Guerre di Rete - Apple triplica sulla sicurezza (e agita l’Fbi)
Poi Musk. Clubhouse. FTX. Killer robot.
Guerre di Rete - una newsletter di notizie cyber
a cura di Carola Frediani
N.147 - 10 dicembre 2022
Specie per i nuovi, ricordo che questa newsletter (che oggi conta più di 11mila iscritti - ma molti più lettori, essendo pubblicata anche online - e oltre 500 sostenitori) è gratuita e del tutto indipendente, non ha mai accettato sponsor o pubblicità, e viene fatta nel mio tempo libero. Se vi piace potete contribuire inoltrandola a possibili interessati, o promuovendola sui social. Molti lettori sono diventati sostenitori facendo una donazione. La prima campagna per raccogliere fondi è andata molto bene, e qua ci sono i dettagli (qua la lista degli oltre 500 donatori).
In più, a marzo il progetto si è ingrandito con un sito indipendente e noprofit di informazione cyber, GuerrediRete.it. Qui spieghiamo il progetto. Qui l’editoriale di lancio del sito.
In questo numero:
- Apple triplica sulla sicurezza (e agita l’Fbi)
- Musk, tra Neuralink e Starshield
- Clubhouse sanzionata dal Garante
- Phishing iraniano contro attivisti
- Ultime dal crollo di FTX (e dell’effective altruism)
- Robot letali, San Francisco ci ripensa
- E altro
SICUREZZA
Il triplete di Apple per rafforzare la sicurezza dei suoi utenti
Apple ha annunciato l'aggiunta di tre nuove funzioni di sicurezza ai suoi servizi.
La prima si chiama iMessage Contact Key Verification e mostra avvisi all'interno delle conversazioni iMessage ogni volta che un nuovo dispositivo viene aggiunto all'account di un partecipante. Una funzione che serve ad avvisare gli utenti se un attore malevolo (si parla sostanzialmente di governi) ottiene l'accesso a un account Apple.
La seconda si chiama Security Keys for Apple ID e significa che Apple permetterà di utilizzare delle chiavi hardware per proteggere gli account Apple ID. Ricordo che le chiavi fisiche sono lo standard più sicuro per l’autenticazione a due fattori (più sicuro dei codici generati dalle app di autenticazione).
Infine, c’è la terza funzione, Advanced Data Protection for iCloud, che consente agli utenti di cifrare i propri dati iCloud, come backup, foto e note (se lo vogliono, il meccanismo è opt-in, cioè l’utente deve attivarlo).
Fino ad oggi i backup del dispositivo non erano interamente cifrati end-to-end e Apple aveva accesso al contenuto (il numero di categorie di dati protetti con la crittografia end-to-end sale dunque da 14 a 23, tra cui backup iCloud, note e foto. “Le uniche categorie di dati importanti di iCloud che non sono coperte sono Posta, Contatti e Calendario di iCloud, a causa della necessità di interoperare con i sistemi globali di posta elettronica, contatti e calendario”, precisa Apple nel suo comunicato).
Riassumendo: a essere cifrati end-to-end (mentre prima non lo erano) saranno: iCloud Backup, iCloud Drive (include documenti Pages, Keynote, e Numbers, PDFs, Safari downloads, e ogni altro file salvato su iCloud Drive; foto; note; reminders; bookmarks di Safari; shortcuts di Siri; memo vocali; biglietti del wallet.
Advanced Data Protection for iCloud implementa una cifratura end-to-end, vuol dire che nessuno, nemmeno Apple, nemmeno un suo dipendente disonesto, nemmeno un governo che costringa l’azienda, nemmeno un cybercriminale che ne violi i sistemi, ha le chiavi per decifrare i dati di un utente (e se l’utente perde l’accesso può dire addio ai dati). Anche per questo Apple “richiederà agli utenti di impostare una chiave di recupero o di nominare un'altra persona che possa aiutarli ad accedere in caso di perdita di accesso. Tale persona, il titolare dell'account e Apple dovranno essere coinvolti nel recupero”, scrive il WashPost. Nello specifico Apple scrive: “Se perdi l'accesso al tuo account, solo tu puoi recuperare i dati utilizzando il codice di accesso o la password del dispositivo, il contatto di recupero o la chiave di recupero”.
Advanced Data Protection for iCloud sarà disponibile per i beta tester a partire da questa settimana e per gli utenti statunitensi entro la fine dell'anno. Le tre nuove funzioni saranno accessibili a tutti dall'inizio del 2023.
La comunità di ricercatori e attivisti pro-privacy e security ha accolto la notizia con grande soddisfazione. Per il crittografo Matthew Green, l’impressione è che dopo anni di esitazioni Apple abbia deciso di schiacciare l’acceleratore sulla cifratura e questo porterà a ricadute su tutta l’industria (Green riconosce anche il fatto che Meta/WhatsApp avessero già introdotto backup cifrati end-to-end).
Plausi anche dall’ong per i diritti digitali Electronic Frontier Foundation (che da tempo chiedeva una misura simile).
A non averla presa benissimo è invece l’FBI (con cui anche in passato Apple ha avuto le sue divergenze). L’agenzia americana ha dichiarato di essere "profondamente preoccupata per la minaccia che rappresentano la crittografia end-to-end in cui l’utente abbia accesso esclusivo. Questo ostacola la nostra capacità di proteggere il popolo americano da atti criminali che vanno dagli attacchi informatici e dalla violenza contro i bambini al traffico di droga, al crimine organizzato e al terrorismo", aggiungendo che l'FBI e i partner delle forze dell'ordine avrebbero bisogno di un "accesso legittimo by design".
Una precisazione su queste dichiarazioni dell’FBI però va fatta. La crittografia end-to-end protegge i dati degli utenti proprio dai cybercriminali e da chiunque ottenga o abusi un accesso ai sistemi del fornitore del servizio. In un’epoca in cui le piattaforme (vedi Twitter in questo periodo) rischiano di essere in balia di dipendenti con privilegi di accesso eccessivi o di Ceo che ne fanno un uso arbitrario e privatistico questa funzione di sicurezza sembra più necessaria che mai.
MUSK
Indagine sulla corsa di Neuralink verso gli impianti cerebrali
Neuralink, l'azienda di impianti cerebrali cofondata da Elon Musk (che sta cercando di ottenere a breve un’autorizzazione per testare questa tecnologia negli umani), sarebbe oggetto di un'indagine federale sul trattamento degli animali utilizzati nei suoi esperimenti. La Reuters riferisce che l'ispettore generale del Dipartimento dell'Agricoltura degli Stati Uniti (USDA) ha recentemente avviato un'indagine che riguarderebbe potenziali violazioni della legge sul benessere degli animali (Animal Welfare Act). Al di là del fatto se le violazioni della legge siano reali o meno, colpisce un altro dato che emerge dall’articolo e che chi sta seguendo la presa di Twitter da parte di Musk ha già visto in azione: una tremenda fretta.
“L'impazienza di Musk nei confronti di Neuralink è cresciuta quando l'azienda, lanciata nel 2016, ha mancato in diverse occasioni le scadenze per ottenere l'approvazione normativa per l'avvio di sperimentazioni cliniche sugli esseri umani, secondo i documenti dell'azienda e le interviste con otto dipendenti attuali ed ex”, riferisce Reuters.
Che racconta di preoccupazioni interne sul fatto che la spinta di Musk a progredire rapidamente abbia creato un ambiente pieno di "dipendenti poco preparati e troppo stressati che si affannano per rispettare le scadenze".
I tentativi di motivare lo staff a lavorare più velocemente arrivano al punto di dire al personale di immaginare di avere una bomba legata alla testa. Mentre nel febbraio di quest'anno il Ceo avrebbe scritto in un'email: "In generale, non ci stiamo muovendo abbastanza velocemente. Mi sta facendo impazzire!".
Considerato che si sta parlando di impianti cerebrali, ci sono ottime premesse.
SpaceX lancia la Starlink per i governi
Intanto, SpaceX (di cui Musk è fondatore e Ceo) ha annunciato sul suo sito web un nuovo servizio: Starshield, una "rete satellitare protetta per enti governativi". Secondo quanto riportato sul sito, mentre il servizio Internet satellitare Starlink è rivolto agli utenti finali e alle aziende, "Starshield è progettato per l'uso governativo".
La novità non stupisce. Come notano alcuni, Elon Musk è un “contractor militare”, e Starshield appare come la prosecuzione di una strada già tracciata con Starlink.
“I militari e i governi sono i maggiori clienti di SpaceX, e anche il servizio Starlink, orientato ai consumatori e inizialmente pensato per collegare aree rurali poco servite, rientra ora nell'ambito della guerra. Il Pentagono ha pagato il conto per molti dei terminali Starlink in Ucraina e ha già fatto largo uso della rete satellitare e dei razzi SpaceX. La NASA è uno dei maggiori partner di SpaceX e l'azienda ha lanciato per la prima volta sistemi nello spazio per l'Air Force nel 2018”, scrive The Verge.
Inoltre, ad agosto SpaceX ha firmato un accordo da 2 milioni di dollari con l'aeronautica militare statunitense per fornire accesso a Internet via satellite. Il lancio di Starshield ha fatto seguito all’annuncio di inizio dicembre che la Commissione federale per le comunicazioni (FCC) ha autorizzato SpaceX a far volare altri 7.500 satelliti (Vice).
Abbiamo parlato proprio di questo in un approfondimento di due settimane fa sul sito Guerre di Rete. Ovvero perché Starlink è così importante in questa guerra, e in future strategie militari. -> Il ruolo decisivo e ambiguo dei satelliti di Elon Musk in Ucraina
CLUBHOUSE
Arriva la sanzione dal nostro Garante privacy
Ricordate Clubhouse? Il social network di chat vocali esploso in piena pandemia, quando stavamo tutti sul divano a scorrere le notizie su Covid e lockdown e una piattaforma di audio chat sembrava rimasto l’ultimo avamposto tech per salvare la nostra socialità?
Nel mesi successivi le cose erano cominciate ad andare meno bene. “Se i download mensili di Clubhouse avevano raggiunto un picco di 9,6 milioni nel febbraio 2021 per gli utenti iOS e 6,8 milioni nel giugno 2021 per gli utenti Android, nel maggio 2022 i download erano scesi a meno di 300.000 per ciascuna, secondo la società di analisi SensorTower” (Bloomberg)
Oggi, riassume forse un po’ ingenerosamente Business Insider, Clubhouse sarebbe "l'emblema dell'hype alimentato dal venture capital in era pandemica, ora affossato da stanze piene di “drama”, creatori insoddisfatti, utenti in calo e inserzionisti dubbiosi”.
Ma prima ancora delle montagne russe di utenti e sorti, nel gennaio 2021 questa newsletter aveva scritto da subito dei dubbi che alcuni stavano ponendo su Clubhouse in relazione ai dati raccolti e al Regolamento generale sulla protezione dei dati (GDPR).
Bene, in questi giorni è arrivato un provvedimento del nostro Garante per la Privacy. Ovvero una sanzione di 2 milioni di euro alla società Alpha Exploration, proprietaria di Clubhouse. “Numerose le violazioni riscontrate dall’Autorità - scrive il comunicato del Garante - scarsa trasparenza sull’uso dei dati degli utenti e dei loro “amici”; possibilità per gli utenti di memorizzare e condividere gli audio senza consenso delle persone registrate; profilazione e condivisione delle informazioni sugli account senza l’individuazione di una corretta base giuridica; tempi indefiniti di conservazione delle registrazioni effettuate dal social per contrastare eventuali abusi. Alla società, che dovrà adottare una serie di misure per mettersi in regola, è stato inoltre vietato ogni ulteriore trattamento delle informazioni svolto per marketing e profilazione senza uno specifico consenso”.
CRIPTOVALUTE
Ultime dal crollo di FTX
Il fondatore di FTX, Sam Bankman-Fried, ha dichiarato di non essere in grado di spiegare cosa sia successo ai miliardi di dollari che i clienti del suo exchange di criptovalute, appena fallito, avrebbero inviato alla sua stessa società di trading, Alameda Research. “E ha detto di non poter escludere che il denaro depositato dai clienti di FTX, ai quali era stato detto che il denaro era solo loro, sia stato in realtà prestato ad Alameda”, scrive il WSJ.
Per capirne di più della vicenda partite da questo articolo su Guerre di Rete:
Quei legami pericolosi che hanno fatto crollare FTX
Come è possibile che uno dei maggiori exchange di criptovalute fondato da chi veniva già celebrato come miliardario e filantropo sia crollato su se stesso? Andrea Signorelli ripercorre e spiega il legame spericolato tra FTX e Alameda. Ma anche i rapporti tra il giovane fondatore Sam Bankman-Fried e i suoi affari con un altro gigante del settore, Binance. Tra un teorico effective altruism e una reale commistione di interessi e legami.
Vedi anche: Come Sam Bankman-Fried ha confuso i confini tra FTX e Alameda - FT
Terra e Luna
Nel mentre i procuratori statunitensi di Manhattan stanno esaminando la possibilità che Bankman-Fried abbia manovrato i prezzi di due valute interconnesse, TerraUSD e Luna, per favorire le entità da lui controllate, tra cui FTX e Alameda Research, scrive il NYT.
AI, l’effective altruism e i miliardari della Silicon Valley
Una ricaduta del crollo di FTX - marginale dal punto di vista dell’impatto economico ma interessante da quello della storia delle idee e del loro ruolo nel plasmare (o giustificare) pratiche e politiche - è il dibattito scaturito sull’effective altruism, un movimento etico-filosofico che punta a massimizzare in modo razionale il bene che si può fare.
Il movimento - di cui Sam Bankman-Fried era uno degli esponenti più in vista - è infatti ora rimesso in discussione da una serie di commentatori. Tra questi la più interessante è Timnit Gebru, che per chi non la conoscesse è una delle più note ricercatrici su AI ed etica.
Gebru spara ad alzo zero in un articolo su Wired Usa: “Tra i miliardari che hanno impegnato fondi significativi per questo obiettivo [usare l’effective altruism per giustificare una corsa alla proliferazione di sistemi di intelligenza artificiale senza preoccuparsi delle ricadute sulla sicurezza, ndr] ci sono Elon Musk, Vitalik Buterin, Ben Delo, Jaan Tallinn, Peter Thiel, Dustin Muskovitz e Sam Bankman-Fried, che è stato uno dei maggiori finanziatori dell’Effective Altruism fino al recente fallimento della sua piattaforma di criptovalute FTX. Di conseguenza, tutto questo denaro ha plasmato il campo dell'intelligenza artificiale e le sue priorità in modi che danneggiano le persone appartenenti a gruppi emarginati, pur pretendendo di lavorare su una "benefica intelligenza artificiale generale" che porterà all'utopia tecnologica per l'umanità. Questo è un altro esempio di come il nostro futuro tecnologico non sia una marcia lineare verso il progresso, ma sia determinato da coloro che hanno il denaro e l'influenza per controllarlo”.
Tra l’altro l’effective altruism è stato anche influenzato da altre correnti, come il long-termism. Ne accenna anche questo interessante articolo dell’Economist. Del long-termism ho scritto due newsletter fa.
- Leggi anche: In difesa dell’effective altruism, malgrado questa debacle, scrive Ezra Klein su il NYT.
Tutto ciò mentre si parla molto di ChatGPT. Cosa è? Ho chiesto a ChatGPT di rispondere e scrive: “Sono un assistente virtuale sviluppato da OpenAI. Sono stato progettato per essere in grado di rispondere a una varietà di domande su una serie di argomenti, utilizzando il linguaggio naturale. Mi è stato addestrato [cit.] su una vasta quantità di testi e sono in grado di comprendere e rispondere alle domande in modo coerente e accurato. Tuttavia, sono solo un programma di elaborazione del linguaggio, quindi non posso fare nulla al di fuori del mio addestramento e delle mie funzionalità programmate”.
Potete dialogare con ChatGPT qua dopo esservi iscritti.
KILLER ROBOTS
Robot letali, San Francisco ci ripensa
Le autorità di San Francisco hanno ribaltato una misura controversa che avrebbe permesso alla polizia di impiegare robot per usare la forza letale in situazioni estreme, invertendo la rotta dopo le proteste dell'opinione pubblica.
Il dietrofront del Consiglio dei Supervisori di San Francisco arriva una settimana dopo che il Consiglio aveva votato per l'approvazione dell’ordinanza in una prima lettura, provocando l’accusa di aprire la strada ai killer robot.
La misura bloccata in extremis avrebbe dato alla polizia l'autorità di usare robot terrestri (e telecomandati da operatori umani) per uccidere (con esplosivi, c’era stato un caso simile in Florida) "quando il rischio di perdita di vite umane per i membri del pubblico o per gli agenti è imminente e gli agenti non possono contenere la minaccia dopo aver usato opzioni di forza alternative o tattiche di de-escalation", secondo il testo dell'ordinanza.
CNN - Wired USA
Sui killer robot leggi anche il nostro approfondimento Guerra e armi autonome: perché è l’ora di parlarne - Guerre di Rete
CYBERCRIME
Ospedale in tilt in Francia
Un complesso ospedaliero di Versailles, vicino a Parigi, che comprende l'ospedale Andre-Mignot, l'ospedale Richaud e la casa di riposo Despagne, ha dovuto annullare le operazioni e trasferire alcuni pazienti dopo essere stato colpito da un attacco informatico nel fine settimana. Non sono stati dati dettagli ma considerata anche la richiesta di riscatto sembra essere un attacco ransomware (in cui sistemi e file sono cifrati).
L'agenzia sanitaria regionale (ARS) ha dichiarato che l'ospedale Andre-Mignot ha cancellato le operazioni. Le comunicazioni telefoniche, internet e tutti i sistemi informatici sarebbero stati interrotti. Sei pazienti sono stati trasferiti - tre dalla terapia intensiva e tre dal reparto neonatale - ha dichiarato il Ministro della Salute Francois Braun, visitando l'ospedale. Altri potrebbero seguire. L’incidente ha costretto l’ospedale a una totale riorganizzazione. (RFI)
Un rischio che riguarda anche gli ospedali italiani come avevamo raccontato qua su Guerre di Rete: Reparto ransomware: quando viene attaccato un ospedale
PHISHING E DIRITTI UMANI
Un’altra campagna contro difensori dei diritti e giornalisti
Nell'ottobre 2022 un membro dello staff di Human Rights Watch che lavora in Medio Oriente e Nord Africa ha ricevuto dei messaggi sospetti su WhatsApp da una persona che fingeva di lavorare per un think tank con sede in Libano, e che lo invitava a una conferenza. Ma un’indagine congiunta di Amnesty International e Human Rights Watch ha rivelato che i link di phishing inviati via WhatsApp, una volta cliccati, indirizzavano l'obiettivo a una falsa pagina di login che catturava la password dell'email e il codice di autenticazione dell'utente. Il team di ricerca ha indagato sull'infrastruttura che ospitava i link malevoli e ha identificato altri target di questa campagna. Oltre ai due membri dello staff di Human Rights Watch, l’indagine ha identificato altri 18 account email presi di mira nell'ambito della stessa campagna, tra cui quelli di sei giornalisti.
L’indagine ha attribuito l'attacco di phishing a un'entità ritenuta affiliata al governo iraniano e nota come APT42 (e talvolta indicata come Charming Kitten).
Fonte: HRW (Transparency Disclaimer: lavoro nel team infosec di HRW e prima in quello di security di Amnesty)
ITALIA
In Italia ci sarà una nuova fondazione che fa ricerca sulla cybersecurity
Il progetto Serics riceverà 116 milioni dal ministero dell'Università, da un fondo di 1,6 miliardi del Pnrr che foraggerà anche studi in ambito telecomunicazioni, intelligenza artificiale e calcolo quantistico.
Wired Italia
APPROFONDIMENTI
SPYWARE
Come l’industria globale degli spyware è andata fuori controllo - inchiesta del New York Times
Leggi anche il mio approfondimento di alcuni mesi fa: Spyware Ltd.
LAVORO E ROBOT
Uno studio sugli effetti dei robot industriali sull’occupazione in Cina. Risultati non molto incoraggianti sui salari e le ore lavorate. The Register
Su questo tema ne aveva scritto Giuditta Mosca per Guerre di Rete: Cosa sappiamo degli effetti dei robot sull’occupazione
SORVEGLIANZA
L’uso di smartwatches e altri wearables su migranti in UK - Privacy International
→ DIFFONDI LA NEWSLETTER
Ti è piaciuta la newsletter? Inoltrala a chi potrebbe essere interessato! Promuovila sui social. O diventa un suo sostenitore facendo una donazione. La newsletter (che è fatta nel mio tempo libero) resta gratuita, indipendente, senza sponsor, mandanti o agende altrui, e si diffonde col passaparola dei suoi stessi utenti.
Non sei ancora iscritto? Iscriviti qua, è gratuita.
—> SOCIAL E PODCAST DI GUERRE DI RETE
Guerre di Rete ora ha anche un sito di notizie, una pagina Facebook, un profilo Twitter, Linkedin e Instagram. Seguiteli! I podcast della newsletter li trovate sulle principali piattaforme ma attualmente sono in pausa (Apple Podcasts; Spotify; Google Podcast; Anchor.fm).