Guerre di Rete - una newsletter di notizie cyber
a cura di Carola Frediani
N.76 - 28 giugno 2020

Oggi si parla di:
- spyware e sorveglianza contro giornalisti
- l’incriminazione di Assange
- riconoscimento facciale
- blueleaks
- cavi sottomarini
- tiktok
- Isis

HABEMUS PODCAST
Prima l’annuncio di una novità. Questa newsletter ora ha anche una versione (un po’ più ridotta) PODCAST. Questa esce il lunedì e potete iscrivervi, tra le varie piattaforme, su:

• Spreaker

• Apple Podcasts

• Spotify

• Google Podcasts
  

SORVEGLIANZA
Ancora uno spyware contro giornalista marocchino
Lo spyware è arrivato in modo impercettibile. Nessun link, nessun messaggio esca, nessun SMS, nessuna telefonata. Semplicemente, Omar Radi ha aperto il browser del suo telefono per visitare un sito ma prima di approdare a destinazione è stato reindirizzato brevemente da un’altra parte, a uno strano indirizzo. È stato un attimo, quasi impossibile da accorgersene a meno di non prestarci specifica attenzione.
A quel punto lo spyware - un software malevolo progettato, in questo caso, per spiare le attività e i contenuti che passano da uno smartphone - prende il controllo del dispositivo, ed è in grado di monitorare le mail, chat, telefonate, ma anche di attivare all’occorrenza microfono e videocamere trasformandosi in una cimice ambientale.

Una tecnologia di sorveglianza estremamente invasiva, ormai usata da anni da molteplici Stati a fini di investigazione, sia nell’intelligence sia in indagini giudiziarie. Solo che Omar Radi non è un terrorista. È un noto giornalista investigativo che si è occupato di movimenti di protesta in alcune regioni del Marocco (come il movimento Hirak), che anni fa ha ricevuto un premio per le sue inchieste sullo sfruttamento delle cave di sabbia nel Paese, che si è occupato di corruzione della classe politico-imprenditoriale.

Lo scenario
Quando Radi ha ricevuto questo spyware silente era il settembre 2019, e stava giusto incontrando un suo amico, storico e attivista per i diritti umani, Maati Monjib. Entrambi sapevano di essere bene o male nel mirino da tempo. Monijb sapeva anzi di essere stato attaccato con uno spyware in passato, e lo stesso sapeva Radi, che infatti era particolarmente attento a non cliccare su link sospetti. Quello che non sapevano è che proprio Radi ora era oggetto di attacchi e che lo era e sarebbe stato più volte più volte tra il gennaio 2019 e il gennaio 2020.
Tanto che a un certo punto il giornalista ha capito che qualcosa non andava e si è rivolto al Security Lab di Amnesty International. Nel mentre, a dicembre 2019, Radi veniva arrestato (e poi rilasciato, infine condannato a 4 mesi con pena sospesa) per aver pubblicato, mesi prima, un tweet critico verso una sentenza contro alcuni manifestanti. Ma prima ancora, nel pieno degli attacchi, cioè nel luglio 2019, Radi appariva in primo piano in una inchiesta del Committee to Protect Journalists proprio sulla repressione e gli attacchi digitali subiti da giornalisti marocchini. In questo articolo Radi spiegava tra l’altro che negli interrogatori di attivisti e giornalisti fermati spesso emergeva come la polizia fosse a conoscenza dei loro messaggi Whatsapp.

L’attacco per inoculazione
Amnesty ha dunque analizzato il suo telefono e ha concluso che il giornalista era stato più volte preso di mira da uno spyware, individuando le date precise di questi attacchi.
Si tratta di attacchi di inoculazione (injection attacks), in cui quando la vittima prova a visitare un certo sito web non protetto da connessione cifrata (per cui invece di HTTPS, la stessa modalità che usiamo quando ci colleghiamo a una banca ma anche alla nostra webmail, c’è HTTP) il suo traffico internet mobile viene rediretto a un sito malevolo che installa velocemente lo spyware per poi dirigere il traffico al sito originale in modo da non far insospettire troppo il soggetto.
Questo tipo di attacco può essere condotto in due modi: o attraverso un accesso diretto all’infrastruttura dell’operatore telefonico; o attraverso una prossimità fisica al target che permette, attraverso un dispositivo tipo Imsi catcher o Stingrays, di simulare un ripetitore cui il telefono si aggancia, per cui il suo traffico (sotto controllo dell’attaccante) può essere rediretto. Per Amnesty non è chiaro quale procedimento sia stato usato nel caso specifico.

Tuttavia l’organizzazione no-profit sospetta, sulla base di una serie di indicazioni tecniche, che lo spyware utilizzato sia Pegasus, sviluppato dalla società israeliana NSO, e venduto a vari governi (l’azienda non ha mai rivelato quali siano i Paesi per una questione di confidenzialità dei clienti; secondo una ricerca del laboratorio canadese Citizen Lab proprio il Marocco sarebbe stato uno dei 45 Stati in cui il suo spyware risultava attivo, ricorda il Guardian).

Il report di Amnesty
“Gli attacchi sono avvenuti in un periodo in cui Radi era ripetutamente molestato dalle autorità marocchine”, scrive Amnesty in un report, sottolineando come alcuni di questi siano avvenuti solo pochi giorni dopo una dichiarazione pubblica di NSO dove si prometteva di prendere delle misure per controllare che il proprio prodotto non fosse abusato.
NSO ha dichiarato al consorzio di giornalisti Fobidden Stories (che ha coordinato l’uscita di articoli su questa storia su molte testate internazionali) di stare valutando attentamente quanto emerso. Il governo di Rabat non ha fatto dichiarazioni ufficiali, anche se sulla stampa più filogovernativa sono uscite delle critiche sdegnate al report, accusato di non avere prove schiaccianti. Intanto però il giorno dopo la notizia, la polizia ha convocato e interrogato Radi in connessione a una inchiesta su gruppi di intelligence stranieri e in quanto sospettato di aver ricevuto fondi dagli stessi - un’accusa giudicata una forma di ritorsione da parte del giornalista e della stessa Amnesty.

Spyware e Marocco
Non è la prima volta che Amnesty mette sotto la lente l’uso di spyware contro difensori dei diritti umani in Marocco. Era già uscita con un rapporto a ottobre, in cui sempre lo spyware Pegasus - attraverso una serie di tracce tecniche - era fortemente sospettato di essere stato usato contro due attivisti marocchini, Maati Monjib e Abdessadak El Bouchattaou.
Per Amnesty quelle azioni contro Monjib e queste contro Radi avrebbero la stessa firma. “Il Security Lab ha eseguito una analisi forense del telefono di Omar Radi - si legge sul report della ONG - e ha trovato tracce che suggeriscono come sia stato sottoposto agli stessi attacchi di inoculazione via rete che avevamo osservato contro Maati Monjib”. Tra questi artefatti, lo stesso dominio usato come sito malevolo per trasmettere lo spyware.
Il report ricorda anche come questa capacità di veicolare il software malevolo via inoculazione sia stata pubblicizzata in passato da NSO - quanto meno da una brochure attribuita alla stessa e rinvenuta già nel 2015 nel leak di documenti di un’altra società di spyware, l’italiana Hacking Team; e ancora più recentemente a un evento di aziende del settore, come riportato da Business Insider.

NSO, tra accuse e cause legali
NSO è da tempo finita sulla ribalta mediatica per una molteplicità di episodi, report e azioni legali. Tra queste ultime addirittura una causa intentata da Whatsapp, secondo la quale Pegasus sarebbe stato usato per attaccare 1400 suoi utenti (la questione legale è complessa, qui raccontata da Wired US, e qui sviluppi su Zdnet; in newsletter ne avevo scritto qua). Tra i 1400 target anche un giornalista marocchino, e un avvocato che aveva aiutato un gruppo di giornalisti/attivisti messicani e un dissidente saudita che sta in Canada a fare causa proprio a NSO in Israele, sostenendo che l'azienda fosse corresponsabile degli abusi commessi dai suoi clienti. NSO dal suo canto aveva ribadito che non si occupa della gestione dello spyware.

Il dissidente saudita è quasi sicuramente Omar Abdulaziz (come per altro riportato dal NYT), che era vicino a Jamal Khashoggi (il giornalista ucciso brutalmente dai sauditi in Turchia) e che attualmente sta a Montreal. Abdulaziz aveva poi fatto causa a NSO, sostenendo di essere stato infettato dalla corte di Ryad proprio con Pegasus (ne avevo scritto qua).

Nel gennaio 2010 era poi emerso che l’FBI si stava interessando alla storia dell’attacco informatico contro Jeff Bezos, il fondatore di Amazon e proprietario del Washington Post (una spy story che tirava di nuovo in mezzo l’Arabia Saudita e il suo principe ereditario Mohammed bin Salman, e il possibile uso di Pegasus – ne avevo scritto su Valigia Blu).

Spyware e moratoria
Tornando al Marocco, quelli denunciati dai report Amnesty non sono i primi casi di spyware contro giornalisti marocchini. Già nel 2012 c’era stato l’episodio di una serie di attacchi contro il sito Mamfakinch - una rete di “giornalismo dei cittadini” che raccontava le proteste della primavera araba e in particolare il movimento 20 febbraio - e il suo cofondatore Hisham Almiraat (della storia mi ero occupata della vicenda per L’Espresso, così come se n’erano occupati vari media internazionali, e organizzazioni come Amnesty e Privacy International). All’epoca Almiraat mi aveva spiegato che quell’evento, con le relative tensioni, era stato determinante nello sfaldamento del gruppo di giornalisti.

Amnesty ora chiede al governo marocchino e ai Paesi esportatori di sospendere la vendita, acquisto, esportazione di tali strumenti finché non ci sia in piedi una procedura chiara per verificare che non siano commessi abusi, così come richiesto tempo fa dal rapporteur speciale sulla libertà di espressione dell’ONU, David Kaye.

Sempre più attacchi contro i giornalisti
I casi riscontrati in Marocco non sono affatto isolati o atipici. Negli ultimi anni gli attacchi informatici contro singole testate o giornalisti sono aumentati e sono diventati più sofisticati, come avevo raccontato poche settimane fa in un lungo reportage su Valigia Blu, con episodi che andavano dall’Azerbaigian a Malta alle Filippine, e che mescolavano casi di phishing, furti di identità, molestie, spyware, e DDoS (attacchi di negazione distribuita del servizio) contro i siti di informazione per renderli irraggiungibili.

APP DI CONTACT TRACING
Immuni, l’app italiana di notifica delle esposizioni al coronavirus, ha raggiunto i 4 milioni di download. “Immuni dal punto di vista tecnico funziona, ora tocca al ministero della Salute fare in modo che sia efficace, ha detto Pisano, ripresa da AGI. "C'è stata un'ottima armonia nella progettazione e nello sviluppo con il ministero della Salute". “Il ministro poi ha utilizzato una metafora da Formula 1 per spiegare il lavoro fatto dal suo dicastero e da quello guidato da Roberto Speranza: "Noi abbiamo costruito la macchina e la macchina funziona bene. Ora tocca al pilota, che nel nostro caso è il ministero della Salute".
Per Il Messaggero, “mancano ancora una campagna di comunicazione incisiva, una strategia sanitaria unitaria e una unità di intenti a livello regionale”.

Sempre in salita la strada per l’app francese di tracciamento contatti, StopCovid, lanciata il 2 giugno, basata su un modello centralizzato, e scaricata finora da 1,9 milioni di persone. Sono 68 gli utenti che hanno segnalato di essere risultati positivi al coronavirus e solo 14 hanno ricevuto le notifiche di esposizione. Quel che è peggio, nelle scorse tre settimane, 460mila utenti l’hanno disinstallata. Inoltre, ricordiamolo, non sarà interoperabile con altre app europee (perché centralizzata e le altre per ora sono prevalentemente decentralizzate, come spiegavo la volta scorsa) – Politico.

Per avere un quadro delle app di tracciamento nel mondo vedi le ultime edizioni della newsletter.

WIKILEAKS
Nuovi elementi nell’incriminazione americana contro Julian Assange
Il Dipartimento di Giustizia americano è uscito con un nuovo atto d’accusa (sostitutivo del precedente) contro Julian Assange, il fondatore di Wikileaks. Non aggiunge nuovi capi d’imputazione ai precedenti 18 già delineati un anno fa nell’ambito dell’Espionage Act, la legge sullo spionaggio, e in cui in sostanza Assange era accusato di aver cospirato con Chelsea Manning - la whistleblower che passò moltissimi documenti a Wikileaks - per violare i computer del governo americano, ma “allarga l’ambito della cospirazione relativa alle presunte intrusioni informatiche di cui Assange è già stato accusato”, scrive il Dipartimento di Giustizia (cospirazione qui intesa come collusione criminale, accordo per commettere un reato) In pratica ora lo accusano di aver proprio “reclutato” hacker di Anonymous/Lulzsec e altri ancora, con l’obiettivo di violare sistemi e ottenere documenti riservati da organizzazioni governative.
L’atto d’accusa sostiene ad esempio che Assange nel 2010 avrebbe ottenuto un accesso non autorizzato ai sistemi informatici del governo di un Paese Nato. Che nel 2012 avrebbe comunicato direttamente con un leader di LulzSec (all’epoca gruppo di hacker vicini ad Anonymous) e che gli avrebbe fornito una lista di target da attaccare/”hackerare” (hack, nel documento). Nel caso di un target specifico, Assange avrebbe chiesto al leader di Lulzsec di cercare mail, documenti, pdf e database da dare a Wikileaks. In un’altra comunicazione, Assange avrebbe detto sempre al leader Lulzsec che i leak più di impatto sarebbero stati della CIA, della NSA e del New York Times. Questo secondo l’accusa. Il leader di Lulzsec era all’epoca un collaboratore dell’FBI, per chi avesse seguito le vicende di Anonymous stiamo parlando probabilmente di “Sabu”. Gran parte delle accuse ad Assange si basano dunque in questo documento su molti dialoghi online con due informatori dell’FBI, uno (il leader Lulzsec, verosimilmente Sabu, alias di Hector Monsegur) che stava cercando di salvarsi dalla prigione perché divenuto informatore dopo essere stato segretamente arrestato; e uno, definito nel documento Teenager, che all’epoca dei fatti era un ragazzo molto giovane, avvicinatosi ad Assange/Wikileaks nel 2010, e col tempo divenuto a dir poco controverso. Più le dichiarazioni pubbliche fatte da Assange o suoi collaboratori a conferenze hacker/attiviste. Più alcune frasi ambigue dette dallo stesso Assange in chat. Un esempio già presente nel primo atto d’accusa è la frase “curious eyes never run dries” detta da Assange a Manning, dopo che la whistleblower, avendo passato alcuni documenti, dice “questo è tutto quello che ho”. Per l’atto d’accusa la risposta di Assange è una chiara richiesta di continuare a estrarre documenti. Tanto che quando si dice che Manning successivamente ha scaricato altri file, si introduce la descrizione dell’atto dicendo: “seguendo il commento curious eyes never run dries, Manning ha poi scaricato..”.

“Secondo la studiosa di Anonymous Gabriella Coleman, questo atto d’accusa “sta cercando di inchiodare [Assange] per aver cospirato con hacker come Anonymous, Lulzsec” ecc, mettendo assieme “50 pagine di storia di hacker e Wikileaks/Anonymous tra gli argomenti”. E ancora: “trovo preoccupante come gli interventi di Assange a conferenze hacker, al Chaos Computer Club o altri, siano inquadrati come parte della cospirazione”.
Questa osservazione di Coleman si può capire meglio se si leggono certe frasi nel documento. A un certo punto si porta come esempio il fatto che un rappresentante di Wikileaks a una nota e autorevole conferenza di hacker/attivismo digitale, re:publica, abbia detto che la missione di Wikileaks era pubblicare informazione censurata o riservata(classified) di importanza storica, politica”.
Dubbi e perplessità anche dal giornalista James Ball (che in passato ha collaborato con Wikileaks, per poi allontanarsi in modo critico): spiega come in alcuni casi la pubblicazione di Wikileaks sia arrivata dopo che altre testate (con cui l’organizzazione di Assange cooperava) avevano pubblicato e si chiede allora se non debbano rischiare lo stesso anche quei giornalisti. Tra l’altro nell’atto di accusa si parla anche di “assistenza” data a Edward Snowden, il whistleblower che ha rivelato il Datagate. “Il Guardian e il Washington Post sono proprio lì”, commenta Ball, riferendosi alle testate e ai giornalisti che hanno avuto diretto contatto con Snowden e che per quella vicenda hanno vinto il Pulitzer. E aggiungo, nell’atto a un certo punto si dice che l’assistenza data a Snowden avrebbe avuto come scopo quello di incoraggiare hacker e leaker.
Il direttore per i diritti civili dell’Electronic Frontier Foundation ha detto, dopo aver visto il nuovo atto d’accusa, di mantenere sempre la stessa posizione di un anno fa, ovvero che l’incriminazione di Assange resta un pericolo per i giornalisti e la libertà di stampa.

Assange è ancora detenuto in UK, impegnato in una battaglia contro l’estradizione negli Usa. Questi nuovi dettagli dell’accusa (tralasciamo ora se siano veri o falsi ovviamente o come vadano interpretati dal punto di vista della difesa) hanno come obiettivo di delineare di più l’ipotesi di intervento attivo con le sue fonti, di partecipazione indiretta all’hacking, in modo da allontanare Assange dall’area (sensibile) del giornalismo e di separarlo dai giornalisti.
Mentre come si è visto la preoccupazione di vari osservatori è che molte delle accuse si muovano lungo un crinale pericoloso (senza contare che nascono essenzialmente da frasi presunte dette in chat, di cui in questo momento abbiamo zero contestualizzazione).

Concludo dicendo che questa nuova incriminazione sembra confermare l’impressione che avevo avuto con la precedente, che cioè malgrado l’uso dell’Espionage Act, l’accusa stesse puntando il tutto e per tutto sulle accuse di hacking (diretto o indiretto), o di contiguità/assistenza ad hacker che avevano violato o volevano violare sistemi. Allora scrivevo: “Il primo capo di imputazione presentato settimane fa (quello per aver provato a violare una password, quindi non violazione dell’Espionage Act ma della legge sui crimini informatici) oggi appare come il puntello (anche d’immagine: si apre un varco con quella più indifendibile per distanziare Assange dal giornalismo e dopo un po’ si scaricano le altre che lo avvicinano) su cui costruire la tesi di un Assange procacciatore attivo di leaks, di furti di dati “classificati”. Ma questa spericolata costruzione (forte del fatto che nessun giornalista responsabile o anche solo sano di mente si metterebbe a craccare password per accedere o far accedere qualcuno a sistemi governativi) accatasta una serie di elementi che finiranno col crollare addosso a tutti i giornalisti”.
Tornando quindi all’oggi, sul piatto l’accusa mette un puzzle fatto di tanti elementi, singolarmente deboli, dato che in gran parte si reggono su dichiarazioni e frasi estrapolate dal turbinoso e scivoloso mondo delle chat anon, spesso il regno dell’ambiguità e della mistificazione, e questo senza contare il ruolo centrale avuto da due informatori. Ma l’accusa punta sul puzzle. Anche se certo non c’era bisogno di quel documento per sapere che la missione di Wikileaks era di ricevere e pubblicare documenti confidenziali di rilevanza pubblica.

Qui la nuova incriminazione.

Vedi anche Axios. Ma soprattutto vedi Gizmodo, che solleva alcuni dubbi simili (la consistenza delle chat) e aggiunge il carico della vicenda Stratfor sostenendo come riguardo a quell’episodio l’incriminazione risulti fuorviante.

BLUELEAKS
Il leak sulla polizia americana
E’ il più grande leak sulla polizia americana. Centinaia di migliaia di file da dipartimenti e agenzie degli Stati Uniti, messi online da Distributed Denial Of Secrets, un collettivo di attivisti/giornalisti che funziona da piattaforma per la pubblicazione di documenti riservati di interesse pubblico. BlueLeaks, questo il nome del leak, “raccoglie dieci anni di dati da 200 dipartimenti di polizia, fusion centre e altre risorse di supporto e training delle forze dell’ordine”. I fusion centre sono organismi governativi che condividono dati di diversi dipartimenti e agenzie, incluse FBI e Dipartimento di sicurezza nazionale. - Vice.
Questi materiali arriverebbero dalla violazione di un fornitore di servizi IT che lavorava con i fusion centre della polizia americana (Cyberscoop), il che è un interessante monito rispetto alle vulnerabilità aperte da fornitori e terze parti.
Molte persone sui social si sono messe ad analizzare alcuni documenti del leak, ad esempio uno dell’FBI che descrive come gruppi di bianchi suprematisti infiltrino le proteste fingendosi antifascisti. Tuttavia Twitter ha poi messo al bando non solo il profilo di Distributed Denial Of Secrets, ma ha disattivato anche i link di chi aveva postato dei tweet al riguardo, per violazione dei termini di servizio che vietano la pubblicazione di materiali “hackerati” che contengano informazioni private o possano danneggiare fisicamente qualcuno. Il gruppo starebbe pensando di spostarsi sul social indipendente Mastodon.

RICONOSCIMENTO FACCIALE
Arrestato ingiustamente dal computer
C’è una storia sul riconoscimento facciale che merita davvero. La storia di un afroamericano a Detroit, Robert Williams, che un giorno viene arrestato a casa sua perché accusato di aver rubato in un negozio mesi prima. L’uomo è stato identificato attraverso un software di riconoscimento facciale. Solo che è l’uomo sbagliato e in realtà la differenza si vede a occhio nudo. A occhio umano. Così, in piena Black Lives Matter e con le tecnologie di riconoscimento facciale sempre più sotto la lente, questa storia diventa emblematica, alimentando ancora di più l’opposizione a queste tecnologie.
Succede infatti che nell’ottobre 2018 avviene il furto in un negozio, e che nel marzo 2019 viene caricata un’immagine del ladro, ripresa dal sistema di videosorveglianza del locale, sul database di riconoscimento facciale del Michigan. Sono generati alcuni abbinamenti con foto di altre persone tra cui quella di Robert Williams. Le foto sono mostrate a un addetto alla sicurezza del negozio che identifica l’uomo. Così, a gennaio, Williams viene arrestato a casa sua, di fronte alla famiglia, e tenuto in custodia per 30 ore. Solo che nel mentre gli agenti capiscono di avere davanti l’uomo sbagliato. - New York Times.
Ha commentato al riguardo su Facebook il giornalista e ricercatore di Algorithm Watch, Fabio Chiusi: “Una umiliazione cocente e del tutto gratuita, che è considerata forse la prima di cui abbiamo nozione — ma solo perché delle altre, appunto, non sappiamo: secondo diversi esperti interpellati dal Times, errori di questo tipo sono già comuni, è solo difficile venirne a conoscenza. In questo caso i detective, dopo aver sventolato la foto che avrebbe motivato il “match” con il sospetto di fronte all’allibito — e arrestato — uomo innocente, ed essersi resi conto che in effetti si trattava di due persone diverse, hanno fugato ogni dubbio: uno dei due si è lasciato scappare “il computer deve avere commesso un errore”. Come se il problema fosse l’errata elaborazione dell’algoritmo, e non chi ha deciso di usare uno strumento così impreciso, discriminatorio e antidemocratico come fondamento addirittura di un arresto.
Senza controlli, senza verifiche: lo ha detto il computer, si arresta”.

Intanto, Boston mette al bando il riconoscimento facciale (Cnet)

STUDENTI E SOFTWARE
Come le università italiane sorvegliano gli esami a distanza
Alcune università italiane stanno usando software per sorvegliare gli studenti durante gli esami, scrive Vice Italia in un bel pezzo di Riccardo Coluccini. Tra dati personali conservati, antivirus disattivati e software che "si impossessano del tuo computer", questa sessione di esami ha un sapore amaro. E l'esperimento rischia di non finire qui.
“Il monitoraggio è in tempo reale: “Non vedo benissimo da lontano e avendo anche un monitor piccolo durante l’esame mi sono dovuto avvicinare allo schermo per leggere meglio le scritte minuscole,” ha raccontato uno studente a Motherboard, “e il fatto che metà faccia mi uscisse dall’inquadratura della webcam creava problemi: il software blocca lo svolgimento dell’esame automaticamente.”

GEOPOLITICA DEI CAVI
Il conflitto Usa-Cina si sposta ventimila leghe sotto i mari
Washington si sta opponendo a un nuovo progetto internazionale per stendere un cavo sottomarino per il traffico internet tra Hong Kong e Stati Uniti, il Pacific Light Cable Network, che vede tra le società coinvolte anche Facebook e Google, due operatori telefonici americani e una controllata di una società cinese, Dr. Peng Telecom & Media Group. La ragione ufficiale? Il rischio di spionaggio da parte cinese. Stiamo parlando di un cavo in fibra ottica di 8mila miglia che connetterebbe per la prima volta direttamente Hong Kong e gli Usa a una velocità di 120 terabytes al secondo.

I dubbi dell’organo americano deputato a supervisionare questo genere di attività - Team Telecom - sarebbero dovuti sia alla presenza, nel consorzio, di una società cinese, che quindi potrebbe essere soggetta alle leggi di sicurezza nazionale di Pechino e obbligata, secondo il parere americano, a dover rendere conto al governo del proprio Paese; sia alla collocazione ad Hong Kong della landing station, la stazione di approdo del cavo. Il timore è in pratica che i cinesi possano sfruttare entrambe le possibilità per intercettare il traffico che passa nel cavo. (E gli americani ne sanno qualcosa al riguardo: ricordate il programma Tempora messo in piedi con gli alleati inglesi che faceva proprio questo su una serie di cavi?)
Wired US

APPROFONDIMENTI

Si è scritto molto di Tik Tok e attivismo politico. Ne ho parlato a Radio 3 Mondo
Tik Tok, c’è Trump? - AUDIO
Ne parla in un VIDEO anche Matteo Flora.
E ne scrive Valigia Blu - Come i fan del K-pop sono riusciti a trollare l’estrema destra americana

STORIA DEL WEB
Web Side Story - una docu-serie Rai che a partire da una data, un fatto o un personaggio racconta eventi avvenuti "in Rete" o "grazie alla Rete", rimasti nella memoria collettiva o che aspettano di essere riscoperti. VIDEO

LIBRI
L’ombra del nemico. Una storia del terrorismo islamista (Solferino), di Marta Serafini.
Sembra improvvisamente lontano e sfumato il tempo in cui era l’Isis, e non la pandemia, a dominare i nostri media. Oggi su quella stagione si sono spenti molti riflettori, e forse a maggior ragione sono necessarie una analisi e una riflessione su quello che è stato (e che non è mai del tutto scomparso). Cinque anni di ascesa e caduta del Califfato segnati da guerre, reclutamento e fanatismo online, prove di forza e scontri di interessi fra le potenze coinvolte, e poi soprattutto le vittime, i campi profughi, in un continuo gioco di sponda dell’autrice tra Europa e Medio Oriente, reportage sul territorio e redazione, pubblico e privato, per cui il viaggio nel terrorismo islamista più recente diventa anche una faticosa, estenuante ricerca di spiegazione e di risposte a domande che rimangono aperte. Con scorci illuminanti sulla dimensione della “open source” jihad, che cerca di reclutare terroristi a km di distanza, nel suo fulminante passaggio dai sermoni su Vhs e su Cd, alle chat, ai forum, ai social media, e l’investimento in riprese, montaggi, effetti speciali. Una svolta propagandistica che ha fatto la differenza. E che forse ha contribuito a togliere ancora di più attenzione, anche da parte nostra, a una eterogenea umanità di persone schiacciate da questa storia, cui l’autrice cerca in continuazione di restituire una voce.

SALUTI E CONTATTI
Se qualcuno vuole contattarmi in modo anonimo (o, quanto meno, con una maggiore probabilità di privacy e senza dover passare per una casella email o un account legato a un telefono) può farlo andando su https://contact.carolafrediani.org/#/ (se da dentro la newsletter non si apre link basta riscriverlo nel browser).

È una piattaforma open source creata da Globaleaks (che ringrazio! in particolare un grande grazie a Giovanni Pellerano) che permette a giornalisti, media e organizzazioni (qua ce ne sono alcune) di ricevere segnalazioni e a chi segnala di proteggere la propria privacy (qui un articolo in inglese su chi sono, che fanno).

Oppure potete scrivermi una mail con PGP. O contattarmi solo su Signal +14783944294. O scrivermi su Wire a @carolaf. O, se non avete particolari esigenze di privacy, molto semplicemente, rispondere a questa newsletter.

Ti è piaciuta la newsletter? Inoltrala a chi potrebbe essere interessato!
E’ gratuita, indipendente, senza sponsor, mandanti o agende altrui, e si diffonde col passaparola dei suoi stessi utenti.
Come viene fatta questa newsletter (e come leggerla)
Per iscriversi: https://guerredirete.substack.com/
Buona domenica!

Guerre di Rete - una newsletter di notizie cyber
a cura di Carola Frediani
N.75 - 21 giugno 2020

Oggi si parla di:
- Trump e la politica degli strumenti pro-privacy
- app di tracciamento contatti
- videosorveglianza
- cyberattacchi di Stato e leak

CYBERPOLITICA GLOBALE
Trump sta ridisegnano il futuro degli strumenti pro-privacy. E non è un futuro roseo
L’hanno chiamato il “massacro di mercoledì notte”. Solo metaforico, ma con profonde conseguenze nell’incerto bilanciamento globale fra strumenti di controllo e strumenti a difesa della privacy. Mentre infatti in Europa si discute con dovizia di dettagli di app di tracciamento contatti (tranquilli, più sotto ci sarà anche la mia razione settimanale), l’attuale amministrazione americana, con un sol colpo, fa fuori le teste a governo di una serie di strumenti e tecnologie antisorveglianza. Sembrerebbe una faccenda del tutto statunitense: in fondo quelle stesse agenzie sono sempre state considerate la longa manus della diplomazia e degli interessi a stelle e strisce; eppure quanto sta avvenendo potrebbe anche ripercuotersi sulle prospettive di tutti coloro che usano strumenti di privacy, anonimato, antisorveglianza e anticensura. Dai manifestanti di Hong Kong a quelli americani, dai giornalisti europei agli attivisti per i diritti umani in Medio Oriente.

Ma cosa è successo insomma? Trump è finalmente riuscito a far insediare Michael Pack, un suo uomo di fiducia, amico di Steve Bannon (il suo ex stratega e alfiere dell’alt right, la destra estrema americana), a capo di una agenzia media globale che non solo gestisce vari media/siti/radio all’estero, ma che distribuisce fondi e borse di ricerca a molteplici organizzazioni e noprofit internazionali in nome di una internet libera. Stiamo parlando dell’US Agency for Global Media (USAGM), la cui missione è “informare, coinvolgere, connettere persone nel mondo a sostegno della libertà e della democrazia”, che sovraintende a varie organizzazioni i cui board, con Pack, sono stati completamente ribaltati, e i cui vertici sono stati licenziati. Si tratta di Radio Free Asia; Radio Free Europe/Radio Liberty; Middle East Broadcasting Networks; Office of Cuba Broadcasting; e dell’Open Technology Fund. Dimissionari anche i vertici di Voice of America. Secondo CNN, la mossa di Pack mira a trasformare l’agenzia - che alcuni commentatori hanno definito come un’entità che negli anni sarebbe stata complessivamente bipartisan - “nel braccio politico dell’amministrazione”. Sarebbe anche la fine della dottrina del soft power americano, e in particolare della concezione di una diplomazia digitale incarnata sulla libertà di internet, per cui si scommetteva su una coincidenza tra quella libertà e gli interessi di politica estera americana (ne avevo scritto qua, ad esempio).

Ma perché tutto ciò va oltre le guerre politiche interne americane o al più oltre le strategie di politica estera di Washington? Perché in prima linea a essere smantellati sembrano essere i progetti dell’Open Technology Fund, di cui probabilmente avete beneficiato, come ha scritto qualcuno, anche se non lo conoscete. L’OTF ha infatti contribuito a progetti come Tor, il software per comunicare/navigare proteggendo la propria privacy, e l’app di messaggi cifrati Signal, considerata lo standard di sicurezza attuale da molti esperti di cyber. Tor (e la distro basata su Tor, Tails) sono forse i progetti più importanti/noti sostenuti dall’Open Technology Fund. Ma la lista delle tecnologie pro-privacy e anticontrollo/anticensura cui ha contribuito è lunga, ne ricordo alcune (qua la lista): Globaleaks, Internet Freedom Festival, Subgraph, Qubes, Wireguard. Manifestazioni, eventi, ma soprattutto tecnologie che hanno dato un aiuto sostanziale al fronte privacy, diritti digitali, libertà della Rete negli ultimi anni, anche in termini di ricerca.

Molte voci si sono levate a difesa dell’OTF e della sua indipendenza (oltre che delle sue modalità di lavoro). Tra questi lo scrittore e giornalista Cory Doctorow che ovviamente parte dal più importante paradosso di questa storia. Che tali tecnologie fossero cioè finanziate dal governo americano. Come possiamo fidarci? domandavano di tanto in tanto alcuni a Doctorow. Lui risponde che i progetti erano tutti a codice aperto, e potevano essere (ed erano) soggetti ad audit esterni. Ci fosse stata una backdoor o qualcosa di volutamente malevolo probabilmente qualcuno l’avrebbe trovata (o avrebbe potuto trovarla). Ora però il nuovo andazzo con Trump, dice Doctorow, sarà di finanziare oscuri progetti con codice proprietario. “Non ho idea se queste aziende che ne beneficeranno siano coperture della CIA”, ma se fossi un dissidente non mi fiderei, aggiunge. (Ricordo a questo proposito la notevole storia di come la CIA progressivamente si impossessò del controllo di un’azienda che produceva macchine cifranti - mio pezzo su Valigia Blu).

In difesa dell’OTF (per il quale c’è anche una petizione) arriva anche il Citizen Lab, noto centro canadese di ricerca su malware di Stato o che colpiscono attivisti e giornalisti, che con l’OTF ha collaborato. Per Ron Deibert, a capo di Citizen Lab, lo smantellamento di OTF è un affronto all’intera comunità dei diritti digitali.
“Ottenere la fiducia di gruppi a rischio e marginalizzati è difficile specie per entità finanziate dal governo americano perché motlte comunità (per buone ragioni) vedono con sospetto il governo Usa”, scrive il Citizen Lab. “Tuttavia pur essendo finanziato dagli Usa, l’OTF ha costruito fiducia e dato contributi vitali alle comunità attraverso un’etica open source, un approccio trasparente ai finanziamenti, un impegno a essere indipendenti, per quanto possibile, dalle amministrazioni americane”.
Tutta questa fiducia ora verrà dispersa, insieme ai progetti relativi.

Giustamente però c’è chi solleva proprio la questione del finanziamento. Anche se quelle tecnologie erano (sono) affidabili, non si può delegare la loro sopravvivenza alla decisione di un governo (o ai capricci di un capo di Stato). E, a tal proposito, sottolinea ad esempio il tecnologo e attivista Aral Balkan, l’Europa che intende fare? Oltre che parlare di diritti e GDPR quando inizierà a finanziare progetti seri di privacy, anticensura e antisorveglianza?
Dell’OTF, di Tor, dei suoi rapporti col governo americano, della dottrina del soft power, avevo scritto anche nel mio libro Guerre di Rete (qui la pagina specifica).

CONTACT TRACING
Immuni, prime notifiche
In Italia ci sarebbero stati i primi casi di notifica di esposizione a persone risultate positive al coronavirus sul telefono di utenti che avevano scaricato l’app Immuni. Un episodio è avvenuto in Puglia.
“L'Asl di Bari e il dipartimento regionale della Salute hanno avviato accertamenti sul primo caso di contagio segnalato in Puglia dall'App Immuni. Una donna di 63 anni, di Bari, aprendo l'applicazione ha ricevuto un messaggio che l'avvisava di essere stata in contatto con una persona risultata positiva al Covid19. La notifica è stata letta lunedì scorso, la signora ha contattato l'Asl ed è stata messa in isolamento precauzionale per 14 giorni. La donna è in buone condizioni di salute e non ha sintomi. Il dipartimento di Prevenzione ha effettuato oggi il tampone e si è in attesa di verifica”, riferiva ieri Ansa
Sembrerebbe di capire si tratti della stessa donna che sulla Gazzetta del Mezzogiorno veniva presentata come “prigioniera di Immuni” perché avendo ricevuto la notifica non aveva ancora ricevuto un tampone. Quindi il tampone alla fine le è stato fatto? In ogni caso una simile vicenda pone l’accento più che altro sulla capacità delle autorità sanitarie locali di attivarsi per tempo e di dare risposte, come sottolineato più volte in questa newsletter.

Anche nelle Marche (tra le prime regioni a partire) ci sarebbero stati due casi di notifica di esposizione. “In entrambi i casi il medico di famiglia e il dipartimento di prevenzione hanno eseguito la procedura di registrazione per via telematica e svolto le procedure di analisi epidemiologica. Le due persone saranno quindi sottoposte a tampone per verificare l'eventuale contagio”, scrive Il Resto del Carlino.

L’app e la privacy
Per quel che riguarda il dibattito sulla app segnalo questo approfondimento di Valigia Blu, che analizza il funzionamento della app, la sua privacy, sicurezza, i possibili attacchi, la loro concretezza e il senso delle scelte tecniche prese. E rassicura sul fronte privacy:“Immuni ha adottato il modello decentralizzato. L’app si basa sul framework (un insieme di funzionalità) per il contact tracing reso disponibile da Apple e Google per i sistemi operativi mobile iOS e Android. Questo framework impone l’utilizzo di un protocollo decentralizzato che, secondo la maggior parte degli esperti, offre ottime protezioni per la privacy. Il protocollo è in realtà vulnerabile ad alcuni attacchi (descritti più avanti), che sono tuttavia piuttosto complicati da attuare. Per questo, la maggior parte dei cittadini può usare Immuni senza doversi preoccupare troppo della sicurezza dei propri dati”

Ma Valigia Blu dice anche una cosa importante sul futuro. Ovvero, non lasciare la palla a Google/Apple.
“Immuni e il protocollo di Apple e Google sono quindi una soluzione accettabile per il breve termine, ma non possono essere considerati la soluzione definitiva per il contact tracing digitale nel futuro. Il dibattito in ambito accademico sta continuando ed è probabilmente destinato a durare a lungo. Nelle ultime settimane, alcuni ricercatori hanno propostosoluzioni molto più sofisticate e sicure, ma anche più complicate da valutare e implementare. Una volta raggiunto un sufficiente livello di consenso tra accademici ed esperti su quali siano le soluzioni più robuste, sarà opportuno adottare quelle”.

Il successo della Germania, il fallimento dell’UK, e la questione interoperabilità
E ora veniamo alla nostra panoramica sulle app di tracciamento nel mondo, il nostro appuntamento fisso, stile puntata di Game of Thrones, con coltellate alle spalle, tradimenti, e ribaltamenti.

GERMANIA
Una app da 20 milioni
La Germania ha lanciato la sua app di notifica di esposizione al coronavirus, Corona-Warn-App. E le autorità sembrano piuttosto sicure, perdonate il gioco di parole, che la app sia sicura al punto da dire che anche i ministri possono tranquillamente usarla. La Germania, come l’Italia, ha prima oscillato tra modello centralizzato e decentralizzato della app, poi ha adottato, sempre come il nostro Paese, il framework Google-Apple. Tuttavia il governo tedesco dice di aver speso ben 20 milioni di euro per svilupparla e di prevedere un costo mensile tra i 2,5 e 3,5 milioni per gestirla. A realizzarla le aziende Deutsche Telekom e SAP, in particolare Telekom fornisce infrastruttura di backend e SAP lo sviluppo.

L’ufficio federale per la sicurezza informatica (BSI) è responsabile della sicurezza dell’app, che è stata testata dal TÜV Information Technology (TÜVit). Coinvolti anche il Fraunhofer Heinrich Hertz Institute (HHI) e l’Helmholtz Center for Information Security (CISPA) – fonte Heise.
Secondo Sebastian Wolf (SAP), uno degli sviluppatori dell'app, il costo elevato sarebbe dovuto soprattutto all'integrazione nel sistema sanitario tedesco. Secondo un’altra testata, nello specifico, sarebbe dovuto alle operazioni di due call center.

L’app è disponibile in tedesco e inglese, ma seguiranno altre lingue. E si è guadagnata anche una sorta di mezzo complimento (non un vero “endorsement” però) da Linus Neuman, un portavoce del Chaos Computer Club, la più importante organizzazione hacker europea, non esattamente tenera coi governi, incluso il tedesco, specie in materia di privacy e cybersicurezza. Neuman ha lodato la decisione di pubblicare il codice su Github, oltre che la scelta di un modello decentralizzato, perché comunque ridurrebbe i rischi rispetto a una soluzione centralizzata. Tuttavia il gruppo di hacker non si sbilancia, sottolineando la necessità che ognuno prenda una decisione informata e anche personalizzata al riguardo.
Uno dei temi su cui ha insistito l’opposizione è che la app fosse volontaria, ok, ma anche che ci fosse una legge per garantire che privati o altri soggetti non tentino di obbligare clienti e/o dipendenti a usarla, attraverso incentivi o sanzioni. La risposta del governo tedesco è che volontaria significa volontaria.

Ma cosa succede se a qualcuno arriva una notifica? Secondo la testata Heise, “la notifica non significa che tu debba andare in quarantena. E non c’è obbligo di riportare l’avviso alle autorità sanitarie (...). Quindi non sei obbligato a stare a casa. E riferirla non ti dà in automatico il diritto a un test. Se in dubbio, il medico deciderà se il test sia necessario dopo una consultazione”.
In quanto al funzionamento tecnico, secondo gli sviluppatori i test più recenti mostrerebbero che l’app riesce a identificare correttamente l’80 per cento dei contatti avvenuti con altri apparecchi. Resterebbe un 20 per cento in cui non riconosce correttamente se un altro apparecchio è stato o no troppo vicino, scrive AP.
Nel giro di un giorno dal suo rilascio l’app tedesca è stata scaricata da 6,5 milioni di utenti, circa il 7,8 per cento della popolazione. L’app francese, StopCovid, lanciata a inizio mese, aveva raggiunto il 2 per cento. Immuni, l’app italiana, era al 3,5 per cento, ricorda Zdnet (si riferisce a quando era intorno ai 2,2 milioni di download, ma ora è cresciuta a 3,3 milioni, riporta Ansa).

FRANCIA
Prende i dati di tutti?
Prime magagne per la sofferta app di tracciamento francese, StopCovid, che è, ricordiamolo, centralizzata. Un ricercatore ha scoperto che raccoglie e manda al server centrale più dati del dovuto, o di quanto ci si aspettasse. Ovvero “manda tutti i contatti al server, anche quelli che passano dall’altro lato della strada. E questo contraddirebbe il decreto ufficiale (contatti di 15 minuti a un metro) e violerebbe il principio di minimizzazione di dati richiesto dal CNIL (l'Autorità francese per la protezione dei dati, ndr) e il GDPR”.
In pratica prende gli identificativi di tutte le persone che si sono incrociate via app. La giustificazione del governo è stata che servirebbe a individuare meglio i contatti a rischio. Ad ogni modo pare che il CNIL stia esaminando la faccenda. StopCovid sarebbe stata attivata da 1,4 milioni di persone, circa il 2 per cento della popolazione (Le Monde).

SPAGNA
Un test alle Canarie
Anche la Spagna sta per iniziare un test di una app per il tracciamento contatti. La sperimenterà alle Canarie a fine giugno, in particolare a La Gomera, 22mila abitanti, ma anche una discreta presenza di turisti. In base ai risultati le autorità valuteranno se estendere l’uso dell’app a livello nazionale. (Reuters) Il modello scelto è il framework Google/Apple, come Italia, Germania, Svizzera, Polonia, Irlanda, Danimarca e Lettonia.

UK
Niente più app!
Con un colpo di scena degno di una serie tv (ma se avete seguito questa newsletter non così inaspettato) la Gran Bretagna abbandona la sua app centralizzata per il tracciamento contatti, dopo un lavoro di tre mesi e milioni di sterline (4,8 milioni almeno per tre contratti con lo sviluppatore VMWare e la sua sussidiaria Pivotal Labs, riferisce il Guardian; 5 milioni per la software house Zuhlke Engineering; più altri contratti ad altre aziende, per un totale di oltre 11 milioni di sterline - Standard). Il risultato è che Londra potrebbe passare a un modello decentralizzato Apple/Google, ma solo se lo riterrà opportuno. Insomma potrebbe non esserci alcuna app d’Oltremanica. I test fatti all’isola di Wright dell’app centralizzata sono falliti soprattutto con gli iPhone, ma gli inglesi non sarebbero convinti nemmeno dei test sul modello Apple/Google. - BBC
Nel mentre ci sono defezioni tra i manager del progetto mentre arriva un ex dirigente Apple. (BBC)

INTEROPERABILITA’
L’Europa si accorda per rendere interoperabili le app decentralizzate
Ma ora che ripartono viaggi e turismo diventa più pressante la domanda sulla interoperabilità di queste app. Riusciranno a dialogare sistemi e Paesi diversi? Se usiamo la nostra app nazionale e stiamo a contatto con uno straniero che ha l’app del suo Paese riceveremo una notifica nel caso risulti poi positivo?
Pare di sì, anche se con alcuni caveat. I Paesi dell’Ue e la Commissione hanno infatti concordato su un framework (una architettura) tecnico per permettere alle app nazionali di funzionare anche oltre le frontiere.
Il sistema prevede un servizio sicuro (Federation Gateway Service), gestito dalla Commissione, che riceverà e passerà le informazioni rilevanti dalle app e dai server per minimizzare la quantità di dati scambiati. In pratica,”ogni (server di) backend nazionale carica le chiavi dei nuovi infetti (diagnosis Keys) ogni due ore e scarica le chiavi degli altri Paesi partecipanti nello schema”.

Il documento ribadisce come il sistema adottato funzionerà per ora solo per le app decentralizzate, anche se si cercherà di estendere l’interoperabilità anche a quelle centralizzate. Ma non si capisce bene come, e sembra più un modo per indorare la pillola. Infatti l’interoperabilità fra sistemi centralizzati e decentralizzati seppure possibile in principio introduce una serie di problemi e di rischi per la privacy per entrambi i sistemi che finora non sono stati risolti, se mai lo saranno.
Tutto ciò significa che i cittadini di quei Paesi europei (prima erano Francia, UK e Norvegia, ora è rimasta solo la Francia) con sistemi centralizzati potrebbero dover scaricare app di un altro Paese quando viaggiano, scrive TechCrunch.
Qui il documento eHealth Network Guidelines.
Qui il comunicato della Commissione.
Qui le raccomandazioni dell’European Data Protection Board.
La Commissione ha comunque sottolineato che le app di tracciamento devono essere solo un supplemento ai metodi di tracciamento manuali.

Intanto per gli italiani in questo momento cosa succede se vanno all’estero? Lo spiega Repubblica: “Il sito governativo dedicato a Immuni spiega tutti i limiti che oggi invece ci sono quando si viaggia: "su dispositivi iOS, le notifiche di esposizione vengono disattivate se sei all’estero" (su Android invece no, ndr); "l’app si può connettere al server (per esempio, per scaricare le chiavi degli utenti risultati positivi al virus) soltanto se sei all'interno dell'Unione Europea. Al momento, le connessioni al server provenienti da altri territori non sono supportate per motivi di sicurezza"; "nel caso tu dovessi risultare positivo al virus, dovrai trovarti in Italia per poter caricare le tue chiavi sul server (operazione che consente poi l’invio delle notifiche agli utenti entrati in contatto con il contagiato, ndr)". Infine, "attualmente, l’app rileva solo i contatti con altri utenti di Immuni. Non rileva contatti con gli utenti delle app per le notifiche di esposizione di altri Paesi”.
Ma come dicevamo sopra questo ultimo punto dovrebbe presto cambiare.

La vittoria del modello decentralizzato
Considerate queste ultime notizie, e lo sviluppo delle vicende sulle app di tracciamento (o di notifica di esposizione) nelle ultime settimane, sembra proprio che la scelta del modello decentralizzato sia stata la migliore non solo in termini di privacy ma anche come risultato politico (almeno facendo un bilancio ora).
In questo momento chi in Europa (o nelle vicinanze) aveva scelto un modello centralizzato si trova in difficoltà, o perché criticato per mancanza di sicurezza/privacy (è il caso della app norvegese che è stata sospesa), o perché non è riuscito a far funzionare il suo modello (UK, che quindi ha abbandonato l’app) o perché è rimasto in minoranza con problemi di interoperabilità e bassa adozione (Francia).

AMNESTY
Il report sulle app
Il Security Lab di Amnesty International ha analizzato in un report molte app di contact tracing. I risultati, per alcune, sono davvero poco confortanti. In pratica per molte app sono comuni problemi di sicurezza e privacy, ma le peggiori sono state quelle del Kuwait, del Bahrein e, sorpresa ma non troppo (vedi sopra), della Norvegia. Tutte e tre queste app attuavano un tracciamento live della posizione degli utenti caricando frequentemente le loro coordinate GPS a un server centrale.
Molte app condividono poi i dati con terze parti commerciali, come l’app del Kuwait che mandava ad altri i dati GPS. Del Qatar e di una grava falla di sicurezza avevo scritto in newsletter, sempre in relazione a un report di Amnesty; per altro anche l’app qatarina poteva attivare il monitoraggio della localizzazione degli utenti.

AUSTRALIA
App? quale app?
L’Australia continua a non avere dati significativi sulla sua app di tracciamento contatti (centralizzata). Problemi tecnici specie con gli iPhone. Come se non ci fosse.
“Le autorità sanitarie hanno scaricato i dati dall’app solo una trentina di volte, e in nessun caso l’app ha trovato qualcuno non ancora individuato attraverso il tracciamento contatti manuale” (Guardian)

RUSSIA
Il fallimento dell’app per controllare se stai a casa
A proposito dei pericoli di usare strumenti tecnologici per controllare se le persone ottemperano a degli obblighi, dalla Russia arriva una storia che dovrebbe servire da monito (sempre che ce ne sia bisogno).
Molti moscoviti che avevano sintomi tali da sospettare una infezione da coronavirus, oltre che stare a casa in autoisolamento, hanno dovuto scaricare una app. Salvo poi scoprire in alcuni casi che secondo questa app loro avevano violato i termini della quarantena. E dunque che erano stati multati, anche se non l’avevano davvero violata. Questo perché, in alcuni casi, l’app li geolocalizzava erroneamente fuori dall’abitazione. Oppure richiedeva che mandassero dei selfie (come l’app polacca) a orari improbabili (nel cuore della notte). O ancora persone registrate come malate non sono riuscite a ottenere i pass digitali (in pratica l’autorizzazione a lasciare la casa) una volta guarite. Inoltre l’app richiede un’ampia gamma di permessi dagli utenti e conserva i loro dati sui server per almeno un anno.
Insomma, un pasticciaccio (FT).

VIDEOSORVEGLIANZA ITALIA
Dopo Como, è il turno di Udine
Nella scorsa newsletter si parlava di videocamere con il riconoscimento facciale, incluso il caso di Como. Ora arriva Udine. Il Comune ha infatti deciso l’installazione di 67 nuove telecamere, costo: 673mila euro. Queste saranno dotate di “strumenti di video–analisi, come il riconoscimento di mezzi e individui (e un domani il riconoscimento facciale) sulla base di filtri come l’età, il sesso, gli abiti, l’orario”. “Infine potrà essere installato lo strumento del riconoscimento facciale” (Udine Today).
Sulla decisione verrà presentata una interrogazione, ha twittato Debora Serracchiani.

FILTRI SUI CONTENUTI PER ADULTI
“Scusi mi abilita il porno?”
In Italia questo genere di conversazioni potrebbero diventare realtà. Infatti, scrive Repubblica, “il porno su internet in Italia sarà bloccato in automatico, a tutela dei minori, e solo il consumatore titolare del contratto - maggiorenne - potrà disattivare questo filtro, con richiesta esplicita al proprio operatore telefonico. Sarà così se viene approvato l'attuale testo di conversione della legge sulla Giustizia (sulle intercettazioni), dove un emendamento della Lega è riuscito a inserire l'articolo 7 bis, Sistemi di protezione dei minori dai rischi del cyberspazio”.
“Una sorta di parental control - scrive Wired - che, però, potrà essere disattivato solo se il titolare del contratto telefonico lo comunica esplicitamente al proprio gestore”
La proposta è del senatore leghista Simone Pillon.

CYBERATTACCHI
Australia attaccata da hacker di Stato
Il governo australiano ha denunciato una campagna di cyberattacchi contro molte organizzazioni private e pubbliche che sarebbe condotta da un sofisticato attore statale. Diciamo che per gli australiani ci sono tre indiziati non dichiarati: Corea del Nord, Russia ma soprattutto Cina - Guardian
Gli attaccanti hanno usato codici e tool open source, e cercato di accedere a sistemi esposti su internet attraverso vulnerabilità non chiuse (patched), oltre che con l’invio ad hoc di mail malevole (spear phishing). Insomma, onestamente tutta questa sofisticazione non la vedo, a meno che non si riferissero alla scala, all’insistenza e al coordinamento degli attacchi.
L’avviso del centro di cybersicurezza australiano.

CIA LEAK
Più bravi ad attaccare che a difendersi
Ricordate Vault 7? Il leak di strumenti di attacco e di hacking della CIA pubblicato da Wikileaks nel 2017? Bene, pare che quel leak fosse parte di una ampia tranche di documenti confidenziali sottratti probabilmente da un dipendente, che sfruttò le scarse misure di sicurezza informatica dell’agenzia, riferisce un report interno. Secondo il quale la CIA si sarebbe accorta della violazione di sicurezza solo dal leak di Wikileaks (CBS).

SPYWARE
Un gruppo di attivisti indiani per i diritti umani è stato preso di mira con una serie di spyware, denuncia ancora una volta Amnesty.

CYBERSECURITY
Attenzione alle estensioni del browser, c’è un nuovo caso di estensioni malevole che rubavano dati (Ars Technica)

DISCRIMINAZIONE ALGORITIMICA
Secondo uno studio di alcuni ricercatori americani ci sarebbe una discriminazione algoritmica nelle tariffe dinamiche di Uber, Lyft e altri servizi - Venturebeat

APPROFONDIMENTI

PODCAST
Gli strumenti di sorveglianza usati dalla polizia per controllare i manifestanti, dagli Usa a Hong Kong
Privacy International

SALUTI E CONTATTI
Se qualcuno vuole contattarmi in modo anonimo (o, quanto meno, con una maggiore probabilità di privacy e senza dover passare per una casella email o un account legato a un telefono) può farlo andando su https://contact.carolafrediani.org/#/ (se da dentro la newsletter non si apre link basta riscriverlo nel browser).

È una piattaforma open source creata da Globaleaks (che ringrazio! in particolare un grande grazie a Giovanni Pellerano) che permette a giornalisti, media e organizzazioni (qua ce ne sono alcune) di ricevere segnalazioni e a chi segnala di proteggere la propria privacy (qui un articolo in inglese su chi sono, che fanno).

Oppure potete scrivermi una mail con PGP. O contattarmi solo su Signal +14783944294. O scrivermi su Wire a @carolaf. O, se non avete particolari esigenze di privacy, molto semplicemente, rispondere a questa newsletter.

Ti è piaciuta la newsletter? Inoltrala a chi potrebbe essere interessato!
E’ gratuita, indipendente, senza sponsor, mandanti o agende altrui, e si diffonde col passaparola dei suoi stessi utenti.
Come viene fatta questa newsletter (e come leggerla)
Per iscriversi: https://guerredirete.substack.com/
Buona domenica!

Guerre di Rete - una newsletter di notizie cyber
a cura di Carola Frediani
N.74 - 14 giugno 2020

Oggi parliamo di:
- riconoscimento facciale
- app Immuni
- attacchi a giornalisti/attivisti
- ransomware

RICONOSCIMENTO FACCIALE
Una delle conseguenze dell’uccisione di George Floyd a Minneapolis è stata anche di costringere all’angolo le tecnologie di riconoscimento facciale. Il movimento di protesta globale successivo alla sua morte ha infatti messo alcune aziende tech di fronte alle proprie contraddizioni, nel momento in cui esprimevano solidarietà col movimento ma nel contempo vendevano servizi e prodotti utilizzati dalle forze dell’ordine per sorvegliare e reprimere quegli stessi manifestanti.

L’onda d’urto di tale protesta antirazzista è stata tale da mandare in cortocircuito il già contestato riconoscimento facciale, riuscendo dove altri avevano fallito, in una dinamica decisamente interessante (e che meriterebbe di essere approfondita) in cui sono i movimenti sociali, addirittura di piazza, a incidere sullo sviluppo e l’adozione di tecnologie (e non è la tecnologia che abilita il movimento sociale, uno schema interpretativo forse più battuto fino ad oggi e che a volte ha peccato di soluzionismo tecnologico, in versione radicale-progessista).

Le aziende che hanno fatto marcia indietro
Ha iniziato Ibm. Che una settimana fa, in una lettera al Congresso Usa, ha comunicato di uscire dal business del generico riconoscimento facciale, e di opporsi all’utilizzo di tale tecnologia per sorveglianza di massa e profilazione razziale. Secondo Ibm la decisione era in cantiere da mesi, anche se questa sarebbe la prima uscita pubblica. La lettera chiedeva anche nuove leggi sull’uso responsabile di questa tecnologia e contro gli abusi della polizia (Axios).

Poi è stato il turno di Amazon, anche se la sua reazione è più ridotta (e per questo criticata da alcuni commentatori). Ha infatti detto di aver istituito una moratoria di un anno sull’uso da parte della polizia di Rekognition, il suo software di riconoscimento facciale basato sul cloud. Permette ai clienti di abbinare foto simili e comparare facce. I dipartimenti di polizia possono caricare sui server Amazon le foto di precedenti archivi e poi cercare di identificare qualcuno ripreso per strada (ad esempio da una videocamera di sorveglianza). Il software fornisce un punteggio di somiglianza che indica quanto sia probabile l’abbinamento. Lanciato nel 2016, non è chiaro quanti dipartimenti di polizia, negli Usa o altrove, ne facciano uso. La moratoria servirebbe a dare il tempo al Congresso per regolamentare un uso più “etico” del riconoscimento facciale anche da parte delle autorità (Ars Technica).

E poi è stata la volta di Microsoft. Il suo presidente Brad Smith ha comunicato la decisione di non vendere tecnologie di riconoscimento facciale ai dipartimenti di polizia americana finché non ci sarà una legge che le regolamenti e che tenga conto dei diritti umani (TechCrunch).

La richiesta di messa al bando
Certo, per molte di queste aziende si tratta di attendere un quadro regolatorio e sociale più favorevole e tranquillo per riprendere il business. E non mancano le critiche per il fatto che siano menzionati solo gli Stati Uniti (fra gli altri Garry Kasparov che si chiede se queste policy si applicheranno a Russia, Cina e Turchia, ad esempio). Ma soprattutto, per molti attivisti, l’obiettivo è arrivare alla messa al bando. Lo chiede fra gli altri Amnesty International: un divieto sull’uso, sviluppo, produzione, vendita, esportazione di tecnologie di riconoscimento facciale con lo scopo di sorveglianza di massa e per altre agenzie statali (Amnesty). Ma l’organizzazione per i diritti umani sottolinea anche un aspetto importante che vorrei evidenziare: anche se queste tecnologie sono spesso accusate di essere non accurate, parziali, discriminatorie, e anche se il loro utilizzo rischia di aggravare attuali discriminazioni (ad esempio proprio quelle razziali, ricordo questo studio ad esempio), non significa che una loro eventuale maggiore accuratezza risolva la questione. Perché l’impatto di queste tecnologie è sul diritto alla manifestazione pacifica (compreso anche il relativo anonimato di partecipare a una manifestazione pubblica in cui normalmente a tutti i partecipanti non viene chiesta la carta d’identità) e il diritto alla privacy. Queste tecnologie “permettono il monitoraggio, raccolta, conservazione, analisi e utilizzo di altri dati personali sensibili (dati biometrici) di massa senza un ragionevole e individualizzato sospetto di reato”, e questo altro non è che “sorveglianza di massa indiscriminata”, dice Amnesty.
“Sì, deve essere messa al bando”, lo dice anche una ricercatrice del comitato su AI ed etica di Google (NYT)

Intanto però il vuoto lasciato dai colossi tech che stanno facendo un passo indietro viene riempito da altre aziende. ClearView AI, NEC e altre hanno detto che continueranno a rifornire il mercato delle forze dell’ordine (WSJ, paywall).

Il settore privato del “trova altre facce come questa”
Nel mentre galoppa il settore privato, e si moltiplicano le offerte commerciali. OneZero descrive ad esempio PimEyes, un sito e uno strumento di riconoscimento facciale polacco, che ha una versione gratuita e una premium. Il sito permette di caricare la foto di qualcuno e trovare online immagini di quella persona da molteplici siti. Una versione ridotta, e per i consumatori, del più noto servizio dell’americana ClearView AI (che vende i propri servizi a polizie e altre autorità e di cui ho scritto ampiamente, ad esempio qua). PimEyes presenta la propria offerta addirittura come uno strumento di privacy (“guarda dove stanno le tue immagini”) ma in realtà chiunque può fare ricerche su chiunque (e non solo su di sé). Ho provato a fare da cavia caricando alcune mie foto sul tool per vedere che usciva. Il sito ha tirato fuori e mostrato (almeno in versione free) un po’ di mie foto sparse per la Rete, non tutte però, solo quelle che (a occhio) erano più simili al modello (cioè alla specifica foto, inquadratura ecc) che avevo caricato. Tuttavia ha estratto anche alcune foto (in genere foto di eventi in cui magari la mia presenza è ai margini o sullo sfondo) di cui non avevo cognizione. Ricordo che l’uso di simili tecnologie è molto problematico, se non altro perché è un assist a possibili forme di stalking. Nel 2016 una società russa aveva lanciato il servizio FindFace, descritto inizialmente come un modo per trovare donne di proprio gradimento.

Se la videocamera è nascosta
Invece negli Stati Uniti gli spettatori di una gara annuale di college football sono stati sottoposti a loro insaputa a un sistema di riconoscimento facciale, abilmente camuffato da tabelloni pubblicitari. Quattro videocamere nascoste sotto queste insegne digitali catturavano vari dati dei partecipanti, incluso quanto tempo guardavano le pubblicità, il loro genere, età, e una analisi del viso/corpo per identificare se avessero armi o risultassero in una lista di sospetti. L’azienda che fornisce il servizio, VSBLTY, sostiene che le insegne digitali con la pubblicità siano un modo per far guardare i passanti direttamente in camera, rendendo più accurata la loro potenziale identificazione (Onezero).

L’appetito francese per il riconoscimento facciale
Su questa newsletter avevo raccontato progetti e fughe in avanti sul riconoscimento facciale in Francia, con tentativi di introdurlo in alcune scuole in via sperimentale e in alcune manifestazioni pubbliche. All’epoca tra i protagonisti, oltre all’americana Cisco, c’era la società monegasca Confidentia, diretta da Jean-Philippe Claret, fondatore della associazione World of Blockchain Monaco, con uffici a Parigi, Madrid e Tel Aviv.
Oggi si torna a parlare di questo settore in Francia con Alexandre Benalla, “l'ex bodyguard di Emmanuel Macron (...) diventato la spalla dell'ex deputato macroniano Joachim Son-Forget”, lo definiva Il Foglio, caduto in disgrazia dopo che un video lo ritraeva, vestito da poliziotto, mentre picchiava un manifestante. Benalla, nel mezzo della pandemia, ha messo un piede nel mercato del riconoscimento facciale, “un settore in rapida espansione in Francia, soprattutto per le sue applicazioni di sicurezza”, scrive Mediapart. Qualche tempo fa Benalla ha fondato Comya, società di consulenza e (cyber)sicurezza proiettata in Africa, ma nei giorni scorsi Mediapart ha scritto di possibili trattative tra Benalla, un’altra società di cybersicurezza CS Group (guidata da un noto imprenditore francese a cavallo fra business e politica, Yazid Sabeg) e la startup XXII, specializzata in computer vision, AI, e soluzioni di analisi video in tempo reale per la sicurezza, il commercio e l’industria. (vedi anche La Lettrea, Le Nouvele Economiste).

Le videocamere di Como
Il Comune di Como ha già fatto due appalti per dotarsi di sistemi di videosorveglianza con riconoscimento facciale. Ma su che basi? Insomma, cosa sappiamo delle videocamere usate dalla città lombarda? Hanno utilizzato un sistema di riconoscimento facciale, come e fino a quando? Wired va in profondità sulla vicenda.
“In sostanza, in questo momento, il Comune di Como non potrebbe utilizzare il riconoscimento facciale perché non rispetta la legge. Secondo il provvedimento del Garante, le immagini dei volti di chiunque passi in quel parco non possono essere utilizzate. Da quanto appreso da Wired, però, solo ai primi di aprile il Comune di Como avrebbe scritto al Garante comunicando la disabilitazione della funzione sperimentale di riconoscimento facciale utilizzata nel parco Tokamachi. Se le videocamere attivate in via Leoni e via Anzani non sono attive, quelle installate di fronte alla stazione avrebbero svolto attività di riconoscimento facciale per mesi”.
Ne è nata una interrogazione parlamentare (Wired).
Riconoscimento facciale, il Comune fa chiarezza - Como, l’obiettivo era metterlo a disposizione delle forze dell’ordine ma il trattamento dei dati biometrici è vietato: stop del Garante della privacy (Il Giorno)

App oscurafacce
Dopo tutta questa lettura non poteva mancare Anonymous Camera, l’app che usa l’AI per anonimizzare velocemente foto e video, di fatto pixelando, sfocando i visi, ma anche togliendo metadati ecc (The Verge). Ricordo che nella scorsa newsletter avevo parlato della nuova funzione di Signal.

IMMUNI/CONTACT TRACING
La Liguria parte in quarta. Come ha fatto?
In Liguria, che da una sola settimana fa parte delle 4 Regioni pilota per il test iniziale della app di tracciamento contatti (o di notifica di esposizione al Coronavirus) Immuni, c'è già stato "lo sblocco dei primi tre codici dell'app Immuni su tre soggetti trovati positivi". A dirlo il governatore ligure Giovanni Toti. "E' accaduto nell'Asl 3 genovese nel corso della settimana. (...) Tre soggetti risultati positivi al tampone sono stati forniti del codice numerico per dare l'alert nell'app Immuni” (Rainews).

Interessante il tempismo, considerato il momento di calo nell’infezione, il fatto che la app ha iniziato a essere scaricata solo da una settimana e che ottenere un tampone (incluso il responso) non è così immediato. Le persone che hanno già sbloccato i codici perché risultate positive, e che evidentemente in questa settimana hanno anche scaricato la app, erano già a rischio?
Ad ogni modo da lunedì 15 giugno anche il resto d’Italia dovrebbe essere operativa rispetto all’app e quindi vedremo cosa succede. "I 2 milioni e 200mila italiani che l'hanno già scaricata - ha detto il commissario Arcuri della app - lo hanno fatto spontaneamente. Da lunedì ci sarà una massiccia campagna di comunicazione”.
“Chi riceve la notifica deve sapere che entro un tot di ore farà il test, saprà il risultato e che nei giorni successivi ripeterà il test. L’app deve essere inserita all’interno di meccanismi esistenti, altrimenti non solo non è utile, ma può diventare controproducente”. “Se dici a chi è potenzialmente a rischio di chiudersi in casa senza specificare cosa succederà lo mandi fuori di testa”. Così Diego Piacentini, ex vice presidente di Apple e Amazon ed ex commissario straordinario per l’attuazione dell’agenda digitale in Italia dal 2016 al 2018, intervistato su Corriere, dove si parla anche del suo coinvolgimento su Immuni.

App Immuni, quali dati usa e come tutela la privacy - Corriere

Per i più tecnici: Considerazioni su privacy e security delle app di proximity tracing, dal gruppo di lavoro sul contact tracing del Laboratorio nazionale di cybersecurity del Cini (Wired)

Nel resto d’Europa
Intanto in Svizzera due organi federali per la sicurezza informatica promuovono la sicurezza della app SwissCovid (TicinoNews), che è stata pure approvata dal parlamento. Come quella italiana, è volontaria e basata sul framework Google-Apple (The Local). Anche se il garante privacy del canton vallese mette in guardia da alcune incertezze in termini di privacy e sicurezza.

La Polonia ha abbandonato modello centralizzato ed è passata a uno decentralizzato (Google/Apple). Esattamente come Svizzera, Germania, Italia, Irlanda e Lettonia. Invece la Gran Bretagna sembra sempre più pentita di aver cercato un modello centralizzato, ma incerta comunque rispetto al framework Google/Apple. Insomma, non si capisce, e intanto la data di lancio del primo giugno per l’app inglese è ormai passata (BBC).

Una, cento, mille app
Ho scritto più volte del rischio frammentazione/vietnamizzazione delle app di tracciamento/controllo/prenotazione/monitoraggio/distanziamento. Al di là di Immuni, Regioni e altre organizzazioni si sono lanciate in proprie iniziative, alcune di queste chiedono una grande quantità di dati - codice fiscale, documento, indirizzo - e permettono anche di geolocalizzare. C’è qualcuno che sta controllando queste applicazioni in termini di privacy/sicurezza?
- Sardegna Sicura, l’app per i turisti (SkyTg24)

VIDEO – COVID-19 e app di contact tracing
L’incontro online organizzato da Amesty Italia con Claudio Guarnieri e la sottoscritta.

ATTACCHI E SPYWARE IN AFFITTO
Svelata campagna di hacking e spionaggio su commissione
Qualche settimana fa su Valigia Blu avevo scritto questo lungo reportage su come giornalisti e attivisti subiscono attacchi informatici, e del fatto che sono un target proprio per quello che scrivono, dicono e fanno. (Vedi: Phishing, furti d’identità, censura: contro giornalisti e attivisti attacchi online sempre più sofisticati).

Ora è uscito questo nuovo rapporto di Citizen Lab, noto laboratorio dell’Università di Toronto che dà la caccia a malware governativi usati per spiare giornalisti/attivisti o comunque impiegati per colpire individui specifici. Ne emerge una storia notevole. In pratica i ricercatori, a partire dalla segnalazione di un giornalista che aveva ricevuto una mail di phishing, hanno scovato una campagna molto più vasta, anzi un insieme di campagne, che hanno preso di mira giornalisti e attivisti negli Stati Uniti e altrove: dagli ambientalisti che organizzavano attività contro multinazionali petrolifere a quelli che difendevano la neutralità della Rete, fino a reporter finanziari. E hanno chiamato Dark Basin il gruppo di attaccanti.
A essere collegata a queste azioni, secondo i ricercatori, sarebbe un’azienda indiana, BellTroX InfoTech Services, che nega il proprio coinvolgimento. Ad ogni modo tutti questi attacchi informatici per i ricercatori sono da attribuire a un servizio di “hack-for-hire”, di hacking su commissione. Dei possibili committenti il Citizen Lab non dice nulla, si sbilancia solo sulle vittime di questi attacchi. Tra le organizzazioni che hanno consentito di essere nominate, come vittime, nel report ci sono il Rockefeller Family Fund, il Climate Investigations Center, Greenpeace, the Center for International Environmental Law, Oil Change International, Public Citizen, il Conservation Law Foundation, l’Union of Concerned Scientists e 350.org.

Ma le vittime sono molte di più. Includono migliaia di individui e centinaia di istituzioni in sei continenti, tra cui gruppi di advocacy, giornalisti, funzionari, politici, hedge funds, industrie. Tutto nasce nel 2017 quando un giornalista gira un tentativo di phishing a Citizen Lab. I ricercatori partono da un link accorciato con un servizio di URL shortener poco noto, inviato nell’email esca, e vedono che è parte di una rete più ampia di URL accorciate e personalizzate dallo stesso gruppo, mandate a vari target. I ricercatori hanno trovato il modo di ricostruire e identificare 28mila ulteriori URL, molte delle quali contenevano gli indirizzi email delle vittime (questo tipo di ricostruzione è simile a quella usata nell’indagine sugli attacchi informatici contro i Democratici negli Usa nel 2016). A quel punto i ricercatori hanno iniziato a contattare i target, facendosi dare le email di phishing che avevano ricevuto, aggiungendo tasselli all’investigazione.

Citizen Lab dice di aver tracciato collegamenti fra la campagna e persone che lavorano a BellTroX. Anche perché queste, tra le altre cose, avrebbero usato documenti personali, incluso un CV, come contenuto di prova per testare i servizi per abbreviare l’URL. O avrebbero pubblicato sui social media dei post con screenshot di link dell’infrastruttura usata da Dark Basin. Insomma, una opsec (operational security, la capacità, nel caso specifico, di prendere le misure necessarie per non lasciare tracce e nascondere la propria identità) che lascerebbe molto a desiderare (ma, se avete visto la mia presentazione a No Hat, non c’è da stupirsi - VIDEO in inglese “Devil is in the details”). Per altro l’azienda e i suoi dipendenti si presentano come Ethical Hacker, cioè come un’attività pienamente legittima e legale.

Citizen Lab rileva anche che il direttore della società indiana, Sumit Gupta, sarebbe già stato incriminato in California nel 2015 per “un ruolo in un simile schema di hack-for-hire”. Come mostra quella incriminazione, i servizi di hacking in affitto passano attraverso una serie di intermediari che si muovono nel giro di società di PR, investigatori privati e simili, e che distanziano committente reale ed esecutore.

“La crescita dell’industria hack-for-hire può essere alimentata dalla crescente normalizzazione di altre forme di attività cyber offensive, dalla sorveglianza digitale all’hacking back, che siano indirizzate a individui, governi o settore privato”, sostengono i ricercatori. “Inoltre la crescita di società private di intelligence, e l’ubiquità della tecnologia, possono determinare una crescente domanda di questo tipo di servizi (...)” e contribuire a rendere tali servizi cyber più disponibili e accettabili. Tutto ciò, concludono, è un pericolo per la società civile.

DISINFORMAZIONE
La Commissione europea ha accusato Russia e Cina di gestire operazioni di influenza mirate e campagne di disinformazione nell’Ue, tra i suoi vicini e a livello globale.(Guardian).
Intanto, Google, Facebook e Twitter producono report regolari sulla disinformazione sul coronavirus nell’Ue (The Verge).

SOCIAL MEDIA WAR
Trasparenza e propaganda in Tunisia, il ruolo di Facebook
Facebook ha cancellato decine di account di attivisti e giornalisti tunisini. Apparentemente per errore, anche se le spiegazioni sono poche. Nel mentre emerge un’operazione di disinformazione e propaganda politica condotta da una società tunisina sui social media per influenzare le elezioni presidenziali. Gli attivisti di Access Now chiedono al social maggior trasparenza - Access Now

CYBERCRIME
Enel e Honda subiscono attacco ransomware
Un attacco ransomware ha colpito le reti di Enel e Honda. Enel ha riferito a Repubblica che "nella serata di domenica 7 giugno si è verificato un disservizio sulla propria rete informatica interna, originato a seguito dell'identificazione, da parte del sistema antivirus, di un ransomware". "A scopo precauzionale, l'azienda ha temporaneamente isolato la propria rete aziendale. "Enel informa che non si è verificato alcun tipo di criticità ai sistemi di telecontrollo degli impianti di distribuzione e delle centrali elettriche, e che i dati dei clienti non sono stati esposti a terzi. Potrebbero essersi verificati disservizi, per un periodo di tempo limitato, alle attività di customer care, causati dal blocco temporaneo della rete informatica interna".
Più gravi le conseguenze dell’attacco a Honda. “La multinazionale giapponese ha riconosciuto con una nota internazionale che il ransomware ha bloccato computer in uffici negli Stati Uniti e in Europa e che è stata costretta a sospendere la produzione di auto in alcune località”. (Repubblica)
Ai dipendenti di Honda è stato chiesto di non accedere ai computer per almeno un giorno, mentre si è fermata la produzione negli impianti americani. Anche le fabbriche in Giappone sono state colpite, così come alcune altre in Turchia, India, e Brasile. L’azienda non ha conoscenza di leak o furti di dati sui clienti conseguenti all’attacco. Honda era stata anche vittima di Wannacry, il ransomware che nel 2017 aveva spazzato molti Paesi, mandando in tilt aziende e organizzazioni sanitarie (come ho raccontato per altro in #Cybercrime). Allora era stata bloccata la produzione di un migliaio di veicoli, riferisce il FT.
Secondo un ricercatore sentito da Bleeping Computer il ransowmare in questione potrebbe essere SNAKE (EKANS), che sarebbe in grado di rubare dati prima di far partire la cifratura (Bleeping Computer).

LETTURE

L’Europa sta diventano un attore più geopolitico anche nel reame cyber
Friends of Europe

La cyberwar vuole più donne in prima linea
Wired

AUDIO – Twitter, Trump, fake news e istigazione alla violenza. Ne ho parlato due settimane fa su Radio3Scienza

SALUTI E CONTATTI
Se qualcuno vuole contattarmi in modo anonimo (o, quanto meno, con una maggiore probabilità di privacy e senza dover passare per una casella email o un account legato a un telefono) può farlo andando su https://contact.carolafrediani.org/#/ (se da dentro la newsletter non si apre link basta riscriverlo nel browser).

È una piattaforma open source creata da Globaleaks (che ringrazio! in particolare un grande grazie a Giovanni Pellerano) che permette a giornalisti, media e organizzazioni (qua ce ne sono alcune) di ricevere segnalazioni e a chi segnala di proteggere la propria privacy (qui un articolo in inglese su chi sono, che fanno).

Oppure potete scrivermi una mail con PGP. O contattarmi solo su Signal +14783944294. O scrivermi su Wire a @carolaf. O, se non avete particolari esigenze di privacy, molto semplicemente, rispondere a questa newsletter.

Ti è piaciuta la newsletter? Inoltrala a chi potrebbe essere interessato!
E’ gratuita, indipendente, senza sponsor, mandanti o agende altrui, e si diffonde col passaparola dei suoi stessi utenti.
Come viene fatta questa newsletter (e come leggerla)
Per iscriversi: https://guerredirete.substack.com/
Buona domenica!