Guerre di Rete - Aiuto, internet è down. O forse no
La Nato, l'Ue e le politiche cyber. L'Agenzia per la cybersicurezza. La retata Anom
Guerre di Rete - una newsletter di notizie cyber
a cura di Carola Frediani
N.109 - 13 giugno 2021
Oggi parliamo di:
- il caso Fastly e cosa ci dice di noi ma soprattutto della Rete
- Biden, Nato, Ue e Italia: tutti pazzi per il cyber
- la retata Anom (di Rosita Rijtano)
- Privacy news in Italia e nel Mondo (di Vincenzo Tiani). Tra cui Green pass, Garante, e altro
- PS: controllate sempre in fondo alla mail che il testo non sia troncato per la lunghezza. La newsletter termina con la parola in codice: Ciao!
FASTLY AND FURIOUS
Internet è down, il buzz è up
Quando, giorni fa, un’infezione ransomware ha colpito la più grande azienda di lavorazione della carne al mondo, JBS, una giornalista tech su Twitter si è ironicamente chiesta se l’attacco non sarebbe stato attribuito a un gruppo vegano. Era solo una battuta, ma ha centrato molte questioni. Questioni vecchie che l’improvviso picco di attenzione della politica e dell’economia per la cybersicurezza - dovuto al crescere di attacchi e soprattutto della loro rilevanza, nonché alla relazione sempre più stretta (per altro a volte strumentale) fra sicurezza cyber e sicurezza nazionale - ha caricato a mille.
Una di queste è l’attribuzione. Qualche anno fa sembrava uno sport di nicchia per società di cybersicurezza che se la tiravano, oggi qualsiasi attribuzione di un attacco informatico (determinare chi sarebbero gli autori, di che Paese, per conto di chi o con quali appoggi o anche solo in virtù di quali corrività o indulgenze) ha una serie di ricadute a cascata. Può innescare sanzioni economiche, può influire o giustificare le politiche commerciali di un Paese, può anche avere effetti sulle aziende colpite, ad esempio determinare se riceveranno copertura assicurativa o meno, o se rischiano problemi legali per aver deciso di pagare un riscatto.
L’altra grande questione è che ogni disfunzione, ogni errore o problema tecnico, ogni disservizio spalanca subito un impaziente sgomento. Si potrebbe fare della facile psicologia sociale sulla nostra abitudine a essere sempre connessi, patologizzata dalla pandemia, ma la questione qui ha più a che fare su cosa è diventata oggi internet, e sulla nostra consapevolezza al riguardo. Un sistema complesso, in cui - per dirla con la rivista Protocol - i colli di bottiglia e i bug ci saranno sempre. Ma anche un sistema che in alcuni solleva preoccupazioni sul rischio che la concentrazione di alcuni attori possa causare - se non dei single points of failure, dei singoli punti di vulnerabilità la cui compromissione causa problemi al resto del sistema - quanto meno un effetto domino, se qualcosa va storto.
Ad ogni modo, stiamo parlando di 49 minuti di disservizio. Tanto è durata l’8 giugno l’interruzione dei servizi cloud erogati dall’azienda americana Fastly, interruzione che ha reso inaccessibili una serie di siti in giro per il mondo, tra cui molti media, ma anche Amazon, Twitch, Spotify e altri. Il problema, come poi spiegato dalla stessa Fastly, è stato dovuto a un bug, un errore nel codice che è emerso con un cambio di configurazione.
Ma com’è possibile che succeda una cosa del genere? Fastly è una azienda californiana che dal 2011 fornisce servizi di cloud computing e in particolare reti per la distribuzione dei contenuti (CDN, content delivery network). In pratica aziende come Fastly, Akamai, Cloudflare forniscono ai loro clienti (che gestiscono siti web) dei server (il cloud) che ospitano i loro contenuti in luoghi più vicini agli utenti che li debbano visualizzare.
Come ha spiegato su Twitter in occasione del disservizio di Fastly l’accademica Corinne Cath-Speth, “se un sito è controllato e “hostato” da qualcuno nel Belgio rurale, ma offre contenuti principalmente rivolti a newyorchesi, cioè se i suoi contenuti sono richiesti da newyorchesi, una CDN reindirizzerà le loro richieste per quei contenuti: invece di dover viaggiare fino in Belgio, i server dati vicini a New York si occuperanno di fornire i contenuti. E, come avete capito oggi, quasi tutti i siti internet usano CDN e servizi cloud, che normalmente aiutano i loro contenuti a comparire sui vostri schermi nel giro di secondi”.
In pratica le CDN fanno da tramite tra l'utente finale e chi in effetti ospita il contenuto. Quindi quando quei servizi come Fastly vengono meno o vacillano, ciò ha importanti ripercussioni per l’esperienza internet di tutti. “Tenete presente - scrive ancora Cath-Speth - che questo mercato è abbastanza piccolo e ogni azienda serve un grande numero di clienti. Quindi un problema tecnico in una sola azienda può avere enormi ramificazioni. E questo solleva importanti questioni sui pericoli di un consolidamento di potere nel mercato cloud oltre che l’indiscussa influenza di questi attori, spesso invisibili, sull’accesso alle informazioni”.
Come nota anche un altro accademico, Ashwin Matthew, è stata proprio la diffusione dei video a cambiare il modo in cui i contenuti venivano distribuiti. “Invece di server centralizzati che richiedono che i dati transitino attraverso multipli network (internet è fatta così, molte reti, ndr) per arrivare agli utenti, hanno creato uno strato di memorizzazione aggiuntivo che localizza i contenuti più vicino agli utenti”.
Così facendo, come già detto, le CDN hanno abbreviato il percorso dei dati per raggiungere gli utenti. “E così facendo hanno anche cambiato radicalmente la struttura di distribuzione dei contenuti di internet”, scrive Mathew. Che prosegue: aziende come Fastly, Akamai, Limelight, CloudFlare forniscono questi servizi ai siti web. “E insieme distribuiscono un’ampia porzione dei contenuti che consumiamo, anche se noi pensiamo che stiamo accedendo ai siti direttamente”.
Non ce ne accorgiamo, o meglio ce ne accorgiamo solo quando c’è un problema. Perché “l’infrastruttura [normalmente invisibile] diventa visibile con i guasti” (Susan Leigh Star) e come scrive il ricercatore Michael Veale, questo è precisamente quanto è successo con Fastly, “con il malfunzionamento di CDN, che sono una delle tante forme di invisibile e controversa centralizzazione di internet”.
“Molte persone su Twitter hanno ipotizzato che il disservizio fosse causato da un cyberattacco, ma ora sappiamo che non era così”, nota Cnet. “Ci sono molte ragioni tecniche per cui una CDN può non funzionare e i cyberattacchi sono solo una di queste”.
Non è certo la prima volta che capita un fatto del genere. Si era già visto con un disservizio di Cloudflare lo scorso luglio, e con uno di Amazon Web Services lo scorso novembre, aggiunge ancora Cnet. Mentre il giornalista del Guardian Alex Hern ricorda un caso con AWS nel 2017 che durò varie ore.
“Mentre l’ecosistema internet diventa più concentrato (...), il rischio cyber si muove verso i centri più grandi e il volume di cyber rischio sistemico aumenta”, scrivevano dei ricercatori nel 2020.
Biden, Nato, Ue e Italia: tutti pazzi per il cyber
Nel mentre, nella politica c’è molto fermento ultimamente per quanto riguarda il settore cyber. Fermento lato americano, accentuato dal viaggio di Biden in Europa e per il G7, e lato Nato, come testimoniato, fra le altre cose, anche da una recente intervista del segretario generale dell’Alleanza atlantica Jens Stoltenberg, in cui quest’ultimo è tornato a chiarire cosa possa far scattare la clausola di difesa collettiva dell’articolo 5 del Trattato.
“Abbiamo chiarito che un cyberattacco può essere serio e dannoso quanto un attacco cinetico”, ha detto a NPR il segretario. “Pertanto, abbiamo deciso che anche i cyberattacchi possono far scattare una risposta dagli alleati NATO. Risposta che può essere nel cyberspazio, ma anche in altri domini”.
E ancora: “mi aspetto che gli alleati concordino su una nuova policy di cyber difesa”, avrebbe detto Stoltenberg sull’imminente summit NATO (Guardian).
Il Competence Centre europeo
E poi c’è fermento lato europeo e italiano. L’Ue sta infatti creando un centro di competenza sulla cybersicurezza (European Cybersecurity Industrial, Technology and Research Competence Centre) in Romania che gestirà fondi da diversi programmi europei e dovrà collaborare con una rete di centri nazionali.
La nascita dell’Agenzia per la cybersicurezza nazionale (ACN).
Nel mentre in Italia il Consiglio dei ministri ha dato il via libera al decreto che istituisce l'Agenzia per la cybersicurezza nazionale (ACN).
Come nota infatti Formiche, “i tempi stringono. Ieri, con la pubblicazione del regolamento sulla Gazzetta Ufficiale dell’Unione europea, è iniziato il conto alla rovescia per la realizzazione della rete dei centri nazionali di coordinamento per la sicurezza cibernetica. Gli Stati membri hanno sei mesi di tempo per individuare il loro centro nazionale che potrà attingere ai 5 miliardi di euro messi a disposizioni dai programmi Orizzonte Europa e Europa digitale. E quello italiano sarà contenuto all’interno dell’Agenzia, tra i cui compiti ci sarà anche il cruciale coordinamento per le imprese e il mondo accademico”.
Dotazione personale
“La dotazione iniziale sarà di 300 dipendenti, entro il 2027 potrebbe arrivare a 800”, scrive Il Sole dell’Agenzia. ”Nella concezione della nuova architettura cibernetica, inoltre, c'è un profilo strategico mirato: il rilancio e lo sviluppo delle imprese italiane. Non soltanto nella protezione dagli attacchi. Ma anche nella capacità di sviluppare start up e aziende di un settore in crescita continua. Oggi diversi software necessari per la sicurezza cibernetica sono importati dall'estero, con tutte le implicazioni immaginabili. Il decollo di quelli italiani è il sottotitolo della nuova politica cyber di palazzo Chigi”.
Dotazione finanziaria
“Per quanto riguarda la dotazione finanziaria - nota CorCom - sul piatto ci sono “41.000.000 di euro per l’anno 2022, 70.000.000 di euro per l’anno 2023, 84.000.000 di euro per l’anno 2024, 100.000.000 di euro per l’anno 2025, 110.000.000 di euro per l’anno 2026 e 122.000.000 di euro a decorrere dall’anno 2027”.
In capo alla Presidenza del Consiglio dei Ministri
“L’Agenzia, creata specificamente per la gestione della cyber security nazionale e posta sotto il diretto controllo del COPASIR, sarà istituita in capo alla Presidenza del Consiglio dei Ministri ed è prevista l’assunzione di personale ad hoc anche non proveniente dalla Pubblica Amministrazione”, scrive Cybersecurity360.
Toto-nomine
Due nomi in lizza per guidarla sono circolati sui media: Roberto Baldoni, vicedirettore generale del Dipartimento delle Informazioni per la Sicurezza (DIS); e Nunzia Ciardi, direttrice della Polizia Postale.
Interessante nel decreto l’apertura a un reclutamento più ampio di figure, con la possibilità di “assunzioni a tempo determinato, con contratti di diritto privato, di soggetti in possesso di alta e particolare specializzazione debitamente documentata, individuati attraverso adeguate modalità selettive”.
Le manovre sul cloud
E poi ci sono le mosse sul cloud dei grandi gruppi italiani. Fincantieri con Amazon web services e Leonardo con Aruba e Microsoft stringono alleanze per servizi e investimenti, scrive Wired Italia.
Cybercriminale vende dati di italiani
Nel mentre però, in Rete è business as usual: così un anonimo criminale informatico sta cercando di vendere quella che sostiene essere una lista contenente i dati di oltre 7 milioni di vaccinati in Italia- Italian.Tech
GREEN PASS
Sì del Garante della privacy al green pass, ma non sull'app Io - Wired Italia (su questo è nata una polemica di cui parla più sotto Vincenzo)
IMMUNI
Chi ha ucciso l'app Immuni e perché
Le colpe di un sistema di salute pubblica che non ha mai creduto nelle potenzialità del tracciamento. Con la politicizzazione e la strumentalizzazione che hanno prevalso sulla necessità di creare un clima di fiducia intorno ai cittadini e all'applicazione.
Approfondimento di Italian.Tech (citata anche questa newsletter, grazie)
CYBERCRIMINE
Criptofonini e indagini: altra maxi-retata
“L’OPSEC (Operational Security, l’insieme di procedure adottate per non rivelare informazioni a un avversario) ti aiuterà nei momenti in cui non potrai usare la crittografia più di quanto la crittografia ti aiuterà nei momenti in cui non avrai OPSEC”.
Così qualcuno ha commentato, da un punto di vista meramente tecnico, la vicenda di Anom, il servizio di comunicazioni cifrate completamente compromesso dell’FBI che ha portato a una maxi-retata internazionale fra organizzazioni criminali. Un altro duro colpo al mercato dei criptofonini commercializzati principalmente a gruppi criminali, di cui avevo scritto tempo fa su Valigia Blu e in newsletter.
Oggi questo nuovo capitolo della saga ce lo racconta Rosita qui sotto.
—————————————————————————————-
Anom, il servizio per comunicazioni cifrate che ha fatto arrestare 800 persone
Contributo di Rosita Rijtano
Ai potenziali clienti lo descrivevano come un prodotto disegnato "da criminali per criminali". Sulla carta era così e permetteva ai propri utenti di scambiarsi messaggi cifrati, quindi leggibili solo da emittente e destinatario, all’interno di una rete protetta. Uno strumento perfetto per organizzare il traffico internazionale di droga e discutere dei modi per riciclare i soldi guadagnati. Peccato che contemporaneamente tutto finisse anche nelle mani dell'Fbi. È una storia da film quella di Anom: un servizio per le comunicazioni cifrate che ha portato all'arresto di 800 persone, al sequestro di 30 tonnellate di sostanze stupefacenti, e di 48 milioni di dollari in diverse valute, comprese criptomonete.
Una storia raccontata in due documenti desecretati dal governo statunitense il 7 giugno scorso e che inizia nel 2018, quando l'Fbi mette a segno un colpaccio: recluta la persona che gli aprirà le chat di centinaia di narcotrafficanti, svelandone affari e modus operandi. L’uomo, o forse la donna, ha una condanna a sei anni di carcere per aver importato della droga, ma soprattutto è un nome noto nella distribuzione di dispositivi cifrati. Prodotti molto richiesti dalle organizzazioni criminali alla ricerca di mezzi di comunicazione che garantiscano di non poter essere intercettati dalle forze dell'ordine: si acquistano solo tramite determinati canali, comunicano solo tra loro, hanno funzioni limitate (niente telefonate e internet) e un costo che va dai 1500 ai 2mila dollari.
Il contatto tra l'Fbi e l'insider arriva al momento opportuno. La futura fonte sta lavorando a un nuovo strumento, Anom, su cui ha investito soldi e ambizioni: punta a imporlo sul mercato colmando il vuoto lasciato dalla chiusura di Phantom secure, un servizio simile messo ko dall'arresto del suo amministratore delegato, Vincent Ramos, condannato a nove anni di prigione dopo aver ammesso che il sistema aveva "aiutato e incoraggiato l'importazione, l'esportazione e la distribuzione di sostanze illegali in tutto il mondo, ostacolato la giustizia attraverso l'occultamento e la distruzione di prove, e riciclato i ricavi della vendita di droga".
Viene proposto un patto. Gli agenti offrono uno sconto di pena e 120mila dollari di compenso, più le spese per la vita quotidiana e i viaggi (che ammonteranno a più di 59mila dollari), in cambio la fonte dovrà permettere all'Fbi di decifrare e salvare sui propri server i messaggi inviati tramite Anom e impegnarsi a diffondere il prodotto all'interno della rete criminale. L'affare è fatto. Il test inizia con tre persone legate alla criminalità organizzata australiana che, a fronte di una quota sui guadagni, vengono convinte a promuovere l’uso del prodotto: senza sospettare di nulla, vendono 50 dispositivi, un successo.
In poco tempo viene messo in piedi un sistema di distribuzione, i cui componenti principali sono ora indagati anche per aver fatto parte di un’organizzazione che vendeva servizi e device cifrati promuovendo il traffico internazionale di droga, il riciclaggio di denaro e l’ostruzione alla giustizia. Era suddiviso in tre livelli. Al vertice c’erano tre amministratori che avevano il controllo della rete, potevano avviare le nuove sottoscrizioni, creare l’accesso per i distributori, rimuovere gli account, cancellare e resettare i prodotti da remoto. Poi, i distributori cui spettava il compito di controllare gli agenti, ricevere i pagamenti e, sottratta una percentuale, inviarli alla casa madre. Alla base, gli agenti che contattavano i nuovi clienti per vendere il dispositivo con l’iniziale sottoscrizione, rinnovabile. Il prodotto arrivava con incluso un piano di circa sei mesi, il cui prezzo variava a seconda della zona geografica: 1700 dollari in Australia e Nord America, dai mille ai 1500 euro in Europa.
Un ruolo importante nella diffusione di Anom lo svolgevano quelli che vengono definiti influencer, cioè figure criminali che hanno un potere significativo e un’influenza sugli altri membri dell’organizzazione: persone che si sono costruite anche una reputazione nel campo dei dispositivi cifrati e la sfruttano per influenzare il mercato, incoraggiando l’uso di determinati prodotti. Gli influencer, si legge nelle carte, hanno “un enorme impatto sugli utenti”. Tutti, per far crescere il prestigio del brand Anom, insistevano sul fatto che non fosse soggetto ad alcuna legge statunitense.
L’Fbi, intanto, leggeva tutto. Leggeva, per esempio, le chat di due cittadini australiani, Domenico Catanzariti e Salvatore Lupoi, che il 4 gennaio 2019 si scambiavano la foto di una partita di centinaia di chilogrammi di cocaina, con sopra lo stemma di Batman, discutendone il prezzo. Leggeva anche di come i narcotrafficanti si informassero sulla presenza o meno di funzionari corrotti nel porto di Hong Kong per far passare un carico di droga nascosto in una bananiera. O di una spedizione organizzata nell’ottobre 2020 dall’Ecuador al Belgio, infilando dischetti di cocaina nelle scatolette di tonno.
Dall’ottobre del 2019 al maggio del 2021 l’Fbi è riuscita a catalogare più di 20 milioni di messaggi da un totale di 11.800 dispositivi. Nell’ultimo mese Anom contava circa novemila utenti attivi: un successo possibile grazie anche allo smantellamento di due servizi similari, EncroChat e Sky Global, a seguito di altre indagini. Il più alto numero di utilizzatori si trovava in Germania, Olanda, Spagna, Australia e Serbia. Facevano parte di oltre 300 organizzazioni criminali, inclusa quella italiana.
L’operazione, condotta dall’Fbi in collaborazione con l’Europol e la polizia australiana, non ha coinvolto le forze dell’ordine italiane. Nessun cittadino italiano, residente nel nostro Paese, è stato arrestato. Ma Anna Sergi, senior lecturer in Criminologia dell’università di Essex (Regno Unito), non esclude che presto possano partire indagini anche in Italia visto che molte persone fermate in Australia “hanno cognomi noti”. Si tratta di esponenti della Aussie ‘ndrangheta, “l’unica mafia presente nell’isola”. “Alcuni – aggiunge Sergi – sono nati e cresciuti in Australia, altri sono nati in Italia ed emigrati in Australia. Hanno legami con la Calabria e con altre organizzazioni criminali: internazionalità oggi necessaria per continuare a giocare un ruolo di primo piano nel traffico di droga”. Nicholas I. Cheviron, agente dell’Fbi che ha lavorato all’indagine, spiega che l’obiettivo era distruggere la fiducia dei criminali in questi sistemi dimostrando che le autorità riescono a infiltrarsi pure lì. Anche se, come spesso accade, a essere decisivo è stato il fattore umano.
———————————————————————————————-
Concludiamo con un giro di valzer a tema privacy, dove Vincenzo ci fa il punto sulla situazione dell’ultima, intensa, settimana.
————————————————————————————
Privacy Flash News
a cura di @VincenzoTiani
In Europa
Belgio, Garante non indipendente. Si è aperta una procedura formale contro il Garante Privacy belga non ritenuto sufficientemente indipendente dall’esecutivo. È la prima procedura di questo tipo a 3 anni dall’entrata in vigore del GDPR.
Lussemburgo, multa per Amazon. Il Garante del Lussemburgo, dove hanno sede diverse multinazionali, in 3 anni di GDPR ha emesso da poco la sua prima multa. Ma non è questa la notizia. La notizia è che si parla di una multa di 425 milioni di dollari per Amazon. Sarebbe la più alta multa per una violazione del GDPR data finora.
Portogallo, i dati dei dissidenti a Mosca
Lisbona ha dato a Mosca i dati personali di alcuni dissidenti.
Alcuni cittadini russi residenti a Lisbona avevano chiesto di organizzare una manifestazione pro Alexei Navalny. Come spesso accade per chi organizza manifestazione avevano dovuto dare i propri dati e contatti al Comune. Hanno poi scoperto che il Comune li aveva inoltrati all’ambasciata Russa a Lisbona e al Ministero degli Affari esteri a Mosca.
Francia, Qwant il motore di ricerca non parte. Il motore di ricerca francese Qwant, secondo i documenti visti da POLITICO, sta cercando un finanziamento di 8 milioni di euro da un venture capital collegato a Huawei per sopperire ai conti in difficoltà. Nato nel 2013 è stato finanziato dal governo francese per diventare l’alternativa europea a Google.
In Italia
Se la privacy è vista come ostacolo e non un diritto. Tre illustri personaggi della politica hanno fatto dei tweet questa settimana mettendo in dubbio l’operato del Garante e l’importanza della privacy, vista più come un ostacolo che come un presidio di tutela ad un diritto fondamentale. Qui il primo, qui il secondo, qui il terzo. Al Garante è toccato rispondere, di sabato.
Guarda non sei tu, sono IO. Il secondo tweet commentava il provvedimento del Garante che ha dato il via libera all’implementazione del Green Pass europeo per incorporarlo nell’app Immuni mentre ha bloccato momentaneamente l’opzione dell’app IO in quanto alcuni dati personali sono inviati e condivisi fuori dal territorio dell’Unione Europea. Di fronte alla replica di PagoPA che negava il problema il Garante ha pubblicato la relazione tecnica per giustificare la propria scelta.
Nel Mondo
USA-Apple
Mail impedirà di tracciare le email
Apple lunedì ha presentato alla sua conferenza WWDC per gli sviluppatori diverse novità. Per quanto riguarda la privacy la sua app per le email, Mail, impedirà ai tracciatori di verificare se l'email è stata aperta e letta. Questo ha messo in allerta chiunque lavori nel marketing visto che il tasso di apertura e lettura delle email è un criterio fondamentale per capire il buon andamento o meno di una campagna di email marketing appunto. Casey Newton, ex giornalista di The Verge e da qualche tempo diventato indipendente con la sua newsletter Platformer su Substack (la stessa piattaforma che ospita questa newsletter) si chiede se questa novità avrà un impatto su chi come lui comunica con i propri lettori via email.
Cina e i dati
I dati sono ormai considerati un asset nazionale. Per questo la Cina chiederà sempre più dati alle aziende cinesi e stranieri operanti in Cina per arginare il loro potere e rafforzare il proprio controllo. La nuova legge che entrerà in vigore il primo settembre vuole classificare i dati raccolti nel settore privato in base agli interessi di Stato.
——————————————————————————————
APPROFONDIMENTI
La grande illusione dei Big Data. Gli algoritmi comprendono davvero il mondo?
Valigia Blu
L’impero misterioso del fondatore di Telegram. Bel reportage di Der Spiegel (inglese).
Come l’FBI ha recuperato una parte del riscatto pagato da Colonial Pipeline dopo il ransomware (WSJ)
—> SOCIAL E PODCAST DI GUERRE DI RETE
Guerre di Rete ora ha anche un sito, una pagina Facebook e un profilo Twitter. Seguiteli!
I podcast della newsletter (che escono il lunedì in genere, anche se ora sono in pausa) li trovate sulle principali piattaforme (Apple Podcasts; Spotify; Google Podcast; Anchor.fm). Ogni due settimane circa esce anche Chat di Rete, podcast di interviste condotto assieme a Vincenzo Tiani.
→ DIFFONDI LA NEWSLETTER
Ti è piaciuta la newsletter? Inoltrala a chi potrebbe essere interessato! Promuovila sui social. O diventa un suo sostenitore facendo una donazione. La prima campagna per raccogliere fondi è andata molto bene, e qua ci sono i dettagli (qua la lista donatori).
La newsletter (che è fatta nel mio tempo libero) resta gratuita, indipendente, senza sponsor, mandanti o agende altrui, e si diffonde col passaparola dei suoi stessi utenti. Ciao!