — Leveraging Artificial Intelligence to Combat Climate Change: Opportunities, Challenges, and Recommendations, a firma di Josh Cowls, Andreas Tsamados, Mariarosaria Taddeo, Luciano Floridi

AI E SICUREZZA
Key Concepts in AI Safety: An Overview - CSET Issue Brief Marzo 201

EVENTI

SICUREZZA AZIENDALE
Shift Left Security – DevSecOps: un evento online gratuito dedicato alla cybersecurity aziendale
Venerdì 9 aprile alle 21.30 si terrà la prima live dell’Associazione Cyber Actors.  Il tema dell’appuntamento è Shift Left Security – DevSecOps. Ospiti: Quirino Brizi – Technical Architect Applaudard – e Gerardo Di Giacomo - Security Engineer di Stripe. Si discuterà di pratiche di sviluppo software agile con particolare attenzione all'approccio DevSecOps ed ai suoi effetti sulla riduzione delle vulnerabilità.
YouTube

OPERAZIONI DI INFLUENZA
Quali sono le migliori pratiche per attribuite operazioni di influenza online?
Ne hanno parlato in un panel online, in inglese: Unmasking Influence Operators: What Are Best Practices for Attribution?, organizzato dal Carnegie Endowment for International Peace

—> SOCIAL E PODCAST DI GUERRE DI RETE
Guerre di Rete ora ha anche un sito, una pagina Facebook e un profilo Twitter. Seguiteli!
I podcast della newsletter (che escono il lunedì in genere) li trovate sulle principali piattaforme (Apple Podcasts; Spotify; Google Podcast; Anchor.fm). Ogni due settimane circa esce anche Chat di Rete, podcast di interviste condotto assieme a Vincenzo Tiani.

Ti è piaciuta la newsletter? Inoltrala a chi potrebbe essere interessato! O diventa un suo sostenitore facendo una donazione. E’ in corso una campagna per raccogliere fondi. La newsletter resta gratuita, indipendente, senza sponsor, mandanti o agende altrui, e si diffonde col passaparola dei suoi stessi utenti.