[Guerre di Rete - newsletter] Trump, Apple e le criptoguerre

Riconoscimento facciale; dati di app di dating; phishing e leaks; privacy

Guerre di Rete - una newsletter di notizie cyber
a cura di Carola Frediani
N.56 - 19 gennaio 2020

Oggi si parla di:
- Trump, Apple e criptoguerre
- iPhone come chiave di sicurezza
- riconoscimento facciale
- dati delle app di dating e più personali
- privacy
- e altro

CRYPTOWAR RELOADED
Trump contro Apple: l’iPhone del pilota che ha ucciso tre persone va sbloccato. Qual è la posta in gioco
Un nuovo braccio di ferro tra governo Usa e Apple per accedere a un telefonino ci riporta indietro allo scontro sulla crittografia. Ma le condizioni esterne sono mutate e l’esito non è scontato

(Questo articolo è stato pubblicato prima su Valigia Blu, dove potete leggerlo più comodamente. Valigia Blu sta facendo anche un crowdfunding, sono gli ultimi giorni!)

Il governo americano si sta preparando per un'altra battaglia mediatico-legale contro Apple. La posta in gioco, ancora una volta, la cifratura. Il pretesto, in questo caso, è la necessità di entrare in due iPhone di Mohammed Saeed Alshamrani, il pilota saudita che il 6 dicembre ha ucciso tre allievi dell’accademia militare a Pensacola, in Florida, ed è stato poi ucciso dalla polizia. L'esito dello scontro fra Fbi e Apple è sempre lo stesso: determinare fino a che punto, e con quale facilità, il governo può aggirare la protezione della crittografia fornita da varie società, quella di Cupertino in prima fila. E mantenere la pressione sulle aziende tecnologiche che negli ultimi anni hanno introdotto cifratura forte di default sui dispositivi hardware ed end-to-end sulle app di messaggistica (cifratura end-to-end, ovvero da dispositivo a dispositivo, vuol dire che solo mittente e destinatario hanno le chiavi per cifrare e decifrare i messaggi, non la piattaforma intermediaria che fornisce il servizio), tagliando le gambe ai programmi di sorveglianza di massa e di raccolta indiscriminata di comunicazioni.

Cosa è successo di recente

Qualche giorno fa il ministro della Giustizia Usa William Barr ha aperto le ostilità sostenendo che Apple non starebbe dando un "aiuto sostanziale" all'indagine dell'Fbi sul caso di Pensacola. E poco dopo è arrivato un tweet di fuoco del presidente Trump che addirittura tirava in ballo le relazioni commerciali con altri Stati (CNBC): "Aiutiamo Apple tutto il tempo sul COMMERCIO e molte altre questioni, e tuttavia loro si rifiutano di sbloccare telefoni usati da assassini, spacciatori e altri criminali violenti" (si riferisce al fatto che Tim Cook, ad di Apple, è riuscito a evitare che la guerra tariffaria colpisse gli iPhone, che sono assemblati in Cina, anche coltivando buone relazioni con l'attuale amministrazione - CNBC)

Apple in realtà aveva già replicato a Barr respingendo l'idea che non stessero aiutando il governo (per inciso, dal 2013 Apple avrebbe risposto a 127.000 richieste di informazioni delle forze dell'ordine Usa, scrive il WSJ). Anzi, ha specificato di aver risposto alle loro molte richieste nel giro di ore e di aver fornito gigabytes di informazioni sul caso agli investigatori. "In ogni richiesta, abbiamo risposto con tutte le informazioni che avevamo".

Ed è proprio questo il punto. Il governo vuole anche le informazioni che Apple ora non ha, se non a costo di riscrivere un software in grado di aggirare i meccanismi di protezione dell'iPhone (in sostanza, il fatto che dopo un certo numero di tentativi falliti di inserire il codice di sblocco i suoi contenuti vengano cancellati).

Che informazioni ha dato finora Apple?

Apple dice di aver collaborato da subito, dal 6 dicembre, e di aver saputo che anche un secondo iPhone fosse associato all'indagine solo il 6 gennaio, e di aver ricevuto appena due giorni dopo l'ordine di produrre delle prove (un “subpoena”).

Dice anche di aver dato le informazioni conservate sui suoi server cloud, quindi dati dell'account del proprietario del telefono e dati delle sue transazioni su più account. In pratica avrebbe fornito copie del backup iCloud dei telefoni, scrive 9to5mac.com, che contengono quasi tutto quello che è conservato sui dispositivi. (Tra l’altro, uno o entrambi i telefoni sarebbero stati danneggiati nello scontro a fuoco, ma non sembra essere questo il problema, o almeno non è stato chiarito quanto possa influire).

Dunque cosa mancherebbe?

Sempre secondo 9to5mac e altri, gli investigatori vorrebbero accedere ai contenuti di alcune app di messaggistica cifrata, come Whatsapp o Signal, che non sarebbero su iCloud. E per vederli devono sbloccare il telefono. Per riuscire a farlo, sostiene il governo americano, Apple dovrebbe dunque creare un software ad hoc per permettere agli investigatori di arrivare allo sblocco del telefono senza il rischio che si cancelli tutto per i troppi tentativi.

Ma a questa soluzione Apple continua ad opporsi, così come aveva già fatto nel 2015 quando c'era stato lo scontro con l'Fbi sull'iPhone 5c dell'attentatore di San Bernardino. Il caso allora non arrivò mai a una risoluzione legale, perché alla fine il Dipartimento di Giustizia lasciò cadere il procedimento (che avrebbe portato a una lunga e incerta battaglia giudiziaria fino alla Corte Suprema con in mezzo almeno due emendamenti della Costituzione americana a fare da intralcio, come ho raccontato nel mio libro Guerre di Rete) e si rivolse a una società privata, che per una cifra non confermata, e data intorno a 1 milione di dollari, entrò nel telefono sfruttando una sua vulnerabilità. Secondo alcuni media, la società in questione era l'israeliana Cellebrite.

“Il punto centrale è che i dati delle app di messaggistica sono cifrati, sugli iPhone, e non tutte le app lasciano che i loro dati finiscano su iCloud o sui backup iTunes”, spiega a Valigia Blu Paolo Dal Checco, consulente informatico forense. “Ad esempio Telegram e Signal non lasciano che i dati delle app vadano su iCloud e neanche sul backup iTunes. Whatsapp invece va a finire nei backup iTunes e, se l'utente abilita l'opzione, anche nel backup iCloud (anche se cifrato, ma si può decifrare con alcune operazioni). Per questo motivo, per quelle app è necessario accedere direttamente al telefono, decifrandone i dati. O meglio, gli investigatori potevano farlo mandando il telefono da Cellebrite, che è in grado di accedere anche a quelle app tramite una cosiddetta "acquisizione in modalità filesystem" (cioè si accede ai dati dal dispositivo di archiviazione interno, come una memoria flash, ndr) oltre che a sbloccare il telefono se bloccato”,

Più facile oggi ottenere dati dai telefoni

Rispetto al 2015/2016, la situazione è evoluta e il mercato delle società che lavorano assiduamente per riuscire a entrare nei telefoni (o a estrarre dati dagli stessi anche senza sbloccarli) è cresciuto (e i prezzi si sono abbassati). Oggi aziende come Cellebrite, Grayshift e altre offrono diversi metodi per recuperare dati anche dai modelli più recenti. Una vulnerabilità hardware scoperta sugli iPhone di recente (Checkm8) ha permesso a simili strumenti di estrazione forense di recuperare molti dati dai Melafonini, dal modello 5s fino all'X. “Utilizzando il codice (nel senso di exploit, ndr) che sfrutta tale vulnerabilità e conoscendo la password di accesso è possibile accedere all’intero contenuto dello smartphone, cosa che un tempo risultava difficile se non impossibile”, spiega ancora Dal Checco. “Novità assoluta di questo exploit il fatto che, anche non conoscendo il pin di sblocco, è possibile ottenere diverse informazioni di notevole importanza, in sostanza tutte quelle che iOS non memorizza in forma cifrata”.

Vero è che le circostanze di quello che puoi ottenere (e la possibilità di sbloccare il telefono) dipendono da alcune variabili, tra cui modello, versione del sistema operativo, e lunghezza e complessità del codice di sblocco. Ma, in generale, gli investigatori oggi possono ottenere molti più dati dagli iPhone (e dagli Android) per cifre più basse rispetto a qualche anno fa. Ad esempio, GrayShift vende per poche decine di migliaia di dollari un dispositivo che permette di accedere a diversi modelli di iPhone. E, riferisce Forbes, lo scorso anno l’FBI in Ohio ha usato un suo apparecchio per ottenere contenuti dall’ultimo modello Apple, l’iPhone 11 Pro Max.

La posta in gioco

E tornando al caso specifico, i due iPhone ora in questione sono proprio dei modelli vecchi, un 5 e un 7. Dunque l'Fbi probabilmente potrebbe riuscire a violarli con l'aiuto delle società citate o di altre. Perché allora ingaggiare una prova di forza legale su questi? Forse perché è il tipo di delitto investigato (possibile terrorismo) che si presta a essere strumentalizzato per una battaglia mediatica? Questa è la tesi ad esempio di Ben Wizner, direttore del progetto su privacy, libertà di espressione e tecnologia della ACLU, storica associazione statunitense per i diritti civili, rispetto sia allo scontro del 2016 sul telefono dell’attentatore di San Bernardino sia a quello attuale. “In entrambi i casi sembra evidente che il Dipartimento di Giustizia stia tentando di identificare l’episodio più vantaggioso politicamente con cui spingere un desiderio di vecchia data, che è obbligare le aziende a riprogettare i loro prodotti per semplificare la sorveglianza”, dice Wizner a Wired.

Dal Checco invece pensa che potrebbe effettivamente esserci un problema tecnico, e fa qualche ipotesi. “La riparazione fatta dall’Fbi, in seguito ai danneggiamenti dei telefoni, potrebbe non essere sufficiente per far funzionare tutti i componenti. O più semplicemente ci potrebbe essere una password complessa, che potrebbe richiedere mesi per lo sblocco. O ancora qualche problema tecnico ignoto che impedirebbe di sbloccare anche attraverso queste società private”.

L'ossessione del going dark e della cifratura

Problemi tecnici o meno, sorprende (e insospettisce molti osservatori) la rapidità con cui si è arrivati a una escalation. Da anni alcuni governi e forze dell'ordine lamentano il problema del “going dark”, ovvero il fatto che criminali possano nascondersi o far sparire le proprie comunicazioni dietro strumenti di cifratura. Il diffondersi di app e dispositivi che in modo facile implementano una cifratura forte, in cui il gestore del servizio o il venditore del dispositivo non sono più in grado di ottenere i dati e passarli anche dietro mandato agli investigatori, ha aumentato l'insofferenza di queste agenzie. Tali tensioni, denominate come “criptoguerre”, vanno avanti fin dagli anni '90, ma alla fine sono state sempre dissipate da un muro di esperti di sicurezza e crittografia, che in maggioranza ritengono qualsiasi metodo per aggirare e indebolire la crittografia come una vulnerabilità pericolosa per la società, in ultima analisi sfruttabile da più soggetti. Questo indebolimento della cifratura è stato proposto negli anni in modalità e soprattutto denominazioni diverse: dal Clipper Chip degli anni '90 (un microchip inserito nei dispositivi per cifrare i dati con una chiave depositata però presso il governo o altri) alla riproposizione di una “golden key”, una “chiave dorata”, una sorta di chiave master, anche questa da dare al governo, a vari progetti di depositi di chiavi, con una terza parte a fare da garante. In pratica tutti sistemi per fornire un accesso al governo. Per vari esperti di sicurezza e difensori della privacy, si tratterebbe sempre e comunque di una backdoor più o meno palese, ovvero di meccanismi che aggirano le protezioni di un sistema dando una via d'accesso speciale. Ultimamente Barr e altri parlano di quella attuale come di una cifratura "a prova di mandato", per sottolineare il fatto che non permetta di essere violata al fine di portare avanti una indagine, con tanto di mandato del giudice. A ciò dovrebbe contrapporsi, secondo loro, una cifratura “bucabile" (che definiscono “responsabile”) in presenza di un mandato.

Non solo Apple
Alcuni mesi fa proprio Barr, insieme a rappresentanti inglesi e australiani, aveva scritto una lettera aperta a Facebook e altri servizi internet in cui chiedeva di bloccare la cifratura end-to-end in nome della lotta alla pedopornografia. L'obiettivo era impedire che Facebook implementasse una cifratura di default end-to-end in tutti i suoi servizi di messaggistica (come già fa su Whatsapp), "senza includere dei mezzi per l'accesso legale ai contenuti delle comunicazioni". Il social network, lo scorso dicembre, ha risposto respingendo con forza l’idea di backdoor, che indebolirebbero la sicurezza, e specificando di stare lavorando in modo diverso per contrastare gli abusi sulla sua piattaforma (con una analisi sinergica di account e informazioni tra Facebook, Instagram e Whatsapp ad esempio).

Questi timori per le indagini, per il fatto che alcune comunicazioni non siano facilmente accessibili perché cifrate, tralasciano però sempre il punto che rispetto al passato oggi gli Stati e le agenzie investigative hanno a disposizione una enorme quantità di dati e metadati lasciati dalle persone e dai dispositivi. Tanto che alcuni studiosi hanno definito quella attuale "l'era dorata della sorveglianza" e la storia del “going dark” come un problema sovradimensionato. “Stiamo andando verso un mondo in cui una sconvolgente quantità di dati sarà lontana quanto una richiesta di mandato, e in molte giurisdizioni non servirà nemmeno quella”, è scritto ad esempio nello studio Don’t Panic. Making Progress on the Going Dark Debate.

I problemi delle backdoor, ieri e oggi
In quanto alle preoccupazioni dei crittografi restano ancora valide quelle formulate negli anni '90 proprio da uno dei più noti del settore, Whitfield Diffie (quello del protocollo crittografico Diffie-Hellman per lo scambio di chiavi, la fondazione della crittografia a chiave pubblica usata ancora oggi): una backdoor metterebbe i fornitori in una posizione difficile con altri governi e clienti internazionali, indebolendo il suo valore; chi voglia nascondere le sue conversazioni dai governi per ragioni nefaste può ancora aggirare facilmente le backdoor; le uniche persone che sarebbero facilmente sorvegliate sarebbero quelle cui non importa della sorveglianza governativa; non c'è garanzia che qualcun altro non possa sfruttare la backdoor per i suoi intenti (ArsTechnica).

E ancora nel 2015 alcuni crittografi di primissimo piano, che avevano già contrastato il Clipper Chip con un report nel 1997, hanno pubblicato un nuovo studio (Keys Under Dormats) per esaminare le nuove proposte alla luce del mutato contesto. Risultato? Di nuovo mettono in guardia dall'uso di backdoor o “sistemi di accesso eccezionali”, che creerebbero vulnerabilità sfruttabili anche da altri. Oggi più che mai.

Perché bisogna abbracciare la crittografia
Ma ancor più recente e interessante è la nuova presa di posizione di Jim Baker, che è stato il consulente legale dell’Fbi nel braccio di ferro con Apple sul caso di San Bernardino nel 2016. E che ora sulla questione sembra fare una inversione a U. Più che un voltafaccia, sembra però una presa d’atto della complessità della questione e soprattutto della rilevanza della crittografia nel garantire la sicurezza dei cittadini e della società, anche a costo di alcune limitazioni nelle indagini. In sostanza, scriveva Baker solo due mesi fa, l’Fbi e il Dipartimento di Giustizia devono abbracciare la crittografia e farsene una ragione. “È tempo per le le autorità di governo - tra cui le forze dell’ordine - di abbracciare la crittografia perché è uno dei pochi meccanismi che gli Usa e i suoi alleati possono usare per proteggersi più efficacemente dalle minacce alla cybersicurezza, specie provenienti dalla Cina. Questo è vero anche se la cifratura imporrà dei costi alla società, specie a vittime di altri tipi di crimini”.

Su questa linea si attesta anche il comitato editoriale del Wall Street Journal, che in questi giorni sul caso Pensacola si è schierato su una posizione non tanto pro-Appe, ma pro-cifratura. “Apple sta pensando senza dubbio ai suoi interessi commerciali, e la privacy è uno dei suoi punti di forza. Ma la sua cifratura e le sue protezioni di sicurezza hanno anche dei benefici sociali e pubblici significativi. La cifratura è diventata più importante dato che gli individui conservano e trasmettono più informazioni personali sui loro telefoni - tra cui i conti in banca e informazioni sulla salute - nel mezzo di un crescente cyberspionaggio. I criminali comunicano attraverso piattaforme cifrate ma la crittografia protegge tutti gli utenti tra cui dirigenti di azienda, giornalisti, politici e dissidenti in società non democratiche. Qualsiasi chiave speciale che Apple crei per il governo Usa per sbloccare gli iPhone sarebbe sfruttabile anche da attori malevoli. Se le aziende tech americane offrono delle backdoor alle forze dell'ordine americane, i criminali sicuramente farebbero uso di fornitori stranieri. E ciò renderebbe più difficile ottenere dati conservati nei server cloud".

Dunque siamo sempre davanti alla solita minestra? Una sorta di ciclica schermaglia che si risolverà con un nulla di fatto, come nel 2016 e prima ancora negli anni ‘90? Non è detto. La situazione politica internazionale è cambiata così come l’amministrazione americana. Non dimentichiamo che nel 2018 l’Australia (parte dei Five Eyes, l’alleanza tra le intelligence di Usa, UK, Canada, Australia e Nuova Zelanda) ha addirittura introdotto una legge che permette alle autorità di chiedere alle aziende di indebolire la sicurezza dei loro prodotti per favorire delle indagini, o a singoli dipendenti di “intervenire” su un sistema in segreto (Wired). La legge, formulata in modo abbastanza vago, ha ovviamente preoccupato le aziende locali e quelle internazionali, che stanno chiedendo varie modifiche (Guardian). Ma nel contempo indica una tendenza che forse era impensabile qualche anno fa. Questo per dire che le criptoguerre possono essere ricorrenti ma il loro esito non va mai dato per scontato.

GOOGLE E IPHONE
Si può usare l’iPhone come chiave di sicurezza
Si potranno usare gli iPhone (con iOS 10 o seguenti) come chiave di sicurezza per l’autenticazione quando si effettua il login su account Google, in modo simile alle chiavette di sicurezza fisiche (come Yubikey). Tali sistemi permettono di implementare una protezione a due fattori per siti e servizi al posto dei codici ricevuti via SMS o del codice generato da una app. “È in pratica possibile usare un iPhone al posto di una chiavetta fisica. La nuova funzione di autenticazione a due fattori (2FA) è simile a quella già offerta da aprile dello scorso anno con i dispositivi Android ed è legata al cosiddetto “programma di protezione avanzata”, offerto da Google”, ricorda Macitynet.

Cosa bisogna fare (della serie: provato per voi):
- avere l’autenticazione a 2 fattori (o verifica in due passaggi) abilitata sugli account Google (non l’avete fatto? perdiana smettete di leggere e fatelo subito qui!)
- scaricare o aggiornare la app Google Smart Lock
- aprire la app: se siamo già loggati in un servizio Google (tipo Gmail) ci dirà: “Configura il token di sicurezza integrato nel tuo telefono” (e sotto appare il nostro account Gmail o un menù a tendina con i nostri account Google). “Sì, accetto”.
- Ci dirà: “Consenti Bluetooth” (e noi “Consenti”, perché Smart Lock deve accedere a Bluetooth per permettere la comunicazione tra telefono e altri dispositivi)
- Poi Consenti notifiche
- Potrebbe a quel punto chiederci la password del nostro account (Gmail, ad esempio)
- Infine ci chiede di aggiungere il token di sicurezza
Ora quando si accede per la prima volta da un nuovo dispositivo con la verifica in due passaggi si dovrà usare la password e il dispositivo iPhone (il Bluetooth deve essere attivo “per verificare che i tuoi dispositivi siano uno vicino all’altro” (ma non è necessario l’accoppiamento Bluetooth). Ciò - la necessità di vicinanza fisica - è anche quello che rende più sicuro questo sistema rispetto ai codici via SMS ecc
(Che succede se si dimentica l’iPhone? Si dovrebbe poter selezionare comunque SMS come una opzione o la app Authenticator scegliendo “Accedi in un altro modo”, scrive MacWorld. Altro dettaglio: per ora funziona su Chrome - The Verge)

RICONOSCIMENTO FACCIALE
La società che ha usato i social per riconoscerci per strada
Uno dei timori dei paranoici si sta avverando. Che un giorno arrivasse qualcuno a fare incetta di tutte le nostre foto sui social per creare una app di riconoscimento facciale universale. Lo scrive Kashmir Hill in uno scoop bomba. In sostanza l’articolo parla di Clearview AI, una società che ha preso (con una tecnica nota come scraping) 3 miliardi di immagini dalla Rete, da social come Linkedin, Facebook ecc. E ci ha costruito una app di riconoscimento facciale che vende a centinaia di dipartimenti di polizia americana (ma anche a società private). Come funziona? Fai una foto a qualcuno, la carichi nel sistema, e vedi le foto pubbliche di quella persona, con i link a dove sono postate. Si potrebbe usare anche con sistemi (occhiali) di realtà aumentata per permettere una identificazione di qualcuno nel momento in cui lo si vede. “Lo strumento potrebbe identificare attivisti a una protesta o uno sconosciuto attraente visto in metro, rivelando non solo il suo nome ma anche dove vive, che cosa fa e chi conosce”
NYT

L’Ue e la partita sul riconoscimento facciale
Ora una volta di più dovrebbe essere chiaro che sul riconoscimento facciale si giocherà una buona parte delle presenti e future battaglie per difendere i diritti umani, a una dimensione e con implicazioni che ancora facciamo fatica a comprendere e a, perdonate il gioco di parole, visualizzare.
L’Unione europea sembra avere raggiunto un po’ di consapevolezza al riguardo, tanto da aver preso in considerazione anche la possibilità di un divieto, un blocco per 5 anni delle tecnologie di riconoscimento facciale usate da soggetti privati e pubblici, finché non saranno chiari i rischi e come mitigarli. È quanto emerge da una bozza di un white paper sull’Intelligenza artificiale ottenuto da Euractiv. Ma non c’è da cantare vittoria, ricorda il giornalista e ricercatore Fabio Chiusi.
Leggi anche:
Intelligenza artificiale e riconoscimento facciale: perché la società della sorveglianza digitale non è più accettabile (Valigia Blu)
La tua faccia non ti appartiene più (Internazionale)

DATING APP E I TUOI DATI
Dal ciclo alle preferenze sessuali: dove vanno le tue info personali

“Geolocalizzazione, inclinazione sessuale, interessi e stato di salute. Sono solo alcuni dei dati personali che potrebbero finire nelle mani di società di marketing e advertising online quando utilizziamo app di dating come Grindr, Tinder e OkCupid. Una condivisione delle informazioni incontrollata e illegittima, perché sarebbe in violazione delle leggi sulla privacy”. Lo rivela un report dell’organizzazione no profit The Norwegian Consumer Council, scrive Business Insider Italia.
“Tra le scoperte, una app di filtri makeup che condivide le coordinate GPS precise dei suoi utenti; app per tracciare ovulazione, ciclo e umore che condividono intimi dati personali con Facebook e Google (tra gli altri); app di dating che si scambiano i dati degli utenti, e con terze parti, incluse info sensibili come le preferenze sessuali”, scrive TechCrunch.
Lo studio.

CYBERCRIME
Arrestati gestori di un sito di leaks/password

La polizia in Olanda e Irlanda del Nord ha arrestato due ventiduenni sospettati di essere connessi a WeLeakInfo, un sito che vendeva nomi utente e password di molteplici leak di database (12 miliardi da una raccolta di 10mila data breach). Il sito si faceva passare per un motore di ricerca legittimo che le aziende potevano usare per fare dei controlli di sicurezza sui propri account, ma secondo gli investigatori in realtà permetteva agli utenti (paganti) di accedere in modo illimitato alle informazioni personali ottenute illegalmente da questi data breach, tra cui nomi, email, telefono e password.
Ars Technica

CYBERSICUREZZA
Il phishing come non lo avete mai visto

Nel 2019 gli attacchi di phishing hanno raggiunto nuovi livelli di creatività e sofisticazione. Il ricercatore di sicurezza Claudio Guarnieri ha rilasciato un archivio di 25GB di dati sugli ultimi 100000 siti di phishing che ha aggregato da vari feed. Si può scaricare e usare a fini di analisi o di training.
Nex

HACKER E INTELLIGENCE
Come la Cina recluta cybermercenari

Intrusion Truth, un gruppo di anonimi analisti di sicurezza che da tempo sta alle calcagna degli hacker di Stato cinesi, dice di aver tracciato 13 società di comodo nell’isola di Hainan attraverso le quali la Cina recluterebbe hacker.
Zdnet
Di Intrusion Truth avevo scritto in questo speciale su Leaks e intelligence

PRIVACY
Garante avanti tutta

Il telemarketing indesiderato viola la privacy: multa da 11 milioni a Eni gas e luce
“L'Authority attiva lo scudo del Gdpr su chiamate promozionali indesiderate e contratti non richiesti con dati personali inesatti. È la multa più salata comminata dal debutto del regolamento”, scrive Wired Italia.
Il Garante ha aperto anche una istruttoria sul caso di una fotosegnalazione di minore su mezzo di trasporto (via @ClaudiaGiulia)

AUDIO
Una policy GDPR in previsione delle sanzioni elaborata dal professore Giovanni Ziccardi (podcast)

ASSANGE
1100 giornalisti da 91 Paesi hanno firmato una dichiarazione in difesa di Julian Assange (via Serena Tinari)

LETTURE

TWITTER E TROLL
Come si fa a disincentivare comportamenti da troll e abusi su Twitter? È possibile e auspicabile un punteggio troll? Una conversazione col responsabile dei prodotti di Twitter (Wired Usa)

ISLAMIC FINTECH
La finanza islamica sta diventando digitale. E sta raccogliendo interesse e fondi in Europa. Come il fondo di venture capital Hambro Perks che sta investendo nell’economia islamica in Medio Oriente e Nord Africa (Sifted)

EU STARTUP
Buone notizie per le startup europee. Il 2019 è stato un anno record, con 36 miliardi di dollari raccolti. Inoltre dal 2015 la quantità di soldi investiti è più che raddoppiata.
Crunchbase

LIKE IT OR NOT
Profilo del “tizio” che ha tolto i Like a Instagram - Adam Mosseri. Obiettivo: come togliere pressione alla app. Senza far scappare gli inserzionisti.
NYT

(A)SOCIAL
La fine della Big Conversation. E la nascita delle small conversations: dove gli utenti social creano la loro sfera pubblica personale - Giovanni Boccia Artieri

VIDEO
Lo spettro della CyberWar è stato per giorni di fronte a noi durante lo scontro tra Usa e Iran. Ma di cosa stiamo parlando? Una puntata video di Matteo Flora che sviscera il tema con tanti ospiti (me compresa, grazie Matteo)
YouTube

AUDIO
20 anni di sorveglianza e privacy

Gli ultimi 20 anni di internet tra privacy, sorveglianza e cybersicurezza - ne ho parlato in questa puntata di Radio3Scienza

Ti è piaciuta la newsletter? Inoltrala a chi potrebbe essere interessato!
E’ gratuita, indipendente, senza sponsor, mandanti o agende altrui, e si diffonde col passaparola dei suoi stessi utenti.
Come viene fatta questa newsletter (e come leggerla)
Per iscriversi: https://guerredirete.substack.com/
Buona domenica!

[Guerre di Rete - newsletter] Usa-Iran: quale cyberconflitto aspettarci; dati e cloud; ransowmare

Guerre di Rete - una newsletter di notizie cyber
a cura di Carola Frediani
N.55 - 12 gennaio 2020

Oggi la newsletter torna dalla pausa natalizia. Uscirà come al solito ogni domenica, salvo miei impegni (ogni tanto può saltare, ma avviso sui social, su Twitter in particolare). Potete mandarmi segnalazioni rispondendo qui o altrove. Se vi piace diffondetela e segnalatela a chi volete. E buon anno!

Oggi si parla di:
- Usa-Iran: la cyberwarfare che c’è stata e quella che possiamo aspettarci
- Twitter e repliche
- mercato delle facce fake
- ranswomware e rimozione (collettiva)
- dati nel cloud
- donne, scienza e perché c’è ancora da arrabbiarsi
- e altro


GEOPOLITICA
Usa-Iran: il cyber conflitto che c'è stato e quello che potrebbe esserci
Mentre si dispiegava a livello fisico lo scontro Usa-Iran, molti osservatori ricordavano il rischio aggiuntivo di una reazione sul piano degli attacchi informatici. Ma non è solo l'Iran che potrebbe reagire. Il rischio è un incremento della conflittualità cyber a bassa intensità, e un coinvolgimento di altri Paesi e aziende, anche solo come danni collaterali. Cosa sappiamo finora e cosa possiamo aspettarci
(NOTA: Questo approfondimento è stato pubblicato prima su Valigia Blu, dove potete leggerlo più comodamente. Vi ricordo che gli amici di Valigia Blu stanno facendo crowdfunding. Sosteniamoli!)

In questi giorni parlare di cyberwafare sembra poco sensato, e soprattutto, rispetto ai missili, appare come il male minore. Tuttavia, visto che bene o male se n’è parlato più volte, proviamo ad analizzare la possibilità di un simile risvolto, alla luce di quello che già sappiamo. Del resto, da giorni (come avevo segnalato in un tweet) vari esperti di geopolitica e sicurezza informatica sottolineano la possibilità che lo scontro tra Usa e Iran, al netto dei raid convenzionali e dei tragici errori che purtroppo già ci sono stati, possa riversarsi infine sul terreno della cybersicurezza. A questi si sono aggiunti gli alert ufficiali del governo Usa (US-Cert) e dell’Fbi (CNN) su possibili risposte cyber di rappresaglia all’uccisione del generale Soleimani. Tale prospettiva (probabilmente da inquadrare più nel medio-lungo termine) ci interessa perché rischia di alimentare una serie di attacchi informatici dagli esiti imprevedibili, con possibili ripercussioni anche su altri Paesi, aziende, infrastrutture.

Il rischio è alto per una serie di ragioni: 1) portare lo scontro al livello cyber conviene sia all'Iran che agli Usa; 2) l'Iran, come vedremo tra poco, ha già dato prova di avere capacità e intenzioni per muovere attacchi dannosi e non solo simbolici (il punto importante da tenere sempre a mente è che non è necessario avere capacità particolarmente avanzate per fare danni a una società digitalizzata ma vulnerabile); 3) gli Usa non sono stati a guardare in merito alla cyberwarfare, e da tempo anche su questo piano l'amministrazione Trump ha scelto una politica più aggressiva e proattiva, sposando una serie di tattiche ibride che fino a un po' di tempo fa sembravano appannaggio solo dei suoi avversari; 4) il fronte cyber e il momento di confusione fanno gioco anche ad altri attori malevoli, che potrebbero provare a inserirsi, con diversi scopi, nello scontro, sfruttando una delle caratteristiche principali degli attacchi informatici di Stato che non è tanto la mancata attribuzione (dato il giusto tempo e risorse, molti degli attacchi vengono infine attribuiti a qualcuno, specie quando dietro ci sono gruppi organizzati) ma la facilità con cui possono essere negati (deniability).

L'inizio dello scontro informatico

È ormai quasi materia scolastica il fatto che una delle pietre miliari della cyberwarfare sia stata piantata proprio in Iran, con Stuxnet. Si tratta di un malware sofisticato con cui, attraverso un'operazione pianificata per anni, americani e israeliani hanno sabotato il programma di arricchimento dell'uranio iraniano, modificando surrettiziamente il funzionamento delle centrifughe degli impianti di Natanz.
Stuxnet è stata ribattezzata da alcuni come la prima "cyber-arma", nel senso che era un malware in grado di sabotare/danneggiare dei sistemi fisici. L'operazione israeliano-americano (poi nota come Olympic Games) ha avuto una serie di conseguenze, tra cui una accelerazione dell'Iran rispetto agli investimenti e ricerca in cybersicurezza e cyberwarfare (su tutta la vicenda raccomando il libro Countdown to Zeroday di Kim Zetter). Non a caso da allora si sono moltiplicate incursioni digitali e APT (Advanced Persistent Threats, ovvero semplificando: gruppi organizzati che muovono attacchi informatici ripetuti a obiettivi specifici) attribuiti da vari ricercatori all'Iran. Alcuni di questi sono collegati alle tre entità militari iraniane che si occupano di cyber operazioni: le Guardie rivoluzionarie iraniane o pasdaran (IRGC), il Basij e l’Organizzazione per la difesa passiva (NPDO). L’IRGC sarebbe dietro a una serie di attacchi contro target e infrastrutture americane e israeliane; il Basij sarebbe una organizzazione paramilitare controllata dai guardiani della rivoluzione (IRGC) che gestisce anche dei volontari e una rete di proxy; NPDO si occuperebbe di protezione delle infrastrutture (vedi l’analisi del Center for Strategic and International Studies).

Ad oggi, Guerre di Rete ha contato oltre 20 APT (Advanced Persistent Threats) ricondotti all'Iran (basandomi su vari report, come quello del Thai Cert, tra i più recenti). Gran parte di questi gruppi però sono identificabili con una sola campagna, e molti di questi si concentrano soprattutto su forme di spionaggio più o meno avanzato. Ma alcuni sono stati protagonisti invece di operazioni di impatto. Si tratta di OilRig (o APT34); Elfin (o APT 33); e MuddyWater. E in almeno due casi sembrano avere stretti legami con i militari o l’intelligence del Paese.

OilRig e l'industria petrolifera

È senz'altro l'attore che genera più preoccupazione. È stato infatti il protagonista dell'attacco Shamoon (o Disttrack), un malware distruttivo che nell'agosto 2012 ha colpito l'azienda petrolifera saudita Saudi Aramco, mettendo fuori uso oltre 30mila postazioni dell’azienda, con un tempo di recupero di 5 mesi per tornare alla normalità. Il software malevolo (che pochi giorni dopo colpì anche un'altra società del settore, la qatariota Rasgas) sovrascriveva il Master Boot Record (il primo settore di un disco essenziale per l’avvio) dei computer compromessi, sostituendolo con l'immagine di una bandiera americana in fiamme, e rendendo le macchine inutilizzabili.
Nel 2016 il malware è tornato ad attaccare organizzazioni saudite, ma anche israeliane, turche e americane, rimpiazzando l'immagine della bandiera Usa con quella del piccolo Alan Kurdi, il bambino siriano affogato nel Mediterraneo (Symantec). E poi ancora è riemerso in Medio Oriente, in Arabia Saudita e negli Emirati, nel dicembre 2018, in una versione nuova, più distruttiva, perché aggiunge un software malevolo che cancella i file dai computer (tecnicamente, un wiper) prima che Shamoon sovrascriva il Master Boot Record. Il senso di questo raddoppio è rendere più difficile se non impossibile anche il recupero dei file dagli hard disk attraverso tecniche forensi (Symantec 2).
Di questo nuovo attacco è tra l'altro stata vittima anche una azienda petrolifera italiana, Saipem, secondo la quale sarebbero stati colpiti fra i 300 e i 400 server e un centinaio di computer personali. All'epoca l'azienda, controllata di Eni e CDP Equity, in un comunicato aggiungeva che il cyberattacco aveva colpito server in Medio Oriente, India, Aberdeen (Scozia) e in modo più limitato in Italia; e che appunto si trattava di una variante del malware Shamoon. Inoltre scriveva che l’attacco aveva portato a una cancellazione di dati; e che erano in atto le attività per ristabilire la piena operatività sui siti colpiti (della vicenda avevo scritto in dettaglio in newsletter).
Nella relazione finanziaria annuale del 2018, Saipem ha poi confermato che "l’attacco ha comportato la cancellazione di dati e infrastrutture, effetti tipici del malware", aggiungendo di aver ripristinato però tutti i servizi infrastrutturali senza perdite di dati.
“Shamoon è un wiper attivo già dal 2012 utilizzato principalmente contro target sauditi, nel corso degli anni evolve e viene chiamato Shamoon 2 e Shamoon 3”, commenta a Guerre di Rete Alberto Pelliccione, Ceo di Reaqta, società di cybersicurezza che fu tra le prime a individuare la riemersione di questo malware nel dicembre 2018. E che si era occupata di tracciare anche un altro gruppo, Muddywater. “A sorpresa nel dicembre 2018 appare una nuova variante che sembra prendere di mira per la prima volta proprio Saipem. Immediatamente si notano delle similarità ma il malware manca di alcuni elementi che lo caratterizzavano e in particolare non sembra avere la capacità di propagarsi in autonomia. Questo ‘dettaglio’ rende chiaro un elemento: l’attacco contro Saipem viene governato manualmente e il wiper viene diffuso da un operatore umano che controlla alcune macchine compromesse”.
I wiper, i malware che cancellano file, sembrano essere una costante nella regione. Secondo l’autorità nazionale saudita per la cybersicurezza, ancora lo scorso 29 dicembre è stato usato un software malevolo di questo tipo contro alcuni target dell’area, non identificati (Yahoo News). Non è stato finora attribuito all’Iran o ad altri.

Tornando a OilRig (o APT34) è interessante notare anche che proprio su questo gruppo nel 2019 ci siano stati degli strani leak, che hanno riguardato alcuni dei suoi strumenti di hacking (Zdnet) e che ne hanno probabilmente rallentato o compromesso le attività. Secondo i misteriosi leaker, questi strumenti (e quindi OilRig) arriverebbero dal MOIS o VEVAK, l’intelligence iraniana. Altri leak successivi hanno invece colpito l’APT MuddyWater e un altro gruppo iraniano, “Rana Institute”, specializzato in attacchi contro sistemi industriali. Chi sarà stato a fare questi leak?

APT33 (o Elfin) e i sistemi di controllo industriale

APT33 è un altro gruppo considerato emanazione del governo di Teheran, con connessioni con il Nasr Institute, un contractor gestito sia dalle unità cyber del Basij sia dalla principale agenzia di intelligence del Paese, la già citata VEVAK o MOIS, secondo le società Kaspersky e Fireye. Attivo almeno dal 2013 e dedito allo spionaggio, con target in Arabia Saudita, Stati Uniti e altri Paesi, e un'attenzione all'industria aeronautica e il settore dell'energia. Ma negli ultimi anni avrebbe sviluppato anche capacità “distruttive” e un interesse per sistemi di controllo industriale. In particolare, secondo una presentazione tenuta lo scorso novembre alla conferenza CyberwarCon da un ricercatore Microsoft, Ned Moran, negli ultimi mesi del 2019 APT33 avrebbe preso di mira una serie di aziende che forniscono software e apparecchiature industriali (Wired).
A rincarare la dose ci ha pensato poi lo scorso giovedì l’azienda di cybersicurezza Dragos, che in un report dice di aver rilevato una nuova attività proprio del gruppo APT33 (loro lo chiamano Magnallium) contro varie industrie americane, incluse utility dell’energia. La tecnica usata è quella del password-spraying in cui si prova una stessa password, d’uso comune, su una grande quantità di account, per poi passare a un nuovo tentativo ecc. Mentre un gruppo parallelo starebbe tentando di trovare vulnerabilità nelle VPN, le reti private virtuali spesso usate nelle aziende. Va detto che questi attacchi non sembrano molto sofisticati.
E tuttavia il timore è che si possa replicare, con maggior successo, tentativi come quelli avvenuti nel 2013 quando degli hacker iraniani hanno avuto accesso ai controlli di una diga dello stato di New York. Per questa e altre azioni nel 2016 sono stati incriminati 7 iraniani che lavoravano per due aziende considerate al servizio del governo di Teheran e delle Guardie rivoluzionarie (IRGC). Uno di questi infatti avrebbe infiltrato per tre settimane il sistema SCADA (di controllo industriale) della diga di Bowman (a Rye Brook), ottenendo informazioni sul livello dell'acqua, temperatura e status delle paratoie, secondo l'incriminazione americana.
Questa settimana è anche emerso che ricercatori specializzati nel trovare vulnerabilità in sistemi industriali, specie del settore nucleare, sono stati contattati da dipendenti dalla principale compagnia telefonica iraniana, TCI, per conto del governo, con l'offerta di tenere dei corsi nel Paese, riferisce Ars Technica.

Ma per fare danni non è necessario riuscire a infiltrare sistemi industriali. Nel 2018 gli Stati Uniti hanno incriminato altri due iraniani per una serie di attacchi ransomware (i cosiddetti virus del riscatto) contro ospedali e città, tra cui Atlanta e Newark. Avrebbero raccolto 6 milioni di dollari colpendo circa 200 vittime. Sebbene gli Usa in quel caso non abbiano tracciato connessioni col governo iraniano, l'episodio mostra che nel Paese non mancano capacità di questo tipo, che vengano utilizzate solo per fini cybercriminali o per altro. Del resto, non è difficile trasformare un ransomware in uno strumento più distruttivo, come abbiamo visto ad esempio nel 2017 con NotPetya. Su questo concorda anche il ricercatore John Hultquist che scrive su Twitter in un lungo thread in merito alla minaccia iraniana: “Consideriamo gli incidenti di ransomware che abbiamo visto di recente. Un ransomware senza speranza di riscatto è solo un malware distruttivo. Nelle nostre recenti esperienze, specie in relazione a target municipali e del settore trasporti, questa dovrebbe essere una indicazione”.

Spionaggio, disinformazione e leaks

A colpire organizzazioni specie in Medio Oriente dal 2017 è anche l'APT noto come Muddywater. Anche se finora dedito a spionaggio, i suoi target sono di alto profilo (settore telco, energia e governi) così come le tecniche impiegate. E questo potrebbe aprire la strada ad attacchi di altra natura o campagne di hack and leak come quelle che abbiamo visto negli Usa nel 2016, in quel caso attribuite alla Russia. Tra agosto e settembre un altro APT iraniano, APT35 o Phosphorous, ha preso di mira con tentativi di phishing gli account email della campagna presidenziale di Trump, di funzionari governativi americani e di giornalisti ed espatriati iraniani (Wired).
Del resto, come ricorda il ricercatore di sicurezza italiano Luigi Gubello, "l'Iran è uno degli stati con la maggior capacità di creare e gestire reti di bot avanzate, che non sono facili da individuare e spesso non vogliono influenzare l'Occidente ma solo gli stati a sé confinanti". Gubello ha anche individuato tracce recenti di queste attività social di possibile matrice iraniana (primo e secondo tweet).
A ottobre Facebook aveva rimosso 3 reti separate di account, pagine e gruppi, su Facebook e Instagram, per comportamento coordinato inautentico che originavano dall'Iran. Le attività di queste reti si concentravano su Stati Uniti e Nord Africa, inclusi alcuni aspetti della politica americana.
Ma la propaganda c’è anche nell’altro senso, con account Twitter della destra americana scesi in campo proprio in questi giorni contro il governo di Teheran, come riporta Vice.

Il ruolo degli Usa in attacco e la tentazione ibrida

Nelle discussioni e articoli che hanno trattato le conseguenze cyber dell'escalation Usa-Iran il ruolo degli Usa è spesso assente, o presentato solo come target di attacchi. Eppure gli americani sono stati particolarmente attivi su questo fronte proprio nei confronti dell'Iran per cui non vedo perché non aspettarsi anche azioni mirate di matrice statunitense.
Ricordo che lo scorso giugno il il Cyber Command americano ha lanciato una rappresaglia digitale contro un gruppo di cyberspie iraniane accusate di aver sostenuto gli attacchi alle navi che passavano nello Stretto di Hormuz. Oltre a ciò, gli americani avrebbero anche messo fuori uso dei sistemi usati dagli iraniani per controllare il lancio di missili, anche se su questa operazione sono filtrate pochissime informazioni.
“I cyberattacchi Usa sull’Iran sono stati pianificati chiaramente per degradare le sue capacità di lanciare future aggressioni”, scrive in un’analisi la società americana di intelligence Stratfor. “Si ritiene che sia stata la prima volta che un attacco sia stato pubblicamente riconosciuto sotto le nuove linee guida volute dall’amministrazione Trump lo scorso anno al fine di semplificare il processo di approvazione per condurre cyberattacchi contro avversari degli Usa”.
Più in generale, oltre agli attacchi conclamati, gli americani sembrano ormai propensi ad abbracciare anche un conflitto ibrido, visto che fonti di intelligence già mesi fa sottolineavano la possibilità di intraprendere azioni per destabilizzare l'Iran senza incappare in una evidente attribuzione agli Stati Uniti (come raccontavo in newsletter).

Senza dimenticare Israele

A complicare la situazione nella regione, c’è pure Israele, protagonista di primo piano della cyberwarfare (e nella vicenda Stuxnet tra l’altro sembra aver giocato il ruolo più aggressivo all’interno del team israelo-americano). Tel Aviv mostra infatti molta preoccupazione anche per le capacità informatiche iraniane, considerate una “minaccia strategica di lungo termine”, come scrive il ricercatore Samuel Cohen in uno studio del 2019. Secondo la testata Israel Radar, a dicembre l’Iran sarebbe stato vittima di non precisate “cyber armi” impiegate contro alcuni target sensibili. Non è chiaro chi sia stato ad attaccare.
A dicembre c’era stato anche un grave, pesante attacco informatico, con conseguente leak sui clienti di tre banche iraniane, Mellat, Tejarat e Sarmayeh, che già erano state sanzionate dal Tesoro americano, riferiva Times of Israel. Anche qui non è chiara la matrice dell’attacco. Come si può intuire, la confusione è grande sotto il cielo mediorientale in questo momento.

Task force iraniana

Dal suo canto, mesi fa l’Iran cercava di correre ai ripari annunciando una task force per contrastare le operazioni cyber americane. La preoccupazione principale era l’eventualità che gli Usa potessero bloccare l’accesso del Paese a internet, scriveva Iran Front Page. E nel contempo trapelavano dettagli su un “firewall nazionale”, o lo scudo Dejpha, che doveva “fermare il sabotaggio attraverso malware come Stuxnet in sistemi industriali, tra cui la rete elettrica in Iran”. Ricordo che secondo l’Iran, nel dicembre 2018 nelle reti del Paese sarebbe stato scoperto un nuovo malware alla Stuxnet.

Ricapitolando

In uno scenario di conflittualità diplomatica e sul campo, la cyberwarfare è un elemento aggiuntivo, ed è in questi contesti che possono arrivare attacchi più avanzati, ad esempio contro sistemi industriali, come avvenuto in Ucraina fra 2015 e 2017 (e qui raccomando il libro Sandworm di Andy Greenberg). Tuttavia bisogna anche stare attenti a non enfatizzare gli scenari e a raccomandare cautela è ad esempio il professore di sicurezza informatica del Polimi Stefano Zanero. “Le campagne cyber si prestano molto bene o al sabotaggio e allo spionaggio, o al supporto ad un'azione di combattimento su vasta scala (che per fortuna al momento non sembra nei piani degli attori di questo conflitto)”, commenta Zanero a Guerre di Rete. “Da un lato, è ovvio che uno stato di conflitto possa innalzare il volume di attacchi informatici tra due nazioni, anche solo per effetto di azioni di hacktivism o comunque di natura personale. Dall'altro, era impensabile che la risposta iraniana ad un evento cinetico potesse essere esclusivamente o principalmente nel mondo cyber. Le motivazioni sono quelle ben delineate nel libro di Thomas Rid, Cyber war will not take place".

Se la cyberguerra non avrà luogo neanche questa volta dunque resta la possibilità di una intensificazione della conflittualità già esistente. Infatti, come scrivevo tempo fa, l’Iran è sia un target che una minaccia. In quanto target, l’Iran è regolarmente preso di mira almeno da Stati Uniti ed Israele; come minaccia, i suoi gruppi di hacker sponsorizzati dallo Stato sono coinvolti sia in campagne di spionaggio che in campagne di malware “distruttivi”, alla Shamoon, con un forte interesse su sistemi industriali, e con target principali in Arabia Saudita, Israele, Usa. “Se guardiamo solo al comportamento di alcuni gruppi, vediamo che Oilrig ha concentrato le sue operazioni in Arabia Saudita, ma che Muddywater ha allargato al Golfo e altrove”, commenta ancora Pelliccione. “L’Iran dunque potrebbe non soltanto mirare agli Usa ma riaprire nuovi fronti verso Riad, che è un target più raggiungibile, e cercare di interferire con le attività americane in Medio Oriente”.
Restano infine hacker “patriottici” iraniani, impegnati in attività di più basso profilo come attacchi DDoS che sovraccaricano di richieste un sito per farlo andare offline e defacement, che sostituiscono l’home di un sito con una immagine. Ne abbiamo visto un po’ in questi giorni.
Ma recentemente Teheran sembra aver intensificato anche alcune operazioni di propaganda e influenza sui social. Nello scacchiere mediorientale, un altro attore molto attivo, specie sul fronte social e disinformazione, è la rivale Arabia Saudita. È dunque lecito aspettarsi un rischio per la cybersicurezza molto più elevato per tutte le organizzazioni presenti nella regione, e per alcune industrie specifiche. E una crescente difficoltà a ricavare fatti precisi (non solo chi attacca chi, ma di che tipo di attacco stiamo parlando) dalle notizie, voci e dichiarazioni che rimbalzeranno fra tutti gli attori coinvolti.

LETTURA:
L’assassinio di Suleimani, la catena di eventi da 40 anni a oggi, le responsabilità degli USA - Valigia Blu

SOCIAL MEDIA 

TWITTER
Più controllo agli utenti sulle risposte

Twitter ha annunciato di voler dare più controllo agli utenti su chi può rispondere ai propri tweet. “Le nuove impostazioni introdurranno quattro diciture, corrispondenti ad altrettanti livelli di apertura”, scrive Wired Italia. “Global permetterà a tutti di rispondere; Group attiverà risposte da account seguiti dall’utente e persone menzionate; Panel servirà a far rispondere solo chi si trova menzionato, mentre Statement chiuderà del tutto ogni possibilità di reply”.
Reazioni? Positive per Casey Newton, perché la decisione limiterà abusi e molestie, e perché era una funzione necessaria per proteggere categorie più vulnerabili. Per Kevin Rose permetterà la creazione di microconversazioni più salutari. Altri, pur riconoscendo che questa possa essere una buona opzione per profili personali, ritengono che sia sbagliata per figure e personaggi pubblici. Insomma, un danno o una limitazione per le conversazioni pubbliche. Vedremo.

FACEBOOK
Il ban dei deepfake e i suoi limiti

Facebook ha annunciato una nuova policy contro i video deepfake (video creati con tecniche di AI che spesso sono usati per far dire o fare a qualcuno cose che non ha mai detto/fatto). Mentre altri social stanno abbracciando strumenti di deepfake per divertimento e profitto, quella di Facebook è una mossa nella giusta direzione. Tuttavia non è sufficiente, sostiene il giornalista Will Oremus. Perché ad esempio non copre i cheap fake o shallow fake: video manipolati non con tecniche di AI (famoso il video rallentato di Nancy Pelosi per farla apparire stordita). E perché sembra riguardare solo quello che viene detto, non quello che appare o che viene fatto, scrive sempre Oremus. Anche il giornalista Josh Constine è di questo parere (tweet).

TUMBLR
Educazione digitale via GIF

Tumblr ha lanciato una campagna di alfabetizzazione digitale per i propri utenti con lo scopo di aiutarli a riconoscere la disinformazione ma anche con l'idea di sensibilizzarli sul cyberbullismo e simili temi. Lo farà alla sua maniera, con video, meme, GIF e via dicendo. Ma anche attraverso delle sessioni di domande e risposte con esperti. Sembra una iniziativa interessante, se trovate esempi segnalatemeli.
The Verge

AI
Il mercato delle facce fake

L’uso di tecnologie di intelligenza artificiale (AI) per creare fake (immagini di persone non esistenti o video in cui persone dicono o fanno cose che non hanno mai detto o fatto) sta già trovando un suo sbocco di mercato. Varie startup stanno vendendo immagini di facce generate dal computer per vari utilizzi, dalle pubblicità con modelli immaginari ad app di dating. (WashPost)
Individuare i fake a occhio nudo sta diventando sempre più difficile ma potete allenarvi su questo sito, Whichfaceisreal.com. Quale faccia è vera e quale generata da una AI?
Io ne ho individuate 8 su 10 (e ho sbagliato soprattutto le prime, poi ho iniziato a trovare un metodo di analisi).

DISINFO IN VENDITA
Le black PR che vendono fake online

“Se la disinformazione nel 2016 era caratterizzata da spammer macedoni che spingevano “fake news” pro-Trump e troll russi che imperversavano sulle piattaforme, il 2020 si sta configurando come l’anno in cui società di comunicazione metteranno sul mercato sofisticate operazioni di propaganda online per chiunque sia disposto a pagare”. In tutto il mondo, politici, partiti, governi e altri clienti comprano i servizi di quelle che nell’industria sono definite società di “black PR” per diffondere bugie e manipolare il discorso online, scrive in una bella inchiesta Buzzfeed.

SORVEGLIANZA
Una videocamera nella tomba

Il mercato della sorveglianza è più florido che mai. L’ultima novità, si fa per dire, è una società scovata da Vice che alle polizie locali americane vende videocamere inserite negli oggetti più inconsueti… dalle tombe agli aspirapolvere fino ai seggiolini. Per le esigenze di chi deve “condurre operazioni di sorveglianza da remoto dai cimiteri”
Vice

SAN DIEGO
7 anni di sperimentazioni di riconoscimento facciale. Risultato? Flop

Dal 2012 le forze di polizia di San Diego (Usa) hanno raccolto 65mila scan della faccia per abbinarli a un enorme database di foto segnaletiche. Ma non si sa quanto sia stata efficace l’iniziativa. Anzi, un portavoce dice di non essere a conoscenza nemmeno di un caso di arresto o indagine derivato dal programma. Che è stato interrotto.
Fast Company

CYBERSICUREZZA

RANSOMWARE
Lo spauracchio innominabile

Una società di telemarketing dell’Arkansas ha lasciato a casa 300 dipendenti dopo aver comunicato loro di aver prima subito un attacco ransomware, di aver pagato ma di non essere riuscita comunque a rimettere in piedi l’infrastruttura IT. Non sarebbe il primo caso in cui piccole realtà non superano il tracollo informatico di un attacco ransowmare (Zdnet). Questa però aveva 300 dipendenti. Forse merita qualche indagine in più per capire esattamente cosa sia successo.

Per altro, come racconta ProPublica, molte aziende negli Usa (solo negli Usa?...) tendono a nascondere il fatto di aver subito un attacco ransomware, parlando genericamente di incidente informatico. Questo per attirare meno attenzione da pubblico, investitori, regolatori. Ovviamente, è un problema anche in termini di difficoltà a monitorare il fenomeno.

Nel 2019 sarebbero state almeno 179 le città che hanno subito un attacco ransomware, secondo un rapporto della società Kaspersky. Che parla di un incremento del 60 per cento anno su anno.

SMARTPHONE
Usa: nel telefono per i meno abbienti nascosti dei malware non rimovibili - La Stampa
Una notizia ma anche una riflessione sulla privacy come lusso.

AI
Usa, alcuni limiti all’export

L’amministrazione Trump ha adottato delle misure per limitare l’export di alcuni software di AI, in particolare quelli che possono essere usati in sensori, droni, satelliti. Secondo alcuni esperti la misura è meno restrittiva di quello che si temeva.
Reuters

LETTURE

CLOUD EXTRACTION
Sebbene gran parte del dibattito e dell'immaginario sulla protezione dei dati personali si concentri sul dispositivo fisico (specie lo smartphone), sta diventando sempre più rilevante l'estrazione di dati dal cloud ("il computer di qualcun altro", come si dice con una battuta, ovvero i server delle aziende che ci forniscono varie app e servizi online e che duplicano i dati contenuti sui dispositivi). A sua volta l'accesso ai dispositivi (attraverso l'estrazione di login, password e token) permette di estrarre ulteriori dati dai servizi cloud. Non solo: in teoria, con l'acquisizione delle credenziali di login di vari servizi estratte da un telefono, è possibile "continuare a tracciare il comportamento online di un utente di un dispositivo anche se questi non è più in possesso del telefono".
A ricordarcelo è un rapporto della ong britannica Privacy International, che mostra come quasi la metà degli utenti inglesi non abbiano cognizione chiara del fatto che spesso i loro dati risiedano nel cloud, e di quali dati si tratti.
Ciò vuol dire, scrive Privacy International, "che le tecnologie di estrazione del cloud sono impiegate con poca trasparenza e in un contesto di scarsa conoscenza da parte del pubblico".
Poca trasparenza su chi, come, quando accede a questi dati; scarsa consapevolezza e conoscenza del fenomeno e delle sue implicazioni. Un binomio perfetto, quasi la formula classica per chi voglia abusare di tecnologie di raccolta dati e sorveglianza senza i limiti dello Stato di diritto.
Il report

KHASHOGGI
Il processo e le condanne agli anonimi esecutori dell’assassinio del giornalista Khashoggi (ucciso dai sauditi nel loro consolato a Istanbul) sono una farsa, e servono solo al principe bin Salman per dare un pretesto ai suoi alleati (come Trump) che giustizia è fatta, e si può procedere business as usual, scrive il NYT

SORVEGLIANZA
Hong Kong, la prima rivolta contro il capitalismo della sorveglianza
Minimaetmoralia

GIORNALISMI
Un giornalista americano che per anni ha coperto l’estremismo negli Usa, specie di destra, ha lanciato una newsletter dedicata a questo tema, The Informant. Per connettere i puntini. Su Substack. Mi ricorda qualcosa…. :) Good night and good luck!
Via Nieman Lab

GIORNALISMI 2
La copertura mediatica di un incidente stradale - Valigia Blu

DONNE E RETE
Secondo Amnesty International Italia 4 politici su 5 tra quelli che ricevono attacchi personali online sono donne. Laura Carrer affronta il tema della Cyber violence against women and girls (secondo le definizioni dell'UN Broadband Commission e l’UN Women) e lo fa raccontando di alcuni progetti e strategie di resistenza a livello internazionale.

DONNE, SCIENZA E POLITICA
E a questo proposito, raccomando un bel pezzo su donne e scienza tra passato e presente di Valigia Blu.
Un estratto:
“Nel libro "Inferiori. Come la scienza ha penalizzato le donne", pubblicato in italiano a ottobre 2019, Angela Saini scrive che “i medici sostenevano che lo sforzo mentale richiesto dall’istruzione superiore avrebbe potuto distogliere l’energia dal sistema riproduttivo della donna, danneggiandone la fertilità”.
Ma non riguarda solo il passato, visto che una decina di anni fa Enrico Moretti e Andrea Ichino avevano sostenuto che le donne si assentano di più dal lavoro durante le mestruazioni e questo andrebbe considerato nella retribuzione, che non può essere pari a quella degli uomini (si tratta di uno studio pubblicato nel 2009, le cui conclusioni sono state smentite dall'analisi dei dati ripetuta con maggiore rigore metodologico da Mariesa Herrmann e Jonah Rockoff nel 2012”.

Ti è piaciuta la newsletter? Inoltrala a chi potrebbe essere interessato!
E’ gratuita, indipendente, senza sponsor, mandanti o agende altrui, e si diffonde col passaparola dei suoi stessi utenti.
Come viene fatta questa newsletter (e come leggerla)
Per iscriversi: https://guerredirete.substack.com/
Buona domenica!

[Guerre di Rete - newsletter] Giro di vite social sull'ISIS

5G, Italia, Usa ed Europa; ransomware e sanità; riconoscimento facciale

Guerre di Rete - una newsletter di notizie cyber
a cura di Carola Frediani
N.54 - 8 dicembre 2019

Oggi si parla di:
- mia cronaca sul giro di vite online sull’ISIS
- 5G, Italia, Trump e quei documenti europei
- riconoscimento facciale tra Cina e Oregon
- ransomware e Italia
- e altro

SALUTI NATALIZI E RINGRAZIAMENTI
Questa è l’ultima edizione di Guerre di Rete prima delle vacanze natalizie. Tornerà ovviamente presto, a gennaio, forte di oltre 5mila iscritti. Grazie a tutti i lettori che mandano segnalazioni e messaggi.
Grazie anche alla giuria del Premio Galileo per la divulgazione scientifica che ha scelto il mio libro #Cybercrime (Hoepli) come finalista dello stesso premio. E a Raffaele Mastrolonardo che ha scritto una bella recensione del mio romanzo Fuori Controllo sul Secolo XIX, e che insieme agli altri di Chips&salsa (iscrivetevi alla loro newsletter) ha organizzato la presentazione genovese.
Buon riposo e vacanze a tutti!

Questo mio articolo qua sotto è uscito prima su Valigia Blu su cui potete leggerlo più agevolmente. Ricordo che Valigia Blu sta facendo crowdfunding, sosteniamoli!
LOTTA AL TERRORISMO
La guerra che l’ISIS sta perdendo online
La batosta è stata programmata. Un’azione congiunta, tra il 21 e il 24 novembre, coordinata dal quartier generale dell’Europol all’Aia insieme a 9 servizi online, tra cui Google, Files.fm, Twitter, Instagram e Telegram. Obiettivo: riportare alle piattaforme una montagna di segnalazioni sulla propaganda dello Stato Islamico (o ISIS), raccolte dall’unità specializzata nell’investigare contenuti su internet (la Internet Referral Unit): video, pubblicazioni, account sui social media. Le due giornate hanno portato in tutto alla segnalazione di oltre 26mila contenuti, ma anche account e canali, a sostegno del’ISIS, che poi i vari servizi online hanno valutato in base ai propri termini di servizio ed eventualmente rimosso.

Il giro di vite di Telegram
Una parte consistente di queste segnalazioni, spiega sempre in vari comunicati l’Europol, l’agenzia Ue di contrasto al crimine, ha riguardato proprio materiali, account, gruppi e canali su Telegram. Di conseguenza, “una porzione significativa di attori chiave della rete dello Stato Islamico su Telegram è stata buttata fuori dalla piattaforma”, scrive ancora l’agenzia, sottolineando lo sforzo attuato da Telegram nell’ultimo anno e mezzo per “sradicare” chi abusa del suo servizio sia “rafforzando le sue capacità tecniche nel contrastare contenuti malevoli, sia instaurando una stretta partnership con l’Europol”. Stessi toni trionfalistici anche nel comunicato della app di messaggistica fondata da due fratelli russi (poi emigrati altrove insieme all’azienda). “Dopo gli attacchi ISIS in Europa abbiamo tolleranza zero per la loro propaganda sulla nostra piattaforma”, ha scritto uno dei due cofondatori, Pavel Durov sul suo canale. “Nel contempo, continueremo a difendere il diritto assoluto dei nostri utenti alla privacy come nessun altro servizio, dimostrando che non devi sacrificare la privacy per la sicurezza. Puoi avere - e dovresti avere - entrambe”.

Dunque ci sono due elementi che emergono da queste giornate e che andrebbero sottolineati: la rete dello Stato Islamico è stata di fatto in gran parte smantellata su Telegram; Europol ha riconosciuto pubblicamente lo sforzo della piattaforma, polverizzando con un comunicato anche l’immaginario mediatico che dipingeva sempre tale app come un ricettacolo di terroristi che comunicano in modo cifrato - come se Telegram avesse il monopolio della cifratura poi; oggi è semmai difficile trovare una app di messaggistica decente che non sia cifrata.Inoltre questo nuovo corso fra Telegram-Europol (e governi occidentali) è politicamente interessante di per sé, anche se non è chiaro cosa implichi (una ipotesi: il massimo della collaborazione sul terrorismo in cambio di una non-belligeranza su altri fronti?).

Un dato è certo: lo sforzo di Telegram c’è stato, commenta a Valigia Blu Michael Krona, professore di media e comunicazione alla svedese Malmo University e autore del recente saggio The Media World of ISIS. “È interessante il fatto che nei giorni successivi all’azione dell’Europol, la stessa Telegram abbia continuato a chiudere account a una velocità che non avevano mai avuto prima”, prosegue Krona. “Anche se c’è ancora attività sulla piattaforma, questa è stata ridotta in modo significativo e i nuovi canali che aprono sono chiusi nel giro di una o due ore. A rendere possibile tutto ciò probabilmente una combinazione di filtri automatici - dato che molte aziende tech hanno rafforzato le loro capacità tecniche così come le policy nella ricerca di materiale terroristico online - e di segnalazioni umane. Ritengo tuttavia che Telegram abbia avuto la capacità di chiudere account da molto tempo, ma per una ragione o l’altra non lo abbia fatto. Non so se o cosa gli sia stato offerto in cambio della cooperazione con Europol”.

Sostenitori dell’ISIS dispersi online
Ma il terzo dato interessante è che, come conseguenza del giro di vite, i soggetti pro-ISIS ono stati dispersi e si sono messi in cerca di altre piattaforme; e questo ha prodotto un po’ di agitazione negli analisti e osservatori. Ma al momento, come può confermare anche Valigia Blu, continuano ad avere vita dura.
Dopo le cancellazioni su Telegram e su altri grossi social, la propaganda pro-Stato Islamico ha infatti iniziato a spostarsi altrove, come hanno notato vari osservatori, dalla giornalista Rukmini Callimachi allo stesso Michael Krona. Ma a dirlo erano gli stessi protagonisti, cioè alcuni nodi informativi dello Stato Islamico, come Quraysh che, secondo Jihado Scope e altri, avvertiva della cancellazione di migliaia di account su Telegram consigliando di fare dei backup.
Una parte dei profili ha iniziato a ricrearsi su altre app di messaggistica, in particolare su TamTam, dove sarebbe apparsa anche una rivendicazione per l’attacco sul ponte di Londra del 29 novembre, riferiscono alcuni ricercatori.

Il tentativo (fallito) di riparare su TamTam
TamTam è una app di messaggistica molto simile a Telegram, lanciata nel 2017 dal gruppo russo Mail.ru (una delle maggiori aziende internet del Paese, lo stesso che controlla il social network Vkontakte) e basata a sua volta su una precedente app, OK Message. Nel 2018, proprio mentre Telegram era ai ferri corti con Mosca e non voleva consegnare ai servizi di sicurezza le chiavi di cifratura con cui protegge una parte delle conversazioni degli utenti, al punto da essere bloccata (con poca efficacia a dire il vero) dalle autorità, TamTam ne approfittava per farsi pubblicità e racimolare utenti. Questa volta però gli iscritti raccolti e ricevuti da Telegram sarebbero stati alquanto scomodi.

È anche vero che da subito qualcuno ha notato come in un servizio dalla diffusione decisamente più limitata, come TamTam, i pro-ISIS - arrivati per di più in massa, tutti assieme - sarebbero stati molto visibili, insomma non avrebbero potuto giocare facilmente a fare l’ago nel pagliaio. E così in effetti è avvenuto. Lo staff di TamTam ha affrontato subito la questione, iniziando a cancellare account. O a bloccare canali e rimuovere i contenuti. Nel giro di qualche giorno, tra il 29 novembre e il primo dicembre, l’emergenza TamTam è rientrata e molti, come il ricercatore Charlie Winter, si sono congratulati con la sua capacità di intervento, probabilmente agevolata dalle segnalazioni di ricercatori e cittadini (in Francia soprattutto c’è una rete “anonima” di cacciatori online di profili ISIS che si dà molto da fare su questo fronte). Guerre di Rete ha provato a vedere se si trovavano facilmente noti canali di propaganda ISIS e ne ha trovato alcuni pressoché vuoti e privi di utenti in cui i contenuti erano stati quasi immediatamente cancellati.

Altri tentativi, tra Riot e Hoop
Nel mentre, i pro-ISIS dibattevano su dove andare, saltando, come notato anche da BBC Monitoring, da una piattaforma all’altra. Oltre a TamTam, ci sono state segnalazioni su un afflusso di account dello Stato Islamico su altre due app di messaggistica minori e poco note, Riot e Hoop Messenger. Ma in entrambi i casi ci sono state reazioni, e di nuovo l’afflusso non deve essere passato inosservato. Addirittura già il 26 novembre, quindi ancora a ridosso del blitz Europol-Telegram, lo stesso Quraysh riferiva che Riot stava cancellando molti account di sospetti sostenitori ISIS, segnalava Jihado Scope. Anche Hoop Messenger (app prodotta dall’azienda canadese Magnificus Software e lanciata nel 2015) si è messa al lavoro, come comunicato dai suoi account ufficiali. Ma, avvertivano loro stessi, “la crescita è rapida perché creano nuovi canali con telefoni e alias differenti. E siccome gli alias non sono connessi agli account master non possiamo identificarli”. Il riferimento è a una specifica funzione di Hoop che permette di creare, oltre al proprio account principale (detto master), degli altri account sotto altri nomi che di fatto sono separati e autonomi. Malgrado dunque l’impegno messo dalla piattaforma, Guerre di Rete ha facilmente trovato almeno un canale attivo pro-ISIS con quasi duecento iscritti. Anche Hoop (come TamTam) è molto simile a Telegram, anche se con qualche funzione diversa, ma tutte queste piattaforme di messaggistica cifrata sono sfruttate dalla propaganda pro-ISIS anche per la funzione dei canali, aperti al pubblico, che permettono di fare broadcasting dei messaggi agli iscritti. Su Telegram però è molto più evidente la procedura per segnalare un canale, su Hoop è meno chiaro.

Un ISIS online frammentato
Altre app di chat finite nel mirino degli osservatori sono state RocketChat, Threema e Conversation, anch’esse piuttosto di nicchia. Ma un dato è chiaro: mai come oggi l’ISIS online è disperso e frammentato, come appare evidente e come ha rilevato lo stesso Krona. Tuttavia, commenta lui stesso a Valigia Blu, “non penso che l’attuale frammentazione e le sperimentazioni su varie piattaforme continueranno per molto tempo. Credo che lo Stato Islamico e i suoi sostenitori, come hanno fatto in passato, si sistemeranno su una piattaforma principale da cui l’organizzazione possa centralizzare le sue comunicazioni ufficiali e stabilire legami con i canali di distribuzione pro-IS, come avevano fatto su Telegram. Resta da vedere dove finiranno, mentre la loro ricerca di un sistema stabile, sicuro e cifrato continua”.
Di fatto la situazione attuale è però questa. Alcuni analisti di intelligence possono essere infastiditi per aver perso traccia di molti account. Ma la forza di propaganda online dell’ISIS non è mai stata così tenue.


5G
Ma quindi l'Italia come si comporterà con Huawei?
Non si capisce bene. L'Italia ha messo dei paletti sulla sicurezza del 5G ma non vuole prendere una posizione netta al riguardo.
Tutto nasce dalle dichiarazioni di Trump al vertice Nato dove avrebbe detto che l'Italia probabilmente non avrebbe proseguito con i piani 5G di Huawei, il colosso cinese particolarmente osteggiato dagli americani. Ma il premier Conte si è smarcato, specificando che ci sono delle nuove regole generali al riguardo, ed evitando di menzionare ostracismi specifici. "Di fronte a qualsiasi richiesta di un operatore del settore delle telecomunicazioni che propone una tecnologia 5G, abbiamo un perimetro di sicurezza cibernetica e delle strutture operative che indagheranno e vaglieranno le singole richieste, e su quello ci atteniamo.” (DDay)

Un ulteriore commento è arrivato a un convegno sul 5G da parte di Gennaro Vecchione, direttore generale del Dipartimento delle informazioni per la sicurezza, cioè il vertice dei nostri servizi. "L’architettura nazionale oggi prevede un sistema molto equilibrato, dal golden power allargato a 5G al perimetro cibernetico”, ha spiegato Vecchione. In caso di aggressioni ostili alle nostre aziende, “il golden power comporta l’obbligo di notifica alla presidenza del Consiglio”. Se si sospetta che le acquisizioni da parte di aziende estere su quelle nazionali siano “un tentativo di depauperare le imprese italiane di tecnologie, questo non può essere consentito”. In questo ambito sono possibili tre opzioni per il governo: “bloccare l’operazione, consentirla, o consentirla ma con dei paletti”, monitorando quello che accade (Agenzia Nova).
Cosa è e a cosa si applica il golden power (Ispi, archivio)
Cyber: 5G Italy, sovranità digitale e perimetro cibernetico - Ofcs

Al di là del battibecco Trump-Conte, in Italia è però passata quasi sotto silenzio un importante documento del Consiglio europeo Ue, pubblicato il 3 dicembre. Si tratta delle Conclusioni del Consiglio sull'importanza del 5G per l'economia europea e sulla necessità di attenuare i relativi rischi per la sicurezza. In cui tra le altre cose viene messo nero su bianco che “la sicurezza del 5G è considerata un processo continuo, che inizia con la selezione dei fornitori e dura per tutta la fase di produzione degli elementi di rete e il tempo di vita utile delle reti. Nell'elaborazione del profilo di rischio del fornitore dovrebbero essere presi in considerazione anche fattori non tecnici, e i componenti essenziali per la sicurezza nazionale dovrebbero provenire esclusivamente da parti affidabili (comunicato Consiglio, grassetto mio).
Se si va a vedere in dettaglio le conclusioni, il Consiglio enfatizza il fatto che “i cambiamenti tecnologici introdotti dal 5G aumenteranno la superficie di attacco complessiva e richiedono una particolare attenzione ai profilo di rischio di fornitori individuali”. Il Consiglio sottolinea anche che “oltre ai rischi tecnici collegati alla cybersicurezza delle reti 5G, anche fattori non tecnici come la cornice politica e legale a cui il fornitore possa essere soggetto in un Paese terzo dovrebbe essere considerata”(grassetto mio).

La valutazione dei rischi di ottobre

Inoltre il documento ribadisce e rimanda alla valutazione dei rischi fatta dallo stesso Consiglio ad ottobre. A cosa erano dunque legati i rischi di sicurezza del 5G secondo questo documento di ottobre dell'Europa oggi riconfermato e rilanciato?
- innovazioni chiave della tecnologia 5G (ruolo e preminenza del software, ampia gamma servizi e applicazioni, ampia superficie di attacco, rischio di vulnerabilità per errore o volute, cioè backdoor inserite nei prodotti)
- ruolo dei fornitori nel costruire e operare reti 5G e dipendenza su singoli fornitori
E qui vale la pena riportare questo passaggio: “Tra i vari attori potenziali, Stati non Ue o attori appoggiati da Stati sono considerati i più seri e i più probabili nel prendere di mira reti 5G. In questo contesto di esposizione aumentata ad attacchi facilitati da fornitori, il profilo di rischio di fornitori individuali diventerà particolarmente importante, inclusa la probabilità del fornitore di essere soggetto all’interferenza di uno Stato non Ue” (mio grassetto).

È in questo quadro che va dunque letto l’ottimismo e la soddisfazione di Trump rispetto al comportamento di Stati europei sul 5G, Italia inclusa. Quali sono i prossimi passi? Entro il 31 dicembre, il gruppo di cooperazione NIS (dalla direttiva Nis) deve accordarsi su una serie di strumenti/indicazioni per mitigare i rischi evidenziati a livello nazionale e europeo. E qui si andrà più nello specifico. Come si mitigherà il rischio che un fornitore di uno Stato non Ue possa essere condizionato dall’interferenza del suo governo? Qui si giocheranno l’ultima partita e i residui margini di manovra, ma le regole generali sono state fissate.
Non a caso il Dipartimento di Stato Usa dice di attendere con ansia la pubblicazione di queste indicazioni per mitigare i rischi, e di sperare che contengano “misure forti” per affrontare i rischi identificati in questi due documenti che ho descritto sopra (di ottobre e dicembre) (C4isrnet).

RICONOSCIMENTO FACCIALE
La Cina rilancia

"Per proteggere i diritti e gli interessi legittimi dei cittadini nel cyberspazio" d'ora in poi chi dovrà fare un abbonamento internet o di telefonia mobile dovrà sottoporsi a riconoscimento facciale, oltre a fornire come già avviene la propria carta d'identità. Tutto ciò accade in Cina (non è la proposta di qualche politico italiano, non ancora almeno). Del resto, Pechino spinge da anni perché le persone usino internet e vari servizi (tra cui forum, chat ecc) solo attraverso la loro identità reale, con una serie di strette progressive, come la Legge sulla cybersicurezza del 2017 (LawfareBlog, archivio)

Ora una nuova legge sugli operatori telefonici appena entrata in vigore ci mette il carico del riconoscimento facciale. Obiettivo: giro di vite sulle connessioni mobili ed estendere ulteriormente l'uso di una tecnologia già molto adottata nel Paese, sia in applicazioni commerciali sia a fini securitari e di controllo (ad esempio nella regione del Xinjiang di cui dicevo nella scorsa newsletter). Secondo BBC, la stessa apparentemente inarrestabile diffusione del riconoscimento facciale starebbe però incontrando perplessità e resistenze, soprattutto per il timore che quei dati possano essere sfruttati per scopi malevoli da criminali, aziende, ma anche dallo stesso Stato.
Vedi anche Wired Italia

OREGON
Mentre Portland frena
Portland in Oregon, dal suo canto, vuole vietare anche l’uso commerciale e privato del riconoscimento facciale
Fast Company

TIKTOK
Non si combatte il bullismo nascondendo i soggetti considerati deboli
Nuove polemiche sul social TikTok per delle indicazioni date ai moderatori che in sostanza riducono la visibilità di contenuti pubblicati da persone con disabilità o specifiche caratteristiche fisiche con l’apparente scopo di diminuire il rischio che possano essere bullizzate. Ovvero invece di contrastare meccanismi e utenti che bullizzano si mettono in un angolo potenziali (e a volte solo presunte) vittime.
Netzpolitik

CYBERSICUREZZA
Che dati raccogli?
Mozilla ha rimosso 4 estensioni del suo browser Firefox realizzate dagli antivirus Avast e AVG dopo aver ricevuto segnalazioni che queste stavano raccogliendo troppi dati sugli utenti, incluse le cronologie browser.
Zdnet

BUG BOUNTY
La Finlandia ci crede
Un programma di bug bounty, di segnalazione di bachi di sicurezza in cambio di soldi, è stato messo in piedi dal ministero degli Esteri finlandese su alcuni siti.
Notare la spiegazione ufficiale. “Questi siti sono comunque oggetto di attacchi non autorizzati e tentativi di intrusione, quindi il Ministro vuole incoraggiare hacker che operino in modo legittimo a esaminare i servizi e a riferire quello che scoprono in cambio di un compenso”.

AZIENDE, ASSICURAZIONI E CYBERATTACCHI
Lo scontro tra il gigante farmaceutico Merck - pesantemente colpito dal malware NotPetya nel 2017, attribuito da alcuni governi e società alla Russia - e le assicurazioni che non vogliono pagare i danni perché assimilano l'attacco informatico a un atto di guerra potrebbe ridisegnare il panorama delle polizze e le opzioni per le aziende, sempre più esposte a rischi cyber. Bloomberg fa il punto sulla vicenda.

ITALIA E RISCHIO RANSOMWARE
Addio lastre?

L’ospedale Fatebenefratelli di Erba (Como) è stato vittima di un ransomware, i software malevoli che cifrano i file e chiedono un riscatto. Il risultato è che sono finite cifrate 35mila radiografie, tra le altre cose. Ma quel che sembra di capire da alcuni articoli è che potrebbero essere finiti male anche i backup, o comunque qualcosa sarebbe andato storto.
“I tecnici che si sono messi all’opera hanno scoperto che le radiografie scomparse risalgono agli ultimi dodici mesi. Una situazione che potrebbe provocare parecchi disagi agli utenti che non hanno a disposizione una copia dell’esame. Per questo l’ospedale Fatebenefratelli attraverso i suoi uffici sta cercando di contattare gli utenti coinvolti” (Il Giorno). 
Davvero si sono perse per sempre delle radiografie e degli esami diagnostici? Davvero bisogna fare affidamento su eventuale copia del paziente? Per quanti pazienti?
Questa è una storia da approfondire, e non può essere lasciata cadere così. Da mesi questa newsletter racconta casi simili negli Stati Uniti e in Europa. È necessario che le strutture sanitarie prendano tutti i provvedimenti del caso per evitare rischi simili, anche perché segnalo che in questo ultimo mese sembra essersi dispiegata una campagna insidiosa di ransomware, che fa leva - mi spiega Stefano Fratepietro della azienda di sicurezza Tesla Consulting - su allegati .doc e più raffinate tecniche di evasione. Il rischio di infezione da ransowmare potrebbe diventare di nuovo alto, e i riscatti chiesti, sottolinea sempre Fratepietro, sono molto salati. “Per i backup è importante che questi siano segregati e che dalla rete dei client, spesso target diretto dei ransomware, sia impossibile accedere alle copie di backup generate dai server aventi questo scopo” , commenta ancora Fratepietro 

Disservizi per la multiutility
Anche la multiutility IREN potrebbe essere stata vittima di un software malevolo, riferiscono Il Quotidiano italiano e la Gazzetta di Parma. L’azienda si è limitata a dire di stare facendo degli interventi di manutenzione straordinaria e di avere dei disservizi tecnici.

LETTURE
TECH
L'ascesa di Shenzen
Non più solo produttore di hardware a buon prezzo. La città cinese sta diventando un centro nevralgico che connette produzione, innovazione e conoscenza.
MIT Technology Review

GUIDE DI AUTODIFESA DIGITALE
Una guida di base sul rapporto fra utenti e mondo online: profilazione a fini di marketing e propaganda, disinformazione, privacy, anonimato digitale e social network. L'ha fatta CILD, Coalizione Italiana Libertà e Diritti Civili

PUBBLICITA’ E DISINFORMAZIONE
Disinformazione e manipolazione. Il pericolo è il microtargeting degli annunci politici
Valigia Blu

ODIO OFFLINE
Quando a diffondere l’odio è un professore universitario
https://www.valigiablu.it/nazismo-castrucci-universita-siena/

INTERNET E DIRITTI
La libertà di internet è messa sempre più in pericolo da strumenti e tattiche di un autoritarismo digitale, che si è diffuso in tutto il mondo. Leader politici hanno pagato individui per cercare di condizionare online in modo surrettizio le opinioni dei cittadini in 38 Paesi di 65 osservati. La crescita del populismo e dell’estremismo di destra in molti Paesi ha coinciso con la crescita di masse online iper-partigiane che includono sia utenti autentici che account fraudolenti e automatizzati.
La libertà di internet globale è declinata per il nono anno consecutivo.
Alcuni flash dal report Freedom of the net 2019.

CINA E TWITTER
Il ricercatore Luigi Gubello ha approfondito la sua analisi sulla propaganda cinese su Twitter, di cui avevamo parlato in newsletter. Ora trovate più dettagli e alcune ipotesi interessanti (lettura abbastanza tecnica, in inglese)

SPAGNA
Che succede in Spagna? Cosa è il decreto contro la repubblica digitale catalana?
Ne parla Matteo Flora in un video.
Altre fonti - El Diario - Il Fatto Quotidiano

APP
Signal è finita sui media nazionali, citata in un fatto di cronaca. Su Agi si spiega come funziona

TV
La trasmissione tv Petrolio ha dedicato una puntata ad Amazon
Atlantide ha fatto una puntata su Jamal Khashoggi che i lettori di questa newsletter conoscono bene

Ti è piaciuta la newsletter? Inoltrala a chi potrebbe essere interessato!
E’ gratuita, indipendente, senza sponsor, mandanti o agende altrui, e si diffonde col passaparola dei suoi stessi utenti.
Come viene fatta questa newsletter (e come leggerla)
Per iscriversi: https://guerredirete.substack.com/
Buona domenica!

[Guerre di Rete - newsletter] USA vs Cina e la battaglia informativa

Singapore e le fake news; Onu e sorveglianza, Città e algoritmi

Guerre di Rete - una newsletter di notizie cyber
a cura di Carola Frediani
N.53 - 1 dicembre 2019

Oggi si parla di:
- Usa vs Cina e la battaglia sui media
- China Cables e uiguri
- Singapore e le fake news
- Città e algoritmi
- Onu e industria della sorveglianza
- Garante privacy
- e altro

INFORMAZIONE E PROPAGANDA
Usa e Cina rilanciano sui media rivolti all'estero
Lo scontro commerciale, tecnologico, economico fra Stati Uniti e Cina si giocherà sempre di più anche sul terreno dell'informazione, della disinformazione e della propaganda. Da entrambi i fronti.

Ascesa e declino della dottrina del soft power
Anche facendo leva sul soft power. Con questa espressione ci si riferisce a un concetto, sviluppato anni fa da un funzionario dell'amministrazione Clinton e professore di Harvard, Joseph Nye, in cui la politica estera di un Paese - in particolare degli Stati Uniti - si esercitava anche attraverso l'influenza culturale e ideologica. Un'influenza scientemente perseguita finanziando anche think tank, media, centri di ricerca, strumenti, diffusione di tecnologie.
Vero è che la dottrina del soft power americano - e la sua punta di diamante di "diplomazia digitale", con la scommessa-corollario sulla "libertà di internet", incarnata da figure come Alec Ross e Jared Cohen (entrambi ex consiglieri di Hillary Clinton quando era segretaria di Stato) - si è progressivamente sgretolata negli ultimi anni, tra amministrazione Trump, "America First", e il ribaltamento del dibattito pubblico sui social media da piattaforme abilitanti di rivoluzioni democratiche (vedi Primavera Araba) a macchine di disinformazione, "fake news", operazioni di influenza straniere, odio organizzato e via dicendo.
Dunque il soft power americano - e la sua dottrina - è in declino, scriveva Foreign Policy nel 2018. Mentre, aggiungeva, si sta configurando una sorta di nuovo soft power cinese. Scollegato però dal liberalismo (e ancor di più dall'idea di una internet libera, aggiungo io), spinto attraverso "partneriati" economico-infrastrutturali, puntellato sull'ideologia di "una comunità dal destino comune", per citare il presidente Xi Jinping.

Un network di informazione americano in cinese
Fatta questa premessa, ora il soft power americano sta tornando al contrattacco. Il governo Usa starebbe infatti per lanciare un nuovo progetto di informazione in mandarino, secondo fonti del South China Morning Post, che avrebbe avuto accesso anche a memo interni di organizzazioni americane. A guidare l'iniziativa, due storici media proiettati all’estero finanziati dal Congresso Usa, Voice of America (VOA) e Radio Free Asia (RFA) - il poliziotto buono e quello cattivo, li chiama il professore americano Nicholas Cull, citato dallo stesso South China Morning Post, per distinguerne l'approccio - che daranno vita a un nuovo network, Global Mandarin, con budget annuale iniziale tra i 5 e i 10 milioni di dollari. Obiettivo: raggiungere giovani cinesi negli Usa, nel mondo e, qui le cose si fanno più difficili, in Cina.
Dunque un network di informazione in lingua, che si aggiunge a Current Time - canale in russo lanciato nel 2017 e concentrato su Russia, Ucraina, Paesi baltici, per altro designato come agente straniero da Mosca- e VOA365, network in persiano nato nel 2019 che vuole raggiungere giovani iraniani.

I media esteri made in China
La Cina non è rimasta a guardare. Negli ultimi anni (dal 2009) avrebbe infatti speso 6,6 miliardi di dollari per promuovere la sua visione del mondo in inglese e in altre lingue, con anche una crescente presenza sui social media (dato riportato da South China Morning Post). Nel 2018 ha riorganizzato i suoi media volti all'estero - China Central Television (CCTV), China National Radio e China Radio International - in Voice of China. Per capirci, China Radio International trasmette in 65 lingue (CNN).

La classifica del soft power
Tornando al soft power, interessante vedere anche l'ultima classifica globale (sì, esiste un report annuale con classifica sul soft power) in cui gli Stati Uniti sono ormai scesi in quinta posizione. Chi invece è primo? La Francia, forte non solo della tradizione culturale e della sua proiezione globale (che pesano nella valutazione) ma anche - secondo il report The Soft Power 30 2019 - del ruolo di Macron sulla scena internazionale, che avrebbe sfruttato il vuoto lasciato da Trump, da una Gran Bretagna avvitata su se stessa a causa della Brexit, e da una Germania più debole politicamente. Ad ogni modo, dopo la Francia seguono UK, Germania, Svezia, US, Svizzera, Canada, Giappone, Australia, Paesi Bassi, e Italia (che è quindi undicesima). La Russia è trentesima.

Rimpicciolire big tech non fa i conti con la sua natura e con la competizione Usa-Cina
Digressione ma non troppo. I discorsi (inclusi quelli della senatrice americana Warren) contro big tech (le grandi aziende tecnologiche) sono destinati a infrangersi contro il fatto che rimpicciolire big tech significa rimpicciolire il ruolo di Wall Street, del Pentagono, e dell’America, scrive, in sintesi, Evgeny Morozov sul Guardian, ricordando lo stretto legame fra tali colossi tecnologici e l’apparato militare-industriale e di intelligence statunitense. Dunque “nulla di questo accadrà, specialmente viste le ansie americane sull’ascesa globale della Cina in tutte e tre le dimensioni - tecnologia, finanza, e potere militare”.

Così lontana, così vicina
A questo proposito, scrive ilmanifesto in uno speciale sulla Cina e l’impero dei dati, “mentre la Cina è impegnata a tranquillizzare tutti, assicurando che la globalizzazione mondiale a trazione cinese sarà un destino comune, un futuro win win che cercherà di portare benefici per tutti, e cerca di diffondere immaginari più positivi riguardo al futuro tecnologico mondiale, quanto sta succedendo in Cina nell’ambito tecnologico (e nelle sue derive securitarie), non è tanto diverso da quanto accade in Occidente e, anzi, ne influenza già alcune pratiche che se in Cina sono già realtà, in Occidente lo diventeranno molto presto”.
Leggi anche:
Gli esperimenti cinesi di poesia AI (ilmanifesto)
Colloquio sulla fantascienza cinese (Il manifesto)

CINA E SORVEGLIANZA
China Cables, manuale di “rieducazione” forzata con l’aiuto dell’intelligenza artificiale
L’hard power però non è mai scomparso. E si esercita mescolando vecchie pratiche e nuove tecnologie. È il caso della “formazione volontaria al lavoro". Il governo cinese chiama così la detenzione di “centinaia di migliaia” di persone appartenenti a minoranze etniche, la maggior parte musulmane. Ma un “manuale” riservato giunto nelle mani di un consorzio di organizzazioni giornalistiche,“dimostra che questi campi sono invece esattamente ciò che hanno descritto gli ex detenuti: centri segreti di forzata rieducazione ideologica e comportamentale”, scrive RaiNews, riprendendo questa mega inchiesta del Consorzio Internazionale di Giornalisti d'Inchiesta (ICIJ). Il leak mostra anche, scrive il Consorzio, “come la polizia cinese sia guidata da una raccolta massiccia di dati e da un sistema di analisi che usa l’intelligenza artificiale per selezionare per la detenzione intere categorie di residenti dello Xinjiang”.

Invece e separatamente, giorni fa il New York Times aveva ottenuto più di 400 pagine di documenti riservati sottratti al governo cinese che mostrano e raccontano il modo in cui il regime comunista ha organizzato le detenzioni di massa e la repressione delle minoranze musulmane nella provincia occidentale dello Xinjiang, tra cui quella degli uiguri, scrive Il Post.
La regione dello Xinjiang è uno dei posti più sorvegliati al mondo: gli abitanti sono sottoposti a controlli di polizia quotidiani, a procedure di riconoscimento facciale e a intercettazioni telefoniche di massa. Secondo l’organizzazione Chinese Human Rights Defenders in questa regione si verifica il 20% degli arresti del Paese, scrive SkyTg24.

HONG KONG
Cos’è la legge “pro proteste” di Hong Kong degli Usa e perché la Cina si è innervosita
Intanto, lo scontro Usa-Cina apre in Hong Kong un nuovo fronte. Il presidente degli Stati Uniti Donald Trump ha infatti firmato l'Hong Kong Human Rights and Democracy Act, un disegno di legge che vincola il trattamento speciale riservato dagli Usa all’ex colonia britannica a revisioni periodiche sullo stato dei diritti umani, scrive Simone Pieranni su il manifesto in un approfondimento.
In ballo 38 miliardi di dollari di scambi tra Hong Kong e gli Stati Uniti.

CINA-ITALIA
Se ve lo foste persi, ma non credo visto che la vicenda stava in tv:
La Cina ha definito «un grave errore e un comportamento irresponsabile» la videoconferenza dell’attivista di Hong Kong Joshua Wong al Senato italiano – Il Post

FAKE NEWS
Singapore applica la legge sulle fake news ed è subito Orwell

Volete vedere cosa succede quando si ha una legge che interviene sulle cosiddette “fake news” (termine come sappiamo vago, inusabile, fazioso e abusato, in primis dai politici)? Bene, basta guardare Singapore. La legge della città-Stato contro le “fake news” - orwellianamente chiamata Protezione dalle Falsità e Manipolazioni Online (POFMA) - approvata a maggio e entrata in vigore il 2 ottobre è già stata applicata in due casi eclatanti. Il primo: contro un politico di opposizione, Brad Bowyer, che su Facebook aveva fatto un post in cui metteva in discussione l’indipendenza di due aziende di investimento statale rispetto al governo. Lo stesso governo (nemmeno un magistrato) ne ha chiesto la correzione, e Bowyer ha acconsentito. Ora vi voglio riportare testuale la comunicazione ufficiale, perché credo trasmetta un “vibe” che bisogna sentire sulla pelle.
“Il ministro delle Finanze ha istruito l’ufficio del POFMA di emettere un Ordine di Correzione al signor Brad Bowyer rispetto al suo post Facebook datato 13 novembre 2019, ore 7.46pm”, recita il comunicato dello stesso ufficio del POFMA. “L’ordine di correzione richiede che il signor Bowyer metta per intero una nota di correzione in cima al suo post Facebook”. (ChannelNewsAsia)
(Altrimenti partirà un un impulso elettrico al chip impiantato nel suo cervello che ne determinerà morte immediata. Ah no, scusate, mi sono fatta trasportare dall’atmosfera...)
Tornando al comunicato del ministro, dice anche che “il post del signor Bowyer contiene chiaramente delle affermazioni false su fatti, e mina la fiducia pubblica nel governo”. Bowyer, dicevamo, ha corretto senza particolari opposizioni. Chi pubblica affermazioni considerate false con “intento malevolo” rischia di essere incriminato, una multa salata e fino a 10 anni di prigione.

Il secondo caso però è ancora più interessante. Perché l’ordine di correzione è stato emesso contro un post Facebook di una pagina, States Times Review, molto critica verso il governo di Singapore, e tenuta da un cittadino australiano che risiede all’estero. Non solo. Ma poiché costui, il blogger Alex Tan Zhi Xiang, si è rifiutato, le autorità si sono rivolte direttamente a Facebook, applicando la parte più controversa della legge, quella che può obbligare la stessa piattaforma a inserire note di correzione a post dei suoi utenti, pena una multa fino a 365mila dollari, con cifre a salire per ogni giorno che passa di non conformità all’ordine. Non è chiaro, mentre scrivo, che cosa abbia effettivamente fatto Facebook (FT). Potrebbe infatti decidere di appellarsi contro la richiesta, ma prima dovrebbe comunque eseguire l’ordine (SouthChinaMorningPost). Secondo Reuters, la correzione sarebbe stata pubblicata. Ma ancora ieri un post della pagina States Time Review ringraziava Facebook per non aver eseguito l’ordine. (Paradossalmente, gli stessi meccanismi opachi del feed di Facebook rendono difficile verificare se qualcuno e chi stia vedendo una correzione).
Nel mentre, è probabile che la pagina States Time Review abbia beneficiato di un effetto Streisand (semplificando, quando il tentativo di censurare un contenuto gli fa ancora più pubblicità e ti si ritorce contro).

LEGGE SU ODIO ONLINE
Francia insiste malgrado le critiche

Nel mentre in Francia, malgrado sia arrivata una lettera di critiche della Commissione europea sulla sua controversa proposta di legge contro l’odio online, il governo tira dritto (Next Inpact). Le critiche riguardavano ad esempio il rischio di dover introdurre un filtraggio automatico e generale di tutti i contenuti, scrive NextInpact (2), e il rischio di rimuovere contenuti legali compromettendo la libertà di espressione. Del rischio di una censura precauzionale derivante dalla legge e di altri problemi della stessa aveva scritto anche il rapporteur Onu sulla libertà di espressione David Kaye, come avevo raccontato in newsletter.

DIRETTORE DEGLI ALGORITMI
New York vuole più trasparenza nelle decisioni pubbliche, ma c’è un problema
La città di New York ha un direttore degli algoritmi. Ok la dicitura è Algorithms Management and Policy Officer. Che dovrebbe fare? Gestire tutte le questioni etiche legate all’uso di algoritmi/software per automatizzare decisioni, sviluppare linee guida e buone pratiche per rendere tali meccanismi più equi e le decisioni prese più trasparenti. Il ruolo nasce dalla pubblicazione di un report (Pdf) di una commissione cittadina, la task force sui sistemi di decisione automatizzata (ADS), che per 18 mesi ha analizzato l’uso cittadino di tali sistemi. (Ars Technica)
Cosa è un ADS (Automated Decision System)? Sono strumenti o sistemi usati da una amministrazione pubblica, come New York, per agevolare il processo decisionale nel gestire e allocare servizi e risorse per i residenti. Strumenti che fanno uso di algoritmi, dati, machine learning, con tutti i rischi di bias, pregiudizi, e poca trasparenza sottolineati da innumerevoli studi
L’iniziativa è meritoria, lungimirante e va osservata con attenzione. Tenendo presente però due problemi: 1) non è stato definito chiaramente cosa sia un ADS, e la definizione è diventata troppo ampia, le soluzioni troppo teoriche; 2) la città non ha fornito info e dati sui programmi già in uso, azzoppando la task force. Questa almeno è la critica di Albert Fox Cahn, che ha preso parte al progetto (Fast Company)

GOOGLE
Tra antitrust europeo e lavoratori
La grande G è appena entrata nel radar dei regolatori antitrust europei che stanno indagando sulla sua raccolta di dati, ha scritto ieri Reuters in esclusiva. Se ne sa ancora poco, vedremo.
Reuters
Intanto, internamente, Google è criticata per aver licenziato quattro dipendenti per violazioni delle policy sulla sicurezza e accesso a documenti cui non dovevano accedere. Ma si dà anche il caso che fossero molto attivi nella fronda interna di critiche per alcune scelte di business dell’azienda (ad esempio la collaborazione con l’agenzia di controllo delle frontiere americana)
The Verge

ATTACCHI SPONSORIZZATI DA STATI
270 gruppi impegnati a fare attacchi
Ma Google rilancia (anche la propria immagine) sul fronte sicurezza. Denunciando la crescita di attacchi sponsorizzati da Stati. Il gruppo di analisi delle minacce (TAG) della multinazionale ha comunicato di stare tracciando ben 270 gruppi di attacchi mirati o sponsorizzati da Stati in 50 Paesi, impegnati a prendere di mira suoi utenti. Il loro obiettivo è raccogliere intelligence, rubare proprietà intellettuale, colpire dissidenti e attivisti, compiere cyberattacchi distruttivi, diffondere disinformazione coordinata. Così, tra luglio e settembre 2019, Google ha inviato più di 12mila avvisi ai suoi utenti in 149 Paesi dicendo loro che erano stati presi di mira da attacchi di origine statale. Molti di questi target, vittime, stanno negli Usa, Canada, Pakistan, India, Turchia, Nigeria, Arabia Saudita, Iran, Egitto, Corea del Sud, Vietnam. Il 90 per cento sono stati attaccati attraverso mail di phishing che cercano di rubare le credenziali (password ecc). Ma anche app malevole per Android, come avvenuto in un attacco da parte del gruppo Sandworm (considerato russo) in Ucraina e Corea del Sud.
Il blog di Google

L’industria della sorveglianza è fuori controllo”, ammonisce il rappresentante Onu
A questo aggiungiamo un duro attacco di David Kaye, special rapporteur Onu per la libertà di espressione (ancora lui, sì), all’industria degli spyware, software spia, trojan, captatori usati per monitorare i dispositivi di sospettati. Scrive Kaye sul Guardian: “L’industria globale della sorveglianza (...) è fuori controllo, non ha limiti e non deve rispondere delle sue azioni nel fornire ai governi l’accesso low-cost a ogni sorta di strumenti di spionaggio che solo i servizi di intelligence degli Stati più avanzati una volta si potevano permettere”. Dunque, Kaye chiede: 1) che i governi controllino l’export di questi strumenti; 2) una moratoria sulla vendita/trasferimento di queste tecnologie finché non ci siano adeguati controlli 3) sanzioni da parte dei governi in caso di abusi 4) possibilità di azioni legali contro i produttori da parte delle vittime in caso di abusi.
The Guardian

NSO vs Facebook, parte seconda
Tra le aziende citate da Kaye, il venditore di spyware israeliano NSO, di cui in questa newsletter si è scritto molto. Ricordo che Whatsapp/Facebook ha fatto causa a NSO per aver preso di mira i propri utenti (vedi qua in newsletter) E ora dei dipendenti NSO fanno causa a Facebook perché sono stati buttati fuori dai loro account social. Facebook lo aveva motivato dicendo di aver disabilitato account rilevanti legati a un cyberattacco sofisticato attribuito a NSO e ai suoi dipendenti (Reuters).
Le reazioni a questa mossa dei dipendenti NSO da parte di media e altri osservatori non sono state molto solidali, devo dire, erano della serie: “senti da che pulpito si lamentano”. Durissima la giornalista Nicole Pelroth.

HT
E sempre sui produttori di spyware per governi. Cosa resta e come è messa oggi Hacking Team? si chiede il MIT Technology Review.

SALVIAMO IL WEB
Contract for the Web”, il piano globale di Tim Berners-Lee per salvare il Web
Il papà del web ci riprova e lancia un piano d’azione globale per governi, aziende e cittadini per aggiustare il Web e per non finire in una distopia digitale.
“Ad esempio ai Governi viene domandato di rispettare e far rispettare la privacy dei cittadini. Questi ultimi dovrebbero avere la possibilità non solo di poter consultare qualsiasi dato personale archiviato ma anche poter eventualmente opporre il trattamento degli stessi. Le aziende dovrebbero sviluppare servizi pensati per la disabilità e per chi parla idiomi meno diffusi. Ma anche semplificare le interfacce di impostazione della privacy lato-utente e responsabilizzarsi sulla diffusione delle fake news. Gli utenti invece dovrebbero impegnarsi a diffondere contenuti pertinenti e di qualità, rafforzare le community e battersi per le libertà digitali”, scrive Tom’s Hardware

ASSANGE
Appello dei medici, “rischia di morire”

Il fondatore di WikiLeaks Julian Assange è in condizioni psicofisiche talmente compromesse da poter morire in prigione. L’allarme arriva da più di 60 medici che hanno firmato una lettera aperta dove esprimono «serie preoccupazioni per la salute fisica e mentale di Julian Assange», attualmente detenuto in un carcere britannico di massima sicurezza, scrive il manifesto.
A febbraio inizieranno le udienze sulla richiesta di estradizione degli Usa (SkyTg24)

REGENI
Il sito per segnalare in modo anonimo
La Repubblica ha una piattaforma per raccogliere segnalazioni anonime sul caso Regeni (con un sito raggiungibile anche in quello che giornalisticamente si definirebbe Dark Web) con istruzioni in italiano, inglese e arabo. Piattaforma che fa uso del software GlobaLeaks progettato dall'Hermes Center for Transparency and Digital Human Rights per proteggere l'identità dei whistleblower
La Repubblica
Il sito nella Rete in chiaro: https://regenifiles.org/#/
Il sito con indirizzo .onion solo raggiungibile via Tor: http://rz5oc444kasetnf52szvk67osen5jniysayzhfodekvlm6flxb3upfid.onion/#/

DISINFORMAZIONE
Ma alla fine i troll e profili russi nelle elezioni Usa sono stati efficaci?
Non c'è una risposta netta a questa domanda, ma soprattutto non ci sono molte ricerche in grado di dare una risposta. Ci ha provato però uno studio che cerca di valutare l’impatto della Internet Research Agency (IRA) - la società russa accusata di produrre profili e pagine finte americane con cui cercare di influenzare il dibattito politico Usa dal 2016 in poi - sui comportamenti politici degli utenti Tiwtter americani alla fine del 2017. Risultato: non hanno trovato prove che interagire con questi account finti/troll abbia avuto un impatto su comportamenti e atteggiamenti politici di autentici americani; inoltre le interazioni di utenti statunitensi con i troll russi riguardano perlopiù individui che stavano già chiusi in bolle informative sui social, e che avevano uno spiccato interesse politico. Insomma erano già schierati, per capirci.
“Questi risultati suggeriscono che gli americani potrebbero non essere facilmente suscettibili a campagne di influenza online, ma non rispondono a importanti domande sull’impatto della campagna russa sulla disinformazione, il discorso politico, e le dinamiche della campagna elettorale presidenziale 2016”.
In sostanza, lo studio è molto limitato (tra l’altro su utenti Twitter, altra storia potrebbe essere Facebook), e per di più si concentra sul periodo post-elettorale (2017), ma comunque mostra che le interazioni sono da parte di chi era già fortemente ideologizzato. Ad ogni modo, scrivono gli autori, l’impatto delle campagne di influenza online sul pubblico resta una domanda aperta. Inoltre, aggiungo io, andrebbe indagato anche il gioco di sponda fra queste campagne e i media di un Paese.
Conclusione: sul tema servono studi e cautela.
Lo stesso vale per l’impatto effettivo di Cambridge Analytica, nota en passant la MIT Technology Review.

CYBERCRIME
Case di riposo in tilt
Un attacco ransowmare (un virus che cifra i file e chiede un riscatto, nel caso specifico il software malevolo usato è della famiglia Ryuk) ha colpito un fornitore di servizi cloud per una rete di un centinaio case di riposo negli Usa. Dati dei pazienti inaccessibili, pagamento stipendi in tilt.
Krebs on Security
Giorni prima erano dovuti ricorrere a carta e penna anche in un ospedale a Rouen, Francia, sempre per un attacco ransomware - Silicon

LETTURE

PRIVACY
Il Garante della Privacy ha un ruolo cruciale. La nomina di Ignazio La Russa è da scongiurare, scrive Fabio Chiusi su Valigia Blu

DISINFORMAZIONE
La disinformazione è una bestia dai mille volti: impariamo a riconoscerla
Valigia Blu

GIORNALISMI
Copyright, illusioni e realtà nel giornalismo italiano
Battaglie di retroguardia distraggono dalla missione più importante: convincere i cittadini a sostenerci (Mario Tedeschini-Lalli su Medium)

PODCAST
Il giornalista Francesco Costa, nella sua serie di podcast su 7 figure-chiave americane, The Big Seven, ha dedicato una puntata a Mark Zuckerberg (e compaio pure io)
StoryTel

SOCIAL
L’uso di un hashtag associato a un tweet su temi sociali-politici può trasmettere l’impressione di faziosità - Nieman Lab

PRIVACY
Oltre il Gdpr: il manifesto di Buttarelli sul futuro della privacy in Europa
Wired Italia

EVENTO
Vi ricordo per gli amici genovesi la presentazione del mio romanzo cyber Fuori Controllo venerdì 6 dicembre, a Genova (i dettagli)

Ti è piaciuta la newsletter? Inoltrala a chi potrebbe essere interessato!
E’ gratuita, indipendente, senza sponsor, mandanti o agende altrui, e si diffonde col passaparola dei suoi stessi utenti.
Come viene fatta questa newsletter (e come leggerla)
Per iscriversi: https://guerredirete.substack.com/
Buona domenica!

[Guerre di Rete - newsletter] Profilo di Phineas/Hackback

E poi captatori informatici; Facebook e revenge porn e altro

Guerre di Rete - una newsletter di notizie cyber
a cura di Carola Frediani
N.52 - 24 novembre 2019

Oggi si parla di:
- storia e profilo del cybercriminale antisistema più internazionale e sfuggente
- captatori informatici e Italia, cosa sta succedendo e cosa non va
- Facebook e revenge porn
- giornalismo e AI
- e altro

EVENTO
Per gli amici, ci vediamo a Genova venerdì 6 dicembre (17.30) per la presentazione del mio cyber-thriller Fuori Controllo (qui i dettagli), insieme a Raffaele Mastrolonardo e Mattia Epifani. Grazie a Chips&Salsa che organizza, e a Condiviso che ci ospita.

STORIE DALL’UNDERGROUND
L’hacker antisistema che vuole portare la lotta di classe online
Profilo del cybercriminale che per anni ha colpito aziende di sorveglianza, polizie, governi e banche. La cui identità resta un mistero. Ma che è sempre più connotato politicamente. E ora si è messo a reclutare.
(Attenzione: questa storia è uscita prima su Valigia Blu dove potete leggerla più comodamente; ricordo che Valigia Blu sta facendo un crowdfunding, sosteniamola!)

“È ancora possibile attaccare il sistema e farla franca" - Phineas Phisher/HackBack

La prima apparizione è stata il 3 agosto 2014. Su Twitter sbuca un account, @GammaGroupPR. Il riferimento (che allora pochissimi potevano cogliere) è a una azienda anglotedesca, GammaGroup, che vende uno spyware, un software spia, usato dai governi per infettare e intercettare tutto ciò che passa su uno smartphone o un computer di un indagato. All’epoca si tratta di un settore - quello degli spyware o trojan a fini di indagine, in Italia detti captatori informatici - ancora poco noto e discusso, anche se da un paio di anni erano iniziati a uscire alcuni studi da parte di ricercatori e attivisti proprio sulle aziende che vendevano tali strumenti, e sui loro clienti, inclusi Stati autoritari e accusati di violare i diritti umani. GammaGroup produceva una suite di spyware nota come FinSpy/FinFisher, che vendeva a vari governi.

L’attacco a GammaGroup e la nascita di Phineas Phisher

Il misterioso e neonato account Twitter @GammaGroupPR, che tutto è tranne un ramo del marketing dell’azienda, ha anche un nome curioso: Phineas Fisher. Un gioco di parole che allude allo spyware. Da quel momento in poi diventerà il nome (in verità poco apprezzato dal protagonista, e molto amato dai media) di uno dei cybercriminali più ricercati, ma anche politicizzati, di questi anni.
“Siccome qua a Gamma abbiamo esaurito i governi, apriamo le vendite al pubblico”, esordisce il primo tweet che, in una escalation, inizia a pubblicare brochure, listino prezzi e documenti confidenziali dell’azienda. Qualche ora dopo, l’account pubblica anche il link a un rapporto 2012 del Citizen Lab, centro di ricercatori dell’Università di Toronto, secondo il quale il software spia rinvenuto sui dispositivi di attivisti del Bahrein sarebbe stato prodotto da Gamma Group (report ripreso all’epoca da varie testate come Bloomberg e Wall Street Journal).

Il giorno dopo, l’hacker, preoccupato di non riuscire ad avere abbastanza impatto mediatico, scrive un post su Reddit, nota community online. Sono le 2.29 di notte (ora italiana) del 5 agosto, e l’utente sceglie, fra le tante, la sezione (subreddit) Anarchismo, dove spiega di aver violato l’azienda anglotedesca e di aver copiato 40GB di dati. “Pensavo che l’hacking sarebbe stata la parte difficile”, scrive. “Ma senza un accesso ai media o un’idea di come cavolo funzionano, è dura fare in modo che la gente se ne accorga o si interessi. Condividete!”. Il post viene linkato da varie sezioni (subreddit) a tema socialismo, attivismo, cyberpunk, privacy e simili. In realtà anche i media iniziano a dare molta visibilità a questo attacco.

Così, passato qualche giorno, l’8 agosto Phineas Fisher (ormai iniziano a chiamarlo tutti così) pubblica una lunga spiegazione in inglese su come avrebbe fatto. La intitola “HackBack, una guida fai da te per chi non ha la pazienza di aspettare i whistleblower”. Scrive di voler demistificare l’hacking, di voler informare e ispirare altri. Dice una cosa curiosa anche, che quanto ha compiuto è più semplice di fare una richiesta FOIA, cioè una richiesta di accesso agli atti e documenti della pubblica amministrazione. Difficile pensare a un cybercriminale di professione che abbia familiarità con le richieste FOIA, che sono la croce e delizia di attivisti e giornalisti. Conclude quindi la disamina tecnica - dove dice che il suo obiettivo primario era quello di entrare nei server di comando e controllo di FinSpy (quelli cioè usati dall’azienda per comunicare di nascosto con i dispositivi infettati) e avvisare i target che erano sotto osservazione, ma siccome non ci riesce si accontenta di fare un leak - con un messaggio di solidarietà verso “Gaza, gli obiettori di coscienza israeliani, Chelsea Manning (la whistleblower di Wikileaks, ndr), Jeremy Hammond (hacker/hacktivista arrestato per l’attacco all’azienda di intelligence Stratfor, e nel documento stesso c’è un riferimento piuttosto tecnico a quell’attacco, ndr), Peter Sunde, anakata (due cofondatori di The Pirate Bay che hanno passato vari guai legali, ndr), e tutti gli hacker dissidenti e criminali imprigionati”.

Passano altri sette giorni. Il 15 agosto 2014 esce, in spagnolo, un comunicato del CNT-AIT, storica organizzazione anarcosindacalista spagnola. Che è molto interessata all’attacco, tanto da farci delle considerazioni dedicate. Perché, scrivono, la tecnologia non è neutra, e “la lotta tecnologica è parte della lotta di classe”. Perché bisogna “difendersi dagli attacchi repressivi e costruire noi stessi gli strumenti di cui abbiamo bisogno”. È una adesione entusiastica e in un certo senso profetica, dal momento che all’epoca Phineas appare ancora poco più dell’ombra di un hacktivista (termine che unisce hacker e attivista).

Il leak di Hacking Team

Si deposita intanto il polverone sull’evento, trascorrono settimane e mesi, Phineas Fisher resta perlopiù in silenzio. Ci si dimentica di lui (lei). Passa quasi un anno. Finché nella tarda serata di domenica 5 luglio 2015, l’account Twitter di un’altra società che vende spyware ai governi a scopo di indagine, l’italiana Hacking Team (anch’essa finita da tempo nel mirino di vari attivisti, media e report, come quelli di Citizen Lab) inizia a twittare (in inglese): “Poiché non abbiamo nulla da nascondere, pubblichiamo tutte le nostre email, file e il codice sorgente”. Insieme c’è un link a un file torrent di 400 GB con i materiali riservati dell’azienda. L’attaccante che ha colpito Hacking Team in quel momento controlla anche il profilo Twtter della società milanese. La testata Vice gli scrive un messaggio, lui risponde dicendo di essere Phineas Phisher e che lo avrebbe dimostrato. E infatti subito dopo il profilo @GammaGroupPR, che abbiamo visto all’inizio di questa storia, si risveglia e scrive: “HT e Gamma cadute, e altre da far cadere". Il tweet è poi rilanciato dal profilo (violato) di Hacking Team. Abbastanza da credere che si tratti davvero della stessa entità. Il leak di Hacking Team avrà molta risonanza e ricadute, in Italia e all’estero.

Ma ci vogliono sei mesi, questa volta, perché arrivi lo “spiegone” sull’attacco, nell’aprile 2016. Stesso format, stesso stile, stessa sigla, HackBack, che diventerà anche il nuovo nome Twitter di Phineas Fisher. Ma una importante novità. La lingua è lo spagnolo. L’autore (autrice?) spiega che è una scelta perché c’è già tanto inglese nel mondo dell’hacking. Riprende le parole di lotta del comunicato anarcosindacalista del CNT-AIT, che linka esplicitamente nelle note minuziose. Polemizza con gli hacker che lavorano per il sistema. Fornisce indicazioni tecniche su come fare attacchi informatici e spiega come avrebbe fatto in concreto con Hacking Team (La Stampa), tenendo per sé i dettagli decisivi su un exploit, un codice di attacco specifico utilizzato, perché gli sarebbe servito ancora. Si scaglia inoltre contro la tradizione del fascismo italiano, e solidarizza con le vittime della “scuola Armando Diaz” al G8 di Genova del 2001.

Intanto, a Vice, Phineas si definisce per la prima volta esplicitamente come un “anarchico rivoluzionario”. Il suo profilo comincia a farsi più dichiarato e dettagliato. Su Twitter, ad esempio, segue soprattutto profili di “movimenti locali poco noti di hacking e attivismo dal basso, soprattutto in America Latina (Messico, Perù e Bolivia)”, scrivevo io stessa sul già citato articolo de La Stampa.

Gli attacchi alla polizia catalana e al partito di Erdogan

È l’inizio di una fase molto attiva. A maggio 2016 Phineas diffonde dati presi dal sindacato dei Mossos d'Esquadra, la polizia catalana, e pubblica un video tutorial su come attaccare (Vice). Più o meno nello stesso periodo, manda 10mila euro in bitcoin al Rojava, la regione autonoma curda nel nord della Siria, “uno dei progetti rivoluzionari più interessanti di oggi”, lo descrive l’hacker, paragonandolo alla guerra civile spagnola, alla Comune di Parigi, agli zapatisti, al movimento popolare di Oaxaca in Messico, allo sciopero generale di Seattle del 1919 (ArsTechnica). Dettaglio non da poco, dice che i soldi li avrebbe rubati a una banca, che non nomina, perché spera nel mentre di sottrarne ancora.

Poco dopo, a luglio, Phineas rilascia 300mila email del partito al governo in Turchia, l’AKP di Erdogan, che verranno pubblicate anche da Wikileaks (il sito di Julian Assange aveva già pubblicato anche le email e i documenti di Hacking Team e di GammaGroup). Il movente di questa azione? Il suo già dimostrato sostegno al Rojava. Nel mentre, rilascia interviste (Vice), dove traspare un atteggiamento ironico e irriverente simile agli hacktivisti di LulzSec, un gruppo che era stato vicino ad Anonymous.
)En passant, vale forse la pena notare che l’identità di Phineas in varie sue comunicazioni è stata verificata attraverso la firma con un sistema di crittografia (una chiave PGP) che lui/lei stesso aveva diffuso nella spiegazione dell’attacco ad Hacking Team, come ricordava ad esempio in questo post la nota attivista e giornalista Emma Best. Quella chiave e l’account mail associato sono stati il mezzo di comunicazione primario che ha avuto coi giornalisti).

Il raid in Catalogna

Dopo questa fase intensa c’è un momento di silenzio, e poi, improvvisamente, il 10 gennaio 2017 il suo profilo Twitter @GammaGroupPR viene chiuso. Forse chi lo gestisce sente pressione, percepisce qualcosa nell’aria. Sta di fatto che il 31 gennaio c’è un blitz della polizia catalana che perquisisce e indaga tre persone, un trentatreenne di Salamanca e una coppia (di 31 e 35 anni) di Barcellona. Più avanti diventeranno quattro, con uno svizzero residente a Barcellona. Per la polizia sono gli autori dell’intrusione informatica contro il proprio sindacato. Dunque sarebbero Phineas. Ma nelle stesse ore e giorni successivi, proprio Phineas comunica ancora dal suo storico account email con vari giornalisti (me compresa, lo raccontai su La Stampa). Se non è lui/lei, è qualcuno cui ha passato l’account.

“Ho cancellato i miei profili Twitter e Reddit perché non mi sono mai piaciute le persone che accumulano capitale sociale”, dice nell’occasione, aggiungendo che la “doppia vita” cui doveva sottoporsi gli stava causando depressione e altri problemi, per cui si era preso una pausa. “Sono tornato online solo perché la polizia spagnola dice di avermi arrestato (sono libero e sto bene)”.

Phineas dunque o chi controlla il suo account sembra ancora avere ampi margini di azione malgrado il blitz. Eppure la pista catalana si rafforza. Qualche tempo dopo gli inquirenti spagnoli sospettano infatti che si tratti di un gruppo, con forti legami con movimenti sociali definiti “antisistema” e che tale gruppo sia anche responsabile degli attacchi a Gamma Group e Hacking Team. Intanto un giornalista di Barcellona rivela di aver comunicato con lui in catalano, ed esclude che abbia usato un traduttore automatico. Anche altri iniziano a pensare, e a dire, che sia catalano (La Stampa). In ogni caso, Phineas sembra essere in qualche modo sfuggito al giro di vite.

La pista americana (e dei bitcoin)

Ma i colpi di scena non sono finiti. Perché anche gli investigatori italiani si sono messi da tempo sulle sue tracce. I dettagli emergono però solo nel dicembre 2017, quando viene infine archiviata, dopo oltre due anni, l’indagine sull’attacco ad Hacking Team. È solo allora che si scopre come gli inquirenti italiani, dopo aver seguito la pista di pagamenti bitcoin collegati ad alcune infrastrutture usate nell’incursione informatica, non siano finiti in Spagna bensì negli Stati Uniti, individuando uno dei principali sospettati in un trentenne americano di origine iraniana che vende auto a Nashville. Sembra un profilo improbabile rispetto all’immagine di Phineas, ma l’indagine arriva a lui perché attraversa alcuni ambienti americani ritenuti vicini all’attivismo, specie ambientalista. Né è chiaro quale ruolo avrebbe giocato in questa ricostruzione il sospettato che, all’epoca, contattato sui social, mi aveva detto di fare il venditore di auto da quando aveva 15 anni e di aver usato bitcoin “per comprare droga nel Dark Web” (La Stampa). Ad ogni modo, l’Fbi esclude un suo coinvolgimento e l’indagine si ferma per mancanza di prove. Ma quello politico resta il movente individuato dagli investigatori, i quali non hanno dubbi che dietro all’identità online di Phineas Fisher ci sia davvero l’attaccante, perché sull’attacco italiano avrebbe rivelato dettagli che poteva sapere solo lui.

Internazionalismo e identità mutevole

Resta il fatto che Phineas rimane una entità misteriosa e sfuggente, e che le stesse indagini, mentre sembrano avvicinarsi alla stessa, seguendo anche piste credibili, alla fine la spostano ancora più in là. Inizia intanto, in coerenza anche con le sue ultime dichiarazioni, una fase più silente, interrotta solo da qualche commento, come quelli rilasciati a Crimethink, sito di un network di attivisti che appaiono molto vicini allo spirito espresso fino allora dal cybercriminale. Ma, scrive lo stesso articolo del sito, Phineas in realtà è morto. Ovvero, “è più di un nome: è la punta di una rete underground di pratiche e desideri”. E ancora: una delle conseguenze più interessanti delle sue azioni è che “i cileni ti diranno che è ovviamente latinoamericano; gli squatter a Barcellona giurano che il suo tono sia familiare; gli italiani diranno lo stesso”. In effetti l’internazionalismo di Phineas è sia una forma per confondere le acque che una dichiarazione politica.

L’azione contro la Cayman Bank e il reclutamento

Quando riemerge pochi giorni fa, rilasciando 2 terabyte di documenti e mail sottratti a una banca dell’Isola di Man, la Cayman National Bank and Trust, in una sorta di riedizione minore dei Panama Papers, pubblica anche un ulteriore manifesto politico zeppo di riferimenti sia alla cultura hacker che a quella anarchica/socialista, con citazioni molto specifiche e puntuali. Questa volta il documento vuole essere una “guida per derubare banche” (in cui tra l’altro sostiene di aver sottratto alla stessa Cayman National Bank and Trust, usando lo stesso exploit sfruttato contro Hacking Team, ingenti quantità di denaro, ma non dice quanto e la banca finora ha confermato solo la violazione informatica). Ma non si ferma qui: arriva al punto di offrire soldi a hacker, fino a 100mila dollari (in forma di bitcoin o monero, un’altra criptovaluta considerata meno tracciabile) per compiere attacchi motivati politicamente contro specifiche aziende. Lo chiama, provocatoriamente, un “programma hacktivista di ricerca di bug”, bachi di sicurezza, in una sorta di parodia dei programmi di bug hunting creati dalle aziende per ricompensare chi trova vulnerabilità. Solo che, come scrive Vice, “è un bug bounty che incentiva attività criminali”. Tra i possibili target citati da Phineas ci sono aziende petrolifere, minerarie, e un noto venditore di spyware israeliano, NSO, finito da qualche tempo sotto la lente di osservazione di media e attivisti.

Il manifesto dal cyber sudest

Ma, come dicevamo, questa nuova uscita di Phineas/Hackback colpisce per l’ambizione del suo manifesto politico, inviato “dalle montagne del cyber sudest”. Del resto, è ironicamente firmato Subcowmandante Marcos, che è l’unione fra il nome del noto portavoce zapatista e il termine cow (mucca), con tanto di disegno di una mucca (che fuma la pipa, come il subcomandante), riferimento questo a una certa cultura hacker della vecchia scuola (come mi spiega ad esempio Stefano Chiccarelli, protagonista della telematica italiana e fondatore della associazione Metro Olografix), ma anche, forse, allo storico e fondativo gruppo hacker Cult of the Dead Cow, nato negli anni ‘80 e ritenuto il seme prolifico di varie forme di hacktivismo anche successive (e su cui è appena uscito un libro). Del resto, anche secondo il noto giornalista e scrittore di fantascienza Cory Doctorow, il testo sarebbe pieno di riferimenti ai Cult of the Dead Cow (Boing Boing).

Tanta America e citazioni

Ma c’è anche tanto Latinoamerica, in questo testo, sia come forme linguistiche sia come collegamenti culturali. Si parte con un omaggio a Tupac Katari, icona della storia indigena sudamericana e della rivolta anticoloniale che guidò l’assedio di La Paz (Bolivia) e fu giustiziato dagli spagnoli il 15 novembre 1781. Anzi, la data di uscita del leak sarebbe proprio voluto per ricordare Katari, scrive Unicorn Riot, altro sito che ha raccolto commenti di Phineas.

Perché, allo stesso modo dell’esempio di Katari, si vuole “instillare il seme della ribellione”, è scritto nel manifesto. Da questo momento in poi il testo assomiglia sempre di più (tolte le parti tecniche sull’hacking e l’incitamento a commettere cybercrimini) a una tesina di un dipartimento di cultural studies americano. Si cita la femminista e attivista americana bell hooks, la storica anarchica americana Lucy Parsons, il socialista contemporaneo Colin Jenkins (direi poco conosciuto in Europa), organizzatore dell’Hampton Institute, think tank statunitense della classe lavoratrice fondato solo nel 2013, un mix di radici tra pantere nere, Gramsci, e Paulo Freire, pedagogista brasiliano vicino alla “teologia della liberazione”. E poi riferimenti a Rilke (lo scrittore), alla scrittrice di fantascienza Octavia Butler (c’è un suo libro appena ripubblicato anche in Italia, per altro), per tornare alla cultura maya e a una citazione non banale e non così nota del curanderismo (la medicina tradizionale) amazzonico, come il canto Abrete corazòn.

Una quantità di citazioni che non si trasforma in accozzaglia. Anzi, se si fa una analisi di alcune espressioni specifiche o frasi presenti nei primi testi diffusi da Phineas, si arriva più di una volta sugli stessi siti di attivismo, di azione diretta, di disobbedienza informatica in lingua spagnola. A dimostrazione, se non della provenienza degli autori, di una certa coerenza ideologica. Con anche citazioni molto particolari nell’ultimo manifesto, come: “Sii Gay, Commetti Crimini”, con tanto di scheletro. Slogan e immagine di lotta che sono circolati soprattutto a partire dal 2018 su Twitter in vari ambienti attivisti, anche digitali, nota Gaystarnews, che ne spiega origine e senso. Del resto tra i riferimenti del manifesto c’è anche una rete americana di attivisti queer anarchici nota come Bash Back.

Tra l’altro qui per la prima volta Phineas nel testo parla di sé come donna, al femminile. È davvero una donna, è un uomo, è un gruppo? Importa poco dal momento che tale rivelazione, come l’intensa presenza dell’America Latina o la quantità di riferimenti politici internazionali, possono essere sì una forma di offuscamento, ma a questo punto sono soprattutto ancora una affermazione politica.

Chi è davvero Phineas?

C’è chi pensa, come la studiosa Gabriella Coleman, che Phineas Fisher sia una nuova forma di hacktivismo. Chi ovviamente lo considera solo un cybercriminale che a un certo punto si è dato una patina di attivismo. E chi, specie all’inizio, ai suoi primi attacchi, riteneva (e magari ancora ritiene) che fosse l’operazione di una intelligence di qualche Stato. Se così fosse, questa intelligence avrebbe messo una inedita quantità di sforzi per tratteggiare in modo raffinato l’ideologia dell’attaccante. Inedita perché se si guardano, negli ultimi anni, alcune delle operazioni ormai considerate da più parti come delle false flags, dei camuffamenti da hacker e hacktivisti da parte di alcune agenzie governative – pensiamo ad esempio a Guccifer 2.0, che si faceva passare per un hacktivista rumeno ma poi è stato individuato come parte dell’intelligence russa - sono tutte caratterizzate da una estrema povertà ideologica, e in pratica non reggono a una analisi superficiale di lingua, motivazioni, contenuti.

Quale che sia la reale identità e motivazione di Phineas Phisher un dato è certo. Ogni suo atto pubblico aumenta le probabilità di essere individuato così come il numero di agenzie investigative interessare a identificarlo, senza contare la quantità di ricercatori di cybersicurezza che potrebbero trovare degli indizi o elementi: un film già visto in molte indagini di criminalità informatica, inclusi alcuni dei gruppi hacker più esposti, sponsorizzati da Stati e intelligence. La sua dichiarata sfida politica è quella di suscitare emulazione; ma anche di riuscire a farlo senza essere scoperto/a. Un’impresa che alla lunga diventerà sempre più difficile.
(Si ringrazia il professore di storia contemporanea Gennaro Carotenuto per la consulenza su alcuni aspetti linguistici/culturali)
Pubblicato originariamente su Valigia Blu

CAPTATORI
A proposito di captatori informatici, negli ultimi tempi sono uscite tante inchieste, e tante testate che hanno iniziato a occuparsene, dopo anni che sono stati un tema trattato da pochi. Dunque si parte con la puntata di Report “Infiltrato speciale”, in cui la trasmissione RAI tra le altre cose si chiede se non ci sia una falla nel sistema delle intercettazioni telematiche.
Poi ci sono quattro diversi articoli di Wired dedicati al caso Exodus.
- Exodus, gli affari dietro il malware di stato che spiava gli italiani
- Exodus e non solo: le ombre sul mercato dei trojan di stato
- Cosa c'entra il poliziotto del malware Exodus con un porto fantasma in Calabria
- Caso Exodus, dopo l'inchiesta di Wired esposto sul porto fantasma

Ma alcuni giorni prima era uscito anche L’Espresso, secondo il quale sia Aisi che Aise (i nostri servizi segreti) avrebbero comprato la piattaforma Exodus, l’Aise per 350mila euro in contanti, anche se per l’agenzia non sarebbe mai stata utilizzata.

E ne aveva scritto anche il Riformista, riprendendo un approfondimento del Corriere/Milena Gabanelli.

Ricordo solo alcune delle questioni critiche sollevate:
- I controlli sulle aziende (proprietari, gestori, ecc)
- La scelta delle aziende da parte delle procure (ognuna sceglie autonomamente, con quali criteri?)
- Il controllo sui dati captati (passano prima sui server delle aziende, poi che fine fanno? ne restano copie? che garanzie abbiamo sulla loro integrità?)
- La gestione/conservazione/cancellazione dei dati “in eccesso”
- Le specifiche tecniche del trojan e le modalità di infezione e cancellazione
- La trasparenza sui clienti delle aziende e il mercato estero

REVENGE PORN
Facebook contro il revenge porn
Come Facebook sta combattendo la battaglia contro il revenge porn. Bisogna dare atto alla spesso vituperata piattaforma di stare prendendo la questione più sul serio. Almeno questo è quanto emerge da questo ottimo approfondimento di NBCNews. Punti importanti da tenere a mente:
1)la battaglia per Facebook è importante perché se immagini o video intimi diffusi in modo non consensuale possono essere postati ovunque, sono i social media dove stanno tutti e dove stanno le reti sociali delle vittime a fare più danni (mentre sui siti specializzati ci devi andare)
2) l'idea di caricare su Facebook preventivamente foto proprie se si teme che qualcuno stia per diffonderle non era così agghiacciante come alcuni avevano sostenuto, ed è stata accolta positivamente da alcune associazioni che tutelano le vittime. Ad ogni modo ci sono alcuni dettagli in più sul processo: le immagini sono brevemente controllate da un moderatore umano che ha ricevuto formazione o ha esperienza su abusi di questo tipo, e sono convertite in un “fingerprint digitale” che viene usato per impedire che siano postate su Facebook, Instagram e Messenger. Dopo 7 giorni le immagini sono cancellate, dunque non resterebbe un database a rischio di leak o hacking.
3) il sistema usa dunque tecnologia di AI e moderatori umani. Oggi Facebook, scrive NBC, dedicherebbe 25 persone alla lotta contro il revenge porn, e ogni mese dovrebbe valutare mezzo milione di segnalazioni di revenge porn e sextortion. Per gestire più in generale le richieste degli utenti sul tema alcune associazioni di vittime chiedono che il social aumenti il numero di persone dedicate.
4) C'è una associazione internazionale, BADASS Army, dedicata ad aiutare le vittime
5) Questa è la pagina Facebook cui rivolgersi https://www.facebook.com/help/contact/567360146613371

REVENGE PORN ITALIA
Revenge porn, la vittima può perdere l’incarico lavorativo, scrive Il Sole24Ore

SEX, LIES AND AVATAR
Viaggio nelle community che ricostruiscono modelli 3D di persone reali per....fare sesso col loro avatar. Quando il deepfake è già roba vecchia. Ovviamente restano gli stessi interrogativi etici e rischi di revenge porn
Vice

CENSURA
Come l’Iran ha ristretto l’uso di internet nel Paese in concomitanza con le rivolte
Euronews e Wired US

ASSANGE
La magistratura svedese lascia cadere l'inchiesta per violenza sessuale nei confronti di Julian Assange e risalente al 2010. Ma il fondatore di Wikileaks resta in carcere. Il 24 febbraio attesa la prima udienza per decidere sulla richiesta di estradizione presentata dagli Stati Uniti - La Repubblica

CYBERCRIMINE

ITALIA

Cybercriminale italiano arrestato: vendeva accessi ombra ai database della PA
Tom’s Hardware

AUTOMOTIVE
L’industria automobilistica dal 2018 sta diventando un target per cybercriminali, dice un report dell’FBI - CNN

PIATTAFORME E POLITICA
Google riscrive le regole per la pubblicità politica, e restringe il microtargeting
Wired Italia

ITALIA E DIGITALE
La ministra dell’Innovazione Paola Pisano annuncia la rivoluzione di Spid, contenuta in un emendamento alla legge di Bilancio - Corriere (paywall)

LETTURE

FACEBOOK E GIORNALISMO
Cosa succede quando Facebook decide che nessuno deve più leggere il tuo giornale.
Cosa è successo alla testata italiana The Submarine

FAKE NEWS E POLITICA
Perché diciamo no a una Commissione parlamentare d’inchiesta sulle “fake news”
Fabio Chiusi su Valigia Blu


AI E GIORNALISMO
Come, quanto, dove l’intelligenza artificiale è già parte del giornalismo. Responsabilità e dilemmi etici. Un rapporto della London School of Economics

Ti è piaciuta la newsletter? Inoltrala a chi potrebbe essere interessato!
E’ gratuita, indipendente, senza sponsor, mandanti o agende altrui, e si diffonde col passaparola dei suoi stessi utenti.
Come viene fatta questa newsletter (e come leggerla)
Per iscriversi: https://guerredirete.substack.com/
Buona domenica!

Loading more posts…